AGB & AV-Vertrag - Marketing für Heilpraktiker und Therapeuten

Allgemeine Geschäftsbedingungen

§ 1 Vertragsgegenstand

(1) Gegenstand dieser Allgemeinen Geschäftsbedingungen (AGB) sind Werke bzw. Dienstleistungen auf den Gebieten Marketingberatung & Persönlichkeitscoaching in Bezug auf Werbung, außerdem Text, Design, Öffentlichkeitsarbeit, Werbung, Beratung und/oder Internet.
Die Beratung über die Gestaltung des zu schaffenden Werkes und das Coaching über persönliche Blockaden des Auftraggebers stellen den dienstvertraglichen Teil dar. Für die Schaffung des in Auftrag gegebenen Werkes sowie die Einräumung von umfangreichen Nutzungsrechten an diesem Werk gelten §§ 3-5 dieser Bestimmungen. Ansonsten gelten die Vorschriften des BGB zum Werkvertrag und des Urheberrechtsgesetzes.

§ 2 Zustandekommen des Auftrages

(1) Diese AGB sind Bestandteil jedes schriftlichen wie mündlichen Vertrages mit Auftraggebern, soweit nicht ausdrücklich schriftlich etwas Abweichendes vereinbart ist.

(2) Ein Auftrag i.S. eines Dienstvertrages gilt als zustande gekommen, wenn der Auftraggeber mich mehr als einmal telefonisch oder persönlich kontaktiert und eine Beratungsleistung erbracht wird. Dies gilt auch dann, wenn kein Werkvertrag zustande kommt.

(3) Ein Auftrag i.S. eines Werkvertrages gilt als zustande gekommen, wenn eine der folgenden Situationen eingetreten ist:
a) Ich habe den Auftrag mündlich oder schriftlich bestätigt.
b) Der Auftraggeber hat mündlich oder schriftlich ein Angebot von mir angenommen.
c) Mir wurden Textvorlagen, sonstige Arbeitsunterlagen bzw. vertrauliche Zugangsdaten übermittelt.

(4) Abweichende Geschäftsbedingungen des Auftraggebers (Vertragspartners) sowie Änderungen und Ergänzungen dieser AGB haben nur Gültigkeit, soweit ich sie schriftlich anerkannt habe. Dies gilt auch, wenn ich den Geschäfts- und / oder Lieferbedingungen des Vertragspartners nicht ausdrücklich widersprochen habe.

§ 3 Rücktritt

(1) Unabhängig vom Zustandekommen bzw. dem Stadium des Auftrages können beide Seiten jederzeit vom Vertrag zurücktreten. Falls im Zeitpunkt der Rücktrittserklärung Arbeitsaufwand entstanden ist, rechne ich diesen nach dem vereinbarten Stundensatz ab. Alle bis dahin bereits abgenommenen Leistungen bzw. Teilergebnisse (Logos, Typogramme, Flyer o.ä.) sind nach dem vereinbarten Stundensatz zu vergüten.

(2) Der entstandene Arbeitsaufwand wird auch dann berechnet, wenn der Auftraggeber das geschaffene Werk nicht nutzen möchte. Eine unentgeltliche Tätigkeit, insbesondere die kostenfreie Schaffung von Entwürfen, ist nicht branchenüblich.

(3) Wenn sich der Auftraggeber nach dem Briefing entscheidet, den Auftrag zurückzunehmen, berechne ich das Briefing und eventuell geleistete Vorarbeiten und konzeptionelle Vorschläge nach dem im Briefing vereinbarten Stundensatz.

§ 4 Kostenvoranschläge, Vergütung, Fremdkosten

(1) Soweit nicht anders vereinbart, rechne ich die Leistungen (und ggf. meiner Partner) auf der Grundlage der in den Kostenvoranschlägen angegebenen Stundensätze nach tatsächlichem Aufwand ab.

(2) Pauschalen sind so lange verbindlich, wie der prognostizierte Leistungsumfang gleich bleibt. Ich verpflichte mich, mitzuteilen, falls der kalkulierte Arbeitsaufwand um mehr als 25% überschritten wird. Wenn jedoch der Auftraggeber nach Auftragserteilung und im Laufe der Entwicklung des Werkes konzeptionelle oder inhaltliche Änderungen wünscht, ist der dadurch entstehende Mehraufwand auch dann nach Stundensatz zu berechnen, falls für den Gesamtauftrag eine Pauschale festgesetzt war.

(3) Fremd- und Nebenkosten – z.B. für Grafiker, Programmierer, Fotografen, Material, Kopien, Versand, Kuriere etc. – werden gesondert vergütet bzw. sind als Auslagen zu erstatten, sofern nicht eine andere Vereinbarung getroffen wurde.

§ 5 Nutzungsrechte, Abnahme

(1) Abweichend vom Urheberwerkvertragsrecht darf der Auftraggeber die ihm überlassenen Dienstleistungen nach vollständiger Bezahlung wie eine eigene geistige Schöpfung nutzen, bearbeiten und verändern. Er ist auch berechtigt, seinen Kunden und Partnern Nutzungsrechte an den Texten einzuräumen, ohne dass ich finanziell beteiligt werde. Das geistige Eigentum an Texten und Konzeptionen verbleibt jedoch bei mir.

(2) Arbeitsergebnisse gelten als abgenommen, wenn der Auftraggeber die Abnahme erklärt, sie in irgendeiner Weise nutzt bzw. – z.B. bei Websites – innerhalb von zehn Tagen nach Fertigstellung des “Bauabschnitts” nichts reklamiert. Wenn der Auftraggeber innerhalb von zehn Tagen nach Fertigstellung reklamiert, darf ich innerhalb einer angemessenen Frist nachbessern. Wenn er erst nach mehr als zehn reklamiert, behandele ich die Korrekturen als neuen Auftrag und rechne sie dementsprechend ab.

(3) Eigene kreative Arbeiten, die ich für den Auftraggeber erstellt habe, darf ich mit Nennung des Auftraggebers für meine Eigenwerbung verwenden, sofern der Auftraggeber dem in der Einwilligung nicht widersprochen hat.

§ 6 Zahlungsweise

Rechnungen sind innerhalb von 14 Tagen nach Rechnungsdatum und ohne Abzug zu zahlen. Ab einem Auftragsvolumen von EUR 200,00 können für einzelne Projekte Abschlagszahlungen in Rechnung gestellt werden. Bei Zahlungsverzug von mehr als 28 Tagen bin ich berechtigt, Verzugszinsen in Höhe von 8% zu verlangen. Diese Vereinbarung bleibt unberührt von der Geltendmachung eines nachgewiesenen höheren Schadens durch den Auftraggeber.

§ 7 Haftung, Mitwirkung, Versand

(1) Soweit nicht anders vereinbart, erfolgt der Versand von Unterlagen oder Dateien auf Gefahr des Auftraggebers.

(2) Ich hafte dem Auftraggeber im Rahmen der gesetzlichen Bestimmungen (Schadensersatz bei Vorsatz und grober Fahrlässigkeit). Die Haftung ist in jedem Fall auf die Höhe des Rechnungsbetrages beschränkt. Sie entfällt, sobald der Auftraggeber die Dienstleistungen bzw. Werke abgenommen hat: ich hafte also nicht für Text- oder Druckfehler, die der Auftraggeber bei seiner Schlusskorrektur und Freigabe übersieht.

(3) Da ich keine Anwaltszulassung besitze, hafte ich im Rahmen des Datenschutzes auf der Website des Auftraggebers nur für Vorsatz oder grobe Fahrlässigkeit. Fehler oder Lücken in der Datenschutzerklärung, im Kontaktformular, im Impressum oder bei Einstellungen der Cookie-Notiz gehen zu Lasten des Auftraggebers. Dieser ist gehalten, sämtliche Einstellungen durch einen Rechtsanwalt mit dem Schwerpunkt Internetrecht oder Datenschutzrecht prüfen zu lassen und im Falle einer Abmahnung jenen in Regress zu nehmen.

(4) Da ich keine Anwaltszulassung besitze, hafte ich auch weder für die rechtliche Zulässigkeit des Inhalts und der Gestaltung der Arbeitsergebnisse, noch für die wettbewerbs- oder warenrechtliche Zulässigkeit. Der Auftraggeber versichert, dass er zur Verwendung der übergebenen Materialien und Dateien zur Veröffentlichung berechtigt ist. Sollte der Auftraggeber trotzdem nicht zur Verwendung berechtigt sein, stellt er mich von allen Schadensersatzansprüchen Dritter frei. Dies gilt auch, wenn ich von Dritten wegen Gestaltung und / oder Inhalt des Arbeitsergebnisses in Anspruch genommen werde.

(5) Sofern ich Fremdleistungen in Auftrag gebe, sind die jeweiligen Auftragnehmer keine Erfüllungsgehilfen. Ich hafte nur für eigenes Verschulden (siehe Ziffer 2).

§ 9 Vereinbarung zur Auftragsverarbeitung

Inhalt eines jeden Vertrages zwischen Ihnen als Kunden und mir ist eine Vereinbarung zur Auftragsverarbeitung. Hierzu sind beide Seiten gesetzlich verpflichtet. Das Fehlen eines solchen Auftragsverarbeitungsvertrages kann für beide Seiten mit empfindlichen Bußgeldern geahndet werden.

(1) Allgemeine Bestimmungen und Auftragsgegenstand

1.1 Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch die Auftragsverarbeitende (Art. 28 DSGVO). Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Verarbeitung sind Anlage 1 zu entnehmen.

1.2 Der/die Auftraggebende/r ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er allein ist für Beurteilung der Zulässigkeit der Datenverarbeitungs-vorgänge nach Art. 6 DSGVO und die Wahrung der Betroffenenrechte verantwortlich.

1.3 Die Verarbeitung der Daten durch die Auftragsverarbeitende findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung der/des Auftraggebenden.
1.4 Die Vergütung wird außerhalb dieses Vertrags vereinbart.

(2) Vertragslaufzeit und Kündigung

Der vorliegende Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Vertragspartei mit einer Frist von drei Monaten ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

(3) Weisungen des/der Auftraggebenden

3.1 Dem/der Auftraggebenden steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung ggü. der Auftragsverarbeitenden zu. In dieser Rolle kann sie/er insbesondere die unverzügliche Löschung, Berichtigung, Sperrung oder Herausgabe der vertragsgegenständlichen Daten verlangen. Die Auftragsverarbeitende ist verpflichtet, den Weisungen der/des Auftraggebenden Folge leisten, sofern keine berechtigten vertraglichen oder gesetzlichen Interessen entgegenstehen.

3.2 Die Auftragsverarbeitende informiert die/den Auftraggebende/r unverzüglich, falls sie der Auffassung ist, dass eine Weisung des/der Auftraggebenden gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit die Auftragsverarbeitende substantiiert anzweifelt, ist diese berechtigt, deren Ausführung vorübergehend auszusetzen, bis die/der Auftraggebende diese nochmals ausdrücklich bestätigt oder ändert.

3.3 Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z.B. per E-Mail) zu erteilen. Mündliche Weisung sind auf Verlangen der Auftragsverarbeitenden schriftlich oder in einem elektronischen Format durch die/den Auftraggebende/n zu bestätigen. Die Auftragsverarbeitende hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren.

3.4 Der/die Auftraggebende/r benennt auf Verlangen der Auftragsverarbeitenden eine oder mehrere weisungsberechtigte Personen. Änderungen sind der Auftragsverarbeitenden unverzüglich mitzuteilen.

(4) Kontrollbefugnisse des/der Auftraggebenden

4.1 Der/die Auftraggebende ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig im erforderlichen Umfang zu kontrollieren oder durch Dritte kontrollieren zu lassen. Die Auftragsverarbeitende wird diese Kontrollen dulden und sie im
erforderlichen Maße unterstützen. Sie wird dem/der Auftraggebenden insbesondere die für die Kontrollen relevanten Auskünfte vollständig und wahrheitsgemäß erteilen, ihm/ihr die Einsichtnahme in die gespeicherten Daten und Datenverarbeitungsprogramme/ -systeme gewähren sowie Vorort-Kontrollen ermöglichen. Sofern der/die Auftraggebende der Verarbeitung der Daten außerhalb der Geschäftsräume (z.B. Privatwohnung) zugestimmt hat, hat die Auftragsverarbeitende dafür zu sorgen, dass der/die Auftraggebende auch diese Räume zu Kontrollzwecken begehen darf.

4.2 Der/die Auftraggebende hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und den Betrieb der Auftragsverarbeitenden nicht mehr als erforderlich beeinträchtigen. Insbesondere sollen Vorortkontrollen grundsätzlich zu den üblichen Geschäftszeiten und nach Terminvereinbarung mit angemessener Vorlauffrist erfolgen, sofern der Kontrollzweck einer
vorherigen Ankündigung nicht widerspricht.

4.3 Die Ergebnisse der Kontrollen und Weisungen sind von beiden Vertragsparteien in geeigneter Weise zu protokollieren.

(5) Allgemeine Pflichten der Auftragsverarbeitenden

5.1 Die Verarbeitung der vertragsgegenständlichen Daten durch die Auftragsverarbeitende erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen des/der Auftraggebenden. Eine hiervon abweichende Verarbeitung ist nur aufgrund zwingender europäischer oder mitgliedsstaatlicher Rechtsvorschriften zulässig (z.B. im Falle von Ermittlungen durch Strafverfolgungs- oder Staatsschutzbehörden). Ist eine Verarbeitung aufgrund zwingenden Rechts erforderlich, teilt die Auftragsverarbeitende dies dem/der Auftraggebenden vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

5.2 Die Auftragsverarbeitende hat bei der Auftragsdurchführung sämtliche gesetzlichen Vorschriften einzuhalten. Sie hat insbesondere die nach Art. 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen implementieren und das nach Art. 30 Abs. 2 DSGVO erforderliche Verzeichnis von Verarbeitungstätigkeiten zu führen, soweit dies gesetzlich vorgeschrieben
ist.

5.3 Die Auftragsverarbeitende ist nicht zur Benennung eines Datenschutzbeauftragten verpflichtet.

5.4 Die Datenverarbeitung außerhalb der Betriebsstätten der Auftragsverarbeitenden oder der Subunternehmer und/oder in Privatwohnungen (z.B. Fernzugriff oder Homeoffice der Auftragsverarbeitenden) ist nur mit ausdrücklicher Zustimmung des/der Auftraggebenden gestattet.

5.5 Die Auftragsverarbeitende hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der
Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggebende/r überlassenen personenbezogenen Daten erhalten.

5.6 Die Auftragsverarbeitende wird die Erfüllung ihrer Pflichten regelmäßig und selbstständig kontrollieren und in geeigneter Weise dokumentieren.

(6) Technische und organisatorische Maßnahmen

6.1 Die Auftragsverarbeitende hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und diese in Anlage 2 dieses Vertrags festgehalten. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben nach Art. 32 DSGVO ausgewählt und mit der/dem Auftraggebenden abgestimmt.

6.2 Die Auftragsverarbeitende wird die technischen und organisatorischen Maßnahmen bei Bedarf und/oder anlassbezogen überprüfen und anpassen.
Erforderliche Anpassungen werden von der Auftragsverarbeitenden dokumentiert und der/dem Auftraggebenden auf Nachfrage zur Verfügung gestellt. Wesentliche Änderungen, durch die das Schutzniveau verringert werden könnte, sind vorab mit der/dem Auftraggebenden abzustimmen.

(7) Unterstützungspflichten der Auftragsverarbeitenden

7.1 Die Auftragsverarbeitende wird die/den Auftraggebende/n gem. Art. 28 Abs. 3 lit. e DSGVO bei dessen/deren Pflichten zur Wahrung der Betroffenenrechte aus Kapitel III, Art. 12 – 22 DSGVO unterstützen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten. Die Reichweite der Unterstützungspflicht bestimmt
sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung.

7.2 Die Auftragsverarbeitende wird die/den Auftraggebende/n ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei deren/dessen Pflichten nach Art. 32 – 36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstützungspflicht bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der der Auftragsverarbeitenden zur Verfügung stehenden Informationen.

(8) Einsatz von Unter-Auftragsverarbeitenden (Subunternehmer)

8.1 Die Auftragsverarbeitende ist nur mit Zustimmung des/der Auftraggebenden zum Einsatz von Unter-Auftragsverarbeitenden (Subunternehmer) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden und durch den/die Auftraggebenden ausdrücklich bestätigten Subunternehmerverhält-nisse der Auftragsverarbeitenden sind diesem Vertrag abschließend in Anlage 3 beigefügt.

Für die in Anlage 3 aufgezählten Subunternehmer gilt die Zustimmung mit Unterzeichnung dieses Vertrags als erteilt. Beabsichtigt die Auftragsverarbeitende den Einsatz weiterer Subunternehmer, wird sie dies dem/der Auftraggebenden in schriftlicher oder elektronischer Form anzeigen, damit diese/r deren Einsatz prüfen kann. Erfolgt keine Zustimmung durch den/die Auftraggebende/n, dürfen die betroffenen Subunternehmer nicht eingesetzt werden.

8.2 Subunternehmer werden von der Auftragsverarbeitenden unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Nebenleistungen, die die Auftragsverarbeitende zur Ausübung ihrer geschäftlichen Tätigkeit in Anspruch nimmt, stellen keine Unterauftragsverhältnisse dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen, die die Vertraulichkeit Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Die Auftragsverarbeitende wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards sicherstellen.

8.3 Sämtliche Verträge zwischen Auftragsverarbeitender und Unter-Auftragsverarbeitenden (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Die Subunternehmer-verträge haben darüber hinaus sicherzustellen, dass die im vorliegenden Vertrag vereinbarten Kontroll- und Weisungsbefugnisse durch den/die Auftraggebende/n in gleicher Weise und in vollem Umfang auch gegenüber dem
Unter-Auftragsverarbeitenden ausgeübt werden können.

8.4 Im Vertrag mit dem Subunternehmer ist festzuschreiben, welche Verantwortlichkeiten der Subunternehmer hat, damit der/die Auftraggebende/r diese entsprechend überprüfen kann. Ferner muss der Vertrag mit dem Subunternehmer sicherstellen, dass der Auftraggebende/r ggü. dem Subunternehmer zur Ausübung der gleichen Kontrollrechte, wie ggü. der Auftragsverarbeitenden berechtigt ist. Die Auftragsverarbeitende hat sicherzustellen, dass die von der/dem Auftraggebenden erteilten Weisungen auch von den Subunternehmern befolgt und protokolliert werden. Die Einhaltung dieser Pflichten wird von der Auftragsverarbeitenden vor Vertragsschluss mit dem Subunternehmer und sodann regelmäßig kontrolliert und dokumentiert.

8.5 Die Weiterleitung von Daten an den Unter-Auftragsverarbeitenden ist erst zulässig, wenn dieser seine Pflichten nach Art. 32 Abs. 4 und 29 DSGVO ggü. den ihm unterstellten Personen erfüllt hat.

8.6 Die Auftragsverarbeitende ist für die Einhaltung der Datenschutzbestim-mungen durch die von ihr eingesetzten Unter-Auftragsverarbeitenden verantwortlich. Sie haftet ggü. Dem/der Auftraggebenden für die Einhaltung der gesetzlichen und vertraglichen Datenschutzpflichten.

8.7 Die Auftragsverarbeitende hat sich von ihren Unter-Auftragsverarbeitenden bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten benannt haben.

8.8 Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der/die Auftraggebende zugestimmt.

(9) Mitteilungspflichten der Auftragsverarbeitenden

9.1 Verstöße gegen diesen Vertrag, gegen die Weisungen des/der Auftraggebenden oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem/der Auftraggebenden unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß von der Auftragsverarbeitenden selbst, einer bei ihr angestellten Person, einem Unter-Auftragsverarbeitenden oder einer sonstigen Person, die sie zur Erfüllung ihrer vertraglichen Pflichten eingesetzt hat, begangen wurde.

9.2 Die Auftragsverarbeitende ist verpflichtet, die/den Auftraggebende/n bei der Erfüllung seiner/ihrer gesetzlichen Informationspflichten nach Art. 33 und 34 DSGVO zu unterstützen. Eigenständige Meldungen an Behörden oder Betroffene nach Art. 33 und 34 DSGVO darf die Auftragsverarbeitende erst nach vorheriger Weisung des/der Auftraggebenden durchführen.

9.3 Ersucht eine Betroffene, eine Behörde oder ein sonstiger Dritter die Auftragsverarbeitende um Auskunft, Berichtigung, Sperrung oder Löschung, wird die Auftragsverarbeitende die Anfrage unverzüglich an den/die Auftraggebende/n weiterleiten; in keinem Fall wird die Auftragsverarbeitende dem Ersuchen der Betroffenen ohne Zustimmung des/der Auftraggebenden nachkommen.

9.4 Die Auftragsverarbeitende wird den/die Auftraggebende/n unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von der auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggebende/r zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat die Auftragsverarbeitende die/den Auftraggebende/n unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.

(10) Vertragsbeendigung, Löschung und Rückgabe der Daten

Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung dieses Vertrags hat die Auftragsverarbeitende alle personenbezo-genen Daten nach Wahl des/der Auftraggebenden zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z.B. gesetzliche Aufbewahrungsfristen). Der/die Auftraggebende ist berechtigt, die Maßnahmen der Auftragsverarbeitenden in geeigneter Weise zu überprüfen. Hierzu ist er/sie insbesondere berechtigt, die einschlägigen Löschprotokolle und die betroffenen Datenverarbeitungsanlagen vor Ort in Augenschein zu nehmen.

(11) Datengeheimnis und Vertraulichkeit

11.1 Die Auftragsverarbeitende ist unbefristet und über das Ende dieses Vertrages hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln und einschlägige Geheimnisschutzregeln, denen der/die Auftraggebende unterliegt (z.B. § 203 StGB), zu beachten. Der/die Auftraggebende ist verpflichtet, die Auftragsverarbeitende bei Auftragserteilung auf ggf. bestehende besondere Geheimnisschutzregeln hinzuweisen.

11.2 Die Auftragsverarbeitende verpflichtet sich, ihre Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit bei der Auftragsverarbeitenden aufnehmen.

11.3 Die Auftragsverarbeitende wird die Einhaltung der in dieser Ziffer genannten Maßnahmen in geeigneter Weise dokumentieren. Die Dokumentation ist der/dem Auftraggebende/n auf Verlangen vorzulegen.

(12) Schlussbestimmungen

12.1 Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.

12.2 Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.

12.3 Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

12.4 Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.

Anlage 1 – Auftragsdetails

Der vorliegende Vertrag umfasst (ggf. im Zusammenhang mit dem Hauptvertrag) Einrichtung und Betreuung einer Website, Einfügen von Texten und/oder Bildmaterial in die Website oder in Printmedien, Anlegen von Benutzern im CMS der Webseite, Erstellen von Produkt- oder Werbefotos.

Im Rahmen der vertraglichen Leistungserbringung werden regelmäßig folgende Datenarten verarbeitet:
Zur Auftragsbearbeitung, für die Pflege der Webseite und zur Rechnungsstellung werden Firmenname, Ansprechpartner, Postanschrift, Telefon und E-Mail Adresse, Zugangsdaten zum Webhostingvertrag und Zugangsdaten zu Webseiten sowie SFTP Daten, Fax und E-Mail Nachrichten, Bildmaterial für Flyer oder Webseiten vom Auftraggeber gespeichert. Bei Fotoaufträgen wieder die Fotos gespeichert.

Bei dem Kreis der von der Datenverarbeitung betroffenen Personen handelt es sich um Kunden, selten deren Mitarbeiter

Der Zugriff auf die betroffenen Daten geschieht Je nach Leistungserbringung über den Webbrowser, E-Mail Programm, Telefon, Post und über die Buchführung / Rechnungswesen.

Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO

Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.

I. Zweckbindung und Trennbarkeit

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern. Ablage in unterschiedlichen Dokumentenordnern und Orten.

II. Vertraulichkeit und Integrität

Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:

Verschlüsselung

Die im Auftrag verarbeiteten Daten werden in folgender Weise verschlüsselt: E-Mails über SSL/TLS.

Zugangsdaten zur Webseite und/oder falls vorhanden zu Webhostinganbietern werden auf einer Festplatte gespeichert, die durch einen VeraCrypt-Tresor gesichert ist. Das Passwort besteht aus einer Datei, die auf einem Stick gespeichert ist. Der Stick wird abgezogen und an einem geheimen Ort aufbewahrt.

Pseudonymisierung „Pseudonymisierung“ bedeutet, dass personenbezogene Daten in einer Weiseverarbeitet werden, die eine Identifizierung der betroffenen Person ohne Hinzuziehung weiterer Informationen ausschließt (z.B. Verwendung von Fantasienamen, die ohne zusätzliche Informationen keiner bestimmten Person zugeordnet werden können).
Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle):

Abschließbare Türen, Aktenschränke werden abgeschlossen.
Es herrscht im Büro, in dem Daten aufbewahrt werden, fast kein Kundenverkehr.

Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle):

Passwortvergabe und Passwort-Richtlinien mit regelmäßiger Änderung. Einhalten der Mindestlänge und Komplexität. Authentifikation mit Benutzername / Passwort, Gehäuseverriegelung. Dokumente werden in einem verschließbaren Aktenschrank aufbewahrt. Einsatz von Anti-Viren-Software, Hardware-Firewall, Einsatz einer Software-Firewall.

Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines

Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle):

Es handelt sich um eine Einzelfirma, Zugriff hat nur die Administratorin/Firmeninhaberin von wörterfall. Sichere Aufbewahrung von Datenträgern in einem abschließbaren Schrank. Physische Löschung von Datenträgern vor Wiederverwendung. Einsatz von Aktenvernichter (Sicherheitsstufe 2), Protokollierung der Vernichtung.

Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).

Es handelt sich ein eine Einzelfirma, Zugriff hat nur die Administratorin/Firmeninhaberin.

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).

Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)

Schriftliche Weisungen an den Auftragsverarbeiter durch Auftragsverarbeitungsvertrag, Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags. Gesetzliche Aufbewahrungsfristen müssen dabei eingehalten werden.

8. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und/oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle):

Verschlüsselung des Email-Verkehrs, Datenübertragung nur per SFTP.

8.1 Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme

Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Schutzsteckdosenleisten, Überspannungsschutz, Rauchmelder. Erstellen eines Backups, Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort.

8.2 Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen

Die Auftragsverarbeiterin wird die in dieser Anlage niedergelegten technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, beurteilen und bei Bedarf anpassen.

Anlage 3 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses

(Unternehmens-) Name und Anschrift / Beschreibung der Leistung /Ort der Leistungserbringung Entsprechendes bitte ankreuzen:

Webhosting-Anbieter:

	1&1 Internet SE, Elgendorfer Str. 57, D-56410 Montabaur
	ALL-INKL.COM – Neue Medien Münnich, René Münnich, Hauptstraße 68, 02742 Friedersdorf
	Domainfactory GmbH, c/o WeWork, Neuturmstrasse 5, 80331 München

Programmierer:

X	WP-Wartung24, Webwisser GmbH, Walzwerkstraße 24a, 57537 Wissen
X	Florian Grasshoff, Kirschweg 13, 39624 Kalbe
	Mike Janzen

Druckerei:

X	FLYERALARM GmbH, Alfred-Nobel-Str. 18, D-97080 Würzburg

§ 8 Schlussbestimmungen

(1) Erfüllungsort ist Hohenroda.
(2) Gerichtsstand bei allen Streitigkeiten ist Bad Hersfeld.
(3) Die Unwirksamkeit einzelner Bestimmungen berührt die Wirksamkeit des Vertrages im Übrigen nicht. Eine unwirksame Klausel ist durch ergänzende Auslegung nach Möglichkeit durch eine Regelung zu ersetzen, die deren Zweck möglichst nahe kommt.