Auftragsverarbeitungsvertrag (AVV) nach Art. 28 EU DSGVO
1. Allgemeine Regelungen
1.1. Einleitung, Geltungsbereich, Definitionen
1.1.1. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im
Folgenden zusammen „Parteien“) im Rahmen einer Verarbeitung von
personenbezogenen Daten im Auftrag (im Folgenden „AVV“). Diese AVV ist so
konzipiert, dass sie den Bestimmungen der geltenden EU
Datenschutz-Grundverordnung (im Folgenden „DSGVO“), dem
Bundesdatenschutzgesetz und den einschlägigen Landesdatenschutzgesetzen
gerecht wird.
1.1.2. Sofern in dieser AVV der Begriff „Leistungsvereinbarung“ benutzt wird, wird
darunter der separate Vertragsschluss mit dem Auftraggeber verstanden, der durch
den Abschluss eines kostenfreien und/ oder kostenpflichtigen Nutzungsvertrags -
gemäß der Allgemeinen Geschäftsbedingungen („AGB“) des Auftragnehmers oder
eines separat geschlossenen Nutzungsvertrags - entsteht.
1.1.3. Sofern in dieser AVV der Begriff „Dealcode“ oder „Software“ benutzt wird, wird
darunter die web-basierte AI Guided Selling Software sowie der dazugehörige
Trainingsbereich insbesondere zur Analyse und Optimierung von
Vertriebsprozessen verstanden, welche Gegenstand der Leistungsvereinbarung
ist.
1.1.4. Diese AVV findet auf solche Tätigkeiten Anwendung, bei denen der Auftragnehmer,
Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer
Subunternehmer) personenbezogene Daten des Auftraggebers gemäß der
Leistungsvereinbarung im Sinne von Art. 28 DSGVO verarbeiten.
1.1.5. In dieser AVV verwendete Begriffe sind entsprechend ihrer Definition in der DSGVO
zu verstehen.
1.2. Gegenstand der Verarbeitung, Kategorien der Daten und Betroffenen
1.2.1. Gegenstand, Umfang, Art und Zweck der Datenverarbeitung ergeben sich aus
dieser AVV und der Leistungsvereinbarung.
1.2.2. Die folgenden Datenarten/ -kategorien und Aufgaben sind Gegenstand dieses
Auftrags zur Datenverarbeitung durch den Auftragnehmer:
● Unternehmensdaten: Zur Identifikation von potenziellen Kunden, verarbeitet
der Auftragnehmer Unternehmensdaten wie Firmenname, Firmenadresse,
Firmenwebsite, Firmenbranche.
● Kontaktdaten: Zur Kontaktaufnahme mit potenziellen Kunden, verarbeitet der
Auftragnehmer Kontaktdaten wie E-Mail-Adressen, Anrede, Vorname,
Nachname, Berufsbezeichnung.
1.2.3. Die Kategorien, der durch die Verarbeitung betroffenen Personen umfasst
regelmäßig:
● Interessenten, des Auftraggebers
1.2.4. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich
in einem Mitgliedstaat der Europäischen Union, einem anderen Vertragsstaat des
Abkommens über den Europäischen Wirtschaftsraum oder einem Staat mit
angemessenem Datenschutzniveau nach Art. 45 DSGVO, welches durch die
Europäische Kommission festgestellt wird, statt
1.2.5. Die Verlagerung des Dienstes in ein Drittland - Land außerhalb von Ziffer 1.2.4
- bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen,
wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Sollten
diese Anforderungen erfüllt sein, müssen jedoch wichtige datenschutzrechtliche
Gründe vorliegen, um die Zustimmung zu verweigern.
1.2.6. Bei Widersprüchen zwischen der Leistungsvereinbarung oder den AGB und dieser
AVV, geht die AVV in datenschutzrechtlichen Belangen als speziellere Regelung vor.
Dauer der Verarbeitung
TDie Dauer dieses Auftrags Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung,
sofern sich aus den Bestimmungen dieser AV Vereinbarung nicht darüber
hinausgehende Verpflichtungen ergeben. In letzterem Fall endet diese AVV mit Wegfall
der über die Leistungsvereinbarung hinaus bestehenden Pflichten.
2. Vertraulichkeit
Der Auftragnehmer gewährleistet die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2
lit. b, 29 und 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der für die
Auftragsverarbeitung erforderlichen Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit
verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut
gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die
Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich
entsprechend der Weisung des Auftraggebers, der Leistungsvereinbarung und der in dieser
AVV eingeräumten Befugnisse verarbeiten, es sei denn, dass sie gesetzlich zur
Verarbeitung verpflichtet sind.
3. Pflichten des Auftraggebers
3.1. Der Auftraggeber ist im Rahmen dieser AVV für die Einhaltung der gesetzlichen
Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der
Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der
Verarbeitung allein verantwortlich („Verantwortlicher“ im Sinne von Art. 4 Nr. 7
DSGVO. Dies gilt auch im Hinblick auf den in dieser Vereinbarung geregelten
Gegenstand, Umfang, Art und Zweck der Datenverarbeitung, die Beschreibung der
betroffenen Daten gemäß Ziffer 1.2 und die Wahrung der Betroffenenrechte.
3.2. Insbesondere trägt der Auftraggeber die Verantwortung dafür, dass die vom
Auftragnehmer für diese Verarbeitung erstellten und jeweils aktuell geltenden,
vertraglich vereinbarten technischen und organisatorischen Maßnahmen (im
Folgenden „TOM“) für die Risiken der verarbeiteten Daten ein angemessenes
Schutzniveau bieten. Der Auftragnehmer ist seinerseits dafür verantwortlich, diese
TOM einzuhalten: TOM Dealcode GmbH Version20240614 EN
3.3.Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren,
wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher
Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.
3.4. Der Auftraggeber nennt dem Auftragnehmer bei Bedarf den Ansprechpartner für im
Rahmen dieser AVV anfallende Datenschutzfragen.
3.5. Weitere Rechte und Pflichten des Auftraggebers ergeben sich aus den nachfolgenden
Regelungen dieser AVV und der DSGVO sowie den dazugehörigen gesetzlichen
Bestimmungen.
4. Weisungen
4.1. Der Auftragnehmer - und jede ihr unterstellte Person - darf die personenbezogenen
Daten nur im Rahmen von Weisungen des Auftraggebers verarbeiten, außer es liegt
ein Ausnahmefall im Sinne von Artikel 28 Abs. 3 Satz 2 lit. a DSGVO oder einer
anderen vorrangigen Rechtsvorschrift vor. Die Leistungsvereinbarung und die AVV
stellen die abschließenden Weisungen des Auftraggebers (in Bezug auf die
Datenverarbeitung) zum Zeitpunkt des Abschlusses dieser AVV dar. Weitere
Weisungen sind dem Auftraggeber vorbehalten, werden jedoch gemäß Ziffer 4.3
behandelt. Der Auftragnehmer nimmt Weisungen des Auftraggebers in schriftlicher
Form sowie über die hierfür von Auftragnehmer angebotenen elektronischen Formate
entgegen. Mündliche Weisungen sind nur in Eilfällen gestattet und durch den
Auftraggeber unverzüglich schriftlich oder in einem hierfür vom Auftragnehmer
angebotenen elektronischen Format zu bestätigen.
4.2. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung
ist, dass eine Weisung gegen einschlägige Gesetze verstößt. Der Auftragnehmer darf
die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber nach
Überprüfung bestätigt oder abgeändert wurde. Für aus bestätigten Weisungen
entstehende Schäden jedweder Art haftet der Auftraggeber dem Auftragnehmer im
Innenverhältnis voll und stellt den Auftragnehmer gegen Ansprüche Dritter auf erste
Anforderung frei. Bei andauerndem Dissens einigen sich die Parteien darauf, die für
den Auftragnehmer zuständige Aufsichtsbehörde zur Entscheidung hinzuzuziehen.
4.3. Sind die Weisungen des Auftraggebers nicht vom vertraglich vereinbarten
Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt.
Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche
Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der
Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer die
Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die
Weisungen abzulehnen. Für den Fall, dass der Auftraggeber dennoch auf die Weisung
besteht, steht dem Auftragnehmer ein Sonderkündigungsrecht zu und er kann die
Verarbeitung beenden und die Leistungsvereinbarung jederzeit mit sofortiger Wirkung
kündigen.
4.4. Der Auftraggeber benennt die zur Erteilung von Weisungen ausschließlich befugten
Personen innerhalb von Dealcode oder, sofern dies innerhalb von Dealcode nicht
möglich ist, per EMail an folgende Adresse: datenschutz@dealcode.ai. Für den Fall,
dass keine weisungsbefugte Person benannt wird, sind ausschließlich
vertretungsberechtigte natürliche Personen des Auftraggebers zur Erteilung von
Weisungen berechtigt. Der Auftragnehmer kann die Ausführungen von Weisungen
solange aussetzen, bis der Auftraggeber einen Nachweis der Vertretungsberechtigung
erbracht hat.
5. Obligations of the Contractor
5.1 General Obligations of the Contractor
5.1.1. In addition to compliance with the provisions of these DPA, the Contractor shall have statutory obligations pursuant to Articles 28 to 33 of the GDPR; in this respect, the Contractor shall in particular ensure compliance with the following requirements.
5.1.2. The Contractor shall ensure the written appointment of a data protection officer who shall carry out his activities in accordance with Art. 38 and 39 DSGVO. The current contact details of the data protection officer are easily accessible on the homepage or within Dealcode.
5.1.3. The contracting authority and the contractor shall cooperate, on request, with the supervisory authority in the performance of its duties.
5.1.4. The Contractor shall inform the Client without undue delay about control actions and measures of the supervisory authority, insofar as they relate to this order. This shall also apply insofar as a competent authority investigates the Contractor in the context of administrative offence or criminal proceedings with regard to the processing of personal data from this commissioned processing, unless the Contractor is legally or officially obliged to refrain from notification.
5.1.5. Insofar as the Client, for its part, is exposed to an inspection by the supervisory authority, administrative offence or criminal proceedings, the liability claim of a data subject or a third party, or any other claim in connection with the commissioned processing at the Contractor, the Contractor shall support it to the best of its ability upon request.
5.1.6. The Contractor shall regularly monitor the internal processes and the technical and organisational measures to ensure that the processing in its area of responsibility is carried out in accordance with the requirements of the applicable data protection law and that the protection of the rights of the data subject is guaranteed.
5.1.7. Upon request, the Contractor shall provide the Client with documents proving the technical and organisational measures taken in accordance with section 6.2.
5.2 Control Cooperation Obligations
5.2.1. The Customer is entitled to check compliance with the obligations arising from the AV agreement, the technical and organisational measures, and the data protection regulations by agreement with the Contractor during their normal business hours—taking into account a minimum of 14 days' notice—or to have them checked by auditors to be named in the individual case. For this purpose, the Customer may, among other things, inspect the relevant buildings and facilities of the Contractor, obtain information, or inspect its own data, taking into account the justified interests of the Contractor.
For inspections that become necessary due to a security incident or a more than insignificant breach of the regulations on the protection of personal data or stipulations of these DPA (hereinafter "event-related on-site inspection"), the notification period from sentence 1 is shortened to a reasonable period of time. Furthermore, incidental on-site inspections are not subject to the restrictions of Sections 5.2.3–5.2.4 of these GC.
5.2.2. The Contractor may make the approval of the audit conditional upon the auditor submitting to an appropriate confidentiality agreement. If the auditor commissioned by the Client is in a competitive relationship with the Contractor or if another justified case exists, the Contractor shall have a right of objection to this.
5.2.3. Within the scope of this clause, the Contractor shall only be obliged to tolerate and cooperate in one unprovoked on-site inspection per calendar year. The expense of an unprovoked on-site inspection is limited for the Contractor to one day per calendar year.
5.2.4. The Contractor shall have the right to refuse the random on-site inspection of this section if and as long as it provides evidence of the fulfilment of its obligations, in particular the implementation of the TOM and its effectiveness, by means of suitable evidence.
Appropriate evidence may, in particular, be approved codes of conduct within the meaning of Art. 40 GDPR or an approved certification procedure within the meaning of Art. 42 GDPR. Both parties agree that the submission of test certificates or reports by independent bodies (e.g., IT security officer, data protection officer), a coherent data security concept, or a suitable certification by an IT security and data protection audit shall also be recognised as suitable evidence.
6. Technische und organisatorische Maßnahmen
6.1 Der Auftragnehmer hat die Umsetzung der im Vorfeld des Vertragsschlusses
dargelegten und erforderlichen TOM vor Beginn der Verarbeitung, insbesondere
hinsichtlich der konkreten Auftragsverarbeitung, zu dokumentieren und dem
Auftraggeber zur Prüfung bereitzuhalten.
6.2 Der Auftragnehmer hat die Sicherheit der Verarbeitung gemäß Art. 28 Abs. 3 lit. c und
32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO, herzustellen.
Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der
Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen
Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie
der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die
Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung
sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die
Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu
berücksichtigen.
6.3 Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Eine
Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer
vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte
Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu
dokumentieren.
7. Unterauftragsverhältnisse
7.1. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die
einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen.
Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung, die
Inanspruchnahme von Telekommunikationsdienstleistungen, Benutzerservice oder
Kundenbeziehungsmanagement sowie sonstige Maßnahmen zur Sicherstellung der
Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von
Datenverarbeitungsanlagen, sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in
diesen Fällen die Beachtung von Datenschutz und Datensicherheit gemäß
einschlägiger Rechtsvorschriften sicherzustellen, bleibt unberührt.
7.2. Die Beauftragung von Unterauftragnehmern bei der Verarbeitung oder Nutzung personenbezogener Daten ist grundsätzlich nur mit einer Genehmigung vom
Auftraggeber gestattet. Für die zum Zeitpunkt des Vertragsschlusses innerhalb von
Dealcode aufgezählten Unterauftragnehmer (listing: Subcontractors Dealcode.pdf), lt diese Genehmigung als erteilt.
7.3. Der Auftraggeber erteilt dem Auftragnehmer ferner die allgemeine Genehmigung,
weitere Unterauftragnehmer unter Berücksichtigung von Ziffer
1.2.4 in Anspruch zu nehmen. Der Auftragnehmer informiert den Auftraggeber in
Textform durch aktive Mitteilung - bspw. per EMail, innerhalb von Dealcode bzw. über
den oben bereitgestellten Link -, wenn er die Hinzuziehung weiterer oder die
Ersetzung von Unterauftragnehmer beabsichtigt. Der Auftraggeber kann gegen
derartige Änderungen Einspruch erheben, wobei dies nicht ohne wichtigen
datenschutzrechtlichen Grund erfolgen darf. Der Einspruch gegen die beabsichtigte
Änderung ist innerhalb von 14 Tagen nach Bereitstellung der Information über die
Änderung gegenüber dem Auftragnehmer in Textform zu erheben an:
datenschutz@dealcode.ai. Im Falle des Einspruchs kann der Auftragnehmer nach
eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern
die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer
nicht zumutbar ist - die Leistung gegenüber dem Auftraggeber innerhalb von 4
Wochen nach Zugang des Einspruchs einstellen und die Leistungsvereinbarung fristlos
und mit sofortiger Wirkung kündigen.
7.4. Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem
Auftragnehmer, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf die
Unterauftragnehmer zu übertragen und eine vertragliche Vereinbarung nach Maßgabe
des Art. 28 Abs. 24 DSGVO mit diesen abzuschließen. Insbesondere gewährleistet
der Auftragnehmer, dass die TOM des Unterauftragnehmers dem Schutzniveau der
TOM aus Ziffer 6 dieser AVV genügen.
7.5. Eine Vor-Ort-Kontrolle beim Unterauftragnehmer erfolgt ausschließlich durch den
Auftragnehmer und höchstens in jährlichen Abständen. Unter den gleichen
Voraussetzungen wie in Ziffer 5.2.4 dieser AVV, kann eine Vor-Ort Kontrolle durch den
Nachweis einer datenschutzkonformen Verarbeitung ersetzt werden. Der
Auftragnehmer gewährt dem Auftraggeber das Recht, Auskunft über den wesentlichen
Vertragsinhalt und die Umsetzung der Verpflichtungen dieses Vertrages zu erhalten,
wobei der Auftragnehmer dies davon abhängig machen kann, dass die
Unterauftragnehmer dies - beispielsweise durch den Abschluss einer
Vertraulichkeitsvereinbarung - ermöglichen.
8. Betroffenenrechte
8.1.Richtet sich ein Betroffener an den Auftragnehmer mit einer Forderung aus Kapitel III
der DSGVO im Hinblick auf die Rechte der betroffenen Personen, dann wird der
Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine
Zuordnung an den Auftraggeber nach Angabe der betroffenen Personen möglich ist.
Weiterhin leitet der Auftragnehmer den Antrag der betroffenen Person unverzüglich an
den Auftraggeber weiter.
8.2. Unbeschadet Ziffer 8.1 gilt, dass Dealcode eine umfassende Selbstverwaltung der
Daten sowie den autonomen Zugriff, die Bearbeitung und Überprüfung der
verarbeiteten Daten durch jeden Mitarbeiter oder Administrator des Auftraggebers, im
Rahmen der zugewiesenen Zugriffsrechte, ermöglicht. Sofern es also um die Wahrung
der Betroffenenrechte aus Kapitel III der DSGVO geht, ist der Auftraggeber in erster
Linie selbst in der Lage und verantwortlich, dem Verlangen eines Betroffenen
nachzukommen.
8.3. Sollte trotz der Möglichkeit einer solchen Selbstverwaltung zusätzlich die Unterstützung seitens des Auftragnehmers erforderlich sein, dann wird dieser den
Auftraggeber bei der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in
Kapitel III der DSGVO genannten Rechte der betroffenen Person nach Möglichkeit
unterstützen.
8.4. Der Auftragnehmer haftet nicht, sofern das Ersuchen der betroffenen Person vom
Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird und dies
einzig von diesem verschuldet ist.
9. Informations- und Mitteilungspflichten
9.1. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32
bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten,
Meldepflichten bei Datenpannen und vorherigen Konsultationen, sofern notwendig.
Hierzu gehören u.a.
9.1.1. die Verpflichtung, Verletzung des Schutzes personenbezogener Daten durch den
Auftragnehmer, Mitarbeiter des Auftragnehmers oder durch ihn beauftragte
Unterauftragnehmer unverzüglich an den Auftraggeber im Sinne von Art. 33 Absatz
2 DSGVO zu melden.
9.1.2. die Unterstützung des Auftraggebers für dessen Datenschutz- Folgenabschätzung,
sofern notwendig. Diesem kann der Auftragnehmer dadurch nachkommen, dass er
dem Auftraggeber auf Anforderung die erforderlichen Angaben und
Dokumentationen zur Verfügung stellt
9.1.3. die Unterstützung des Auftraggebers im Rahmen von Konsultationen mit der
Aufsichtsbehörde vor der Verarbeitung
9.2. Für Unterstützungsleistungen gemäß Ziffer 9.1.2. und 9.1.3. kann der Auftragnehmer
eine angemessene Vergütung verlangen.
10. Herausgabe und Löschung von Daten
10.1. Mit Beendigung der Auftragsverarbeitung hat der Auftragnehmer die eingebrachten
personenbezogenen Daten gemäß den nachfolgenden Ziffern herauszugeben. In der
Regel ist die Auftragsverarbeitung mit Vertragsende der Leistungsvereinbarung
beendet.
10.2. Der Auftragnehmer ist verpflichtet, die eingebrachten personenbezogenen Daten für
einen Zeitraum von 30 Tagen nach Vertragsende aufzubewahren. Der Auftraggeber ist
berechtigt, jederzeit in Textform bis zum Ablauf dieser Frist die Herausgabe in einem
maschinenlesbaren Format oder Löschung der gespeicherten personenbezogenen
Daten zu verlangen bzw., sofern möglich, diese direkt aus der Software
herunterzuladen.
10.3. Erteilt der Auftraggeber dem Auftragnehmer eine verbindliche Löschungsweisung in
Textform, so ist der Auftragnehmer berechtigt auch vor Ablauf der Aufbewahrungsfrist
gemäß Ziff. 10.2, die Datenlöschung durchzuführen. Hiervon ausgenommen sind
lediglich die Daten, hinsichtlich derer der Auftragnehmer gesetzlich zur Aufbewahrung
verpflichtet ist.
10.4. Sollte der Auftraggeber bis zum Ablauf der Frist gemäß Ziffer 10.2 weder die
herauszugebenden Daten angefordert, noch die Löschung dieser verlangt haben, ist
der Auftragnehmer verpflichtet, diese Daten zu löschen.
11. Anonymisierung
11.1. TDer Auftragnehmer hat das Recht, die von dieser Vereinbarung umfassten
personenbezogenen Daten zu anonymisieren und zu aggregieren und die für die
Anonymisierung und Aggregation erforderlichen Verarbeitungsschritte durchzuführen.
Unter Wahrung der Anonymität kann der Auftragnehmer alle so entstandenen Daten
für eigene Zwecke, wie statistische Auswertungen, Branchenvergleiche,
Benchmarking, Produktverbesserungen, Produktneuentwicklungen
und weitere vergleichbare Zwecke, verarbeiten und nutzen.
11.2. Der ursprüngliche Datenbestand ist von der Anonymisierung nicht betroffen.
11.3. Anonymisierte oder aggregierte Daten im Sinne von Ziffer 11.1 gelten nicht länger als
personenbezogene Daten und werden nicht von der Herausgabe- oder Löschpflicht
von Ziffer 10 umfasst. Der Auftragnehmer ist berechtigt, solche Daten für eigene
Zwecke über das Vertragsende hinaus zu nutzen und aufzubewahren.
12. Haftung
12.1. Sofern ein Schaden deshalb entstanden ist, weil der Auftragnehmer seinen speziell
auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder dieser unter
Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung
Verantwortlichen entstanden ist oder weil der Auftragnehmer gegen diese
Anweisungen gehandelt hat, haftet er nach Art. 82 Absatz 2 DSGVO für den
entstandenen Schaden.
12.2. In allen anderen Fällen haftet der Auftraggeber im Innenverhältnis voll für den Schaden
und stellt den Auftragnehmer von etwaigen Ansprüchen des Betroffenen oder Dritten
auf erste Anforderung frei, die im Zusammenhang mit der Auftragsverarbeitung gegen
den Auftragnehmer erhoben werden. Das gilt insbesondere auch, soweit eine
Inanspruchnahme als Gesamtschuldner den auf den Auftragnehmer entfallenden
Verschuldensanteil summenmäßig übersteigt.
12.3. Der Auftraggeber trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von
ihm zu vertretenden Umstands ist.
12.4. Jegliche Haftungsausschlüsse in diesem Vertrag gelten nicht im Falle von Vorsatz und
grober Fahrlässigkeit sowie bei Schäden aus der Verletzung des Lebens, des Körpers
oder der Gesundheit.
12.5. Im Übrigen richtet sich die Haftung nach der Leistungsvereinbarung.
13. Abschließende Bestimmung
13.1. Die Annahme/ Bestätigung des Vertragsschlusses durch den Auftragnehmer kann in
einem elektronischen Format im Sinne von Art. 28 Absatz 9 DSGVO erfolgen.
13.2. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten
Kenntnisse von Geschäftsgeheimnissen und
Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des
Vertrages vertraulich zu behandeln. Dies gilt insbesondere auch für die Inhalte dieser
AVV sowie alle im Rahmen der datenschutzrechtlichen Prüfung zur Verfügung
gestellten Dokumente, Nachweise etc. Bestehen Zweifel, ob eine Information der
Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere
Partei als vertraulich zu behandeln.
13.3. Änderungen und Ergänzungen dieser AVV und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - sind gemäß DSGVO schriftlich
abzufassen, was auch in einem elektronischen Format erfolgen kann, und des
ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung
dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses
Formerfordernis. Die Parteien einigen sich darauf, dass Anpassungen des Vertrags
oder neue Verträge in einem elektronischen Format im Sinne von Art. 28 Absatz 9
DSGVO zu schließen sind.
13.4. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige
Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den
Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in
diesem Zusammenhang Beteiligten unverzüglich darüber informieren, dass die Hoheit
und das Eigentum an den Daten ausschließlich beim Auftraggeber als
„Verantwortlicher“ im Sinne der DSGVO liegen.
13.5. Die Einrede des Zurückbehaltungsrechts im Sinne von §273 BGB wird hinsichtlich der
im Auftrag verarbeiteten Daten ausgeschlossen.
13.6. Es gilt das Recht der Bundesrepublik Deutschland. Die Anwendung des UN
Kaufrechts CISG ist ausgeschlossen.
13.7. Für alle Streitigkeiten im Zusammenhang mit dieser AVV wird, sofern zulässig, der Sitz
des Auftragnehmers als ausschließlicher Gerichtsstand vereinbart.
13.8. Diese AVV ersetzt alle vorherigen oder gleichzeitigen Zusicherungen, Absprachen,
Vereinbarungen, Verträge oder Mitteilungen zwischen dem Auftraggeber und dem
Auftragnehmer, ob schriftlich oder mündlich in Bezug auf den Gegenstand dieser AVV.
Die jeweils geschlossenen Leistungsvereinbarungen bleiben hiervon unberührt.
13.9. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die
Wirksamkeit der Vereinbarung im Übrigen nicht.
