1. Vertragliche Grundlagen
1.1
Geltungsbereich
Diese Allgemeinen Geschäftsbedingungen (AGB)
gelten für sämtliche Rechtsgeschäfte und sämtliche
Dienstleistungen und/oder Lieferungen der buhmann marketing gmbh
(buhmann marketing) im In- und Ausland.
1.2 Rangfolge der
vertraglichen Regelungen
Sämtliche vertraglichen
Vereinbarungen stehen in folgender Rangfolge:
a) individualvertraglich vereinbarte Verträge
b) besondere Vertragsbedingungen
c) diese Allgemeinen Geschäftsbedingungen
d) gesetzliche Vorschriften
Die zuerst genannten Vereinbarungen
haben bei Widersprüchen stets Vorrang vor den zuletzt genannten.
Lücken werden durch die jeweils nachrangigen Bestimmungen
ausgefüllt. Die AGB von buhmann marketing gelten dabei
ausschließlich. Sie finden auch für alle künftigen
Geschäftsbeziehungen Anwendung, selbst wenn sie nicht nochmals
ausdrücklich vereinbart werden. Gegenbestätigungen oder Allgemeinen
Geschäftsbedingungen von Vertragspartnern wird hiermit ausdrücklich
widersprochen. Dies gilt auch dann, wenn die Angebotsabgabe oder
Angebotsannahme von Vertragspartnern unter dem Hinweis der
vorrangigen Geltung der eigenen Allgemeinen Geschäftsbedingungen
erfolgt.
1.3 Art der Dienste und Produkte
buhmann
marketing erbringt Dienst- und Werkleistungen auf dem Gebiet des
Marketing. Art und Umfang der erbrachten Dienstleistung, bzw.
gelieferten Produkte ergeben sich aus dem Angebot und den
Leistungsbeschreibungen hierzu. Leistungsbeschreibungen im Sinne der
AGB, der BVB sowie aller sonstigen Verträge und Erklärungen von
buhmann marketing sind nur diejenigen Dokumente, welche explizit als
Leistungsbeschreibung bezeichnet sind.
Die rechtlichen
Grundlagen für:
- Erstellung von Werbemitteln (2.1),
- sonstige Marketingleistungen und Beratungsleistungen (2.2),
- Testmusterverwaltung und ähnliche Leistungen (2.3)
sind im folgenden geregelt. Soweit einem Angebot keine Besonderen
Vertragsbedingungen zu Grunde liegen, gelten ausschließlich diese
AGB. Soweit nicht ausdrücklich vereinbart, erbringt buhmann
marketing in keinem Falle eine werkvertragliche Leistung im Sinne der
§§ 631 ff. BGB. Dies gilt auch dann, wenn einzelne erbrachte
Leistungen durch Gegenzeichnen von Leistungsprotokollen,
Stundenzetteln oder sonstigen Leistungsbestätigungen vom Kunden
abgenommen, d.h. deren Erbringung als solche bestätigt werden.
2. Inhalt der Leistungen
2.1 Erstellung von Werbemitteln
a) Allgemeines
Unter die
Erstellung von Werbemitteln fällt die Konzeptionalisierung,
Gestaltung, Druck und Verteilung von Flyern, Plakaten, digitalen
Medien und sonstigen Werbemitteln, sowie die Erstellung von Logos und
Internetauftritten und ähnliche Leistungen. Der tatsächliche Umfang
der geschuldeten Leistung ergibt sich im Einzelnen nicht aus der
vorherigen Aufzählung, sondern ausschließlich aus der
Leistungsbeschreibung im Angebot.
Hinsichtlich sämtlicher
Werbemittellieferungen gilt die Erbringung ab Geschäftssitz von
buhmann marketing als vereinbart. Sämtliche Transport- und
Lieferkosten sind vom Kunden zu tragen, sofern dies nicht
ausdrücklich anderweitig vereinbart wurde. buhmann marketing
übernimmt kein Beschaffungsrisiko gegenüber Zulieferern. Das
Transportrisiko liegt beim Kunden.Der vertragliche
Verwendungszweck im Sinne des § 434 Abs. 1 Satz 2 Nr. 1 BGB bzw. des
§ 633 Abs. 2 Satz 2 Nr. 1 BGB richtet sich ausschließlich nach der
Leistungsbeschreibung im Angebot. Abweichende Vereinbarungen bedürfen
der schriftlichen Bestätigung.
b) Nutzungsrechte
Die
sich originär aus den Urheberrechten an urheberrechtsfähigen
Werbemitteln ergebenden Nutzungs- und Verwertungsrechte liegen in der
Regel beim Ersteller der Werbemittel, der seinerseits die Übertragung
der Nutzungs- und Verwertungsrechte an buhmann marketing vertraglich
regelt. Zur Nutzung von Werbemitteln überträgt buhmann marketing
dem Kunden ein einfaches, auf das Gebiet der Bundesrepublik
Deutschland beschränktes Nutzungsrecht, das die Verbreitung und
Ausstellung der Werbemittel umfasst. Die Vervielfältigung bleibt
buhmann marketing vorbehalten. Die Einräumung weiterer
Nutzungsrechte bedarf der gesonderten Regelung. Eine Garantie für
das tatsächliche Bestehen dieser Nutzungs- und Verwertungsrechte auf
Seiten des Erstellers kann von buhmann marketing nicht abgegeben
werden. Ansprüche hinsichtlich derartiger Nutzungs- und
Verwertungsrechte sind ausschließlich an den jeweiligen Ersteller
des Werbemittels zu richten.
2.2 Sonstige Marketingleistungen und Beratungsleistungen
a) Allgemeines
buhmann marketing erbringt Dienst- und Beratungsleistungen auf dem Gebiet des
Marketing. Hierunter fällt insbesondere die Erstellung von
Marketingkonzepten und Anzeigenschaltung bei ausgewählten Medien.
Der tatsächliche Umfang der geschuldeten Leistung ergibt sich im
Einzelnen nicht aus der vorherigen Aufzählung, sondern
ausschließlich aus der Leistungsbeschreibung im Angebot.
Es
wird ausdrücklich darauf hingewiesen, dass diese Dienst- und
Beratungsleistungen als Dienstvertrag im Sinne der §§ 611 ff. BGB
durchgeführt werden, sofern nicht eine ausdrücklich hiervon
abweichende vertragliche Vereinbarung besteht.
b) Urheberrechte, Nutzungs- und Verwertungsrechte
Die
Nutzungsrechte an zu Zwecken der Leistungserbringung erstellten
Präsentationen, Konzeptpapieren und Ähnlichem verbleiben
ausschließlich bei buhmann marketing. buhmann marketing übernimmt
keinerlei Garantie für den Bestand und die eigene Berechtigung zur
Nutzung derartiger Gegenstände des Urheberrechts gegenüber dem
Kunden.
2.3 Testmusterverwaltung und ähnliche Leistungen
a) Allgemeines
buhmann marketing erbringt Leistungen im Bereich
der Testmusterverwaltung und ähnlichen Bereichen. Dies umfasst
Aufbewahrung, Bereithaltung, Versand und logistische Bewirtschaftung
von Testmustern, Proben, Ansichtsexemplaren und Ähnlichem. Der
tatsächliche Umfang der geschuldeten Leistung ergibt sich im
Einzelnen nicht aus der vorherigen Aufzählung, sondern
ausschließlich aus der Leistungsbeschreibung im Angebot.
Es
wird ausdrücklich darauf hingewiesen, dass diese Leistungen soweit
nicht die §§ 688 ff. BGB Anwendung finden, als Dienstvertrag im
Sinne der §§ 611 ff. BGB durchgeführt werden. Dies gilt nur,
sofern nicht eine ausdrücklich hiervon abweichende vertragliche
Vereinbarung besteht.
2.4 Mitwirkungspflichten / Garantie des Kunden / Freistellungsanspruch
Hat sich der Kunde aufgrund des
Angebotes verpflichtet der Vertragsleistung zugrunde liegende
Stoffrechte zu beschaffen oder zur Verfügung zu stellen, wie
insbesondere Marken, Unternehmenskennzeichen, Urheberrechte oder
Geschmacksmuster, so ist der Kunde buhmann marketing gegenüber
verpflichtet, den Bestand und die rechtsfehlerfreie Einräumung von
Nutzungsrechten und Lizenzen zu gewährleisten.
Wird buhmann
marketing wegen der Verletzung zugrunde liegender Stoffrechte von
Dritten in Anspruch genommen, für die der Kunde i.S.d. Regelung
einzustehen hat, so ist der Kunde verpflichtet, buhmann marketing von
der Haftung freizustellen.
2.4 Haftung und Haftungsfreistellung bei E-Mail-Marketing
Erbringt buhmann
marketing E-Mail-Marketingleistungen für den Kunden, so haftet der
Kunde, soweit er buhmann marketing hierzu Listen von E-Mail-Adressen
zur Verfügung gestellt hat für Schäden, die buhmann marketing
entstehen, weil die Zusendung von E-Mails an einzelne oder alle
Inhaber der E-Mail-Adresse rechtlich nicht zulässig war (Spamming).
Unter diese Schäden fallen insbesondere Abmahngebühren und
Gerichtskosten. In diesen Fällen ist der Kunde buhmann marketing
gegenüber auch zu einer Haftungsfreistellung verpflichtet.
3. Regelungen zur Gewährleistung und Haftung
3.1 Gewährleistung
a) Werbemittel
Für Werbemittel wird
der Anspruch des Kunden auf Schadenersatz wegen Mängeln
ausgeschlossen. Hiervon ausgenommen sind Ansprüche aus der
Verletzung des Lebens, des Körpers oder der Gesundheit, wenn buhmann
marketing die Pflichtverletzung zu vertreten hat, und sonstige
Schäden, die auf einer vorsätzlichen oder grob fahrlässigen
Pflichtverletzung von buhmann marketing beruhen. Einer
Pflichtverletzung von buhmann marketing steht die eines gesetzlichen
Vertreters oder Erfüllungsgehilfen gleich. Die Verjährungsfrist für
alle weiteren Rechte aus gewährleistungsrechtlichen Ansprüchen
beträgt 1 Jahr.
Im übrigen leistet buhmann marketing
lediglich Gewähr dafür, dass gelieferte Werbemittel zum Zeitpunkt
der Lieferung nicht mit Mängeln behaftet sind, die den Wert oder die
Tauglichkeit zu dem den gewöhnlichen oder nach dem Vertrag
vorausgesetzten Gebrauch aufheben oder mehr als nur unerheblich
mindern. Für Verschleiß und für Mängel, die durch unsachgemäßen
Gebrauch sowie durch Nichtbeachtung der Hersteller-, Montage-,
Installations- und/oder Bedienungsanweisungen bei elektronischen
Werbemitteln und Ähnlichem verursacht werden, leistet buhmann
marketing keine Gewähr. Das Gewährleistungsrecht erlischt weiterhin
bei Eingriff oder sonstigen Manipulationen durch den Kunden oder von
ihm beauftragte Dritte.
Mängel hat der Kunde schriftlich und
so detailliert wie möglich anzuzeigen. buhmann marketing steht es
nach eigener Wahl frei, Gewähr durch Nachbesserung oder
Ersatzlieferung zu leisten. Dabei werden die zum Zweck der
Nachbesserung anfallenden Kosten (insbesondere Transport, Wege-,
Arbeits- und Materialkosten) von buhmann marketing übernommen. Bei
Fehlschlagen der Nachbesserung oder Ersatzlieferung ist der Kunde
berechtigt, die Herabsetzung der Vergütung oder Rücktritt vom
Vertrage zu verlangen.
b) Sonstige Marketingleistungen / Beratungsleistungen
Die Gewährleistung für Dienst- und
Beratungsleistungen und/oder Support und Wartung ergibt sich aus den
gesetzlichen Vorschriften des Dienstvertrages, §§ 611 ff BGB.
3.2 Haftung
Die Haftung von buhmann marketing ist - gleich aus
welchen Rechtsgründen - ausgeschlossen. Dies gilt auch für die
Haftung von Arbeitnehmern, Vertretern und Erfüllungsgehilfen.
Der
Haftungsausschluß gilt nicht
- soweit die Schadensursache auf
Vorsatz und/oder grobe Fahrlässigkeit von buhmann marketing oder
eine gesetzlichen Vertreters oder Erfüllungsgehilfen von buhmann
marketing zurückzuführen ist,
- für Schäden aus der Verletzung
des Lebens, des Körpers oder der Gesundheit, die auf einer
fahrlässigen Pflichtverletzung von buhmann marketing oder einer
vorsätzlichen oder fahrlässigen Pflichtverletzung eines
gesetzlichen Vertreters oder Erfüllungsgehilfen von buhmann
marketing beruhen,
- für Ansprüche aus dem
Produkthaftungsgesetz.
Soweit buhmann marketing
vertragswesentliche Pflichten verletzt, ist die Ersatzpflicht auf den
typischerweise entstehenden Schaden beschränkt.
3.3
Eigentumsvorbehalt
Sämtliche gelieferte Werbemittel bleiben
bis zur vollständigen Erfüllung der jeweiligen Zahlungsansprüche
gegen den Kunden Eigentum von buhmann marketing (Vorbehaltsware). Der
Kunde verpflichtet sich, die Vorbehaltsware nur im gewöhnlichen
Geschäftsverkehr zu verwenden. Die Forderungen des Kunden aus der
Weiterveräußerung der Vorbehaltsware nebst allen Nebenrechten
werden bereits zum Zeitpunkt des Vertragsschlusses in voller Höhe an
buhmann marketing abgetreten. Sollte der Kunde in Zahlungsverzug über
die Vorbehaltsware kommen, bzw. seine Zahlungen einstellen oder wird
über das Vermögen oder das Unternehmen des Kunden ein Vergleichs-
oder Insolvenzverfahren eröffnet, so ist buhmann marketing dazu
berechtigt,
- die Ermächtigung zur Veräußerung oder Be- und
Verarbeitung oder zum Einbau der Vorbehaltsware zu widerrufen,
- die Herausgabe der Vorbehaltsware zu verlangen,
- ggf.
Drittschuldner von der Abtretung zu unterrichten.
3.4 Abwerbung
Der Kunde verpflichtet sich dazu, bei ihm
eingesetzte Mitarbeiter nicht abzuwerben, d.h. für eine feste oder
freie Mitarbeit direkt beim Kunden zu gewinnen und/oder den Versuch
einer Abwerbung zu unternehmen. Bei einem Verstoß gegen diese
Bestimmung wird eine Vertragsstrafe die in das Ermessen des
entscheidenden Gerichtes gestellt wird vereinbart.
3.5 Datenschutz
buhmann marketing verpflichtet sich zur Einhaltung
der datenschutzrechtlichen Bestimmungen. Sofern vom Kunden im Rahmen
der vertraglichen Zusammenarbeit personenbezogene Daten übermittelt
werden, sichert der Kunde zu, dass er die übermittelten
personenbezogenen Daten nach den geltenden datenschutzrechtlichen
Bestimmungen erheben, speichern, sowie, diese an buhmann marketing im
Rahmen der vertraglichen Zusammenarbeit weitergeben darf (Art. 28
DSGVO iVm. Art.
24, Art. 5 DSGVO)
und insbesondere die hierfür notwendigen Einwilligungserklärungen
eingeholt hat. Der Kunde stellt buhmann marketing hinsichtlich
sämtlicher Verluste, Schäden und Kosten einschließlich der Kosten
der Rechtsverfolgung frei, die aus einer Verletzung
datenschutzrechtlicher Bestimmungen durch den Kunden entstehen, und
zwar auch insoweit Aufwendungen getroffen werden müssen, um Angriffe
von Dritten einschließlich der zuständigen Aufsichtsbehörden
abzuwehren.
Die
buhmann marketing trifft die technischen und organisatorischen
Sicherheitsvorkehrungen und Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.
Es
gelten die in der Anlage dargestellten Regelungen zur
Auftragsverarbeitung.
3.6 Vertraulichkeit
Beide Parteien verpflichten sich gegenseitig,
Know-how und Betriebsgeheimnisse, die sie bei der Durchführung der
vertraglichen Zusammenarbeit übereinander erfahren und alles
Know-how, das nicht allgemein bekannt ist, gegenüber Dritten
geheimzuhalten und ihre Mitarbeiter entsprechend zu verpflichten
(Art. 28
Abs. 3
lit. b DSGVO iVm. Art. 32
DSGVO).
Dies gilt insbesondere - jedoch nicht ausschließlich - für
sämtliche Informationen über Geschäftspartner, Kunden,
Firmeninterna, eingesetzte Technologien und Verfahren.
3.7 Laufzeit / Außerordentliche Kündigung
Dienst-
und Beratungsleistungen werden als Dauerschuldverhältnis erbracht,
soweit dies so im jeweiligen Angebot geregelt wurde. Sofern nicht
anderweitig vereinbart, ist in diesem Fall eine Kündigung frühestens
nach einem Vertragsjahr mit einer Kündigungsfrist von drei Monaten
zum Monatsende in schriftlicher Form möglich.
Bei
Dauerschuldverhältnissen besitzt buhmann marketing im Rahmen der
gesetzlichen Vorschriften ein außerordentliches Kündigungsrecht aus
wichtigem Grund. Ein wichtiger Grund in diesem Sinne liegt
insbesondere bei der Eröffnung eines Insolvenzverfahrens vor. § 119
der Insolvenzordnung bleibt unberührt.
buhmann marketing hat
das Recht, bei Zahlungsverzug und mangelhafter Mitwirkung durch den
Kunden Leistungen im Rahmen der gesetzlichen Bestimmungen
zurückzubehalten und/oder auszusetzen.
3.8 Zahlungen
Soweit
nichts anderweitiges vereinbart wurde, sind sämtliche Zahlungen 14
Tage nach Rechnungserhalt ohne Skontoabzug zur Zahlung fällig.
buhmann marketing behält sich nach eigenem Ermessen vor, Leistungen
nur gegen Vorauskasse zu erbringen. Ein Zurückbehaltungsrecht des
Kunden besteht nur beschränkt auf dasselbe Vertragsverhältnis und
bei Mängeln nur in Höhe des Dreifachen der zur Beseitigung der
Mängel erforderlichen Aufwendungen. Die Aufrechnung mit
Gegenforderungen ist nur zulässig, soweit diese unbestritten oder
rechtskräftig festgestellt sind. Bei Zahlungsverzug des Kunden
richten sich die Ansprüche von buhmann marketing nach den
gesetzlichen Verzugsregelungen. buhmann marketing steht es jedoch
frei, bei einem nachgewiesenen höheren Verzugsschaden diesen
gegenüber dem Kunden geltend zu machen.
Bei
Dauerschuldverhältnissen kann buhmann marketing dem Kunden eine
Erhöhung der Preise spätestens 8 Wochen vor Beginn der geplanten
Erhöhung mitteilen. Die Erhöhung der Preise gilt als angenommen,
wenn der Kunde nicht innerhalb von 4 Wochen ab Datum der Mitteilung
der Erhöhung schriftlich kündigt.
4. Allgemeine Bestimmungen
Sämtliche
Geschäftsbeziehungen von buhmann marketing unterliegen
ausschließlich dem Recht der Bundesrepublik Deutschland. Das
UN-Kaufrecht wird ausdrücklich ausgeschlossen.
Erfüllungsort
für Lieferung und Leistung ist der Geschäftssitz von buhmann
marketing. Ausschließlicher Gerichtsstand ist, soweit rechtlich
zulässig, München bzw. Fürstenfeldbruck bei sachlicher
Zuständigkeit des Amtsgerichtes. buhmann marketing ist berechtigt,
nach eigener Wahl, eigene Ansprüche am Gerichtsstand des Kunden
geltend zu machen.
ANLAGE
Auftragsverarbeitung
Dieser
Vertrag regelt die datenschutzrechtlichen Pflichten der buhmann
marketing gmbh
(nachfolgend:
Auftragnehmer)
und
dem Kunden (nachfolgend: Auftraggeber)
1. Der
Gegenstand und die Dauer des Auftrags, die Art und der Zweck der
Verarbeitung, die Art der Daten und die Kategorien der Betroffenen
ergeben sich aus dem Hauptvertrag zwischen den Parteien. Der Auftrag
endet mit Beendigung des Hauptvertrages und der Erfüllung der
Pflichten nach Ziffer 9. Soweit im Hauptvertrag zu den vorgenannten
Regelung keine Vereinbarung getroffen wurde, gilt Anlage 2 zu diesem
Vertrag.
2. Der
Auftragnehmer hält in seinem Verantwortungsbereich die vereinbarten
technischen und organisatorischen Maßnahmen gemäß Art.5 Abs. 1
lit. f und Art. 32 DSGVO ein und hat seine innerbetriebliche
Organisation gemäß datenschutzrechtlichen Anforderungen gestaltet.
Dies beinhaltet die in der Anlage 2 dargestellten technischen und
organisatorischen Maßnahmen.
3. Der
Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die
im Auftrag verarbeitet werden, zu berichtigen oder zu löschen oder
die Verarbeitung einzuschränken. Soweit ein Betroffener sich
unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung
seiner Daten oder der Einschränkung der Verarbeitung wenden sollte,
wird der Auftragnehmer dieses Ersuchen unverzüglich an den
Auftraggeber weiterleiten.
Der
Auftragnehmer wird den Auftraggeber im Falle der Geltendmachung
gesetzlicher Betroffenenrechte unterstützen; dies umfasst
insbesondere die Unterstützung bei der Beantwortung von Anträgen
auf Wahrung der Betroffenenrechte mittels geeigneter
technisch-organisatorischer Maßnahmen.
4. Der
Auftragnehmer gewährleistet die Einhaltung der folgenden Pflichten:
a) Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten (Art. 37 DSGVO). Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Sofern ein Wechsel in der Person des Datenschutzbeauftragten stattfindet, wird dies dem Auftraggeber unverzüglich mitgeteilt.
b) Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen schriftlich zur Vertraulichkeit verpflichtet sein und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden (Art. 32 Abs. 4 iVm. Art. 5 DSGVO). Auf Anfrage des Auftraggebers wird der Auftragnehmer diesem die Verpflichtungserklärungen vorlegen. Dies ist nicht notwendig, soweit für die betreffenden Personen eine angemessene gesetzliche Verschwiegenheitspflicht besteht.
c) Duldung öffentlicher Kontrollen durch die zuständigen Datenschutzaufsichtsbehörden in gleichem Umfang, wie die Datenschutzaufsichtsbehörden Prüfungen beim Auftraggeber durchführen dürfen. Unterstützung des Auftraggebers bei Kontrollen und Anfragen der Aufsichtsbehörden (vgl. Art. 88 DSGVO).
d) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde nach Art. 82 ff. DSGVO bei dem Auftragnehmer ermittelt.
e) Die angemessene Unterstützung des Auftraggebers bei der Gewährleistung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO.
f) Die angemessene Unterstützung des Auftraggebers bei Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO und bei der vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörden nach Art. 36 DSGVO.
g) Die angemessene Unterstützung des Auftraggebers bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) und bei der Benachrichtigung der von Verletzungen des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DSGVO).
h) Die Vorlage der nach Art. 30 Abs. 2 DSGVO erforderlichen Angaben.
5. Der
Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur
Erfüllung seiner vertraglichen Leistungen verbundenen Unternehmen
Unteraufträge erteilt. Bei Erteilung eines Unterauftrags werden die
vertraglichen Vereinbarungen zwischen Auftragnehmer und dem
Unterauftragnehmer so gestaltet, dass sie den Anforderungen zu
Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses
Vertrages entsprechen. Der Auftraggeber kann bei nachgewiesenen
berechtigten Interessen einer Unterbeauftragung widersprechen. Der
Auftragnehmer erteilt der Auftraggeber auf dessen schriftliche
Aufforderung hin Auskunft über den wesentlichen Vertragsinhalt
(Leistungen ausschließlich Preise) und die Umsetzung der
datenschutzrelevanten Pflichten des Unterauftragnehmers.
6. Die
Verarbeitung der Daten durch den Auftragnehmer ist räumlich auf die
EU und den EWR beschränkt. Die Übermittlung von Daten durch den
Auftragnehmer an einen Empfänger mit Sitz außerhalb des EWR ist nur
unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig und bedarf
der gesonderten vorherigen schriftlichen Zustimmung des
Auftraggebers. Der Auftragnehmer wird insbesondere sicherstellen,
dass der Auftraggeber die Standardvertragsklauseln (vgl. z.B. die
Entscheidung der Europäischen Kommission vom 5. Februar 2010,
veröffentlicht im Amtsblatt der Europäischen Union L39/5, C (2010)
593) mit dem Empfänger der Daten abschließen kann.
7. Der
Auftraggeber kann sich nach rechtzeitiger schriftlicher Anmeldung zu
Prüfzwecken in den Betriebsstätten zu den üblichen Geschäftszeiten
ohne Störung des Betriebsablaufs von der Angemessenheit der
Maßnahmen zur Einhaltung der technischen und organisatorischen
Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen
Gesetze über den Datenschutz überzeugen. Der Auftragnehmer ist
verpflichtet, die Kontrollen des Auftraggebers nach diesem Vertrag zu
dulden, Mitwirkungsleistungen zu erbringen, soweit für die Kontrolle
des Auftraggebers nach diesem Vertrag erforderlich, und dem
Auftraggeber auf schriftliche Anforderung innerhalb einer
angemessenen Frist Auskünfte zu geben, die zur Durchführung einer
umfassenden Auftragskontrolle erforderlich sind. Der Auftragnehmer
ermöglicht dem Auftraggeber insbesondere, sich vor Beginn der
Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim
Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen
zu überzeugen.
8. Der
Auftragnehmer erstattet in allen Fällen dem Auftraggeber
unverzüglich nach Kenntniserlangung eine Meldung, wenn durch ihn,
die bei ihm beschäftigten Personen oder die von ihm eingesetzten
Unterauftragnehmer Verstöße gegen Vorschriften zum Schutz der Daten
des Auftraggebers (insbesondere die DSGVO) oder gegen die in dieser
Vereinbarung getroffenen Festlegungen vorgefallen sind bzw. ein
entsprechender Verdacht besteht. Der Auftragnehmer wird entsprechende
Vorfälle dokumentieren, unverzüglich aufklären und Abhilfe
schaffen. Er wird den Auftraggeber über den Fortgang der
Angelegenheit bis zur Behebung des Vorfalls informiert halten. Sollte
die Verletzung zu einem Risiko für die Rechte und Freiheiten der
Betroffenen gem. Art. 33 DSGVO führen, wird der Auftragnehmer den
Auftraggeber bei der Aufklärung des Vorfalls und im Rahmen der
entsprechenden Meldung an die Datenschutzaufsichtsbehörde bzw. die
Betroffenen umfassend unterstützen.
9. Der
Umgang mit den Daten erfolgt ausschließlich im Rahmen der
getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der
Auftraggeber behält sich im Rahmen der in dieser Vereinbarung
getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über
Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch
Einzelweisungen konkretisieren kann. Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam
abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den
Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher
Zustimmung durch den Auftraggeber erteilen. Mündliche Weisungen wird
der Auftraggeber unverzüglich schriftlich oder per E-Mail (in
Textform) bestätigen.
Der
Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist
insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien
und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur
Gewährleistung einer ordnungsgemäßen Datenverarbeitung
erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung
gesetzlicher Aufbewahrungspflichten erforderlich sind. Der
Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn
er der Meinung ist, eine Weisung verstoße gegen
datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt,
die Durchführung der entsprechenden Weisung solange auszusetzen, bis
sie durch den Verantwortlichen beim Auftraggeber bestätigt oder
geändert wird. Der Auftragnehmer wird die Weisungen soweit
erforderlich dokumentieren.
10.
Vorbehaltlich abweichender Vereinbarungen und gesetzlicher oder
satzungsmäßiger Pflichten ist der Auftragnehmer nach Vertragsende
verpflichtet, ihm überlassene Datenträger an en Auftraggeber
unverzüglich zurück zu geben und ihm in Zusammenhang mit dem
Auftrag übergebene und noch nicht gelöschte personenbezogene Daten
zu löschen. Über die Herausgabe oder Löschung nach Vertragsende
muss der Auftraggeber innerhalb einer vom Auftragnehmer gesetzten
Frist entscheiden. Wenn der Auftragnehmer zu vernichtende Unterlagen
oder Datenträger mit personenbezogenen Daten dem Auftraggeber nicht
zurückgibt, so ist der Auftragnehmer verpflichtet, die Unterlagen
ordnungsgemäß zu entsorgen, ohne dass unbefugte Dritte von den
Daten Kenntnis erlangen können. Entstehen beim Auftragnehmer nach
Vertragsbeendigung Kosten durch die Herausgabe oder Löschung der
Daten des Auftraggebers, so trägt diese der Auftraggeber.
Anlage 2: Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO, § 64 BDSG)
1) Der Auftragnehmer hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
2) Diese Maßnahmen können unter anderem die Pseudonymisierung und die Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.
3) Die Maßnahmen sollen dazu führen, dass
a) die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und,
b) dass die Verfügbarkeit personenbezogener Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
4) Der Auftragsverarbeiter hat nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
Zugangskontrolle
Verwehrung
des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung
durchgeführt wird, für Unbefugte. Zweckmäßige Maßnahmen sind
unter anderem:
- Zutrittskontrollsystem, zentrale Schlüsselverwaltung, Magnetkarte
- Schlüssel/Schlüsselvergabe ist zentral und organisatorisch klar geregelt
- Klare Zuweisung der Berechtigungen (Zugang Gebäude, Büro, Serverraum)
- Gebäudeschutz an Wochenenden und nachts gewährleistet
- Pförtner/Empfang mit Videoüberwachung
- Regelungen für Besucher (Besucherausweis, Begleitung im Gebäude)
- Videoüberwachung sensibler Bereiche des Gebäudes (Tiefgarage)
- Verschließen von Schränken und Büros bei Nichtanwesenheit
Datenträgerkontrolle
Verhinderung
des unbefugten Lesens, Kopierens, Veränderns oder Löschens von
Datenträgern. Zweckmäßige Maßnahmen sind unter anderem:
- Dezidiertes Kennwortverfahren zum Login [z.B. Klare Passwortregelung (bestimmte Länge, Kombination aus Buchstaben und Zahlen, keine Trivialpasswörter, Änderung in regelmäßigen Abständen). Voreingestellte Passwörter müssen umgehend geändert werden]
- Automatische Sperrung (z.B. Regelung zur automatischen Sperrung des Computers nach einer bestimmten Zeit der Inaktivität (ca. 5 min) mit anschließendem erneutem Login)
- Automatischer Standby-Betrieb der lokalen Rechner
- Verschlüsselung von Datenträgern möglich
- Besondere Vorsicht bei Mitnahme von Laptop/Datenträgern/Smartphones aus den Büroräumen heraus
- Möglichkeit der Fernlöschung von Smartphones
Speicherkontrolle
Verhinderung
der unbefugten Eingabe von personenbezogenen Daten sowie der
unbefugten Kenntnisnahme, Veränderung und Löschung von
gespeicherten personenbezogenen Daten.
Benutzerkontrolle
Verhinderung
der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von
Einrichtungen zur Datenübertragung durch Unbefugte.
Zugriffskontrolle
Gewährleistung,
dass die zur Benutzung eines automatisierten Verarbeitungssystems
Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung
umfassten personenbezogenen Daten Zugang haben. Zweckmäßige
Maßnahmen sind unter anderem:
- Differenzierte Berechtigungen (Profile, Rollen)
- Differenziertes Ordnerkonzept (z.B. alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos wiedergefunden werden können).
- Datenträger sind eindeutig zu kennzeichnen und sicher aufzubewahren.
- Sichere Löschung von Daten und/ oder Vernichtung von Datenträgern.
- Ordnung am Arbeitsplatz [Datenträger (USB-Sticks, CD-ROMs) mit vertraulichem Material dürfen nicht offen herumliegen].
- Anpassung sicherheitsrelevanter Standardeinstellungen von neuen Programmen und IT-Systemen
- Deinstallation bzw. Deaktivierung nicht benötigter sicherheitsrelevanter Programme und Funktionen (v.a. bei Smartphones)
Übertragungskontrolle
Gewährleistung,
dass überprüft und festgestellt werden kann, an welche Stellen
personenbezogene Daten mit Hilfe von Einrichtungen zur
Datenübertragung übermittelt oder zur Verfügung gestellt wurden
oder werden können.
Eingabekontrolle
Gewährleistung,
dass nachträglich überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welcher Zeit und von wem in automatisierte
Verarbeitungssysteme eingegeben oder verändert worden sind.
Zweckmäßige Maßnahmen sind unter anderem:
- Protokollierungs- und Protokollauswertungssysteme werden eingesetzt bzw. sind als Teile von bestehenden Softwareapplikationen anwendbar
- Zugriff auf Datenverarbeitungssysteme nur nach Login möglich
- Keine Weitergabe von Passwörtern
- Zusätzlich zur automatischen Sperrung: manuelle Abmeldung beim Verlassen des Büros
Transportkontrolle
Gewährleistung,
dass bei der Übermittlung personenbezogener Daten sowie beim
Transport von Datenträgern die Vertraulichkeit und Integrität der
Daten geschützt werden. Zweckmäßige Maßnahmen sind unter anderem:
- Verschlüsselung (insbes. Laptops)
- Tunnelverbindung (VPN = Virtual Private Network)
- Elektronische Signatur möglich
- Keine Benutzung von nicht freigegebener Hard-/ Software
- Keine Weiterleitung von E-Mails an private E-Mail-Accounts von Mitarbeitern
- Vorsicht beim Umgang mit Backup-Bändern
- Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt).
- Regelung zum Einsatz von USB-Sticks und CD-ROMs
Wiederherstellbarkeit
Gewährleistung,
dass eingesetzte Systeme im Störungsfall wiederhergestellt werden
können.
Zuverlässigkeit
Gewährleistung,
dass alle Funktionen des Systems zur Verfügung stehen und
auftretende Fehlfunktionen gemeldet werden.
Datenintegrität
Gewährleistung,
dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen
des Systems beschädigt werden können.
Auftragskontrolle
Gewährleistung,
dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden
können. Zweckmäßige Maßnahmen sind unter anderem:
- Eindeutige Vertragsgestaltung/Standardvertrag zu Art. 28 DSGVO vorhanden
- Formalisierte Auftragserteilung (Auftragsformular)
- Kriterien zur Auswahl des Auftragnehmers wird stringent eingehalten
- Kontrolle der Vertragsausführung wird durch den DSB gewährleistet
Verfügbarkeitskontrolle
Gewährleistung,
dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt
sind. Zweckmäßige Maßnahmen sind unter anderem:
- Regelmäßiges Backup-Verfahren ist sichergestellt (Definition: Welche Daten werden wie lange gesichert?; Einbeziehung von Laptops und nicht vernetzten Systemen; Regelmäßige Kontrolle der Sicherungsbänder; Dokumentierung der Sicherungsverfahren)
- Getrennte Aufbewahrung von Daten ist gewährleistet
- Virenschutz/Firewall nach aktuellem Stand der Technik ist gewährleistet
- Schutz gegen Feuer, Überhitzung, Wasserschäden, Überspannung und Stromausfall im Serverraum
- Notfallplan besteht und wird regelmäßig geübt
- Notstromversorgung/Unterbrechungsfreie Stromversorgung (USV)
- Besondere Vorsicht bei Mitnahme von Laptop/Datenträger aus den Büroräumen heraus
- Vertretungsregelungen, v.a. bzgl. Administrator
Trennbarkeit
Gewährleistung,
dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten
getrennt verarbeitet werden können. Zweckmäßige Maßnahmen sind
unter anderem:
- Physisch und/oder logisch getrennte Speicherung, Veränderung, Löschung und Übermittlung von Daten, die unterschiedlichen Zwecken dienen (Mandantenfähigkeit)
- Funktionstrennung, insbesondere zwischen Produktions- und Testdaten
Regelmäßige
Überprüfung, Bewertung und Evaluierung der technischen und
organisatorischen Maßnahmen
- Regelmäßige fachliche Fortbildung der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten
- Schulung der Mitarbeiter im Umgang mit der IT und zur Schärfung des IT-Sicherheitsbewusstseins
- Sicherheitshinweise werden allen Mitarbeitern in geeigneter Form bekannt gegeben und sind dauerhaft abrufbar (z.B. durch Veröffentlichung im Intranet)
- Auswertung von Meldungen und Berichten zu ungewöhnlichen Vorkommnissen
- Untersuchung erkannter oder vermuteter Verstöße gegen sicherheitsrelevante Vorgaben
- Regelmäßige Prüfung der Effektivität der bestehenden technischen und organisatorischen Maßnahmen und Prüfung, ob neue technische und organisatorische Maßnahmen erforderlich sind (beides unter Hinzuziehung des Datenschutzbeauftragten)
- Regelmäßige und anlassbezogene Kontrolle der Funktionalität der IT, einschließlich unter dem Aspekt der Zutrittskontrolle
- Eskalations- und Meldewege bei sicherheitsrelevanten Vorkommnissen
- Verfügbarkeit der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten als Ansprechpartner bei allen Fragen zur IT-Nutzung und -sicherheit.
Anlage 3: Datenschutzrechtliche Spezifikationen
Werbemaßnahmen
über alle Medienkanäle (u.a. Print, Online, Telefon) zur
Generierung von neuen und dem Ausbau bestehender Kunden.
Art
der Daten
• Kundendaten (Name, Adresse, Telefon, E-Mail, etc.)
• Interessen (zur Personalisierung von Werbemaßnahmen)
• Analysedaten (zur Optimierung von ROI und Nachweisen, u.a. IP-Adresse, Öffnungsrate, Klickverhalten)
Betroffene
• Endkunden (B2B und B2C)
• Kunden
• Mitarbeiter
Stand: 25.05.2018
buhmann marketing gmbh, Landsberger Str. 98, 82110 Germering