AGB

1. Vertragliche Grundlagen

1.1 Geltungsbereich

Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für sämtliche Rechtsgeschäfte und sämtliche Dienstleistungen und/oder Lieferungen der buhmann marketing gmbh (buhmann marketing) im In- und Ausland.

1.2 Rangfolge der vertraglichen Regelungen

Sämtliche vertraglichen Vereinbarungen stehen in folgender Rangfolge:
a) individualvertraglich vereinbarte Verträge
b) besondere Vertragsbedingungen
c) diese Allgemeinen Geschäftsbedingungen
d) gesetzliche Vorschriften

Die zuerst genannten Vereinbarungen haben bei Widersprüchen stets Vorrang vor den zuletzt genannten. Lücken werden durch die jeweils nachrangigen Bestimmungen ausgefüllt. Die AGB von buhmann marketing gelten dabei ausschließlich. Sie finden auch für alle künftigen Geschäftsbeziehungen Anwendung, selbst wenn sie nicht nochmals ausdrücklich vereinbart werden. Gegenbestätigungen oder Allgemeinen Geschäftsbedingungen von Vertragspartnern wird hiermit ausdrücklich widersprochen. Dies gilt auch dann, wenn die Angebotsabgabe oder Angebotsannahme von Vertragspartnern unter dem Hinweis der vorrangigen Geltung der eigenen Allgemeinen Geschäftsbedingungen erfolgt.

1.3 Art der Dienste und Produkte

buhmann marketing erbringt Dienst- und Werkleistungen auf dem Gebiet des Marketing. Art und Umfang der erbrachten Dienstleistung, bzw. gelieferten Produkte ergeben sich aus dem Angebot und den Leistungsbeschreibungen hierzu. Leistungsbeschreibungen im Sinne der AGB, der BVB sowie aller sonstigen Verträge und Erklärungen von buhmann marketing sind nur diejenigen Dokumente, welche explizit als Leistungsbeschreibung bezeichnet sind.

Die rechtlichen Grundlagen für:
- Erstellung von Werbemitteln (2.1),
- sonstige Marketingleistungen und Beratungsleistungen (2.2),
- Testmusterverwaltung und ähnliche Leistungen (2.3)

sind im folgenden geregelt. Soweit einem Angebot keine Besonderen Vertragsbedingungen zu Grunde liegen, gelten ausschließlich diese AGB. Soweit nicht ausdrücklich vereinbart, erbringt buhmann marketing in keinem Falle eine werkvertragliche Leistung im Sinne der §§ 631 ff. BGB. Dies gilt auch dann, wenn einzelne erbrachte Leistungen durch Gegenzeichnen von Leistungsprotokollen, Stundenzetteln oder sonstigen Leistungsbestätigungen vom Kunden abgenommen, d.h. deren Erbringung als solche bestätigt werden.

2. Inhalt der Leistungen
2.1 Erstellung von Werbemitteln

a) Allgemeines

Unter die Erstellung von Werbemitteln fällt die Konzeptionalisierung, Gestaltung, Druck und Verteilung von Flyern, Plakaten, digitalen Medien und sonstigen Werbemitteln, sowie die Erstellung von Logos und Internetauftritten und ähnliche Leistungen. Der tatsächliche Umfang der geschuldeten Leistung ergibt sich im Einzelnen nicht aus der vorherigen Aufzählung, sondern ausschließlich aus der Leistungsbeschreibung im Angebot.

Hinsichtlich sämtlicher Werbemittellieferungen gilt die Erbringung ab Geschäftssitz von buhmann marketing als vereinbart. Sämtliche Transport- und Lieferkosten sind vom Kunden zu tragen, sofern dies nicht ausdrücklich anderweitig vereinbart wurde. buhmann marketing übernimmt kein Beschaffungsrisiko gegenüber Zulieferern. Das Transportrisiko liegt beim Kunden.Der vertragliche Verwendungszweck im Sinne des § 434 Abs. 1 Satz 2 Nr. 1 BGB bzw. des § 633 Abs. 2 Satz 2 Nr. 1 BGB richtet sich ausschließlich nach der Leistungsbeschreibung im Angebot. Abweichende Vereinbarungen bedürfen der schriftlichen Bestätigung.

b) Nutzungsrechte

Die sich originär aus den Urheberrechten an urheberrechtsfähigen Werbemitteln ergebenden Nutzungs- und Verwertungsrechte liegen in der Regel beim Ersteller der Werbemittel, der seinerseits die Übertragung der Nutzungs- und Verwertungsrechte an buhmann marketing vertraglich regelt. Zur Nutzung von Werbemitteln überträgt buhmann marketing dem Kunden ein einfaches, auf das Gebiet der Bundesrepublik Deutschland beschränktes Nutzungsrecht, das die Verbreitung und Ausstellung der Werbemittel umfasst. Die Vervielfältigung bleibt buhmann marketing vorbehalten. Die Einräumung weiterer Nutzungsrechte bedarf der gesonderten Regelung. Eine Garantie für das tatsächliche Bestehen dieser Nutzungs- und Verwertungsrechte auf Seiten des Erstellers kann von buhmann marketing nicht abgegeben werden. Ansprüche hinsichtlich derartiger Nutzungs- und Verwertungsrechte sind ausschließlich an den jeweiligen Ersteller des Werbemittels zu richten.

2.2 Sonstige Marketingleistungen und Beratungsleistungen

a) Allgemeines

buhmann marketing erbringt Dienst- und Beratungsleistungen auf dem Gebiet des Marketing. Hierunter fällt insbesondere die Erstellung von Marketingkonzepten und Anzeigenschaltung bei ausgewählten Medien. Der tatsächliche Umfang der geschuldeten Leistung ergibt sich im Einzelnen nicht aus der vorherigen Aufzählung, sondern ausschließlich aus der Leistungsbeschreibung im Angebot.

Es wird ausdrücklich darauf hingewiesen, dass diese Dienst- und Beratungsleistungen als Dienstvertrag im Sinne der §§ 611 ff. BGB durchgeführt werden, sofern nicht eine ausdrücklich hiervon abweichende vertragliche Vereinbarung besteht.

b) Urheberrechte, Nutzungs- und Verwertungsrechte

Die Nutzungsrechte an zu Zwecken der Leistungserbringung erstellten Präsentationen, Konzeptpapieren und Ähnlichem verbleiben ausschließlich bei buhmann marketing. buhmann marketing übernimmt keinerlei Garantie für den Bestand und die eigene Berechtigung zur Nutzung derartiger Gegenstände des Urheberrechts gegenüber dem Kunden.

2.3 Testmusterverwaltung und ähnliche Leistungen

a) Allgemeines

buhmann marketing erbringt Leistungen im Bereich der Testmusterverwaltung und ähnlichen Bereichen. Dies umfasst Aufbewahrung, Bereithaltung, Versand und logistische Bewirtschaftung von Testmustern, Proben, Ansichtsexemplaren und Ähnlichem. Der tatsächliche Umfang der geschuldeten Leistung ergibt sich im Einzelnen nicht aus der vorherigen Aufzählung, sondern ausschließlich aus der Leistungsbeschreibung im Angebot.

Es wird ausdrücklich darauf hingewiesen, dass diese Leistungen soweit nicht die §§ 688 ff. BGB Anwendung finden, als Dienstvertrag im Sinne der §§ 611 ff. BGB durchgeführt werden. Dies gilt nur, sofern nicht eine ausdrücklich hiervon abweichende vertragliche Vereinbarung besteht.

2.4 Mitwirkungspflichten / Garantie des Kunden / Freistellungsanspruch

Hat sich der Kunde aufgrund des Angebotes verpflichtet der Vertragsleistung zugrunde liegende Stoffrechte zu beschaffen oder zur Verfügung zu stellen, wie insbesondere Marken, Unternehmenskennzeichen, Urheberrechte oder Geschmacksmuster, so ist der Kunde buhmann marketing gegenüber verpflichtet, den Bestand und die rechtsfehlerfreie Einräumung von Nutzungsrechten und Lizenzen zu gewährleisten.

Wird buhmann marketing wegen der Verletzung zugrunde liegender Stoffrechte von Dritten in Anspruch genommen, für die der Kunde i.S.d. Regelung einzustehen hat, so ist der Kunde verpflichtet, buhmann marketing von der Haftung freizustellen.

2.4 Haftung und Haftungsfreistellung bei E-Mail-Marketing

Erbringt buhmann marketing E-Mail-Marketingleistungen für den Kunden, so haftet der Kunde, soweit er buhmann marketing hierzu Listen von E-Mail-Adressen zur Verfügung gestellt hat für Schäden, die buhmann marketing entstehen, weil die Zusendung von E-Mails an einzelne oder alle Inhaber der E-Mail-Adresse rechtlich nicht zulässig war (Spamming). Unter diese Schäden fallen insbesondere Abmahngebühren und Gerichtskosten. In diesen Fällen ist der Kunde buhmann marketing gegenüber auch zu einer Haftungsfreistellung verpflichtet.

3. Regelungen zur Gewährleistung und Haftung
3.1 Gewährleistung

a) Werbemittel

Für Werbemittel wird der Anspruch des Kunden auf Schadenersatz wegen Mängeln ausgeschlossen. Hiervon ausgenommen sind Ansprüche aus der Verletzung des Lebens, des Körpers oder der Gesundheit, wenn buhmann marketing die Pflichtverletzung zu vertreten hat, und sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung von buhmann marketing beruhen. Einer Pflichtverletzung von buhmann marketing steht die eines gesetzlichen Vertreters oder Erfüllungsgehilfen gleich. Die Verjährungsfrist für alle weiteren Rechte aus gewährleistungsrechtlichen Ansprüchen beträgt 1 Jahr.

Im übrigen leistet buhmann marketing lediglich Gewähr dafür, dass gelieferte Werbemittel zum Zeitpunkt der Lieferung nicht mit Mängeln behaftet sind, die den Wert oder die Tauglichkeit zu dem den gewöhnlichen oder nach dem Vertrag vorausgesetzten Gebrauch aufheben oder mehr als nur unerheblich mindern. Für Verschleiß und für Mängel, die durch unsachgemäßen Gebrauch sowie durch Nichtbeachtung der Hersteller-, Montage-, Installations- und/oder Bedienungsanweisungen bei elektronischen Werbemitteln und Ähnlichem verursacht werden, leistet buhmann marketing keine Gewähr. Das Gewährleistungsrecht erlischt weiterhin bei Eingriff oder sonstigen Manipulationen durch den Kunden oder von ihm beauftragte Dritte.

Mängel hat der Kunde schriftlich und so detailliert wie möglich anzuzeigen. buhmann marketing steht es nach eigener Wahl frei, Gewähr durch Nachbesserung oder Ersatzlieferung zu leisten. Dabei werden die zum Zweck der Nachbesserung anfallenden Kosten (insbesondere Transport, Wege-, Arbeits- und Materialkosten) von buhmann marketing übernommen. Bei Fehlschlagen der Nachbesserung oder Ersatzlieferung ist der Kunde berechtigt, die Herabsetzung der Vergütung oder Rücktritt vom Vertrage zu verlangen.

b) Sonstige Marketingleistungen / Beratungsleistungen

Die Gewährleistung für Dienst- und Beratungsleistungen und/oder Support und Wartung ergibt sich aus den gesetzlichen Vorschriften des Dienstvertrages, §§ 611 ff BGB.

3.2 Haftung

Die Haftung von buhmann marketing ist - gleich aus welchen Rechtsgründen - ausgeschlossen. Dies gilt auch für die Haftung von Arbeitnehmern, Vertretern und Erfüllungsgehilfen.

Der Haftungsausschluß gilt nicht
- soweit die Schadensursache auf Vorsatz und/oder grobe Fahrlässigkeit von buhmann marketing oder eine gesetzlichen Vertreters oder Erfüllungsgehilfen von buhmann marketing zurückzuführen ist,
- für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer fahrlässigen Pflichtverletzung von buhmann marketing oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen von buhmann marketing beruhen,
- für Ansprüche aus dem Produkthaftungsgesetz.

Soweit buhmann marketing vertragswesentliche Pflichten verletzt, ist die Ersatzpflicht auf den typischerweise entstehenden Schaden beschränkt.

3.3 Eigentumsvorbehalt

Sämtliche gelieferte Werbemittel bleiben bis zur vollständigen Erfüllung der jeweiligen Zahlungsansprüche gegen den Kunden Eigentum von buhmann marketing (Vorbehaltsware). Der Kunde verpflichtet sich, die Vorbehaltsware nur im gewöhnlichen Geschäftsverkehr zu verwenden. Die Forderungen des Kunden aus der Weiterveräußerung der Vorbehaltsware nebst allen Nebenrechten werden bereits zum Zeitpunkt des Vertragsschlusses in voller Höhe an buhmann marketing abgetreten. Sollte der Kunde in Zahlungsverzug über die Vorbehaltsware kommen, bzw. seine Zahlungen einstellen oder wird über das Vermögen oder das Unternehmen des Kunden ein Vergleichs- oder Insolvenzverfahren eröffnet, so ist buhmann marketing dazu berechtigt,

- die Ermächtigung zur Veräußerung oder Be- und Verarbeitung oder zum Einbau der Vorbehaltsware zu widerrufen,
- die Herausgabe der Vorbehaltsware zu verlangen,
- ggf. Drittschuldner von der Abtretung zu unterrichten.

3.4 Abwerbung

Der Kunde verpflichtet sich dazu, bei ihm eingesetzte Mitarbeiter nicht abzuwerben, d.h. für eine feste oder freie Mitarbeit direkt beim Kunden zu gewinnen und/oder den Versuch einer Abwerbung zu unternehmen. Bei einem Verstoß gegen diese Bestimmung wird eine Vertragsstrafe die in das Ermessen des entscheidenden Gerichtes gestellt wird vereinbart.

3.5 Datenschutz

buhmann marketing verpflichtet sich zur Einhaltung der datenschutzrechtlichen Bestimmungen. Sofern vom Kunden im Rahmen der vertraglichen Zusammenarbeit personenbezogene Daten übermittelt werden, sichert der Kunde zu, dass er die übermittelten personenbezogenen Daten nach den geltenden datenschutzrechtlichen Bestimmungen erheben, speichern, sowie, diese an buhmann marketing im Rahmen der vertraglichen Zusammenarbeit weitergeben darf (Art. 28 DSGVO iVm. Art. 24, Art. 5 DSGVO) und insbesondere die hierfür notwendigen Einwilligungserklärungen eingeholt hat. Der Kunde stellt buhmann marketing hinsichtlich sämtlicher Verluste, Schäden und Kosten einschließlich der Kosten der Rechtsverfolgung frei, die aus einer Verletzung datenschutzrechtlicher Bestimmungen durch den Kunden entstehen, und zwar auch insoweit Aufwendungen getroffen werden müssen, um Angriffe von Dritten einschließlich der zuständigen Aufsichtsbehörden abzuwehren.

Die buhmann marketing trifft die technischen und organisatorischen Sicherheitsvorkehrungen und Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

Es gelten die in der Anlage dargestellten Regelungen zur Auftragsverarbeitung.

3.6 Vertraulichkeit

Beide Parteien verpflichten sich gegenseitig, Know-how und Betriebsgeheimnisse, die sie bei der Durchführung der vertraglichen Zusammenarbeit übereinander erfahren und alles Know-how, das nicht allgemein bekannt ist, gegenüber Dritten geheimzuhalten und ihre Mitarbeiter entsprechend zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO iVm. Art. 32 DSGVO). Dies gilt insbesondere - jedoch nicht ausschließlich - für sämtliche Informationen über Geschäftspartner, Kunden, Firmeninterna, eingesetzte Technologien und Verfahren.

3.7 Laufzeit / Außerordentliche Kündigung

Dienst- und Beratungsleistungen werden als Dauerschuldverhältnis erbracht, soweit dies so im jeweiligen Angebot geregelt wurde. Sofern nicht anderweitig vereinbart, ist in diesem Fall eine Kündigung frühestens nach einem Vertragsjahr mit einer Kündigungsfrist von drei Monaten zum Monatsende in schriftlicher Form möglich.

Bei Dauerschuldverhältnissen besitzt buhmann marketing im Rahmen der gesetzlichen Vorschriften ein außerordentliches Kündigungsrecht aus wichtigem Grund. Ein wichtiger Grund in diesem Sinne liegt insbesondere bei der Eröffnung eines Insolvenzverfahrens vor. § 119 der Insolvenzordnung bleibt unberührt.

buhmann marketing hat das Recht, bei Zahlungsverzug und mangelhafter Mitwirkung durch den Kunden Leistungen im Rahmen der gesetzlichen Bestimmungen zurückzubehalten und/oder auszusetzen.

3.8 Zahlungen

Soweit nichts anderweitiges vereinbart wurde, sind sämtliche Zahlungen 14 Tage nach Rechnungserhalt ohne Skontoabzug zur Zahlung fällig. buhmann marketing behält sich nach eigenem Ermessen vor, Leistungen nur gegen Vorauskasse zu erbringen. Ein Zurückbehaltungsrecht des Kunden besteht nur beschränkt auf dasselbe Vertragsverhältnis und bei Mängeln nur in Höhe des Dreifachen der zur Beseitigung der Mängel erforderlichen Aufwendungen. Die Aufrechnung mit Gegenforderungen ist nur zulässig, soweit diese unbestritten oder rechtskräftig festgestellt sind. Bei Zahlungsverzug des Kunden richten sich die Ansprüche von buhmann marketing nach den gesetzlichen Verzugsregelungen. buhmann marketing steht es jedoch frei, bei einem nachgewiesenen höheren Verzugsschaden diesen gegenüber dem Kunden geltend zu machen.

Bei Dauerschuldverhältnissen kann buhmann marketing dem Kunden eine Erhöhung der Preise spätestens 8 Wochen vor Beginn der geplanten Erhöhung mitteilen. Die Erhöhung der Preise gilt als angenommen, wenn der Kunde nicht innerhalb von 4 Wochen ab Datum der Mitteilung der Erhöhung schriftlich kündigt.

4. Allgemeine Bestimmungen

Sämtliche Geschäftsbeziehungen von buhmann marketing unterliegen ausschließlich dem Recht der Bundesrepublik Deutschland. Das UN-Kaufrecht wird ausdrücklich ausgeschlossen.

Erfüllungsort für Lieferung und Leistung ist der Geschäftssitz von buhmann marketing. Ausschließlicher Gerichtsstand ist, soweit rechtlich zulässig, München bzw. Fürstenfeldbruck bei sachlicher Zuständigkeit des Amtsgerichtes. buhmann marketing ist berechtigt, nach eigener Wahl, eigene Ansprüche am Gerichtsstand des Kunden geltend zu machen.

ANLAGE

Auftragsverarbeitung

Dieser Vertrag regelt die datenschutzrechtlichen Pflichten der buhmann marketing gmbh (nachfolgend: Auftragnehmer)

und dem Kunden (nachfolgend: Auftraggeber)

1. Der Gegenstand und die Dauer des Auftrags, die Art und der Zweck der Verarbeitung, die Art der Daten und die Kategorien der Betroffenen ergeben sich aus dem Hauptvertrag zwischen den Parteien. Der Auftrag endet mit Beendigung des Hauptvertrages und der Erfüllung der Pflichten nach Ziffer 9. Soweit im Hauptvertrag zu den vorgenannten Regelung keine Vereinbarung getroffen wurde, gilt Anlage 2 zu diesem Vertrag.

2. Der Auftragnehmer hält in seinem Verantwortungsbereich die vereinbarten technischen und organisatorischen Maßnahmen gemäß Art.5 Abs. 1 lit. f und Art. 32 DSGVO ein und hat seine innerbetriebliche Organisation gemäß datenschutzrechtlichen Anforderungen gestaltet. Dies beinhaltet die in der Anlage 2 dargestellten technischen und organisatorischen Maßnahmen.

3. Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder der Einschränkung der Verarbeitung wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

Der Auftragnehmer wird den Auftraggeber im Falle der Geltendmachung gesetzlicher Betroffenenrechte unterstützen; dies umfasst insbesondere die Unterstützung bei der Beantwortung von Anträgen auf Wahrung der Betroffenenrechte mittels geeigneter technisch-organisatorischer Maßnahmen.

4. Der Auftragnehmer gewährleistet die Einhaltung der folgenden Pflichten:
a) Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten (Art. 37 DSGVO). Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Sofern ein Wechsel in der Person des Datenschutzbeauftragten stattfindet, wird dies dem Auftraggeber unverzüglich mitgeteilt.
b) Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen schriftlich zur Vertraulichkeit verpflichtet sein und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden (Art. 32 Abs. 4 iVm. Art. 5 DSGVO). Auf Anfrage des Auftraggebers wird der Auftragnehmer diesem die Verpflichtungserklärungen vorlegen. Dies ist nicht notwendig, soweit für die betreffenden Personen eine angemessene gesetzliche Verschwiegenheitspflicht besteht.
c) Duldung öffentlicher Kontrollen durch die zuständigen Datenschutzaufsichtsbehörden in gleichem Umfang, wie die Datenschutzaufsichtsbehörden Prüfungen beim Auftraggeber durchführen dürfen. Unterstützung des Auftraggebers bei Kontrollen und Anfragen der Aufsichtsbehörden (vgl. Art. 88 DSGVO).
d) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde nach Art. 82 ff. DSGVO bei dem Auftragnehmer ermittelt.
e) Die angemessene Unterstützung des Auftraggebers bei der Gewährleistung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO.
f) Die angemessene Unterstützung des Auftraggebers bei Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO und bei der vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörden nach Art. 36 DSGVO.
g) Die angemessene Unterstützung des Auftraggebers bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) und bei der Benachrichtigung der von Verletzungen des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DSGVO).
h) Die Vorlage der nach Art. 30 Abs. 2 DSGVO erforderlichen Angaben.

5. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglichen Leistungen verbundenen Unternehmen Unteraufträge erteilt. Bei Erteilung eines Unterauftrags werden die vertraglichen Vereinbarungen zwischen Auftragnehmer und dem Unterauftragnehmer so gestaltet, dass sie den Anforderungen zu Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages entsprechen. Der Auftraggeber kann bei nachgewiesenen berechtigten Interessen einer Unterbeauftragung widersprechen. Der Auftragnehmer erteilt der Auftraggeber auf dessen schriftliche Aufforderung hin Auskunft über den wesentlichen Vertragsinhalt (Leistungen ausschließlich Preise) und die Umsetzung der datenschutzrelevanten Pflichten des Unterauftragnehmers.

6. Die Verarbeitung der Daten durch den Auftragnehmer ist räumlich auf die EU und den EWR beschränkt. Die Übermittlung von Daten durch den Auftragnehmer an einen Empfänger mit Sitz außerhalb des EWR ist nur unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig und bedarf der gesonderten vorherigen schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer wird insbesondere sicherstellen, dass der Auftraggeber die Standardvertragsklauseln (vgl. z.B. die Entscheidung der Europäischen Kommission vom 5. Februar 2010, veröffentlicht im Amtsblatt der Europäischen Union L39/5, C (2010) 593) mit dem Empfänger der Daten abschließen kann. 7. Der Auftraggeber kann sich nach rechtzeitiger schriftlicher Anmeldung zu Prüfzwecken in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Gesetze über den Datenschutz überzeugen. Der Auftragnehmer ist verpflichtet, die Kontrollen des Auftraggebers nach diesem Vertrag zu dulden, Mitwirkungsleistungen zu erbringen, soweit für die Kontrolle des Auftraggebers nach diesem Vertrag erforderlich, und dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist Auskünfte zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind. Der Auftragnehmer ermöglicht dem Auftraggeber insbesondere, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

8. Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber unverzüglich nach Kenntniserlangung eine Meldung, wenn durch ihn, die bei ihm beschäftigten Personen oder die von ihm eingesetzten Unterauftragnehmer Verstöße gegen Vorschriften zum Schutz der Daten des Auftraggebers (insbesondere die DSGVO) oder gegen die in dieser Vereinbarung getroffenen Festlegungen vorgefallen sind bzw. ein entsprechender Verdacht besteht. Der Auftragnehmer wird entsprechende Vorfälle dokumentieren, unverzüglich aufklären und Abhilfe schaffen. Er wird den Auftraggeber über den Fortgang der Angelegenheit bis zur Behebung des Vorfalls informiert halten. Sollte die Verletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen gem. Art. 33 DSGVO führen, wird der Auftragnehmer den Auftraggeber bei der Aufklärung des Vorfalls und im Rahmen der entsprechenden Meldung an die Datenschutzaufsichtsbehörde bzw. die Betroffenen umfassend unterstützen.

9. Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.

Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer wird die Weisungen soweit erforderlich dokumentieren.

10. Vorbehaltlich abweichender Vereinbarungen und gesetzlicher oder satzungsmäßiger Pflichten ist der Auftragnehmer nach Vertragsende verpflichtet, ihm überlassene Datenträger an en Auftraggeber unverzüglich zurück zu geben und ihm in Zusammenhang mit dem Auftrag übergebene und noch nicht gelöschte personenbezogene Daten zu löschen. Über die Herausgabe oder Löschung nach Vertragsende muss der Auftraggeber innerhalb einer vom Auftragnehmer gesetzten Frist entscheiden. Wenn der Auftragnehmer zu vernichtende Unterlagen oder Datenträger mit personenbezogenen Daten dem Auftraggeber nicht zurückgibt, so ist der Auftragnehmer verpflichtet, die Unterlagen ordnungsgemäß zu entsorgen, ohne dass unbefugte Dritte von den Daten Kenntnis erlangen können. Entstehen beim Auftragnehmer nach Vertragsbeendigung Kosten durch die Herausgabe oder Löschung der Daten des Auftraggebers, so trägt diese der Auftraggeber.

Anlage 2: Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO, § 64 BDSG)
1) Der Auftragnehmer hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

2) Diese Maßnahmen können unter anderem die Pseudonymisierung und die Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.

3) Die Maßnahmen sollen dazu führen, dass
a) die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und,
b) dass die Verfügbarkeit personenbezogener Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

4) Der Auftragsverarbeiter hat nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

Zugangskontrolle
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte. Zweckmäßige Maßnahmen sind unter anderem:
- Zutrittskontrollsystem, zentrale Schlüsselverwaltung, Magnetkarte
- Schlüssel/Schlüsselvergabe ist zentral und organisatorisch klar geregelt
- Klare Zuweisung der Berechtigungen (Zugang Gebäude, Büro, Serverraum)
- Gebäudeschutz an Wochenenden und nachts gewährleistet
- Pförtner/Empfang mit Videoüberwachung
- Regelungen für Besucher (Besucherausweis, Begleitung im Gebäude)
- Videoüberwachung sensibler Bereiche des Gebäudes (Tiefgarage)
- Verschließen von Schränken und Büros bei Nichtanwesenheit

Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern. Zweckmäßige Maßnahmen sind unter anderem:
- Dezidiertes Kennwortverfahren zum Login [z.B. Klare Passwortregelung (bestimmte Länge, Kombination aus Buchstaben und Zahlen, keine Trivialpasswörter, Änderung in regelmäßigen Abständen). Voreingestellte Passwörter müssen umgehend geändert werden]
- Automatische Sperrung (z.B. Regelung zur automatischen Sperrung des Computers nach einer bestimmten Zeit der Inaktivität (ca. 5 min) mit anschließendem erneutem Login)
- Automatischer Standby-Betrieb der lokalen Rechner
- Verschlüsselung von Datenträgern möglich
- Besondere Vorsicht bei Mitnahme von Laptop/Datenträgern/Smartphones aus den Büroräumen heraus
- Möglichkeit der Fernlöschung von Smartphones

Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.

Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Zweckmäßige Maßnahmen sind unter anderem:
- Differenzierte Berechtigungen (Profile, Rollen)
- Differenziertes Ordnerkonzept (z.B. alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos wiedergefunden werden können).
- Datenträger sind eindeutig zu kennzeichnen und sicher aufzubewahren.
- Sichere Löschung von Daten und/ oder Vernichtung von Datenträgern.
- Ordnung am Arbeitsplatz [Datenträger (USB-Sticks, CD-ROMs) mit vertraulichem Material dürfen nicht offen herumliegen].
- Anpassung sicherheitsrelevanter Standardeinstellungen von neuen Programmen und IT-Systemen
- Deinstallation bzw. Deaktivierung nicht benötigter sicherheitsrelevanter Programme und Funktionen (v.a. bei Smartphones)

Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Zweckmäßige Maßnahmen sind unter anderem:
- Protokollierungs- und Protokollauswertungssysteme werden eingesetzt bzw. sind als Teile von bestehenden Softwareapplikationen anwendbar
- Zugriff auf Datenverarbeitungssysteme nur nach Login möglich
- Keine Weitergabe von Passwörtern
- Zusätzlich zur automatischen Sperrung: manuelle Abmeldung beim Verlassen des Büros

Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Zweckmäßige Maßnahmen sind unter anderem:
- Verschlüsselung (insbes. Laptops)
- Tunnelverbindung (VPN = Virtual Private Network)
- Elektronische Signatur möglich
- Keine Benutzung von nicht freigegebener Hard-/ Software
- Keine Weiterleitung von E-Mails an private E-Mail-Accounts von Mitarbeitern
- Vorsicht beim Umgang mit Backup-Bändern
- Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt).
- Regelung zum Einsatz von USB-Sticks und CD-ROMs

Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.

Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Eindeutige Vertragsgestaltung/Standardvertrag zu Art. 28 DSGVO vorhanden
- Formalisierte Auftragserteilung (Auftragsformular)
- Kriterien zur Auswahl des Auftragnehmers wird stringent eingehalten
- Kontrolle der Vertragsausführung wird durch den DSB gewährleistet

Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Zweckmäßige Maßnahmen sind unter anderem:
- Regelmäßiges Backup-Verfahren ist sichergestellt (Definition: Welche Daten werden wie lange gesichert?; Einbeziehung von Laptops und nicht vernetzten Systemen; Regelmäßige Kontrolle der Sicherungsbänder; Dokumentierung der Sicherungsverfahren)
- Getrennte Aufbewahrung von Daten ist gewährleistet
- Virenschutz/Firewall nach aktuellem Stand der Technik ist gewährleistet
- Schutz gegen Feuer, Überhitzung, Wasserschäden, Überspannung und Stromausfall im Serverraum
- Notfallplan besteht und wird regelmäßig geübt
- Notstromversorgung/Unterbrechungsfreie Stromversorgung (USV)
- Besondere Vorsicht bei Mitnahme von Laptop/Datenträger aus den Büroräumen heraus
- Vertretungsregelungen, v.a. bzgl. Administrator

Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Physisch und/oder logisch getrennte Speicherung, Veränderung, Löschung und Übermittlung von Daten, die unterschiedlichen Zwecken dienen (Mandantenfähigkeit)
- Funktionstrennung, insbesondere zwischen Produktions- und Testdaten

Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen
-
Regelmäßige fachliche Fortbildung der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten
- Schulung der Mitarbeiter im Umgang mit der IT und zur Schärfung des IT-Sicherheitsbewusstseins
- Sicherheitshinweise werden allen Mitarbeitern in geeigneter Form bekannt gegeben und sind dauerhaft abrufbar (z.B. durch Veröffentlichung im Intranet)
- Auswertung von Meldungen und Berichten zu ungewöhnlichen Vorkommnissen
- Untersuchung erkannter oder vermuteter Verstöße gegen sicherheitsrelevante Vorgaben
- Regelmäßige Prüfung der Effektivität der bestehenden technischen und organisatorischen Maßnahmen und Prüfung, ob neue technische und organisatorische Maßnahmen erforderlich sind (beides unter Hinzuziehung des Datenschutzbeauftragten)
- Regelmäßige und anlassbezogene Kontrolle der Funktionalität der IT, einschließlich unter dem Aspekt der Zutrittskontrolle
- Eskalations- und Meldewege bei sicherheitsrelevanten Vorkommnissen
- Verfügbarkeit der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten als Ansprechpartner bei allen Fragen zur IT-Nutzung und -sicherheit.

Anlage 3: Datenschutzrechtliche Spezifikationen

Werbemaßnahmen über alle Medienkanäle (u.a. Print, Online, Telefon) zur Generierung von neuen und dem Ausbau bestehender Kunden.

Art der Daten
• Kundendaten (Name, Adresse, Telefon, E-Mail, etc.)
• Interessen (zur Personalisierung von Werbemaßnahmen)
• Analysedaten (zur Optimierung von ROI und Nachweisen, u.a. IP-Adresse, Öffnungsrate, Klickverhalten)

Betroffene
• Endkunden (B2B und B2C)
• Kunden
• Mitarbeiter


Stand: 25.05.2018
buhmann marketing gmbh, Industriestr. 15, 82110 Germering