BILDRAUMWEST GBR werbeagentur + studio für fotografie, video, grafik- und webdesign am waldfriedhof 5 . 92637 weiden wiebke wollner + alexander hoesl TERMINE NACH VEREINBARUNG 0961 7448638 jetzt@bildraumwest.de
ERKLÄRUNG ZUM DATENSCHUTZ
verantwortlicher im sinne der datenschutzgesetze, insbesondere der eu-datenschutzgrundverordnung (dsgvo), ist: bildraumwest gbr
IHRE BETROFFENENRECHTE
unter den angegebenen kontaktdaten unseres datenschutzbeauftragten können sie jederzeit folgende rechte ausüben:
- auskunft über ihre bei uns gespeicherten daten und deren verarbeitung (art. 15 dsgvo),
- berichtigung unrichtiger personenbezogener daten (art. 16 dsgvo),
- löschung ihrer bei uns gespeicherten daten (art. 17 dsgvo),
- einschränkung der datenverarbeitung, sofern wir ihre daten aufgrund gesetzlicher pflichten noch nicht löschen dürfen (art. 18 dsgvo),
- widerspruch gegen die verarbeitung ihrer daten bei uns (art. 21 dsgvo) und
- datenübertragbarkeit, sofern sie in die datenverarbeitung eingewilligt haben oder einen vertrag mit uns abgeschlossen haben (art. 20 dsgvo).
sofern sie uns eine einwilligung erteilt haben, können sie diese jederzeit mit wirkung für die zukunft widerrufen. sie können sich jederzeit mit einer beschwerde an eine aufsichtsbehörde wenden, z. b. an die zuständige aufsichtsbehörde des bundeslands ihres wohnsitzes oder an die für uns als verantwortliche stelle zuständige behörde. eine liste der aufsichtsbehörden (für den nichtöffentlichen bereich) mit anschrift finden sie hier.
ERFASSUNG ALLGEMEINER INFORMATIONEN BEIM BESUCH UNSERER WEBSITE
art und zweck der verarbeitung:
wenn sie auf unsere website zugreifen, d.h., wenn sie sich nicht registrieren oder anderweitig informationen übermitteln, werden automatisch informationen allgemeiner natur erfasst. diese informationen (server-logfiles) beinhalten etwa die art des webbrowsers, das verwendete betriebssystem, den domainnamen ihres internet-service-providers, ihre ip-adresse und ähnliches.
sie werden insbesondere zu folgenden zwecken verarbeitet:
- sicherstellung eines problemlosen verbindungsaufbaus der website,
- sicherstellung einer reibungslosen nutzung unserer website,
- auswertung der systemsicherheit und -stabilität sowie
- zur optimierung unserer website.
wir verwenden ihre daten nicht, um rückschlüsse auf ihre person zu ziehen. informationen dieser art werden von uns ggfs. anonymisiert statistisch ausgewertet, um unseren internetauftritt und die dahinterstehende technik zu optimieren.
rechtsgrundlage und berechtigtes interesse:
die verarbeitung erfolgt gemäss art. 6 abs. 1 lit. f dsgvo auf basis unseres berechtigten interesses an der verbesserung der stabilität und funktionalität unserer website.
empfänger:
empfänger der daten sind ggf. technische dienstleister, die für den betrieb und die wartung unserer webseite als auftragsverarbeiter tätig werden.
speicherdauer:
die daten werden gelöscht, sobald diese für den zweck der erhebung nicht mehr erforderlich sind. dies ist für die daten, die der bereitstellung der website dienen, grundsätzlich der fall, wenn die jeweilige sitzung beendet ist.
im falle der speicherung der daten in logfiles ist dies nach spätestens 14 tagen der fall. eine darüberhinausgehende speicherung ist möglich. in diesem fall werden die ip-adressen der nutzer anonymisiert, sodass eine zuordnung des aufrufenden clients nicht mehr möglich ist.
bereitstellung vorgeschrieben oder erforderlich:
die bereitstellung der vorgenannten personenbezogenen daten ist weder gesetzlich noch vertraglich vorgeschrieben. ohne die ip-adresse ist jedoch der dienst und die funktionsfähigkeit unserer website nicht gewährleistet. zudem können einzelne dienste und services nicht verfügbar oder eingeschränkt sein. aus diesem grund ist ein widerspruch ausgeschlossen.
COOKIES
wie viele andere webseiten verwenden wir auch so genannte „cookies“. bei cookies handelt es sich um kleine textdateien, die auf ihrem endgerät (laptop, tablet, smartphone o.ä.) gespeichert werden, wenn sie unsere webseite besuchen. sie können sie einzelne cookies oder den gesamten cookie-bestand löschen. darüber hinaus erhalten sie informationen und anleitungen, wie diese cookies gelöscht oder deren speicherung vorab blockiert werden können. je nach anbieter ihres browsers finden sie die notwendigen informationen unter den nachfolgenden links:
soweit sie uns durch ihre browsereinstellungen oder zustimmung die verwendung von cookies erlauben, können folgende cookies auf unseren webseiten zum einsatz kommen: siehe cookie-banner
TECHNISCH NOTWENDIGE COOKIES
art und zweck der verarbeitung:
wir setzen cookies ein, um unsere website nutzerfreundlicher zu gestalten. einige elemente unserer internetseite erfordern es, dass der aufrufende browser auch nach einem seitenwechsel identifiziert werden kann. der zweck der verwendung technisch notwendiger cookies ist, die nutzung von websites für die nutzer zu vereinfachen. einige funktionen unserer internetseite können ohne den einsatz von cookies nicht angeboten werden. für diese ist es erforderlich, dass der browser auch nach einem seitenwechsel wiedererkannt wird.
rechtsgrundlage und berechtigtes interesse:
die verarbeitung erfolgt gemäß art. 6 abs. 1 lit. f dsgvo auf basis unseres berechtigten interesses an einer nutzerfreundlichen gestaltung unserer website.
empfänger:
empfänger der daten sind ggf. technische dienstleister, die für den betrieb und die wartung unserer website als auftragsverarbeiter tätig werden.
bereitstellung vorgeschrieben oder erforderlich:
die bereitstellung der vorgenannten personenbezogenen daten ist weder gesetzlich noch vertraglich vorgeschrieben. ohne diese daten ist jedoch der dienst und die funktionsfähigkeit unserer website nicht gewährleistet. zudem können einzelne dienste und services nicht verfügbar oder eingeschränkt sein.
widerspruch:
lesen sie dazu die informationen über ihr widerspruchsrecht nach art. 21 dsgvo weiter unten.
TECHNISCH NICHT NOTWENDIGE COOKIES
des weiteren setzen wir cookies ein, um das angebot auf unserer website besser auf die interessen unserer besucher abzustimmen oder auf basis statistischer auswertungen allgemein zu verbessern. welche anbieter cookies setzen, entnehmen sie bitte den unten aufgeführten informationen zu den eingesetzten darstellungs-, tracking-, remarketing- und webanalyse-technologien.
rechtsgrundlage:
rechtsgrundlage für diese verarbeitungen ist jeweils ihre einwilligung, art. 6 abs. 1 lit. a dsgvo.
empfänger:
empfänger der daten sind ggf. technische dienstleister, die für den betrieb und die wartung unserer website als auftragsverarbeiter tätig werden. weitere empfänger entnehmen sie bitte den unten aufgeführten informationen zu den eingesetzten darstellungs-, tracking-, remarketing- und webanalyse-technologien.
drittlandtransfer:
informationen hierzu entnehmen sie bitte aus den auflistungen der einzelnen darstellungs-, tracking-, remarketing- und webanalyse-anbietern.
bereitstellung vorgeschrieben oder erforderlich:
natürlich können sie unsere website grundsätzlich auch ohne cookies betrachten. webbrowser sind regelmässig so eingestellt, dass sie cookies akzeptieren. im allgemeinen können sie die verwendung von cookies jederzeit über die einstellungen ihres browsers deaktivieren (siehe widerruf der einwilligung).
bitte beachten sie, dass einzelne funktionen unserer website möglicherweise nicht funktionieren, wenn sie die verwendung von cookies deaktiviert haben.
widerruf der einwilligung:
sie können ihre einwilligung jederzeit über unser cookie-consent-tool widerrufen.
profiling:
inwiefern wir das verhalten von websitebesuchern mit pseudonymisierten nutzerprofilen analysieren, entnehmen sie bitte den unten aufgeführten informationen zu den eingesetzten darstellungs-, tracking-, remarketing- und webanalyse-technologien.
KONTAKTFORMULAR
art und zweck der verarbeitung:
die von ihnen eingegebenen daten werden zum zweck der individuellen kommunikation mit ihnen gespeichert. hierfür ist die angabe einer validen e-mail-adresse sowie ihres namens erforderlich. diese dient der zuordnung der anfrage und der anschliessenden beantwortung derselben. die angabe weiterer daten ist optional.
rechtsgrundlage:
die verarbeitung der in das kontaktformular eingegebenen daten erfolgt auf der grundlage eines berechtigten interesses (art. 6 abs. 1 lit. f dsgvo). durch bereitstellung des kontaktformulars möchten wir ihnen eine unkomplizierte kontaktaufnahme ermöglichen. ihre gemachten angaben werden zum zwecke der bearbeitung der anfrage sowie für mögliche anschlussfragen gespeichert. sofern sie mit uns kontakt aufnehmen, um ein angebot zu erfragen, erfolgt die verarbeitung der in das kontaktformular eingegebenen daten zur durchführung vorvertraglicher massnahmen (art. 6 abs. 1 lit. b dsgvo).
empfänger:
empfänger der daten sind ggf. auftragsverarbeiter.
speicherdauer:
daten werden spätestens 6 monate nach bearbeitung der anfrage gelöscht.
sofern es zu einem vertragsverhältnis kommt, unterliegen wir den gesetzlichen aufbewahrungsfristen nach hgb und löschen ihre daten nach ablauf dieser fristen.
bereitstellung vorgeschrieben oder erforderlich:
die bereitstellung ihrer personenbezogenen daten erfolgt freiwillig. wir können ihre anfrage jedoch nur bearbeiten, sofern sie uns ihren namen, ihre e-mail-adresse und den grund der anfrage mitteilen.
VERWENDUNG VON ADOBE FONTS
wir setzen typekit-webschriftarten von adobe fonts zur visuellen gestaltung unserer website ein. adobe fonts ist ein dienst der adobe systems software ireland companies (4-6 riverwalk, citywest business campus, dublin 24, republic of ireland; nachfolgend „adobe“), der uns den zugriff auf eine schriftartenbibliothek gewährt. zur einbindung der von uns benutzten schriftarten muss ihr browser eine verbindung zu einem server von adobe in den usa aufbauen und die für unsere website benötigte schriftart herunterladen. adobe erhält hierdurch die information, dass von ihrer ip-adresse unsere website aufgerufen wurde. weitere informationen zu adobe fonts finden sie in den datenschutzhinweisen von adobe fonts, die sie hier abrufen können: adobe ds
wenn ihr browser web fonts nicht unterstützt, oder sie ihre einwilligung nicht erteilen, wird eine standardschrift von ihrem computer genutzt.
widerruf der einwilligung:
vom anbieter wird derzeit keine möglichkeit für einen einfachen opt-out oder ein blockieren der datenübertragung angeboten. wenn sie eine nachverfolgung ihrer aktivitäten auf unserer website verhindern wollen, widerrufen sie bitte im cookie-consent-tool ihre einwilligung für die entsprechende cookie-kategorie oder alle technisch nicht notwendigen cookies und datenübertragungen. in diesem fall können sie unsere website jedoch ggfs. nicht oder nur eingeschränkt nutzen.
SSL-VERSCHLÜSSELUNG
um die sicherheit ihrer daten bei der übertragung zu schützen, verwenden wir dem aktuellen stand der technik entsprechende verschlüsselungsverfahren (z. b. ssl) über https. information über ihr widerspruchsrecht nach art. 21 dsgvo
EINZELFALL-BEZOGENES RECHT AUF WIDERSPRUCH
sie haben das recht, aus gründen, die sich aus ihrer besonderen situation ergeben, jederzeit gegen die verarbeitung sie betreffender personenbezogener daten, die aufgrund art. 6 abs. 1 lit. f dsgvo (datenverarbeitung auf der grundlage einer interessenabwägung) erfolgt, widerspruch einzulegen; dies gilt auch für ein auf diese bestimmung gestütztes profiling im sinne von art. 4 nr. 4 dsgvo. legen sie widerspruch ein, werden wir ihre personenbezogenen daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige gründe für die verarbeitung nachweisen, die ihre interessen, rechte und freiheiten überwiegen, oder die verarbeitung dient der geltendmachung, ausübung oder verteidigung von rechtsansprüchen.
EMPFÄNGER EINES WIDERSPRUCHS
webservice@bildraumwest.de
ÄNDERUNG UNSERER BESTIMMUNGEN
wir behalten uns vor, diese datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen anforderungen entspricht oder um änderungen unserer leistungen in der datenschutzerklärung umzusetzen, z.b. bei der einführung neuer services. für ihren erneuten besuch gilt dann die neue datenschutzerklärung.
AGB
wir formulieren es einfach. raw-dateien der fotografien und offene dateien und druckdateien sämtlicher entwürfe der grafiken und illustrationen sind nicht bestandteil der in rechnung gestellten leistungen und werden aus urheberrechtlichen gründen nicht herausgegeben. das urheberrecht dieser punkte treten wir zu keinem zeitpunkt ab.
mit zustimmung zu einem angebot und der offensichtlichen beauftragung der darin enthaltenen punkte gilt automatisch folgender allgemeiner hinweis zur auftragsverarbeitung gem. artikel 28 der dsgvo (stand: 11/2024). hallelujah und danke, liebe eu.
auftragsverarbeitung personenbezogener daten
1 einleitung, geltungsbereich, definitionen
(1) dieser vertrag regelt die rechte und pflichten von auftraggeber und -nehmer (im folgenden „parteien“ genannt) im rahmen einer verarbeitung von personenbezogenen daten im auftrag.
(2) dieser vertrag findet auf alle tätigkeiten anwendung, bei denen mitarbeiter des auftragnehmers oder durch ihn beauftragte unterauftragnehmer (subunternehmer) personenbezogene daten des auftraggebers in dessen auftrag verarbeiten.
(3) in diesem vertrag verwendete begriffe sind entsprechend ihrer definition in der eu datenschutz-grundverordnung zu verstehen. in diesem sinne ist der auftraggeber der „verantwortliche“, der auftragnehmer der „auftragsverarbeiter“. soweit erklärungen im folgenden „schriftlich“ zu erfolgen haben, ist die schriftform nach § 126 bgb gemeint. im übrigen können erklärungen auch in anderer form erfolgen, soweit eine angemessene nachweisbarkeit gewährleistet ist.
2 gegenstand und dauer der verarbeitung
2.1 gegenstand
der auftragnehmer übernimmt folgende verarbeitungen: gestaltung und platzierung von unter-nehmensinformationen, digital und in printmedien.
die verarbeitung beruht auf: leistungsbeschreibung / angebot / lastenheft (folgend „hauptvertrag“ genannt).
2.2 dauer
die verarbeitung beginnt ab dem zeitpunkt der zustimmung zu den unterlagen aus 2.1.
3 art, zweck und betroffene der datenverarbeitung:
3.1 art der verarbeitung
die verarbeitung hat gestalterischen charakter.
3.2 zweck der verarbeitung
der zugrundeliegende zweck der verarbeitung ist in der leistungsbeschreibung / im angebot oder im lastenheft geregelt.
3.3 art der daten
es werden folgende daten verarbeitet: informationen von in den unternehmen arbeitenden personen (z. b. zur gestaltung von visitenkarten, platzierung auf der website etc.).
3.4 kategorien der betroffenen personen
von der verarbeitung betroffen sind: mitarbeiter des auftraggebers
4 pflichten des auftragnehmers
(1) der auftragnehmer verarbeitet personenbezogene daten ausschliesslich wie vertraglich vereinbart oder wie vom auftraggeber angewiesen, es sei denn, der auftragnehmer ist gesetzlich zu einer bestimmten verarbeitung verpflichtet. sofern solche verpflichtungen für ihn bestehen, teilt der auftragnehmer diese dem auftraggeber vor der verarbeitung mit, es sei denn, die mitteilung ist ihm gesetzlich verboten. der auftragnehmer verwendet darüber hinaus die zur verarbeitung überlassenen daten für keine anderen, insbesondere nicht für eigene zwecke.
(2) der auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen vorschriften bekannt sind. er beachtet die grundsätze ordnungsgemässer datenverarbeitung.
(3) der auftragnehmer verpflichtet sich, bei der verarbeitung die vertraulichkeit streng zu wahren.
(4) personen, die kenntnis von den im auftrag verarbeiteten daten erhalten können, haben sich schriftlich zur vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen geheimhaltungspflicht unterliegen.
(5) der auftragnehmer sichert zu, dass die bei ihm zur verarbeitung eingesetzten personen vor beginn der verarbeitung mit den relevanten bestimmungen des datenschutzes und dieses vertrags vertraut gemacht wurden. entsprechende schulungs- und sensibilisierungsmaßnahmen sind angemessen regelmässig zu wiederholen. der auftragnehmer trägt dafür sorge, dass zur auftragsverarbeitung eingesetzte personen hinsichtlich der erfüllung der datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
(6) im zusammenhang mit der beauftragten verarbeitung unterstützt der auftragnehmer den auftraggeber soweit erforderlich bei der erfüllung seiner datenschutzrechtlichen pflichten, insbesondere bei erstellung und fortschreibung des verzeichnisses der verarbeitungstätigkeiten, bei durchführung der datenschutzfolgeabschätzung und einer notwendigen konsultation der aufsichtsbehörde. die erforderlichen angaben und dokumentationen sind vorzuhalten und dem auftraggeber auf anforderung unverzüglich zuzuleiten.
(7) wird der auftraggeber durch aufsichtsbehörden oder andere stellen einer kontrolle unterzogen oder machen betroffene personen ihm gegenüber rechte geltend, verpflichtet sich der auftragnehmer den auftraggeber im erforderlichen umfang zu unterstützen, soweit die verarbeitung im auftrag betroffen ist.
(8) auskünfte an dritte oder den betroffenen darf der auftragnehmer nur nach vorheriger zustimmung durch den auftraggeber erteilen. direkt an ihn gerichtete anfragen wird er unverzüglich an den auftraggeber weiterleiten.
(9) soweit gesetzlich verpflichtet, bestellt der auftragnehmer eine fachkundige und zuverlässige person als beauftragten für den datenschutz. es ist sicherzustellen, dass für den beauftragten keine interessenskonflikte bestehen. in zweifelsfällen kann sich der auftraggeber direkt an den datenschutzbeauftragten wenden. der auftragnehmer teilt dem auftraggeber unverzüglich die kontaktdaten des datenschutzbeauftragten mit oder begründet, weshalb kein beauftragter bestellt wurde. änderungen in der person oder den innerbetrieblichen aufgaben des beauftragten teilt der auftragnehmer dem auftraggeber unverzüglich mit.
(10) die auftragsverarbeitung erfolgt grundsätzlich innerhalb der eu oder des ewr. jegliche verlagerung in ein drittland darf nur mit zustimmung des auftraggebers und unter den in kapitel v der datenschutz-grundverordnung enthaltenen bedingungen sowie bei einhaltung der bestimmungen dieses vertrags erfolgen.
5 sicherheit der verarbeitung
(1) die datensicherheitsmaßnahmen können der technischen und organisatorischen weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte niveau nicht unterschritten wird. zur aufrechterhaltung der informationssicherheit erforderliche änderungen hat der auftragnehmer unverzüglich umzusetzen. änderungen sind dem auftraggeber unverzüglich mitzuteilen. wesentliche änderungen sind zwischen den parteien zu vereinbaren.
(2) soweit die getroffenen sicherheitsmaßnahmen den anforderungen des auftraggebers nicht oder nicht mehr genügen, benachrichtigt der auftragnehmer den auftraggeber unverzüglich.
(3) der auftragnehmer sichert zu, dass die im auftrag verarbeiteten daten von sonstigen datenbeständen strikt getrennt werden.
(4) kopien oder duplikate werden ohne wissen des auftraggebers nicht erstellt. ausgenommen sind technisch notwendige, temporäre vervielfältigungen, soweit eine beeinträchtigung des hier vereinbarten datenschutzniveaus ausgeschlossen ist.
(5) die verarbeitung von daten in privatwohnungen ist nur mit vorheriger schriftlicher zustimmung des auftraggebers im einzelfall gestattet. soweit eine solche verarbeitung erfolgt, ist vom auftragnehmer sicherzustellen, dass dabei ein diesem vertrag entsprechendes niveau an datenschutz und datensicherheit aufrechterhalten wird und die in diesem vertrag bestimmten kontrollrechte des auftraggebers uneingeschränkt auch in den betroffenen privatwohnungen ausgeübt werden können. die verarbeitung von daten im auftrag mit privatgeräten ist unter keinen umständen gestattet.
(6) dedizierte datenträger, die vom auftraggeber stammen bzw. für den auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden verwaltung. sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten personen nicht zu-gänglich sein. ein- und ausgänge werden dokumentiert.
(7) der auftragnehmer führt den regelmässigen nachweis der erfüllung seiner pflichten, ins-besondere der vollständigen umsetzung der vereinbarten technischen und organisatorischen maßnahmen sowie ihrer wirksamkeit. der nachweis ist dem auftraggeber spätestens alle 12 monate unaufgefordert und sonst jederzeit auf anforderung zu überlassen. der nachweis kann durch genehmigte verhaltensregeln oder ein genehmigtes zertifizierungsverfahren erbracht werden. nachweise sind mindestens bis zum ablauf drei kalenderjahren nach beendigung der auftragsverarbeitung aufzubewahren und dem auftraggeber jederzeit auf verlangen vorzulegen.
6 regelungen zur berichtigung, löschung und sperrung von daten
(1) im rahmen des auftrags verarbeitete daten wird der auftragnehmer nur entsprechend der getroffenen vertraglichen vereinbarung oder nach weisung des auftraggebers berichtigen, löschen oder sperren.
(2) den entsprechenden weisungen des auftraggebers wird der auftragnehmer jederzeit und auch über die beendigung dieses vertrages hinaus folge leisten.
7 unterauftragsverhältnisse
(1) die beauftragung von subunternehmern ist nur mit schriftlicher zustimmung des auftraggebers im einzelfall zugelassen.
(2) die zustimmung ist nur möglich, wenn dem subunternehmer vertraglich mindestens datenschutzpflichten auferlegt wurden, die den in diesem vertrag vereinbarten vergleichbar sind. der auftraggeber erhält auf verlangen einsicht in die relevanten verträge zwischen auftragnehmer und subunternehmer.
(3) die rechte des auftraggebers müssen auch gegenüber dem subunternehmer wirksam ausgeübt werden können. insbesondere muss der auftraggeber berechtigt sein, jederzeit in dem hier festgelegten umfang kontrollen auch bei subunternehmern durchzuführen oder durch dritte durchführen zu lassen.
(4) die verantwortlichkeiten des auftragnehmers und des subunternehmers sind eindeutig voneinander abzugrenzen.
(5) eine weitere subbeauftragung durch den subunternehmer ist nicht zulässig.
(6) der auftragnehmer wählt den subunternehmer unter besonderer berücksichtigung der eignung der vom subunternehmer getroffenen technischen und organisatorischen maßnahmen sorgfältig aus.
(7) die weiterleitung von im auftrag verarbeiteten daten an den subunternehmer ist erst zulässig, wenn sich der auftragnehmer dokumentiert davon überzeugt hat, dass der subunternehmer seine verpflichtungen vollständig erfüllt hat. der auftragnehmer hat dem auftraggeber die dokumentation unaufgefordert vorzulegen.
(8) die beauftragung von subunternehmern, die verarbeitungen im auftrag nicht ausschließlich aus dem gebiet der eu oder des ewr erbringen, ist nur bei beachtung der in kapitel 4 (10) dieses vertrages genannten bedingungen möglich. sie ist insbesondere nur zulässig, soweit und solange der subunternehmer angemessene datenschutzgarantien bietet. der auftragnehmer teilt dem auftraggeber mit, welche konkreten datenschutzgarantien der subunternehmer bietet und wie ein nachweis hierüber zu erlangen ist.
(9) der auftragnehmer hat die einhaltung der pflichten des subunternehmers regelmässig, spätestens alle 12 monate, angemessen zu überprüfen. die prüfung und ihr ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen dritten nachvollziehbar sind. die dokumentation ist dem auftraggeber unaufgefordert vorzulegen. der auftragnehmer bewahrt die dokumentation über durchgeführte prüfungen mindestens bis zum ablauf des dritten kalenderjahres nach beendigung der auftragsverarbeitung auf und legt diese dem auftraggeber auf verlangen jederzeit vor.
(10) kommt der subunternehmer seinen datenschutzpflichten nicht nach, so haftet hierfür der auftragnehmer gegenüber dem auftraggeber.
(11) unterauftragsverhältnisse im sinne dieses vertrags sind nur solche leistungen, die einen direkten zusammenhang mit der erbringung der hauptleistung aufweisen. nebenleistungen, wie beispielsweise transport, wartung und reinigung sowie die inanspruchnahme von telekommunikationsdienstleistungen oder benutzerservice sind nicht erfasst. die pflicht des auftragnehmers, auch in diesen fällen die beachtung von datenschutz und datensicherheit sicherzustellen, bleibt unberührt.
8 rechte und pflichten des auftraggebers
(1) für die beurteilung der zulässigkeit der beauftragten verarbeitung sowie für die wahrung der rechte von betroffenen ist allein der auftraggeber verantwortlich.
(2) der auftraggeber erteilt alle aufträge, teilaufträge oder weisungen dokumentiert. in eilfällen können weisungen mündlich erteilt werden. solche weisungen wird der auftraggeber unverzüglich dokumentiert bestätigen.
(3) der auftraggeber informiert den auftragnehmer unverzüglich, wenn er fehler oder unregelmäßigkeiten bei der prüfung der auftragsergebnisse feststellt.
(4) der auftraggeber ist berechtigt, die einhaltung der vorschriften über den datenschutz und der vertraglichen vereinbarungen beim auftragnehmer in angemessenem umfang selbst oder durch dritte, insbesondere durch die einholung von auskünften und die einsichtnah-me in die gespeicherten daten und die datenverarbeitungsprogramme sowie sonstige kontrollen vor ort zu kontrollieren. den mit der kontrolle betrauten personen ist vom auftragnehmer soweit erforderlich zutritt und einblick zu ermöglichen. der auftragnehmer ist verpflichtet, erforderliche auskünfte zu erteilen, abläufe zu demonstrieren und nachweise zu führen, die zur durchführung einer kontrolle erforderlich sind. der auftragnehmer ist berechtigt, kontrollen durch dritte zu verweigern, soweit diese mit ihm in einem wettbewerbsverhältnis stehen oder ähnlich gewichtige gründe vorliegen.
(5) kontrollen beim auftragnehmer haben ohne vermeidbare störungen seines geschäftsbetriebs zu erfolgen. soweit nicht aus vom auftraggeber zu dokumentierenden, dringlichen gründen anders angezeigt, finden kontrollen nach angemessener vorankündigung und zu geschäftszeiten des auftragnehmers, sowie nicht häufiger als alle 12 monate statt. soweit der auftragnehmer den nachweis der korrekten umsetzung der vereinbarten datenschutzpflichten wie unter kapitel 5 (8) dieses vertrages vorgesehen erbringt, soll sich eine kontrolle auf stichproben beschränken.
9 mitteilungspflichten
(1) der auftragnehmer teilt dem auftraggeber verletzungen des schutzes im auftrag verarbeiteter personenbezogener daten unverzüglich mit. auch begründete verdachtsfälle hierauf sind mitzuteilen. die mitteilung hat spätestens innerhalb von 24 stunden ab kenntnis des auftragnehmers vom relevanten ereignis an eine vom auftraggeber benannte adresse zu erfolgen. sie muss mindestens folgende angaben enthalten:
a. eine beschreibung der art der verletzung des schutzes personenbezogener daten, soweit möglich mit angabe der kategorien und der ungefähren zahl der betroffenen personen, der betroffenen kategorien und der ungefähren zahl der betroffenen personenbezogenen datensätze;
b. den namen und die kontaktdaten des datenschutzbeauftragten oder einer sonsti-gen anlaufstelle für weitere informationen;
c. eine beschreibung der wahrscheinlichen folgen der verletzung des schutzes per-sonenbezogener daten;
d. eine beschreibung der vom auftragnehmer ergriffenen oder vorgeschlagenen maßnahmen zur behebung der verletzung des schutzes personenbezogener daten und gegebenenfalls maßnahmen zur abmilderung ihrer möglichen nachteili-gen auswirkungen
(2) ebenfalls unverzüglich mitzuteilen sind erhebliche störungen bei der auftragserledigung sowie verstöße des auftragnehmers oder der bei ihm beschäftigten personen gegen da-tenschutzrechtliche bestimmungen oder die in diesem vertrag getroffenen festlegungen.
(3) der auftragnehmer informiert den auftraggeber unverzüglich von kontrollen oder mass-nahmen von aufsichtsbehörden oder anderen dritten, soweit diese bezüge zur auf-tragsverarbeitung aufweisen.
(4) der auftragnehmer sichert zu, den auftraggeber bei dessen pflichten nach art. 33 und 34 datenschutz-grundverordnung im erforderlichen umfang zu unterstützen.
10 weisungen
(1) der auftraggeber behält sich hinsichtlich der verarbeitung im auftrag ein umfassendes weisungsrecht vor.
(2) auftraggeber und auftragnehmer benennen die zur erteilung und annahme von weisungen ausschliesslich befugten personen in anlage 3.
(3) bei einem wechsel oder einer längerfristigen verhinderung der benannten personen sind der anderen partei nachfolger bzw. vertreter unverzüglich mitzuteilen.
(4) der auftragnehmer wird den auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom auftraggeber erteilte weisung seiner meinung nach gegen gesetzliche vorschriften verstösst. der auftragnehmer ist berechtigt, die durchführung der entsprechenden weisung solange auszusetzen, bis sie durch den verantwortlichen beim auftraggeber bestätigt oder geändert wird.
(5) der auftragnehmer hat ihm erteilte weisungen und deren umsetzung zu dokumentieren.
11 beendigung des auftrags
(1) befinden sich bei beendigung des auftragsverhältnisses im auftrag verarbeitete daten oder kopien derselben noch in der verfügungsgewalt des auftragnehmers, hat dieser des nach wahl des auftraggebers die daten entweder zu vernichten oder an den auftraggeber zu übergeben. die wahl hat der auftraggeber innerhalb von 2 wochen nach entsprechender aufforderung durch den auftragnehmer zu treffen. die vernichtung hat so zu erfolgen, dass eine wiederherstellung auch von restinformationen mit vertretbarem aufwand nicht mehr möglich ist. eine physische vernichtung erfolgt gemäss din 66399.
(2) der auftragnehmer ist verpflichtet, die unverzügliche vernichtung bzw. rückgabe auch bei subunternehmern herbeizuführen.
(3) der auftragnehmer hat den nachweis der ordnungsgemässen vernichtung zu führen und dem auftraggeber unverzüglich vorzulegen.
(4) dokumentationen, die dem nachweis der ordnungsgemässen datenverarbeitung dienen, sind durch den auftragnehmer mindestens bis zum ablauf des dritten kalenderjahres nach vertragsende hinaus aufzubewahren. er kann sie zu seiner entlastung dem auftraggeber übergeben.
12 vergütung
die vergütung des auftragnehmers ist abschliessend im hauptvertrag geregelt. eine gesonderte vergütung oder kostenerstattung im rahmen dieses vertrages erfolgt nicht.
13 haftung
(1) für den ersatz von schäden, die eine person wegen einer unzulässigen oder unrichtigen datenverarbeitung im rahmen des auftragsverhältnisses erleidet, haften auftraggeber und auftragnehmer als gesamtschuldner.
(2) der auftragnehmer trägt die beweislast dafür, dass ein schaden nicht folge eines von ihm zu vertretenden umstandes ist, soweit die relevanten daten von ihm unter dieser vereinbarung verarbeitet wurden. solange dieser beweis nicht erbracht wurde, stellt der auftragnehmer den auftraggeber auf erste anforderung von allen ansprüchen frei, die im zusammenhang mit der auftragsverarbeitung gegen den auftraggeber erhoben werden. unter diesen voraussetzungen ersetzt der auftragnehmer dem auftraggeber ebenfalls sämtliche entstandenen kosten der rechtsverteidigung.
(3) der auftragnehmer haftet dem auftraggeber für schäden, die der auftragnehmer, seine mitarbeiter bzw. die von ihm mit der vertragsdurchführung beauftragten oder die von ihm eingesetzten subdienstleister im zusammenhang mit der erbringung der beauftragten vertraglichen leistung schuldhaft verursachen.
(4) nummern (2) und (3) gelten nicht, soweit der schaden durch die korrekte umsetzung der beauftragten dienstleistung oder einer vom auftraggeber erteilten weisung entstanden ist.
14 sonderkündigungsrecht
(1) der auftraggeber kann den hauptvertrag und diese vereinbarung jederzeit ohne einhaltung einer frist kündigen („außerordentliche kündigung“), wenn ein schwerwiegender verstoß des auftragnehmers gegen datenschutzvorschriften oder die bestimmungen dieser vereinbarung vorliegt, der auftragnehmer eine rechtmässige weisung des auftraggebers nicht ausführen kann oder will oder der auftragnehmer kontrollrechte des auftraggebers vertragswidrig verweigert.
(2) ein schwerwiegender verstoß liegt insbesondere vor, wenn der auftragnehmer die in dieser vereinbarung bestimmten pflichten, insbesondere die vereinbarten technischen und organisatorischen maßnahmen in erheblichem maße nicht erfüllt oder nicht erfüllt hat.
(3) bei unerheblichen verstößen setzt der auftraggeber dem auftragnehmer eine angemessene frist zur abhilfe. erfolgt die abhilfe nicht rechtzeitig, so ist der auftraggeber zur außerordentlichen kündigung wie in diesem abschnitt beschrieben berechtigt.
15 sonstiges
(1) beide parteien sind verpflichtet, alle im rahmen des vertragsverhältnisses erlangten kenntnisse von geschäftsgeheimnissen und datensicherheitsmaßnahmen der jeweils anderen partei auch über die beendigung des vertrages vertraulich zu behandeln. bestehen zweifel, ob eine information der geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen freigabe durch die andere partei als vertraulich zu behandeln.
(2) sollte eigentum des auftraggebers beim auftragnehmer durch maßnahmen dritter (etwa durch pfändung oder beschlagnahme), durch ein insolvenz- oder vergleichsverfahren oder durch sonstige ereignisse gefährdet werden, so hat der auftragnehmer den auftraggeber unverzüglich zu verständigen.
(3) für nebenabreden ist die schriftform und die ausdrückliche bezugnahme auf diese vereinbarung erforderlich.
(4) die einrede des zurückbehaltungsrechts i. s. v. § 273 bgb wird hinsichtlich der im auftrag verarbeiteten daten und der zugehörigen datenträger ausgeschlossen.
(5) sollten einzelne teile dieser vereinbarung unwirksam sein, so berührt dies die wirksamkeit der vereinbarung im übrigen nicht.
