Allgemeine Geschaäftsbedingungen zur

Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO

als Anlage zu einem oder mehreren vom Auftraggeber genutzten Vertrag oder Verträgen

Präambel

Diese Anlage (im Folgenden „AV-Vertrag“ genannt) konkretisiert die Verpflichtungen zum Datenschutz, die sich aus einem vom Auftraggeber genutzten Dienstleistungsvertrag (nachstehend „Vertrag“ oder „Hauptvertrag“ genannt) ergeben. Der AV-Vertrag findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen personenbezogene Daten (nachfolgend „Daten“ genannt) durch den Auftragnehmer oder durch vom Auftragnehmer beauftragte Dritte verarbeitet werden.

Dieser AV-Vertrag trägt Art. 28 Abs. 3 DSGVO Rechnung, wonach jedes Unternehmen, das Daten im Auftrag verarbeiten lässt, einen Vertrag oder ein anderweitiges Rechtsinstrument nutzen muss, um die Verarbeitung von Daten zu regeln. Es sind insbesondere Vereinbarungen zu den Verantwortlichkeiten, dem Gegenstand und der Dauer der Verarbeitung, Art und Zweck der Verarbeitung, der Art der verarbeiteten Daten sowie den Rechten und Pflichten der Vertragsparteien zu treffen.

Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Textform nach § 126b BGB gemeint, zu deren Wirksamkeit auch eine E-Mail genügt.

Der vorliegende AV-Vertrag ist nur gültig in Verbindung mit einem aktiven Dienstleistungsvertrag oder einer schriftlichen Auftragserteilung mit der Organisation BITEFEX zur Nutzung von BITEFEX.

§ 1 Gegenstand und Dauer der Verarbeitung
(1) Auftragnehmer ist die

BITEFEX GmbH
Mahlower Straße 24
12049 Berlin
Tel: +49 (0)30 814 50 13-00

(2) Gegenstand der Vereinbarung sind die Rechte und Pflichten des Auftragnehmers und seiner Kunden (Auftraggeber) im Rahmen der Leistungserbringung gemäß der Leistungsbeschreibung des Hauptvertrags, soweit eine Auftragsverarbeitung personenbezogener Daten durch den Auftragnehmer gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer im Rahmen dieser Auftragsverarbeitung durchführt. Dies gilt auch dann, wenn der Vertrag nicht ausdrücklich auf diese Vereinbarung verweist.
(3) Die Dauer der Verarbeitung richtet sich nach der Dauer und Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung
(1) Die Art der Verarbeitung umfasst alle Arten von Verarbeitung im Sinne der DSGVO zur Erfüllung des Hauptvertrags.
(2) Zweck der Verarbeitung sind alle zur Erbringung der im Hauptvertrag vereinbarten Leistungen erforderlichen Tätigkeiten, insbesondere IT-Support.

§ 3 Art der personenbezogenen Daten und Kategorien von Betroffenen
(1) Die Art der verarbeiteten personenbezogenen Daten wird vom Auftraggeber durch die Leistungsanforderungen an BITEFEX festgelegt.
(2) Die Art der personenbezogenen Daten umfasst in der Regel:

• Personenstammdaten (z. B. Name, Anschrift)

• Kontaktdaten (z. B. Telefonnummern, E-Mail-Adressen)

• sonstige für Termine erforderliche Informationen (z. B. Adressen), die vom jeweiligen Auftraggeber festgelegt werden können

§ 4 Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen schriftlich. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen sind vom Auftraggeber unverzüglich schriftlich zu bestätigen.
(2) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte zu kontrollieren. Dazu gehören Auskünfte, Einsichtnahme in gespeicherte Daten sowie Prüfungen von Datenverarbeitungsprogrammen und -prozessen. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer Zutritt und Einblick zu gewähren. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise vorzulegen.

Kontrollen haben ohne vermeidbare Störungen des Geschäftsbetriebs und grundsätzlich nach angemessener Vorankündigung, Unterzeichnung einer Verschwiegenheitserklärung und zu den üblichen Geschäftszeiten des Auftragnehmers, jedoch nicht häufiger als einmal in 12 Monaten zu erfolgen. Sofern der Auftragnehmer bereits den Nachweis der ordnungsgemäßen Umsetzung der Datenschutzpflichten erbringt, kann sich die Kontrolle auf Stichproben beschränken. Für die Unterstützung bei einer Kontrolle kann der Auftragnehmer eine Vergütung verlangen.
(3) Der Auftraggeber ist im Rahmen dieses Vertrags allein verantwortlich für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO).
(4) Für die Beurteilung der Zulässigkeit der Verarbeitung und die Wahrung der Rechte betroffener Personen ist allein der Auftraggeber verantwortlich.
(5) Der Auftraggeber verpflichtet sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung gilt auch nach Beendigung des Hauptvertrags.

§ 5 Weisungen
(1) Weisungen werden zunächst durch diesen Vertrag festgelegt. Der Auftraggeber kann diese Weisungen danach schriftlich oder in elektronischer Form ändern, ergänzen oder ersetzen. Der Auftragnehmer wird personenbezogene Daten nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.
(2) Mündliche Weisungen sind vom Auftraggeber unverzüglich schriftlich zu bestätigen.
(3) Der Auftraggeber kann einzelne zur Weisung befugte Personen benennen.
(4) Weisungsempfänger sind die Supportmitarbeiter des Auftragnehmers.
(5) Änderungen in der Ansprechperson sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich mitzuteilen.
(6) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn eine Weisung nach seiner Auffassung gegen gesetzliche Vorschriften verstößt. Die Durchführung der Weisung wird bis zur Klärung ausgesetzt.
(7) Rechtswidrige Weisungen wird der Auftragnehmer ablehnen.

§ 6 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, außer er ist gesetzlich zur Verarbeitung verpflichtet. In diesem Fall informiert er den Auftraggeber vorab, soweit keine gesetzliche Verschwiegenheitspflicht entgegensteht.
(2) Der Auftragnehmer bestätigt, dass ihm die datenschutzrechtlichen Vorschriften bekannt sind und beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
(3) Der Auftragnehmer verpflichtet sich zur strikten Vertraulichkeit.
(4) Personen, die Zugang zu den Daten erhalten, sind schriftlich zur Vertraulichkeit zu verpflichten, soweit keine gesetzliche Geheimhaltungspflicht besteht.
(5) Der Auftragnehmer stellt sicher, dass seine Mitarbeiter vor Beginn der Verarbeitung mit den relevanten Datenschutzbestimmungen vertraut gemacht werden. Schulungen werden regelmäßig wiederholt.
(6) Die Verarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Eine Übertragung in Drittländer bedarf der Zustimmung des Auftraggebers und Einhaltung der DSGVO
(7) Der Auftragnehmer unterstützt den Auftraggeber bei den Pflichten aus Art. 32–36 DSGVO.
(8) Der Auftragnehmer meldet dem Auftraggeber unverzüglich jede Datenschutzverletzung.
(9) Im Falle von Ansprüchen durch Betroffene nach Art. 82 DSGVO unterstützt der Auftragnehmer den Auftraggeber nach Möglichkeit.

§ 7 Technische und organisatorische Maßnahmen (TOM)
(1) Der Auftragnehmer gestaltet seine Organisation so, dass sie den Anforderungen des Datenschutzes entspricht und ein angemessenes Schutzniveau bietet.
(2) Er trifft Maßnahmen, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherstellen.
(3) Eine Beschreibung der Maßnahmen ist in Anlage 1 „TOM“ enthalten.
(4) Maßnahmen werden regelmäßig geprüft, bewertet und angepasst. Wesentliche Änderungen sind dem Auftraggeber schriftlich mitzuteilen.

§ 8 Anfragen betroffener Personen
(1) Anfragen von Betroffenen (Auskunft, Berichtigung, Löschung) werden an den Auftraggeber verwiesen.
(2) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung dieser Pflichten.
(3) Der Auftragnehmer haftet nicht für die Einhaltung gesetzlicher Fristen durch den Auftraggeber.

§ 9 Unterauftragsverhältnisse
(1) Unterauftragsverhältnisse sind Leistungen verbundener oder fremder Unternehmen, die unmittelbar mit den Hauptleistungen verbunden sind.
(2) Der Auftraggeber erklärt sich damit einverstanden, dass der Auftragnehmer Subunternehmer einsetzen darf, sofern er den Auftraggeber vorab informiert. Der Auftraggeber kann innerhalb von 14 Tagen widersprechen.
(3) Eine aktuelle Liste eingesetzter Subunternehmer ist den AGB unter https://bitefex.de/agb zu entnehmen.
(4) Der Auftragnehmer verpflichtet Subunternehmer vertraglich zur Einhaltung der DSGVO.

§ 10 Außerordentliche Kündigung

Bei schwerwiegenden Verstößen gegen Datenschutzbestimmungen kann der Auftraggeber den Hauptvertrag fristlos kündigen.

§ 11 Beendigung des AV-Vertrags
(1) Nach Vertragsende oder auf Verlangen des Auftraggebers hat der Auftragnehmer alle Daten zu löschen oder an den Auftraggeber zurückzugeben.
(2) Dies gilt auch für Subunternehmer.
(3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind entsprechend den Aufbewahrungsfristen zu sichern.

§ 12 Haftung und Schadensersatz

 Auftragnehmer und Auftraggeber haften gegenüber betroffenen Personen entsprechend Art. 82 DSGVO.

§ 13 Schlussbestimmungen
(1) Änderungen dieses Vertrags sind schriftlich festzuhalten.
(2) Wird das Eigentum oder die Daten des Auftraggebers beim Auftragnehmer durch Dritte gefährdet (z. B. Pfändung, Insolvenz), informiert der Auftragnehmer den Auftraggeber unverzüglich.
(3) Es gilt deutsches Recht.
(4) Gerichtsstand ist der Sitz des Auftragnehmers, sofern beide Parteien Kaufleute sind.
(5) Bei Widersprüchen gehen die Regelungen dieses Vertrags denen des Hauptvertrags vor.
(6) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen gültig.

Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig.