Allgemeine Geschäftsbedingungen (AGB)
jovoco GmbH
Amtsgericht Stuttgart
HRB 787548
Stand Oktober 2024
1. Allgemeines, Geltungsbereich
Diese Allgemeinen Geschäftsbedingungen („AGB“) werden Bestandteil sämtlicher Verträge zwischen der jovoco GmbH (Handelsregister: Amtsgericht Stuttgart HRB 787548 I Sitz: Vor Lau 24, 78652 Deißlingen) („jovoco“) und seinen Vertragspartnern („Kunden“), soweit nicht im Einzelfall eine abweichende schriftliche Vereinbarung getroffen wird.
2. Vertragsgegenstand
2.1 Es gibt einen gesonderten Auftrag, der die Leistung von jovoco definiert.
2.2 jovoco erbringt gegenüber dem Kunden ausschließen Dienstleistungen i. S. d. §§ 611 ff. BGB.
3. Laufzeit des Vertrags
Die Kündigungsfrist beträgt 2 Monate.
4. Vergütung, Abrechnung
4.1 Höhe der Vergütung
Als Entgelt für die Dienste der jovoco verpflichtet sich der Kunde zur Zahlung des vereinbarten Stunden- bzw. Tagessatzes (ein Tag entspricht 8 Stunden) zuzüglich gesetzlicher Umsatzsteuer von derzeit 19%.
4.2 Überweisung der Vergütung
Die Rechnungstellung erfolgt monatlich. Das Zahlungsziel beträgt 30 Tage.
4.3 Nachvollziehbarkeit
jovoco erbringt dem Kunden einen Leistungsnachweis in Form eines monatlich bereitgestellten Standardbuchungsjournals. Einträge des Buchungsjournals erfolgen in 15-minütigen Intervallen. Spezielle Auswertungen können als Serviceleistung implementiert werden.
5. Erstattung von Aufwendungen
Auslagen werden entsprechend Aufwand verrechnet.
6. Mitwirkungspflichten des Kunden
Für die vertragsgemäße Erfüllung von Leistungen durch jovoco ist die rechtzeitige Mitwirkung des Kunden von wesentlicher Bedeutung. Der Kunde verpflichtet sich daher, unentgeltlich und soweit erforderlich mitzuwirken.
Kann jovoco aufgrund einer Nichterfüllung von Mitwirkungspflichten durch den Kunden seine vertraglichen Pflichten nicht erfüllen, wird jovoco insoweit von der Pflicht zur Leistungserbringung frei.
7. Abwerbeverbot
7.1 Bedingungen des Abwerbeverbots
Jeder Versuch des Kunden, (freie) Mitarbeiter der jovoco zur Beendigung der bestehenden Vertragsverhältnisse mit jovoco zu verleiten, sowie jeder Versuch, sich in die geschäftlichen Beziehungen der jovoco zu ihren (freien) Mitarbeitern einzumischen, ist als schädlich für jovoco anzusehen und ist dem Kunden während der Laufzeit dieses Vertrages sowie innerhalb von 24 Monaten nach Beendigung des Vertragsverhältnisses untersagt.
Der Kunde verpflichtet sich, seinen Mitarbeitenden sowie sonstigen eingesetzten Personen eine gleichlautende Verpflichtung aufzuerlegen.
7.2 Verstoß gegen das Abwerbeverbot von Mitarbeitern
Bei Verstoß gegen das Abwerbeverbot hinsichtlich eines Mitarbeitenden der jovoco beträgt die Vertragsstrafe 100.000,- EUR.
Hiervon unberührt bleibt das Recht der jovoco, gegen den Kunden einen weitergehenden Schaden geltend zu machen sowie die Unterlassung weiterer Verstöße zu verlangen.
8. Geheimhaltungs- und Verschwiegenheitspflicht
8.1 Geheimhaltungspflichten
Die Parteien verpflichten sich, über alle im Rahmen ihrer Tätigkeit bekannt gewordenen Geschäfts- und Betriebsgeheimnisse während und nach Beendigung des Vertragsverhältnisses Stillschweigen zu bewahren.
8.2 Haftungsumfang
jovoco haftet in Fällen grober fahrlässiger Pflichtverletzung bis zur Höhe des nach Art der Leistung vorhersehbaren, vertragstypischen Durchschnittsschadens, maximal bis zu 1.000.000,- EUR. Die Haftung der jovoco beschränkt sich auf den Auftragswert der Teilleistung, in deren Durchführung der Schaden verursacht wurde. Gleiches gilt für entsprechende Pflichtverletzungen gesetzlicher Vertreter und Erfüllungsgehilfen. Im Übrigen oder soweit Teile dieser Bestimmung ungültig sind, gelten die gesetzlichen Regelungen.
9. Nennung als Referenzkunde
jovoco ist berechtigt, den Kunden in Text und Bild (Nennung des Firmennamens des Kunden, Abbildung seines Logos, kurze Beschreibung des Kunden sowie des Kundenprojekts) als Referenzkunden in seiner Referenzliste, in Presseinformationen, auf der jovoco-Website oder sonstigen Marketingmaterialien zeitlich unbefristet und unentgeltlich anzugeben.
10. Schlussbestimmungen
Es ist ausschließlich das Recht der Bundesrepublik Deutschland anzuwenden.
Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dem Vertrag und diesen AGB ist für beide Seiten Deißlingen, Deutschland.
General Terms and Conditions (GTC)
jovoco GmbH
District Court Stuttgart
HRB 787548
As of October 2024
1. General, Scope of Application
These General Terms and Conditions (GTC) are part of all contracts between jovoco GmbH (Commercial Register: District Court Stuttgart HRB 787548 I Registered office: Vor Lau 24, 78652 Deisslingen) (‘jovoco’) and its contractual partners (‘customers’), unless otherwise agreed in writing in individual cases.
2. Subject matter of the contract
2.1 There is a separate order that defines the services provided by jovoco.
2.2 jovoco provides services to the customer that are exclusive in the sense of Sections 611 et seq. of the BGB (German Civil Code).
3. Term of the contract
The notice period for termination is 2 months.
4. Remuneration, billing
4.1 Amount of remuneration
As compensation for the services of jovoco the customer agrees to pay the agreed hourly or daily rate (one day corresponds to 8 hours) plus the statutory value added tax of currently 19%.
4.2 Transfer of the compensation
Invoices are issued monthly. The payment term is 30 days.
4.3 Traceability
jovoco provides the customer with a performance record in the form of a standard booking journal provided monthly. Entries in the booking journal are made in 15-minute intervals. Special evaluations can be implemented as a service.
5. Reimbursement of expenses
Expenses will be charged according to the actual costs.
6. Customer’s duty to co-operate
The timely co-operation of the customer is of essential importance for the contractual fulfilment of services by jovoco. The customer therefore undertakes to co-operate free of charge and to the extent necessary.
If jovoco is unable to fulfil its contractual obligations because the customer has failed to fulfil its obligations to co-operate, jovoco is released from its obligation to provide the service.
7. Non-solicitation clause
7.1 Conditions of the non-solicitation clause
Any attempt by the customer to persuade jovoco employees or freelancers to terminate their existing contractual relationships with jovoco, or any attempt to interfere in the business relationships between jovoco and its employees or freelancers, will be regarded as detrimental to jovoco and is prohibited for the customer during the term of this contract and for a period of 24 months after the end of the contractual relationship.
The customer undertakes to impose a similar obligation on its employees and other persons used.
7.2 Violation of the non-solicitation of employees
In the event of a violation of the non-solicitation of an employee of jovoco, the contractual penalty shall be EUR 100,000.
This does not affect jovoco’s right to claim further damages from the customer and to demand that further infringements be refrained from.
8. Confidentiality and Secrecy
8.1 Confidentiality
The parties undertake to maintain confidentiality regarding all business and trade secrets of which they become aware in the course of their activities, both during and after the contractual relationship has ended.
8.2 Scope of liability
jovoco is liable in cases of gross negligence up to the amount of the foreseeable, contract-typical average damage according to the type of service, up to a maximum of EUR 1,000,000. jovoco’s liability is limited to the value of the order for the partial service in the course of which the damage was caused. The same applies to corresponding breaches of duty by legal representatives and agents. In all other respects or to the extent that parts of this provision are invalid, the statutory provisions shall apply.
9. Mention as reference customer
jovoco is entitled to name the customer in text and image (mentioning the customer’s company name, displaying the customer’s logo, a short description of the customer and the customer project) as a reference customer in its reference list, in press releases, on the jovoco website or other marketing materials for an unlimited period of time and free of charge.
10. Final Clauses
The laws of the Federal Republic of Germany shall apply exclusively.
The exclusive place of jurisdiction for both parties for all disputes arising from or in connection with the contract and these GTC shall be Deisslingen, Germany.
Auftragsdatenverarbeitung
§ 1 Anwendungsbereich
Die Vereinbarung findet Anwendung auf die Erhebung, Verarbeitung und Löschung (im Folgenden: Verarbeitung) aller personenbezogener Daten (im Folgenden: Daten), die Gegenstand der Leistungsvereinbarung sind oder im Rahmen von deren Durchführung anfallen oder dem Auftragsverarbeiter bekannt werden. Nicht unter den Anwendungsbereich fallen Daten von Mitarbeitern des Auftragsverarbeiters, soweit sie ausschließlich das Beschäftigungsverhältnis mit dem Auftragsverarbeiter betreffen.
§2 Konkretisierung des Auftragsinhalts
(1) Gegenstand und Dauer der Auftragsverarbeitung sowie Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten bestimmen sich nach der Leistungsvereinbarung.
(2) Folgende Datenarten oder -kategorien sind Gegenstand der Verarbeitung durch den Auftragsverarbeiter:
- Persönliche Daten: Name, Adresse, Kontaktinformationen (Telefonnummer, E-Mail-Adresse), Geburtsdatum, Geschlecht usw.
- Zugangsdaten: Benutzernamen, Passwörter, Sicherheitsfragen und -antworten, Authentifizierungszertifikate usw.
- Finanzdaten: Bankkontoinformationen, Kreditkarteninformationen, Zahlungshistorie, Rechnungen, Gehaltsabrechnungen usw.
- Kommunikationsdaten: E-Mails, Chat-Protokolle, Sprachnachrichten, Meeting-Aufzeichnungen, Anrufverläufe usw.
- Gerätedaten: IP-Adressen, MAC-Adressen, Geräte-IDs, Betriebssysteminformationen, Browsertypen, Protokolldateien usw.
- Standortdaten: Geografische Informationen, GPS-Daten, Standortverlaufsdaten usw.
- Vertragsdaten: Verträge, Vereinbarungen, Bestellungen, Rechnungen, Lieferdaten usw.
- Projektbezogene Daten: Projektpläne, Spezifikationen, Designs, Quellcode, Testdaten, Bug-Reports usw.
- Sonstige Daten: Social-Media-Profile, Online-Aktivitäten, öffentlich verfügbare Informationen usw.
(3) Der Kreis der durch den Umgang mit ihren Daten betroffenen Personen ist insbesondere direkt und indirekt Beschäftigte der jovoco GmbH, sowie von Kunden der jovoco GmbH. Eine aktuelle Liste kann bei der jovoco GmbH angefordert werden.
§ 3 Verantwortlichkeit und Weisungsbefugnis
(1) Die Vertragsparteien sind für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung, Löschung und Einschränkung der Verarbeitung der Daten verlangen.
(2) Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen.
(3) Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
(4) Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Eine Weisung ist die auf einen bestimmten Umgang des Auftragsverarbeiters mit Daten gerichtete schriftliche, elektronische oder mündliche Anordnung des Verantwortlichen. Die Anordnungen sind zu dokumentieren. Die Weisungen werden zunächst durch die Leistungsvereinbarung definiert und können von dem Verantwortlichen danach in dokumentierter Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden.
(5) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird. Weisungsberechtigt sind Geschäftsführer der jovoco GmbH, sowie von diesen festgelegte Personen.
(6) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher Zustimmung durch den Verantwortlichen erteilen. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt.
(7) Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 DSGVO. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Wunsch Informationen zur Aufnahme in das Verzeichnis zur Verfügung. Der Auftragsverarbeiter führt entsprechend den Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.
(8) Die Verarbeitung der Daten im Auftrag des Verantwortlichen findet ausschließlich auf dem Gebiet der Europäischen Union statt. Eine Verarbeitung in einem Staat außerhalb des in Satz 1 genannten Territoriums ist nur zulässig wenn sichergestellt ist, dass unter Berücksichtigung der Voraussetzungen des Kapitels V der DSGVO das durch die DSGVO gewährleistete Schutzniveau nicht unterlaufen wird und bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung bleiben unberührt.
(9) Der Auftragsverarbeiter stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Eine Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit, Home Office, mobiles Arbeiten) bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des Verantwortlichen, die erst nach Festlegung angemessener technischer und organisatorischer Maßnahmen für die Verarbeitungssituation erteilt werden kann.
§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter
(1) Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und weist dies dem Verantwortlichen auf Wunsch nach. Dies umfasst auch die Belehrung über die in diesem Auftragsverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung.
(2) Die Vertragsparteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung.
(3) Der Auftragsverarbeiter hat eine/n Datenschutzbeauftragte/n zu benennen, die/der ihre/seine Tätigkeit entsprechend den gesetzlichen Vorschriften ausübt. Die Kontaktdaten der/des Datenschutzbeauftragten sind dem Verantwortlichen zum Zwecke der direkten Kontaktaufnahme mitzuteilen.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht.
§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle
(1) Die Vertragsparteien vereinbaren die in dem Anhang „Technisch-organisatorische Maßnahmen“ zu dieser Vereinbarung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen. Der Anhang ist Gegenstand dieser Vereinbarung.
(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsverarbeiter gestattet, nach schriftlicher Absprache mit dem Auftraggeber alternative adäquate Maßnahmen umzusetzen.
(3) Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in dieser Vereinbarung getroffenen und der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung unterstützen. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten hinreichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, einer Zertifizierung nach Art. 42 DSGVO oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten.
(4) Der Verantwortliche kann sich jederzeit zu Prüfzwecken in den Betriebsstätten des Auftragsverarbeiters zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen Vorgaben oder der zur Durchführung dieses Vertrages erforderlichen technischen und organisatorischen Erfordernisse überzeugen.
(5) Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus alle erforderlichen Informationen zur Verfügung, die er für die Prüfungen nach Absatz 4 sowie für eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der Daten (Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO) benötigt.
(6) Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter
Der Auftragsverarbeiter unterrichtet den Verantwortlichen innerhalb von 24 Stunden nach Bekanntwerden, bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung sowie gesetzliche Datenschutzbestimmungen, bei Verstößen gegen solche Bestimmungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Verantwortlichen. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf korrespondierende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. § 3 dieses Vertrages durchführen.
§ 7 Löschung und Rückgabe von Daten
(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.
(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Verantwortlichen, jedoch spätestens mit Beendigung der Leistungsvereinbarung, hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem Verantwortlichen auf Anforderung vorzulegen.
(3) Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen bis zu deren Ende auch über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. Für die nach Satz 1 aufbewahrten Daten gelten nach Ende der Aufbewahrungsfrist die Pflichten nach Absatz 2.
§ 8 Subunternehmen
(1) Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Subunternehmen) nur mit vorheriger ausdrücklicher schriftlicher Zustimmung des Verantwortlichen in Anspruch nehmen.
Sofern es sich um eine allgemeine schriftliche Genehmigung handelt, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmen. Der Verantwortliche kann gegen derartige Änderungen Einspruch erheben. Nicht als Leistungen von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
(2) Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter entspricht und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung.
(3) Dem Verantwortlichen sind in der vertraglichen Vereinbarung mit dem Subunternehmen Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen. Ebenso ist der Verantwortlichen berechtigt, auf schriftliche Anforderung vom Auftragsverarbeiter Auskunft über den Inhalt des mit dem Subunternehmen geschlossenen Vertrages und die darin enthaltene Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmens zu erhalten.
(4) Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Subunternehmens. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen des Verantwortlichen die Beschäftigung des Subunternehmens ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Subunternehmen zu lösen, wenn und soweit dies nicht unverhältnismäßig ist.
§ 9 Datenschutzkontrolle
Der Auftragsverarbeiter verpflichtet sich, der/dem Datenschutzbeauftragten des Verantwortlichen sowie der zuständigen Aufsichtsbehörde zur Erfüllung ihrer jeweiligen gesetzlichen zugewiesenen Aufgaben im Zusammenhang mit diesem Auftrag jederzeit Zugang zu den üblichen Geschäftszeiten zu gewähren. Der Auftragsverarbeiter unterwirft sich zusätzlich zu der für ihn bestehenden gesetzlichen Datenschutzaufsicht der Kontrolle der für den Verantwortlichen bestehenden Datenschutzaufsicht (hier: die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und der Kontrolle durch die/den Datenschutzbeauftragten des Verantwortlichen mit Ausnahme der Bereiche, die keinerlei Bezug zur Auftragserfüllung haben. Er duldet insbesondere Betretungs-, Einsichts- und Fragerechte der Genannten einschließlich der Einsicht in durch Berufsgeheimnisse geschützte Unterlagen. Er wird seine Mitarbeiter anweisen, mit den Genannten zu kooperieren, insbesondere deren Fragen wahrheitsgemäß und vollständig zu beantworten. Die nach Gesetz bestehenden Verschwiegenheitspflichten und Zeugnisverweigerungsrechte der Genannten bleiben davon unberührt.
§ 10 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiters – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren Wirkungen der Zielsetzung am nächsten kommt, die die Vertragsparteien mit der unwirksamen oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist.
Technisch-organisatorische Maßnahmen (TOM)
§ 1 Technische und organisatorische Sicherheitsmaßnahmen
Die Vertragspartner sind verpflichtet, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung der Daten im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Person in angemessener Form gewährleistet ist.
§ 2 Innerbehördliche oder innerbetriebliche Organisation des Auftragsverarbeiters
Der Auftragsverarbeiter wird seine innerbehördliche oder innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden Daten oder Datenkategorien geeignet sind.
§ 3 Konkretisierung der Einzelmaßnahmen
(1) Im Einzelnen werden folgende Maßnahmen bestimmt, die der Umsetzung der Vorgaben des Art. 32 DSGVO dienen:
Nr. | Maßnahme | Umsetzung der Maßnahme |
1. | Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. | Der Zutritt ist durch Schlösser zu sichern |
2. | Zugangskontrolle Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. | Gemäß dem Stand der Technik sind Zugänge mit Passwörtern und ggf. weiteren Authentifizierungen zu sichern. Dies gilt insbesondere für kritischere Systeme |
3. | Zugriffskontrolle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. | Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren differenzierte Berechtigungen wie Profile, Rollen etc. Auswertungen, Kenntnisnahme, Veränderung, Löschung) |
4. | Weitergabekontrolle Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. | Es sind geeignete Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung, Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren, elektronische Signatur |
5. | Eingabekontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. | Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung gewährleisten, etwa durch Protokollierungs- und Auswertungssysteme |
6. | Auftragskontrolle Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können. | Abgrenzen der Kompetenz zwischen Verantwortlichem und Auftragsverarbeiter (Beispiel: eindeutige Vertragsgestaltung, Kriterien zur Auswahl des Auftragsverarbeiters, Kontrolle der Vertragsausführung) |
7. | Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. | Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen, Maßnahmen zur Datensicherung (Beispiel: Backup-Verfahren, Spiegeln von Festplatten, unterbrechungsfreie Stromversorgung, Firewall, Notfallplan) |
8. | Trennungskontrolle Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. | Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten |
(2) Es ist ein Verfahren zu etablieren, das eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der zum Einsatz kommenden technischen und organisatorischen Maßnahmen durch die Vertragsparteien ermöglicht.