LEVR V

Auftragsverarbeitungsvertrag

gemäß Art. 28 Abs. 3 Satz 1 DSGVO (nachstehend „AV-Vertrag“)

Dieser AV-Vertrag wird geschlossen

zwischen dem Auftraggeber – dem Unternehmen, das das zugehörige Angebot der LEVR GmbH annimmt und dessen vollständige Firmierung und Anschrift sich aus dem jeweiligen Angebot ergeben – (nachfolgend „Auftraggeber“ genannt)

und der LEVR GmbH, Neue Schönhauser Str. 3–5, 10178 Berlin, Deutschland (nachfolgend „Auftragnehmer“ bezeichnet).

Auftragnehmer und Auftraggeber werden nachstehend auch als Vertragsparteien bezeichnet.

Dieser AV-Vertrag wird nicht separat unterzeichnet. Er ist Bestandteil des zwischen den Vertragsparteien geschlossenen Angebots (Erstbeauftragung) und wird mit dessen Annahme bzw. Unterzeichnung wirksam. Die konkreten Vertragsparteien ergeben sich aus dem zugehörigen Angebot.
§ 1 | Gegenstand
§ 2 | Kategorien personenbezogener Daten
§ 3 | Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO)
§ 4 | Kategorien betroffener Personen
§ 5 | Zweck der Verarbeitung
§ 6 | Verantwortung und Entscheidungsbefugnis
§ 7 | Sicherheitskonzept und diesbezügliche Pflichten
§ 8 | Informations- und Mitwirkungspflichten
§ 9 | Kontrollbefugnisse
§ 10 | Unterauftragsverhältnisse
§ 11 | Verarbeitung in Drittländern
§ 12 | Vertragsdauer, Beendigung, Datenlöschung
§ 13 | Vergütung
§ 14 | Haftung
§ 15 | Schlussbestimmungen
Anhang 1 – Sicherheitskonzept (TOMs)
Anhang 2 – Unterauftragnehmer

§ 1 | Gegenstand

Der Gegenstand des AV-Vertrages, die im Rahmen des Auftrags verarbeiteten personenbezogenen Daten (Art. 4 Nr. 1 DSGVO; nachfolgend kurz „Daten“), die von der Verarbeitung betroffenen Personen (nachfolgend kurz „Betroffene“) sowie Art, Umfang und Zwecke der Verarbeitung werden durch die folgenden Rechtsbeziehung(en) zwischen den Vertragsparteien bestimmt (nachstehend bezeichnet als Hauptvertrag).

Die Vertragsparteien arbeiten auf Grundlage einzelner Aufträge, die der Auftraggeber gegenüber dem Auftragnehmer erteilt, bzw. im Rahmen einzelner Verträge, die der Auftraggeber mit dem Auftragnehmer schließt, zusammen.

Die Regelungen dieses AV-Vertrages gelten gegenüber dem Hauptvertrag vorrangig.

§ 2 | Kategorien personenbezogener Daten

Die Kategorien personenbezogener Daten entsprechen den Daten, die der Verantwortliche dem Auftragsverarbeiter in den für die Erbringung der Dienstleistungen bereitgestellten Systemen und Dokumenten zur Verfügung stellt. Dazu können unter anderem personenbezogene Daten gehören, die sich auf die folgenden Kategorien beziehen:

§ 3 | Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO)

Grundsätzlich werden keine besonderen Datenkategorien verarbeitet, es sei denn, der Verantwortliche stellt sie dem Auftragsverarbeiter in den für die Erbringung der Dienstleistungen bereitgestellten Systemen und Dokumenten zur Verfügung. Der Auftragsverarbeiter wird solche Daten nicht vom Verantwortlichen anfordern.

§ 4 | Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden

Die Kategorien betroffener Personen entsprechen den Daten, die der Verantwortliche dem Auftragsverarbeiter in den für die Erbringung der Dienstleistungen bereitgestellten Systemen und Dokumenten zur Verfügung stellt. Dazu können unter anderem die folgenden Kategorien betroffener Personen gehören:

§ 5 | Zweck der Verarbeitung

Die folgenden Zwecke stellen das allgemeine Leistungsspektrum des Auftragsverarbeiters dar. Die konkreten Zwecke – ebenso wie der Vertragsgegenstand – ergeben sich aus den jeweiligen Hauptdokumenten (unterzeichnetes Angebot und Rahmenvertrag).

Import, Analyse/Auswertung, Sortierung/Aufbereitung, vorübergehende Speicherung sowie die Überprüfung und Weiterleitung personenbezogener Daten zum Zwecke der allgemeinen Beratung des Verantwortlichen hinsichtlich geeigneter Marketing-, Vertriebs- und Servicemaßnahmen sowie der Einrichtung neuer Prozesse, der Implementierung von Schnittstellen, der vorübergehenden Speicherung im Falle einer Schnittstellenänderung, des Versands von Nachrichten im Auftrag des Verantwortlichen und der Wartung von Systemen.

§ 6 | Verantwortung und Entscheidungsbefugnis

6.1 Der Auftraggeber ist als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO für die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere für die Auswahl des Auftragnehmers, die an diesen übermittelten Daten sowie erteilte Weisungen verantwortlich.

6.2 Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten (was insbesondere auch für deren Berichtigung, Löschung oder Einschränkung der Verarbeitung gilt) und nur insoweit die Verarbeitung hierzu erforderlich ist, außer wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DSGVO).

6.3 Falls Weisungen die im Rahmen dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt. Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für die Geltungsdauer dieses Vertrages und anschließend noch für drei Jahre aufzubewahren. Erfolgt die Weisung mündlich, so wird der Auftraggeber diese unverzüglich – mindestens in Textform – bestätigen.

6.4 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber unverzüglich darauf hinweisen. In diesem Fall ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zur Bestätigung der Weisung durch den Auftraggeber auszusetzen und im Fall offensichtlich rechtswidriger Weisungen abzulehnen.

6.5 Gehen ergänzende Weisungen des Auftraggebers über die Leistungspflicht des Auftragnehmers nach dem Hauptvertrag bzw. den zwingenden gesetzlichen Verpflichtungen des Auftraggebers nach Art. 28 Abs. 3 DSGVO hinaus, dann hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gemäß den Vorgaben von § 13 gesondert zu vergüten.

6.6 Die Vertragsparteien können zum Erteilen und Empfangen von Weisungen berechtigte Personen benennen (insbesondere, wenn diese sich nicht bereits aus dem Hauptvertrag ergeben) und sind verpflichtet, deren Änderung unverzüglich mitzuteilen.

§ 7 | Sicherheitskonzept und diesbezügliche Pflichten

7.1 Der Auftragnehmer wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und wird insbesondere technische und organisatorische Maßnahmen (nachfolgend bezeichnet als „TOMs“) zur angemessenen Sicherung, insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit von Daten des Auftraggebers, unter Beachtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen treffen sowie deren Aufrechterhaltung sicherstellen (Art. 28 Abs. 3 u. 32–39 i. V. m. Art. 5 DSGVO). Zu den TOMs gehören insbesondere die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle und die Sicherung der Betroffenenrechte sowohl in der Rolle als eigener Verantwortlicher als auch im Rahmen der Mitwirkungspflicht als Auftragsverarbeiter.

7.2 Die diesem AV-Vertrag zugrundeliegenden TOMs ergeben sich aus dem Anhang 1 „Sicherheitskonzept“. Sie dürfen entsprechend dem technischen Fortschritt weiterentwickelt und durch adäquate Schutzmaßnahmen ersetzt werden, sofern sie das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten und wesentliche Änderungen dem Auftraggeber mitgeteilt werden.

7.3 Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der Daten des Auftraggebers befugten Personen auf Vertraulichkeit und Verschwiegenheit (Art. 28 Abs. 3 S. 2 lit. b DSGVO) verpflichtet und in die Schutzbestimmungen der DSGVO eingewiesen worden sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.4 Der Auftraggeber stimmt der Verarbeitung von Daten durch den Auftragnehmer im Homeoffice zu. Im Gegenzug verpflichtet sich der Auftragnehmer, die im Homeoffice notwendigen Sicherheitsbestimmungen zu gewährleisten.

7.5 Die im Rahmen des AV-Vertrages überlassenen Daten sowie Datenträger und sämtliche hiervon gefertigten Kopien verbleiben im Eigentum des Auftraggebers, sind durch den Auftragnehmer sorgfältig zu verwahren, vor Zugang durch unberechtigte Dritte zu schützen und dürfen nur mit Zustimmung des Auftraggebers, und dann nur datenschutzgerecht, vernichtet werden. Kopien von Daten dürfen nur erstellt werden, wenn sie zur Erfüllung der Leistungshaupt- und Nebenpflichten des Auftragnehmers gegenüber dem Auftraggeber erforderlich sind (z. B. Backups).

7.6 Sofern durch die DSGVO oder ergänzende, insbesondere nationale Vorschriften vorgegeben, benennt der Auftragnehmer einen den gesetzlichen Vorgaben entsprechenden Datenschutzbeauftragten und informiert den Auftraggeber entsprechend (Art. 37 bis 39 DSGVO).

§ 8 | Informationspflichten und Mitwirkungspflichten

8.1 Der Auftragnehmer unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Betroffenenanträgen nach Art. 12–22 DSGVO (Art. 28 Abs. 3 lit. e DSGVO). Hierzu gehört ebenfalls die unverzügliche Weiterleitung solcher Anfragen, sollten sie beim Auftragnehmer eingehen.

8.2 Der Auftragnehmer hat den Auftraggeber unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung der Daten Fehler oder Unregelmäßigkeiten im Hinblick auf die Einhaltung der Bestimmungen dieses AV-Vertrages oder einschlägiger Datenschutzvorschriften feststellt.

8.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich über sämtliche ihm bekannt gewordenen Verletzungen personenbezogener Daten im Rahmen dieser Auftragsverarbeitung und unterstützt im Rahmen seiner Möglichkeiten den Auftraggeber nach Absprache bei der Einhaltung seiner Pflichten gem. Art. 33 und 34 DSGVO.

8.4 Sollte die Sicherheit der Daten des Auftraggebers durch Maßnahmen Dritter (z. B. Gläubiger, Behörden, Gerichte etc.) gefährdet sein (Pfändung, Beschlagnahme, Insolvenzverfahren etc.), wird der Auftragnehmer die Dritten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem Auftraggeber liegen, und nach Rücksprache mit dem Auftraggeber, sofern erforderlich, entsprechende Schutzmaßnahmen ergreifen (z. B. Widersprüche, Anträge etc. stellen).

8.5 Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragnehmer tätig wird und deren Tätigkeit die für den Auftraggeber verarbeiteten Daten betreffen kann. Der Auftragnehmer unterstützt den Auftraggeber im gesetzlich vorgesehenen Umfang bei der Wahrnehmung seiner Pflichten (insbesondere zur Auskunft und Duldung von Kontrollen) gegenüber Aufsichtsbehörden (Art. 31 DSGVO).

8.6 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgenabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.

8.7 Gehen die Zurverfügungstellung der notwendigen Informationen und die Mitwirkung über die zwingenden gesetzlichen Verpflichtungen des Auftraggebers nach Art. 28 Abs. 3 DSGVO hinaus, dann hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gemäß den Vorgaben von § 13 gesondert zu vergüten.

§ 9 | Kontrollbefugnisse

9.1 Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses AV-Vertrages, insbesondere der TOMs, beim Auftragnehmer im erforderlichen Umfang einschließlich Kontrollen vor Ort zu kontrollieren; der Auftragnehmer hat die Pflicht, dem Auftraggeber alle dafür erforderlichen Informationen zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO).

9.2 Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten, sind vom Auftraggeber mit einer angemessenen Frist (mindestens 14 Tage, außer in Notfällen) anzumelden und durch den Auftragnehmer zu unterstützen (z. B. durch Bereitstellung von Personal).

9.3 Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragnehmers sowie den Schutz von personenbezogenen Daten Dritter (z. B. anderer Kunden oder Mitarbeiter des Auftragnehmers) Rücksicht nehmen. Zur Durchführung der Kontrolle sind nur fachkundige Personen zugelassen, die sich legitimieren können und im Hinblick auf die Betriebs- und Geschäftsgeheimnisse sowie Prozesse des Auftragnehmers und personenbezogene Daten Dritter zur Verschwiegenheit verpflichtet sind. Im Falle, dass der Dritte in einem direkten oder indirekten Wettbewerbsverhältnis zum Auftragnehmer steht, behält sich der Auftragnehmer ein Widerspruchsrecht und die Beauftragung eines neutralen Prüfers durch den Auftraggeber vor.

9.4 Neben der Einsichtnahme und der Vor-Ort-Kontrollen darf der Auftragnehmer den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte (z. B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Dies gilt insbesondere dann, wenn Betriebs- und Geschäftsgeheimnisse des Auftragnehmers oder personenbezogene Daten Dritter durch die Kontrollen gefährdet wären.

9.5 Geht die Duldung und Mitwirkung bei den Kontrollen bzw. adäquaten Alternativmaßnahmen des Auftraggebers über die zwingenden gesetzlichen Verpflichtungen des Auftraggebers nach Art. 28 Abs. 3 DSGVO hinaus, dann hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gemäß den Vorgaben von § 13 gesondert zu vergüten.

§ 10 | Unterauftragsverhältnisse

10.1 Der Auftragsverarbeiter darf zusätzliche Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Verantwortlichen einsetzen. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zum Einsatz zusätzlicher Unterauftragsverarbeiter, vorbehaltlich der Einhaltung der folgenden Anforderungen hinsichtlich der Information, des Widerspruchsrechts und der vertraglichen Verpflichtungen.

10.2 Nimmt der Auftragsverarbeiter die Dienste eines Unterauftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, dann muss er dem Unterauftragsverarbeiter im Wege eines Vertrags oder eines nach der DSGVO zulässigen anderen Rechtsinstruments dieselben Datenschutzpflichten, zu denen sich der Auftragnehmer in diesem AV-Vertrag verpflichtet hat, auferlegen (insbesondere im Hinblick auf die Befolgung von Weisungen, Einhaltung der TOMs, Erteilung von Informationen und Duldung von Kontrollen). Ferner hat der Auftragnehmer den Unterauftragsverarbeiter sorgfältig auszuwählen, auf dessen Zuverlässigkeit zu prüfen und diese sowie dessen Einhaltung der vertraglichen und gesetzlichen Vorgaben zu überwachen (Art. 28 Abs. 2 u. 4 DSGVO).

10.3 Der Auftraggeber erklärt sich unbeschadet etwaiger Einschränkungen durch den Hauptvertrag ausdrücklich damit einverstanden, dass der Auftragnehmer im Rahmen der Auftragsverarbeitung die in Anhang 2 genannten Unterauftragsverarbeiter als verbundene Unternehmen der Unternehmensgruppe oder als Drittanbieter einsetzen darf. Änderungen an den in Anhang 2 aufgeführten Unterauftragsverarbeitern unterliegen dem vereinbarten Benachrichtigungs- und Widerspruchsverfahren.

10.4 Sollten im Laufe der Zusammenarbeit weitere Unterauftragsverarbeiter hinzugezogen oder bestehende Unterauftragsverarbeiter ersetzt werden, sind dem Verantwortlichen alle beabsichtigten Änderungen rechtzeitig vor Beginn der Verarbeitung personenbezogener Daten durch den neuen Unterauftragsverarbeiter schriftlich per E-Mail mitzuteilen. Dies gibt dem Verantwortlichen die Möglichkeit, diese Änderungen zu prüfen und Einwände zu erheben. Der Verantwortliche darf sein Widerspruchsrecht hinsichtlich der ausgetauschten oder neuen Unterauftragsverarbeiter nicht ohne triftigen datenschutzrechtlichen Grund ausüben. Erhebt der Verantwortliche nicht innerhalb von 14 Tagen nach Absendung der Benachrichtigung schriftlich oder in elektronischer Form Widerspruch gegen den Einsatz dieser Unterauftragsverarbeiter, so gelten diese als vom Verantwortlichen genehmigt.

10.5 Erhebt der Verantwortliche aus triftigen datenschutzrechtlichen Gründen Einwände gegen einen neuen Unterauftragsverarbeiter, so bemühen sich der Verantwortliche und der Auftragsverarbeiter, eine einvernehmliche Lösung zu finden, indem sie geeignete Maßnahmen ergreifen, um die Ursache für die Einwände gegen den Austausch oder das Hinzuziehen des neuen Unterauftragsverarbeiters zu beseitigen und es dem Verantwortlichen zu ermöglichen, seine Einwände zurückzuziehen. Können sich die Parteien nicht auf eine gemeinsame Lösung bezüglich des Einwands gegen den neuen Unterauftragsverarbeiter einigen und ist der Auftragsverarbeiter nicht in der Lage, die Dienstleistungen ohne den betreffenden Unterauftragsverarbeiter zu erbringen, oder ist dies wirtschaftlich unzumutbar, sind beide Parteien berechtigt, die betreffenden Dienstleistungen oder den Rahmenvertrag über Dienstleistungen außerordentlich zu kündigen, und zwar unter Einhaltung einer angemessenen Kündigungsfrist, wie im Rahmenvertrag oder im Auftrag vereinbart, und ohne dass eine Vertragsstrafe anfällt. Die Kündigung erfolgt durch schriftliche Mitteilung.

10.6 Der Auftraggeber sichert dem Auftragnehmer zu, dass er ohne Zustimmung durch den Auftragnehmer keinesfalls Unterauftragnehmer direkt kontaktiert oder beauftragt.

10.7 Vertragsverhältnisse, bei denen der Auftragnehmer die Leistungen Dritter als reine Nebenleistung in Anspruch nimmt, um seine geschäftliche Tätigkeit auszuüben (z. B. Reinigungs-, Bewachungs- oder Transportleistungen), stellen keine Unterauftragsverarbeitung im Sinne der vorstehenden Regelungen dieses AV-Vertrages dar. Gleichwohl hat der Auftragsverarbeiter sicherzustellen, z. B. durch vertragliche Vereinbarungen oder Hinweise und Instruktionen, dass hierbei die Sicherheit der Daten nicht gefährdet wird und die Vorgaben dieses AV-Vertrages und der Datenschutzvorschriften eingehalten werden.

§ 11 | Verarbeitung in Drittländern

11.1 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.

11.2 Die Auftragsverarbeitung in einem Drittland, auch durch Unterauftragsverarbeiter, bedarf der vorherigen Zustimmung (nach 10.4 und 10.5 in diesem Vertrag) des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

11.3 Die Zustimmung des Auftraggebers zur Verarbeitung im Drittland gilt im Hinblick auf die im Anhang 2 „Unterauftragsverhältnisse“ genannten Verarbeitungen als erteilt.

§ 12 | Vertragsdauer, Vertragsbeendigung und Datenlöschung

12.1 Dieser AV-Vertrag wird mit dessen Abschluss gültig, wird auf unbestimmte Zeit geschlossen und endet spätestens mit der Laufzeit des Hauptvertrags.

12.2 Das Recht auf außerordentliche Kündigung bleibt den Vertragsparteien vorbehalten, insbesondere im Fall eines schwerwiegenden Verstoßes gegen die Vorgaben dieses AV-Vertrages und geltendes Datenschutzrecht.

12.3 Nach Abschluss der Erbringung der Verarbeitungsleistungen im Rahmen dieses AV-Vertrages wird der Auftragnehmer alle personenbezogenen Daten und deren Kopien (sowie sämtliche im Zusammenhang mit dem Auftragsverhältnis in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände) nach Wahl des Auftraggebers entweder löschen oder zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 S. 2 lit. g DSGVO). Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Im Hinblick auf die Löschung oder Rückgabe gelten die Auskunfts-, Nachweis- und Kontrollrechte des Auftraggebers entsprechend diesem AV-Vertrag. Der Auftragnehmer wird die Löschung bzw. Vernichtung auf Anforderung des Auftraggebers entsprechend bestätigen.

12.4 Die Pflicht zur Wahrung der Vertraulichkeit hinsichtlich der im Rahmen des Auftrags verarbeiteten Daten besteht auch nach Beendigung dieses Vertragsverhältnisses fort.

12.5 Gehen die Löschung bzw. die Rückgabe der Daten über die zwingenden gesetzlichen Verpflichtungen des Auftraggebers nach Art. 28 Abs. 3 DSGVO hinaus, dann hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gemäß den Vorgaben von § 13 gesondert zu vergüten.

§ 13 | Vergütung

13.1 Unterstützungsleistungen, die sich aus zwingenden gesetzlichen Verpflichtungen des Auftraggebers nach Art. 28 Abs. 3 DSGVO ergeben, erbringt der Auftragnehmer ohne zusätzliche Vergütung. Eine gesonderte Vergütung erfolgt nur für Leistungen, die über gesetzliche Anforderungen hinausgehen. Die Vergütung erfolgt entsprechend den Vergütungsregelungen im Hauptvertrag. Der tatsächliche Mehraufwand wird durch Zeiterfassung und Belege vollständig nachgewiesen.

13.2 Die Höhe der Vergütung bestimmt sich nach dem Hauptvertrag. Sofern im Hauptvertrag keine für den AV-Vertrag maßgeblichen Vergütungsregelungen oder entsprechend anwendbaren Sätze für Serviceleistungen getroffen sind, gelten die üblichen Sätze des Auftragnehmers, bzw. falls diese nicht feststellbar sind, die branchenüblichen Sätze.

§ 14 | Haftung

14.1 Es gelten die gesetzlichen Regelungen gem. Art. 82 DSGVO.

§ 15 | Schlussbestimmungen, Rangfolge, Änderungen, Kommunikationsform, Rechtswahl, Gerichtsstand

15.1 Änderungen, Nebenabreden und Ergänzungen dieses AV-Vertrages und seiner Anhänge bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieses AV-Vertrages handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

15.2 Dieser AV-Vertrag verpflichtet den Auftragnehmer nur insoweit, als dies zur Erfüllung der gesetzlichen Pflichten, insbesondere nach Art. 28 ff. DSGVO, erforderlich ist, und legt dem Auftragnehmer darüber hinaus keine weiteren Pflichten auf.

15.3 Es gilt das Recht der Bundesrepublik Deutschland mit Ausnahme von dessen Regelungen über die Rechtswahl, die zur Anwendung einer anderen Rechtsordnung führen würden. Die Geltung des CISG („UN-Kaufrecht“) wird ausgeschlossen.

15.4 Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem AV-Vertrag ist der Sitz des Auftragnehmers. Der Auftragnehmer ist auch berechtigt, am Sitz der anderen Partei oder einem sonst zuständigen Gericht zu klagen.

Dieser AV-Vertrag wird durch die Annahme bzw. Unterzeichnung des zugehörigen Angebots (Erstbeauftragung) zwischen dem Auftraggeber und der LEVR GmbH, Neue Schönhauser Str. 3–5, 10178 Berlin, geschlossen. Eine gesonderte Unterschrift ist nicht erforderlich; die Vertragsparteien und deren Anschriften ergeben sich aus dem Angebot.

Anhang 1 – Sicherheitskonzept | Technische und Organisatorische Maßnahmen gem. Art. 32 DSGVO

1. Zutrittskontrolle

Unbefugter Zutritt soll verhindert werden, wobei der Begriff im räumlichen Sinne zu verstehen ist.

2. Zugangs- und Zugriffskontrolle

Der unbefugte Zugriff auf oder die unbefugte Nutzung von IT-Systemen und Daten außerhalb der erteilten Berechtigungen soll verhindert werden.

3. Eingabekontrolle

Die Rückverfolgbarkeit und Dokumentation der Datenverwaltung und -pflege soll gewährleistet sein.

4. Auftragskontrolle

Es soll sichergestellt werden, dass Daten, die im Auftrag des Verantwortlichen von Dienstleistern (Auftragsverarbeitern) verarbeitet werden, ausschließlich gemäß den Anweisungen des Verantwortlichen verarbeitet werden.

5. Datentrennungskontrolle

Daten, die für unterschiedliche Zwecke erhoben wurden, sollen ebenfalls getrennt verarbeitet werden.

6. Weitergabekontrolle

Bestimmte Aspekte der Übermittlung (Weitergabe) personenbezogener Daten sollen geregelt werden, d. h. elektronische Übermittlung, Datentransport und deren Kontrolle.

7. Verfügbarkeit und Belastbarkeit

Die Daten sollen vor versehentlicher Zerstörung oder vor Verlust geschützt werden.

8. Organisationskontrolle und Wirksamkeitskontrolle

Es soll ein Verfahren zur regelmäßigen Überprüfung, Beurteilung und Bewertung der Wirksamkeit von Datensicherheitsmaßnahmen durchgeführt werden.

Anhang 2 – Unterauftragnehmer

Diese Unterauftragnehmer können seitens des Auftragnehmers zur Erfüllung des Hauptvertrages bzw. der Aufträge eingesetzt werden:

UnterauftragnehmerEinsatzort EWR/Drittland
Verbundene Unterauftragsverarbeiter aus der Unternehmensgruppe, die als Software-Experten insbesondere für die Plattform „HubSpot“ tätig sind. Als solche werden sie zur Beratung und Optimierung der vom Auftraggeber lizenzierten Software, von Integrationen und Schnittstellen eingesetzt. Übersicht der verbundenen Unterauftragsverarbeiter: https://www.siloy.com/ EWR; Schweiz mit Angemessenheitsbeschluss auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“); Vereinigtes Königreich mit Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO
Freie Mitarbeiter, die als Front- und Backend-Developer (Website-Entwicklung, Auf- und Ausbau von Schnittstellen/API, Migration und Integration von Daten) eingesetzt werden. Freie Mitarbeiter, die als HubSpot-Experten tätig sind und als solche zur Beratung und Optimierung der lizenzierten HubSpot-Software eingesetzt werden. EWR; Schweiz mit Angemessenheitsbeschluss auf Grundlage von Art. 25 Abs. 6 der Richtlinie 95/46/EG („EU-Datenschutzrichtlinie“); Vereinigtes Königreich mit Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO
Dienstleister, die als Webentwickler für den Auf- und Ausbau von Schnittstellen/API, für Entwicklungen in CMS-Systemen, für Datenmigrationen und Datenmodellierungen sowie für Tool-Integration eingesetzt werden. EWR

Im Rahmen der Auftragsverarbeitung eingesetzte Unterauftragnehmer (SaaS-Anwendungen & Data-Hosting) werden gesondert geführt; das Hosting erfolgt im EWR.