SECJUR Service AGB

Stand: 26. Februar 2025

Die SECJUR AG, Weltpoststrasse 5, 3015 Bern („SECJUR“) bietet technologische Softwarelösungen im Bereich Compliance im Wege einer Software as a Service an („Digitales Compliance Office“ oder „DCO“). Darüberhinausgehend bietet SECJUR unterstützende und ergänzende Dienstleistungen (wie z.B. die Unterstützung bei Konfiguration und Einrichtung des DCO oder die Stellung von externen Informationssicherheits- und Datenschutzbeauftragten) an.

1. Geltung

1.1. Die vorliegenden Allgemeinen Geschäftsbedingungen Service (AGB-Service) gelten für unterstützende und ergänzende Serviceleistungen von SECJUR die gegenüber dem Vertragspartner von SECJUR („Auftraggeber“) erbracht werden. Beispiele für solche Serviceleistungen sind Beratungs- und Schulungsleistungen, Unterstützung bei Konfiguration- und Einrichtung des DCO, Datenmigrationsleistungen oder die Stellung von externen Informationssicherheits- und Datenschutzbeauftragten.

1.2. Die Vertragsbedingungen für die Nutzung des DCO sind in den gesonderten Allgemeinen Geschäftsbedingungen Software („AGB-Software“) geregelt. Diese sind hier abrufbar. Im Falle eines Widerspruchs gehen die AGB-Service den AGB-Software bei der Erbringung von Serviceleistungen vor.

1.3. Die AGB-Service bilden zusammen mit dem jeweiligen Angebot über die dort aufgeführten Leistungen („Angebot“) und den zugehörigen Besonderen Bedingungen, den AGB-Software sowie ggf. weiteren vertraglichen Abreden den zwischen SECJUR und dem Auftraggeber geschlossenen Vertrag („Vertrag“).

1.4. Die AGB-Service gelten auch für alle zukünftigen Leistungen an den Auftraggeber ohne, dass es einer erneuten Vereinbarung hierzu bedarf.

1.5. Geschäftsbedingungen des Auftraggebers finden keine Anwendung, auch wenn SECJUR ihrer Geltung im Einzelfall nicht gesondert widerspricht. Selbst wenn der Auftraggeber auf ein Schreiben Bezug nimmt, das Geschäftsbedingungen des Auftraggebers oder eines Dritten enthält oder auf solche verweist, liegt in der vorbehaltslosen Leistungserbringung durch SECJUR kein Einverständnis mit der Geltung jener Geschäftsbedingungen. Abweichende, entgegenstehende oder ergänzende AGB des Kunden werden nur dann und insoweit Bestandteil des Vertrags, als die Parteien ihrer Geltung ausdrücklich und schriftlich vereinbart haben.

2. Angebot und Vertragsschluss

Das Angebot von SECJUR ist freibleibend und unverbindlich, sofern es nicht ausdrücklich als verbindlich gekennzeichnet ist oder eine bestimmte Annahmefrist enthält.

3. Allgemeine Leistungsbedingungen

3.1. SECJUR erbringt, soweit nichts anderes vereinbart ist, seine Serviceleistungen als dienstvertragliche Leistungen. SECJUR schuldet daher keinen konkreten Erfolg (wie z.B. die Zertifizierung nach ISO 27001). Ausnahmsweise können die Parteien die Anwendbarkeit der werkvertraglichen Bestimmungen gesondert vereinbaren.

3.2. SECJUR darf Leistungen durch Unterbeauftragung an Dritte („Subunternehmer“) erbringen.

3.3. Die im Angebot aufgeführten Leistungen kann SECJUR in einer Leistungsbeschreibung konkretisieren. Die Leistungsbeschreibung ist Bestandteil des Vertrags.

3.4. Die Parteien sind sich einig, dass die vereinbarte Leistung aufgrund veränderter technischer, rechtlicher oder tatsächlicher Anforderungen und Bedarfe und/oder dem technischen Fortschritt während der Laufzeit des Vertrages durch SECJUR im notwendigen Umfang angepasst werden darf.

3.5. Die Ausübung des Leistungsbestimmungsrecht ist nur zulässig, soweit SECJUR die berechtigten Interessen des Auftraggebers berücksichtigt.

3.6. Durch Ausübung des Leistungsbestimmungsrechts darf nicht der Kern der Leistungserbringung zum Nachteil des Auftraggebers eingeschränkt werden.

3.7. Kann SECJUR seine Leistungen wegen eines Annahmeverzugs des Auftraggebers oder eines sonstigen Grundes, der sich aus der Betriebssphäre des Auftraggebers ergibt, nicht erbringen, gelten die Bestimmungen des § 615 BGB.3.8. Insoweit der Vertrag Leistungen unter Geltung eines Pauschalpreises ohne definiertes Kapazitätslimit enthält, werden diese unter dem Vorbehalt einer angemessenen Nutzung erbracht ("Fair Use Principle"). Das Fair Use Principle wird von SECJUR angewandt, um die Verfügbarkeit der entsprechenden Leistungen für alle Nutzer zu gewährleisten. SECJUR kann die in Anspruch genommenen Leistungen unter Zugrundelegung der vorhandenen Kapazitäten überprüfen. Bei Überschreitung der vorhandenen Kapazitäten kann SECJUR nach vorheriger Ankündigung Maßnahmen zur Kapazitätskontrolle ergreifen. Dies beinhaltet die Verringerung sowie den Aufschub der zukünftig zu erbringenden Leistungen.

4. Expertensupport

4.1. SECJUR stellt, sofern es vom individuellen Angebot umfasst ist, in dem im Angebot spezifizierten Umfang einen Expertensupport. Der Expertensupport beinhaltet, in Abhängigkeit vom individuellen Angebot, u.a. eine fachliche Begleitung, Anleitung und Kontrolle bei Aufbau, Implementierung und Verwaltung eines Compliance-Management-Systems.

4.2. Wird im Angebot von einem unlimitierten Support gesprochen, so wird die Leistung unter dem Vorbehalt der fairen Nutzung erbracht („Fair Use Principle“ nach Klausel 3.8.).

4.3. Der Expertensupport umfasst, in Abhängigkeit vom individuellen Angebot, einen Zugriff auf zertifizierte Informationssicherheits- und/oder Datenschutzexperten über ein Ticketingsystem.

5. Jährliche Audits

5.1. SECJUR führt, sofern es vom individuellen Angebot umfasst ist, ein jährliches, internes Informationssicherheits- und/oder Datenschutzaudit durch. Das Informationssicherheitsaudit wird durch einen zertifizierten Informationssicherheitsexperten durchgeführt. Das Datenschutzaudit wird durch einen zertifizierten Datenschutzexperten durchgeführt. Das Audit erfolgt über eine Dokumentenprüfung (z.B. Prüfung der Richtlinien und Nachweise). Zusätzlich können Mitarbeiter des Auftraggebers interviewt werden. Ein Vor-Ort-Audit findet nicht statt.

5.2. Ergebnis des Audits ist ein Auditbericht. Der Bericht umfasst den Prüfgegenstand, eine Beschreibung der Methodik und eine Auflistung der Ergebnisse (z.B. identifizierte Schwachstellen und Verbesserungsempfehlungen).

6. Externe Beauftragte

6.1. SECJUR stellt in dem im Angebot spezifizierten Umfang für den Auftraggeber für die Bestellung eines externen Beauftragten (z.B. Datenschutzbeauftragter, Informationssicherheitsbeauftragter oder Compliance-Beauftragter) natürliche Personen, welche die zur Wahrnehmung der jeweiligen Tätigkeit erforderliche Fachkunde und Zuverlässigkeit besitzen („Externe Beauftragte“).

6.2. Zur Aufnahme der Tätigkeit nimmt SECJUR Kontakt mit einem vom Auftraggeber zu benennenden Ansprechpartner des Auftraggebers auf („Onboarding“). Das Onboarding erfolgt in der Regel innerhalb von 7-14 Tagen nach Vertragsschluss, frühestens am Tag des Beginns der Vertragslaufzeit.

6.3. Externe Beauftragte sind berechtigt, sich bei der Erbringung der geschuldeten Leistungen durch geschultes Hilfspersonal sowie durch Subunternehmer unterstützen zu lassen. Der Auftraggeber hat keinen Anspruch auf die Betreuung durch einen bestimmten externen Beauftragten.

6.4. Ist für SECJUR erkennbar, dass ein Externer Beauftragter seine Tätigkeit künftig nicht fortführen oder für einen durchgehenden Zeitraum an der Leistungserbringung für den Auftraggeber gehindert sein wird, wird SECJUR dies dem Auftraggeber mitteilen. Die Vertragsparteien sind sich einig, dass in einem solchen Fall ein Wechsel in der Person des Externen Beauftragten notwendig ist. Der Auftraggeber bestellt – soweit erforderlich – den bisherigen Externen Beauftragten zum Tag seines Ausscheidens oder seines Verhinderungsbeginns ab und bestellt den von SECJUR zu benennenden neuen Externen Beauftragten.

6.5. Ziff. 6.4. gilt entsprechend, falls der Externe Beauftragte gegenüber dem Auftraggeber sein Amt niederlegen sollte. Wird das Amt mit sofortiger Wirkung niedergelegt, gilt Ziff. 6.4. mit der Maßgabe, dass der Wechsel des Externen Beauftragten unverzüglich zu vollziehen ist.

6.6. Externe Beauftragte berichten an die höchste Managementebene des Auftraggebers. Der Externe Beauftragte verpflichtet sich zur besonderen Verschwiegenheit über die ihm zu Kenntnis gelangten Sachverhalte und Geschäftsgeheimnisse, soweit er nicht davon durch den Betroffenen befreit wird.

6.7. Der Auftraggeber verpflichtet sich, SECJUR und Externe Beauftragte bei der Erfüllung der gesetzlichen Anforderungen zu unterstützen – insbesondere alle erforderlichen Auskünfte zu erteilen.

6.8. Dem Auftraggeber werden keinerlei Weisungsrechte gegenüber Externen Beauftragten oder deren Hilfspersonal eingeräumt. Einer weitergehenden Eingliederung Externer Beauftragter, als diese zur Wahrnehmung ihrer vertraglichen oder gesetzlichen Aufgaben erforderlich ist, wird sich der Auftraggeber in Ansehung aller für SECJUR tätigen Personen enthalten.

6.9. SECJUR und Externen Beauftragten werden keinerlei Weisungsrechte gegenüber den Arbeitnehmern des Auftraggebers und keine Rechte zur Vertretung des Auftraggebers eingeräumt.

6.10. SECJUR sichert dem Auftraggeber zu, Externen Beauftragten und deren Hilfspersonal keine Weisungen in Bezug auf die Ausübung ihres jeweiligen Fachwissens (z.B. auf dem Gebiet des Datenschutzes oder der IT-Sicherheit) zu erteilen.

6.11. Externe Beauftragte dürfen jederzeit ihren Kooperationspflichten mit staatlichen Stellen (z.B. Datenschutz-Aufsichtsbehörden) und in ihrem Tätigkeitsbereich liegenden Meldepflichten (z.B. gem. Art. 33 DSGVO) nachkommen.

7. Vergütung und Zahlung

7.1. Der Auftraggeber ist verpflichtet, SECJUR die im Angebot genannte Vergütung zu zahlen. Mehr- oder Sonderleistungen werden gesondert berechnet.

7.2. Die Vergütung ist sofort fällig und ohne Abzug spätestens vierzehn (14) Tage nach Zu-gang der Rechnung auf das von SECJUR an-gegebene Konto zu zahlen. Wiederkehrende und Einmalzahlungen sind jährlich vorschüssig zu leisten. Reisekosten und Spesen sowie gesondert in Auftrag gegebene Leistungen werden dem Auftraggeber im jeweiligen Folgemonat in Rechnung gestellt.

7.3. Alle Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer.

7.4. Kommt der Auftraggeber mit Zahlungen in Verzug, kann SECJUR Verzugszinsen in Höhe von neun ( 9 ) Prozentpunkten über dem jeweiligen Basiszinssatz p.a. erheben. Die Geltendmachung eines höheren Verzugsschadens bleibt vorbehalten.

7.5. SECJUR ist berechtigt, die vertraglich vereinbarte Vergütung auf Basis des deutschen Verbraucherpreisindex (VPI) jährlich anzupassen. Die Anpassung erfolgt erstmalig ein Jahr nach Beginn der Vertragslaufzeit. Eine Anpassung der Vergütung findet statt, um die Entwicklung der Kosten, die für die Preisberechnung maßgeblich sind, widerzuspiegeln. Dazu gehören unter anderem Veränderungen in den Kosten für die Beschaffung von Hard- und Software, Energie, die Nutzung von Kommunikationsnetzen sowie Veränderungen der Lohnkosten und sonstige Änderungen der wirtschaftlichen oder rechtlichen Rahmenbedingungen.

8. Pflichten des Auftraggebers

8.1. Der Auftraggeber gewährleistet, alle erforderlichen Beistellungs- und Mitwirkungsleistungen rechtzeitig und ohne Kosten für SECJUR zu erbringen.

8.2. Der Auftraggeber gewährleistet, Mitarbeiter von SECJUR und von möglichen Subunternehmern in größtmöglichem Umfang bei den zu erbringenden Leistungen zu unterstützen. Die beinhaltet unter anderem, dass der Auftraggeber einen qualifizierten Mitarbeiter zur Unterstützung und Koordination zur Verfügung stellt und SECJUR rechtzeitig alle notwendigen Informationen zukommen lässt.

8.3. Erbringt der Auftraggeber eine erforderliche Mitwirkungsleistung nicht, nicht rechtzeitig oder nicht in der vereinbarten Weise, so sind die hieraus entstandenen Schäden und Aufwendungen (z. B. Verzögerungen, Mehraufwand) vom Auftraggeber zu tragen. Solange Mitwirkungsleistungen des Auftraggebers nicht vertragsgemäß erbracht sind, ist SECJUR von der betreffenden Leistungspflicht ganz oderteilweise insoweit befreit, wie SECJUR auf die jeweilige Mitwirkung oder Beistellung angewiesen ist. SECJUR ist nicht verantwortlich für Leistungsstörungen, die durch die nicht vertragsgemäße Erbringung von Mitwirkungsleistungen durch den Kunden entstehen.

8.4. Der Auftraggeber ist verpflichtet, Dateien und Datenträger inhaltlich und technisch einwandfrei – insbesondere frei von Schadprogrammen (z.B. „Viren“) – zur Verfügung zu stellen und für mögliche Verstöße gegen diese Verpflichtung SECJUR sämtliche Schäden zu ersetzen sowie SECJUR von allen Ansprüchen Dritter freizustellen.

8.5. Der Auftraggeber ist verpflichtet, seine Daten regelmäßig, spätestens mit Vertragsende auf eigenen Systemen zu sichern.

8.6. Der Auftraggeber ist verpflichtet, sich rechtskonform zu verhalten. d.h. seine vertraglichen Pflichten und alle anwendbaren gesetzlichen Vorschriften einhalten, insbesondere gegenüber SECJUR, den Endkunden, Interessenten und anderen Dritten. Sofern der Auftraggeber gesetzlich zum Nachweis der Einhaltung bestimmter Vorgaben verpflichtet ist, führt er diesen Nachweis auch gegenüber SECJUR, soweit zulässig. Als Nachweis genügen Zertifikate oder Prüfberichte, sofern gesetzlich keine strengeren Anforderungen bestehen.

8.7. Bei Auftreten von Mängeln oder sonstigen Störungen ist der Auftraggeber verpflichtet, diese unverzüglich an SECJUR zu melden und die zur Fehlerbehebung erforderlichen ihm vor-liegenden Informationen mitzuteilen.

8.8. Der Auftraggeber hat Mängelrügen mit einer nachvollziehbaren Schilderung der Fehlersymptome schriftlich, und soweit möglich, unter Übergabe anzufertigender schriftlicher Aufzeichnungen (wie z.B. Screenshots), Hardcopy oder sonstiger die Mängel veranschaulichender Unterlagen zu melden.

9. Haftung

9.1. SECJUR haftet im Rahmen der gesetzlichen Bestimmungen auf Schadens- und Aufwendungsersatz für die Verletzung von Leben, Körper oder Gesundheit sowie für Schäden, die eine Ersatzpflicht des Herstellers nach § 1 des Produkthaftungsgesetzes (ProdHaftG) begründen.

9.2. Für sonstige Schäden haftet SECJUR ausschließlich nach Maßgabe der folgenden Bestimmungen. SECJUR haftet nach den gesetzlichen Bestimmungen für Schäden, die durch arglistiges Verhalten, Vorsatz oder grobe Fahrlässigkeit verursacht wurden. Bei einfacher Fahrlässigkeit haftet SECJUR nur, soweit vertragswesentliche Pflichten (sog. Kardinalpflichten) verletzt werden. Vertragswesentlich sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertraut und vertrauen darf. Die Haftung ist in diesem Fall auf die Höhe des vertragstypischen, vorhersehbaren Schadens begrenzt.

9.3. Im Falle einer Haftung für einfache Fahrlässigkeit ist die Ersatzpflicht von SECJUR für Beratungsfehler begrenzt auf den Höchstbetrag der Deckungssumme der Vermögenschaden-Versicherung von EUR 10.000.000,00 pro Schadenfall.

9.4. Die vorstehenden Haftungsausschlüsse und -beschränkungen gelten in gleichem Umfang zugunsten der Organe, gesetzlichen Vertreter, Angestellten und sonstigen Erfüllungsgehilfen von SECJUR.

10. Wettbewerb

10.1. Der Auftraggeber verpflichtet sich, das qualifizierte Personal von SECJUR während der Laufzeit des Vertrags nicht abzuwerben. Als Abwerbung gilt bereits die Abgabe eines konkreten Angebots für ein anderes Beschäftigungsverhältnis.

10.2. Die zum qualifizierten Personal gehörende Person wird von dem Auftraggeber bis zum Ablauf von zwölf Monaten nach Beendigung – gleich aus welchem Rechtsgrund – des Beschäftigungsverhältnisses zwischen SECJUR und ihr nicht beschäftigt, es sei denn SECJUR hat die Beendigung des Beschäftigungsverhältnisses herbeigeführt oder dieser im Einzelfall vorher schriftlich (§ 126 Abs. 1 BGB) zugestimmt.

11. Referenz

11.1. SECJUR ist berechtigt, den Auftraggeber im Rahmen der gesetzlichen Grenzen als Referenz zu nennen („Referenznennung“). Die Referenznennung beinhaltet unter anderem: Nennung des Firmennamens und Darstellung aktueller sowie vergangener Firmenlogos und Marken; Beschreibung des Inhalts und Umfangs der erbrachten Leistungen. Das Recht zur Referenznennung umfasst unter anderem: sämtlichen Webseiten, Blogs und Social-Media-Kanäle; Pressemeldungen; Interviews; Fachartikel; Printanzeigen; unternehmenseigene Unterlagen; Ausschreibungen; Präsentationen; Webinare; das Digitale Compliance Office; Firmenräume; Messen.

11.2. Der Auftraggeber räumt SECJUR und mit SECJUR verbundenen Unternehmen für die Referenznennung ein einfaches, zeitlich und räumlich unbeschränktes, nicht übertragbares Nutzungsrecht hinsichtlich der hierfür erforderlichen Namens- und Markenrechte ein.

11.3. Die Regelungen dieses Abschnitts gelten für einen Zeitraum von vier Jahren nach Vertragsbeendigung fort.

12. Textform

Ergänzungen und Abänderungen der getroffenen Vereinbarungen bedürfen zu ihrer Wirksamkeit der Textform (§ 126b BGB). Dies gilt auch für Änderungen dieser Textformklausel.

13. Mitteilungen

13.1. Organisatorische Absprachen werden die Vertragsparteien nach Abschluss des Vertrages einvernehmlich treffen. Die Vertragsparteien sind sich einig, konkrete Vereinbarungen, die die Zusammenarbeit – insbesondere Terminabsprachen – betreffen, in Textform (§ 126b BGB) festzuhalten.

13.2. Soweit zutreffend, ist der Auftraggeber verpflichtet, das von SECJUR zur Verfügung gestellte Ticketsystem für alle Mitteilungen im Rahmen des Vertrags zu nutzen.13.3. § 312i Abs. 1 Nr.1, 2 und 3 BGB sowie § 312i Abs. 1 Satz 2 BGB, die bei Verträgen im elektronischen Geschäftsverkehr bestimmte Verpflichtungen des Unternehmers vorsehen, werden abbedungen.

14. Schutz personenbezogener Daten

14.1. Soweit SECJUR für den Auftraggeber personenbezogene Daten im Auftrag verarbeitet, gelten die Regelungen der Vereinbarung über Auftragsverarbeitung zwischen den Parteien (siehe Anlage Auftragsverarbeitungsvertrag).

14.2. Soweit SECJUR personenbezogene Daten des Auftraggebers als Verantwortlicher verarbeitet, unterstützt der Auftraggeber SECJUR bei der Erfüllung der gesetzlichen Informationspflichten gegenüber den betroffenen natürlichen Personen.

15. Vertraulichkeit

15.1. „Vertrauliche Informationen“ umfassen alle Informationen, unabhängig davon, ob sie schriftlich, mündlich oder in anderer Form offengelegt werden, die (i) ihrer Natur nach vertraulich oder geheimhaltungsbedürftig sind oder (ii) von der empfangenden Partei unter den gegebenen Umständen als vertraulich erkannt werden müssten. Dazu gehören insbesondere, aber nicht ausschließlich, technische Daten, Geschäftsgeheimnisse, Software, Produktbeschreibungen, Preisgestaltungen und andere geschäftliche Informationen.

15.2. Die Parteien verpflichten sich: (i) Vertrauliche Informationen der jeweils anderen Partei ohne ausdrückliche vorherige schriftliche Zustimmung nicht an Dritte weiterzugeben, es sei denn, dies ist zur Erfüllung der Vertragsbedingungen notwendig; (ii) Vertrauliche Informationen ausschließlich für die im Vertrag festgelegten Zwecke zu verwenden; (iii) Angemessene Sicherheitsmaßnahmen zu ergreifen, um die Vertraulichkeit der Informationen zu wahren, mindestens im gleichen Umfang, wie sie ihre eigenen vertraulichen Informationen schützen; (iv) Jeden Missbrauch oder Verdacht eines Missbrauchs vertraulicher Informationen unverzüglich in Textform der anderen Partei mitzuteilen.

15.3. Die Verpflichtung zur Geheimhaltung gilt nicht für Informationen, die: (i) der empfangenden Partei nachweislich vor Erhalt der Informationen bekannt waren und diese nicht einer bestehenden Vertraulichkeitsverpflichtung unterlagen; (ii) von einem Dritten übermittelt wurden, der nicht einer Vertraulichkeitsverpflichtung unterliegt; (iii) Öffentlich bekannt sind oder ohne Verschulden der empfangenden Partei bekannt werden; (iv) unabhängig von der empfangenden Partei entwickelt wurden, ohne auf vertrauliche Informationen der offenlegenden Partei zurückzugreifen; (v) aufgrund gesetzlicher Bestimmungen oder behördlicher Anordnungen offengelegt werden müssen, vorausgesetzt, dass die offenlegende Partei rechtzeitig über die Anforderung informiert wird, um rechtliche Schutzmaßnahmen zu ergreifen.

15.4. Die Verpflichtung zur Geheimhaltung besteht für einen Zeitraum von fünf Jahren nach Beendigung dieses Vertrags oder bis die vertraulichen Informationen keine vertrauliche Natur mehr haben, je nachdem, was früher eintritt.

15.5. Beide Parteien sind berechtigt, vertrauliche Informationen an Subunternehmer weiterzugeben, vorausgesetzt, dass diese zur Einhaltung von Geheimhaltungsverpflichtungen in einem Umfang verpflichtet werden, der diesen Bestimmungen entspricht.

16. Laufzeit, Beendigung

16.1. Die Laufzeit des Vertrages beginnt am 1. und 15. des Folgemonats ab Vertragsunterzeichnung („Vertragsbeginn“).

16.2. Die Laufzeit richtet sich nach dem individuellen Angebot.

16.3. Der Vertrag zu den Serviceleistungen verlängert sich jeweils um seine ursprüngliche Laufzeit, wenn er, abgesehen von gesetzlichen Sonderregelungen, nicht vor Ablauf der jeweiligen Laufzeit unter Einhaltung einer Kündigungsfrist von drei ( 3 ) Monaten zum Laufzeitende gekündigt wird. Verdeutlichendes Beispiel: Weist der Experten-Support nach dem Angebot eine Laufzeit von einem ( 1 ) Jahr aus, verlängert er sich um ein ( 1 ) weiteres Jahr, wenn er nicht fristgerecht gekündigt wird.

16.4. Auf den Bestand des Vertrags hat ein Wechsel in der Person des Externen Beauftragten keinen Einfluss.

16.5. Das Recht beider Parteien, den Vertrag aus wichtigem Grund zu kündigen, bleibt von den vorstehenden Ziffern unberührt. Besteht der wichtige Grund in der Verletzung einer vertraglichen Pflicht, ist die Kündigung erst nach erfolglosem Ablauf einer zur Abhilfe gesetzten Frist oder nach erfolgloser Abmahnung zulässig, soweit nicht aufgrund zwingender gesetzlicher Regelungen eine Fristsetzung entbehrlich ist.

16.6. Für SECJUR liegt ein zur außerordentlichen Kündigung des Vertrags berechtigender wichtiger Grund insbesondere darin, dass der Auftraggeber eine erforderliche Mitwirkungshandlung zur Erfüllung des Vertrags nicht binnen einer von SECJUR bestimmten angemessenen Frist ausgeführt hat, sofern SECJUR bei Bestimmung der Frist die vorzunehmende Handlung konkret bezeichnet und erklärt hat, dass den Vertrag außerordentlich zu kündigen, wenn die Handlung nicht bis zum Ablauf der Frist vorgenommen werde.16.7. Für SECJUR liegt ein zur außerordentlichen Kündigung des Vertrags berechtigender wichtiger Grund insbesondere auch darin, dass sich der Auftraggeber mit der Zahlung von mindestens zwei ( 2 ) Monatsrechnungen im Verzug befindet.

17. Änderungsvorbehalt

SECJUR behält sich das Recht vor, diese AGB-Service zu ändern, um rechtliche, technische oder geschäftliche Veränderungen zu berücksichtigen. Änderungen der AGB-Service werden dem Kunden mindestens vier ( 4 ) Wochen vor dem geplanten Inkrafttreten in Textform (z. B. per E-Mail) mitgeteilt. Ist die Änderung für den Kunden nachteilig, hat der Kunde das Recht, innerhalb von zwei ( 2 ) Wochen nach Erhalt der Mitteilung in Textform zu widersprechen. In der Änderungsmitteilung wird auf die Änderung, das Widerspruchsrecht, die Widerspruchsfrist, das Textformerfordernis und die Folgen des Widerspruchs hingewiesen. Widerspricht der Kunde nicht fristgerecht, gelten die Änderungen als akzeptiert. Bei fristgemäßem Widerspruch wird der Vertrag zu den bisherigen Bedingungen fortgesetzt, wobei sich SECJUR das Recht vorbehält, den Vertrag mit einer Frist von einem ( 1 ) Monat außerordentlich zu kündigen.

18. Schlussbestimmungen

18.1. Im Fall von Widersprüchen verschiedener Bestandteile dieses Vertrages gehen die Bestimmungen des Angebots vor. Vertragliche Regelungen dieser Allgemeinen Geschäftsbedingungen und der Anlage Auftragsverarbeitungsvertrag gehen den besonderen Bedingungen für weitere Leistungen vor.

18.2. Sollte eine Bestimmung des Vertrages und/oder seiner Änderungen beziehungsweise Ergänzungen unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen des Vertrags nicht berührt. Die Parteien trifft bei Unwirksamkeit einer Bestimmung die Pflicht, über eine wirksame und zumutbare Ersatzregelung zu verhandeln, die dem von den Vertragsparteien mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt.

18.3. Der Vertrag gibt die Vereinbarungen zwischen den Parteien im Hinblick auf den Vertragsgegenstand abschließend und vollständig wieder und ersetzen alle vorangegangenen schriftlichen, mündlichen und konkludenten Vereinbarungen, Übereinkünfte oder Abreden. Nebenabreden, schriftlich, mündlich oder konkludent, wurden nicht getroffen.

18.4. Auf den Vertrag und sämtliche außervertraglichen Angelegenheiten oder Verpflichtungen, die sich aus dem Vertrag oder den Leistungen ergeben, findet das Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf vom 11. April 1980 (CISG) Anwendung. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, Hamburg, Deutschland, oder nach Wahl von SECJUR, (i) das Gericht, bei dem die mit der Erbringung der Leistungen schwerpunktmäßig befasste Niederlassung von SECJUR ihren Sitz hat oder (ii) die Gerichte an dem Ort, an dem der Auftraggeber seinen Sitz hat.

Annex 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen

Kategorien betroffener Personen: Kunden; Lieferanten; Mitarbeiter; Interessenten; sonstige Vertragspartner und Dritte, deren personenbezogene Daten im Digital Compliance Office verarbeitet werden Zwecke, Art und Umfang der Verarbeitung: Erfüllung gesetzlicher Pflichten; Erstellung sowie Ablage/Speicherung von Dokumenten; Kommunikation zwischen den Vertragsparteien Art der Daten: Stammdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten; sonstige personenbezogene Daten, die in Art 4 Nr. 1 der DSGVO definiert sind und die vom Auftraggeber im Zuge der Nutzung des Digitalen Compliance Office übermittelt oder gespeichert werden; ggf. besondere Kategorien personenbezogener Daten.

Annex 2: Weitere Auftragsverarbeiter

Anbieter Gruppensitz Serverstandort Ggf. Transfermechanismus (Art. 44 ff DSGVO) Leistungsgegenstand
Decareto GmbH Deutschland Deutschland Websitescans inkl. Cookiescans
Eagle lsp GmbH Deutschland Deutschland Support für das DCO
Hubspot Inc.(Drittlandtransfer) USA Deutschland Data Privacy Framework Customer-Relationship-Managementsystem, Ticketingsystem, Chatbot
Kombo Technologies GmbH Deutschland Deutschland Schnittstelle für Einbindung von Drittservices in DCO
Microsoft Inc. USA Deutschland Data Privacy Framework Hosting
Sentry.io / Functional Software, Inc. USA USA Data Privacy Framework Fehleranalyse- und behebung
Syngenity GmbH Deutschland Deutschland Support für das DCO


Annex 3: Technische und organisatorische Maßnahmen

Die folgenden Maßnahmen geben einen Überblick über die implementierten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der Integrität, Vertraulichkeit und Verfügbarkeit personenbezogener Daten bei der SECJUR GmbH. Die Maßnahmen werden stets unter Berücksichtigung des vorhandenen Risikos einer unbefugten Offenlegung, einer unbefugten Veränderung oder eines Verlustes personenbezogener Daten ausgewählt und regelmäßig auf ihre Effektivität überprüft. Der aktuelle Stand der Technik wird bei der regelmäßigen Prüfung berücksichtigt, um keine veralteten Schutzmechanismen zu implementieren.

1. Vertraulichkeit
1.1 Zutrittskontrolle
Folgende Maßnahmen sind implementiert, um den unautorisierten Zugang zu personenbezogenen Daten zu verhindern:
☒ elektronisches Schließsystem
☒ Sicherheitsschlösser
☒ Abschließbare Serverschränke
☒ Besucherausweis
☒ Schlüsselregelung
☒ Zutrittskonzept
☒ Alarmanlage
☒ Empfang
☒ Begleitung von Gästen
1.2 Zugangskontrolle
Folgende Maßnahmen sind implementiert, um den unautorisierten Zugriff auf IT-Systeme und Speichermedien zu verhindern:
☒ Endgeräte-Verschlüsselung
☒ Datenträgerverschlüsselung
☒ Passwortrichtlinie
☒ Sperrung nicht genutzter Accounts
☒ Mind. 8 Zeichen Länge
☒ Mindestmaß an Komplexität
☒ Regelmäßige Wechselperioden
☒ Einzelpasswörter
☒ Antivirensoftware
☒ Regelm. Aktualisierung der Antivirensoftware
☒ Firewall
☒ Regelmäßige Aktualisierung der Firewall
☒ automatische Bildschirmsperre
☒ Intrusion-Detection System
☒ Sperrung externer Schnittstellen
1.3 Zugriffskontrolle
Folgende Maßnahmen sind implementiert, um den unautorisierten Zugriff personenbezogener Daten in IT-Systemen zu verhindern:
☒ Berechtigungskonzept
☒ Überprüfung Erteilung und Entzug der Berechtigungen
☒ Differenzierte Rechtevergabe
☒ Definition von Nutzergruppen
☒ Löschung von personenbezogenen Daten nach Zweckerreichung bzw. gesetzlicher Aufbewahrungsfrist
☒ Sichere Überschreibung von Datenträgern nach der Festplattenformatierung
☒ regelmäßige Auswertung der Protokolle
☒ Protokollierung von Zugriffen
☒ minimale Anzahl von Administratorenzugängen
1.4 Trennungskontrolle
Folgende Maßnahmen sind implementiert, um personenbezogene Daten zu trennen, die zu verschiedenen Zwecken verarbeitet werden:
☒ Mandantentrennung
☒ verschiedene Datenbanken
☒ Entwicklungs-, Test- und Produktivsystem
☒ Systemseitige Trennung
☒ Logische Trennung
1.5 Pseudonymisierung
Es sind Maßnahmen implementiert, welche die Pseudonymisierung personenbezogener Daten ermöglichen, falls nötig. Dies erfolgt z. B. durch die Nutzung von Hashwerten oder Kundennummern und einer Einschränkung der Zuordnungstabelle.
2. Integrität
2.1 Weitergabekontrolle
Folgende Maßnahmen sind implementiert, um bei einer Weitergabe personenbezogener Daten die Vertraulichkeit und Integrität zu gewährleisten:
☒ Dokumentation von Datenübermittlungen
☒ Anonymisierung
☒ TLS 1.2 Verschlüsselung
☒ Regelung beim physischen Transport
2.2 Eingabekontrolle
Folgende Maßnahmen sind implementiert, um die Integrität von Daten während der Erfassung zu gewährleisten:
☒ Protokollierung von Eingaben
☒ Schutz der Protokolldaten gegen Manipulation
☒ Schutz der Protokolldaten vor unbefugter Einsichtnahme
3. Vertraulichkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Folgende Maßnahmen sind implementiert, um die Verfügbarkeit personenbezogener Daten zu gewährleisten:
☒ Datensicherungskonzept
☒ Wiederherstellungskonzept
☒ Erprobung der Wiederherstellung
☒ Notfallplan/ Notfallkonzept
☒ Verschlüsselung der Datensicherungen
☒ Intervalle der Datensicherungen: Täglich
☒ USV
☒ Klimaanlagen
☒ Feuermeldeanlage
☒ Rauchmeldeanlage
☒ RAID-System
☒ Backup-Strategie
☒ Spiegelung von Festplatten
☒ Feuchtigkeitsmelder
☒ Zwillingssystem
☒ Spam-Filter
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
4.1 Datenschutz-Management
Folgende organisatorische Maßnahmen existieren, um den datenschutzkonformen Umgang mit personenbezogenen Daten zu gewährleisten:
☒ Mitarbeiter: Vertraulichkeitsverpflichtung
☒ Mitarbeiterschulungen zum Datenschutz
☒ Meldeprozess für Datenschutzverletzungen
☒ Datenverarbeitung in EU oder EWR
☒ Einhaltung der Art. 28 und Art. 44 ff. DSGVO
☒ Benannter Datenschutzbeauftragter
☒ Prozesse für die Ausübung von Betroffenenrechten
4.2 Incident-Response Management
Ein Incident-Response Management ist prozessseitig implementiert.
4.3 Datenschutzfreundliche Voreinstellungen
Systeme der SECJUR GmbH sind so gewählt und entwickelt, dass die Voreinstellungen Grundsätze des Art. 5 DSGVO, insb. der Zweckbindung, beachten.
5. Auftragskontrolle
Folgende Maßnahmen sind für eine datenschutzrechtlich Zulässige Verarbeitung personenbezogener Daten im Auftrag Dritter implementiert:
☒ Verfahren zur Auswahl von Unterauftragnehmern
☒ schriftliche Verträge (AVV)
☒ Überprüfungen und Kontrollen
6. Sonstige Maßnahmen
☒ Regelmäßige Durchführung von Updates
☒ Löschkonzept
☒ Fernwartungen


Annex 4: Auftragsverarbeitungsvertrag

Insoweit Verarbeitungstätigkeiten von SECJUR als Auftragsverarbeitung zu qualifizieren sind, gilt für die Parteien folgender Auftragsverarbeitungsvertrag:

§ 1 Vertragsgegenstand
Im Rahmen der Leistungserbringung nach dem Vertrag (nachfolgend „Hauptvertrag“) ist es erforderlich, dass SECJUR (nachfolgend „Auftragnehmer“) mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften agiert (nachfolgend „Auftraggeber-Daten“). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.

§ 2 Umfang der Beauftragung

2.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.

2.2 Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt in der Art, dem Umfang und zu dem Zweck wie in Annex 1 zu diesem Vertrag spezifiziert; die Verarbeitung betrifft die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

2.3 Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.

2.4 Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

2.5 Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44–48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

§ 3 Weisungsbefugnisse des Auftraggebers

3.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten gemäß den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

3.2 Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem die Weisung zu dokumentieren und die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.

3.3 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Auftraggeber-Daten beim Auftraggeber liegt.

§ 4 Verantwortlichkeit des Auftraggebers

4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern frei-stellen.

4.2 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

4.3 Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

4.4 Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

§ 5 Anforderungen an Personal

Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.

§ 6 Sicherheit der Verarbeitung

6.1 Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. Eine Konkretisierung der ergriffenen technischen und organisatorischen Maßnahmen ist in Annex 3 enthalten.

6.2 Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.

§ 7 Inanspruchnahme weiterer Auftragsverarbeiter

7.1 Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Annex 2. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.

7.2 Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Ein-spruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.

7.3 Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

§ 8 Rechte der betroffenen Personen8.1 Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

8.2 Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

8.3 Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.

8.4 Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auf-traggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

8.5 Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.

§ 9 Mitteilungs- und Unterstützungspflichten des Auftragnehmers

9.1 Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.

9.2 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

§ 10 Datenlöschung

10.1 Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages löschen, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.

10.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

§ 11 Nachweise und Überprüfungen

11.1 Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.

11.2 Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.

11.3 Zur Durchführung von Inspektionen nach Ziffer 11.2 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung gemäß Ziffer 11.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnis-sen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auf-traggeber-Daten verarbeitet werden.

11.4 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.

11.5 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.

11.6 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.

11.7 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.

§ 12 Vertragsdauer und Kündigung

Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

§ 13 Schlussbestimmungen

13.1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

13.2 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.