SECJUR Software AGB

Stand: 26. Februar 2025

Die SECJUR AG, Weltpoststrasse 5, 3015 Bern („SECJUR“) bietet technologische Softwarelösungen im Bereich Compliance im Wege einer Software as a Service an („Digitales Compliance Office“ oder „DCO“). Darüberhinausgehend bietet SECJUR unterstützende und ergänzende Dienstleistungen (wie z.B. die Unterstützung bei Konfiguration und Einrichtung des DCO oder die Stellung von externen Informationssicherheits- und Datenschutzbeauftragten) an.


1. Geltung

1.1. Diese Allgemeinen Geschäftsbedingungen („AGB-Software“) gelten ausschließlich für die Bereitstellung und Nutzung des DCO. Sie bilden zusammen mit dem jeweiligen Angebot über die dort aufgeführten Leistungen („Angebot“) und den zugehörigen Besonderen Bedingungen sowie ggf. weiteren vertraglichen Abreden den zwischen SECJUR und dem Auftraggeber geschlossenen Vertrag („Vertrag“).

1.2. Die AGB-Software gelten auch für alle zukünftigen Leistungen an den Auftraggeber ohne, dass es einer erneuten Vereinbarung hierzu bedarf.

1.3. Geschäftsbedingungen des Auftraggebers oder Dritter finden keine Anwendung, auch wenn SECJUR ihrer Geltung im Einzelfall nicht gesondert widerspricht. Selbst wenn der Auftraggeber auf ein Schreiben Bezug nimmt, das Geschäftsbedingungen des Auftraggebers oder eines Dritten enthält oder auf solche verweist, liegt in der vorbehaltslosen Leistungserbringung durch SECJUR kein Einverständnis mit der Geltung jener Geschäftsbedingungen. Abweichende, entgegenstehende oder ergänzende AGB des Auftraggebers werden nur dann und insoweit Bestandteil des Vertrags, als die Parteien ihre Geltung ausdrücklich und schriftlich vereinbart haben.

2. Angebot und Vertragsschluss

Das Angebot von SECJUR über die Nutzung des DCO ist freibleibend und unverbindlich, sofern es nicht ausdrücklich als verbindlich gekennzeichnet ist oder eine bestimmte Annahmefrist enthält.

3. Leistungsumfang des DCO

3.1. SECJUR stellt dem Auftraggeber das DCO in der jeweils aktuellen Version als technisches Hilfsmittel zur Unterstützung bei der eigenverantwortlichen Erfüllung von Pflichten und Implementierung von Vorgaben im Bereich Compliance für die Laufzeit dieses Vertrages über einen Server, der via Internet für den Auftraggeber über einen üblichen Browser in der jeweils aktuellen Version erreichbar ist, entgeltlich zur Verfügung.

3.2. Der Funktionsumfang des DCO wird dem Auftraggeber durch ein Angebot mit dort aufgeführten Leistungen und den zugehörigen Besonderen Bedingungen sowie ggf. weiteren vertraglichen Abreden zur Verfügung gestellt. Die dort enthaltenen Angaben sind aber nicht als Beschaffenheitsgarantie für das DCO zu verstehen, soweit diese nicht ausdrücklich als solche in der Produktbeschreibung bezeichnet werden. Dies ist dem Umstand geschuldet, dass wir das DCO kontinuierlich weiterentwickeln.

3.3. Übergabepunkt des DCO ist der Routerausgang des Cloud-Providers von SECJUR.

3.4. SECJUR darf Leistungen durch Unterbeauftragung an Dritte („Subunternehmer“) erbringen.

3.5. Die im Angebot aufgeführten Leistungen kann SECJUR in einer Leistungsbeschreibung konkretisieren. Die Leistungsbeschreibung ist Bestandteil des Vertrages.

3.6. Die Parteien sind sich einig, dass die vereinbarte Leistung aufgrund veränderter technischer, rechtlicher oder tatsächlicher Anforderungen und Bedarfe und/oder dem technischen Fortschritt während der Laufzeit des Vertrages durch SECJUR im notwendigen Umfang angepasst werden darf.

3.7. Die Ausübung des Leistungsbestimmungsrecht ist nur zulässig, soweit SECJUR die berechtigten Interessen des Auftraggebers berücksichtigt.

3.8. Durch Ausübung des Leistungsbestimmungsrechts darf nicht der Kern der Leistungserbringung zum Nachteil des Auftraggebers eingeschränkt werden.

3.9. Nicht abgerufene Leistungen von SECJUR verfallen mit Ende des folgenden Quartals. Im Falle von KYC, KYB, PEP und Sanction List Scans verfallen diese zum Ende des laufenden Vertragsjahres.

3.10. Stellt SECJUR ein Whistleblowing-Tool zur Verfügung, gelten die „GENERAL TERMS AND CONDITIONS for the usage of the Whistleblowing Solution of SECJUR GmbH“.

4. Verfügbarkeit

4.1. SECJUR stellt das DCO mit einer Verfügbarkeit von 99 % im Jahresdurchschnitt zur Verfügung.

4.2. Der Prozentsatz der Verfügbarkeit wird nach folgender Formel berechnet: Verfügbarkeit = ([Gesamtzeit in Minuten – Ausfallzeit in Minuten] / Gesamtzeit in Minuten) x 100.

4.3. Die Gesamtzeit Minuten ergibt sich aus der vereinbarten Betriebszeit je Kalendermonat. Die Betriebszeit ist die Zeit von Montag bis Sonntag von 0:00 bis 24:00 Uhr.

4.4. Ausfallzeit sind diejenigen Minuten, in denen dco.secjur.com nicht erreichbar ist.

4.5. Ausgenommen sind Wartungszeiten und Ausfallzeiten, in denen der Server aufgrund sonstiger technischer Probleme, die nicht im Einflussbereich von SECJUR liegen (z.B. höhere Gewalt), nicht erreichbar ist. Zudem sind Ausfallzeiten ausgeschlossen, die auf dem pflichtwidrigen Handeln oder Unterlassen des Auftraggebers oder eines nicht von SECJUR beauftragten Dritten beruhen. Ebenfalls ausgeschlossen sind geplante Wartungsarbeiten (z.B. Updates des DCO), die außerhalb von Montag bis Freitag zwischen 9:00 Uhr und 18:00 Uhr ("Normale Geschäftszeiten") stattfinden. Soweit möglich, wird SECJUR den Auftraggeber hinsichtlich vorzunehmender Wartungsarbeiten umgehend informieren.

5. Vergütung und Zahlung

5.1. Der Auftraggeber ist verpflichtet, SECJUR die im Angebot genannte Vergütung zu zahlen. Mehr- oder Sonderleistungen werden gesondert berechnet.

5.2. Die Vergütung ist sofort fällig und ohne Abzug spätestens vierzehn (14) Tage nach Zugang der Rechnung auf das von SECJUR angegebene Konto zu zahlen. Wiederkehrende und Einmalzahlungen sind jährlich vorschüssig zu leisten.

5.3. Alle Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer.

5.4. Kommt der Auftraggeber mit Zahlungen in Verzug, kann SECJUR Verzugszinsen in Höhe von neun (9) Prozentpunkten über dem jeweiligen Basiszinssatz p.a. erheben. Die Geltendmachung eines höheren Verzugsschadens bleibt vorbehalten.

5.5. SECJUR ist berechtigt, die vertraglich vereinbarte Vergütung auf Basis des deutschen Verbraucherpreisindex (VPI) jährlich anzupassen. Zusätzlich zu der Anpassung gemäß VPI erhöht sich die Vergütung jährlich um 2,9%. Diese Regelungen spiegeln den kontinuierlichen Mehrwert durch steigenden Innovationsgrad der Software wider und adressiert das Inflationsrisiko, ohne SECJUR nominal besserzustellen. Die Anpassung erfolgt erstmalig ein Jahr nach Beginn der Vertragslaufzeit. Eine Anpassung der Vergütung findet statt, um die Entwicklung der Kosten, die für die Preisberechnung maßgeblich sind, widerzuspiegeln. Dazu gehören unter anderem Veränderungen in den Kosten für die Beschaffung von Hard- und Software, Energie, die Nutzung von Kommunikationsnetzen sowie Veränderungen der Lohnkosten und sonstige Änderungen der wirtschaftlichen oder rechtlichen Rahmenbedingungen.

5.6. Ein Aufrechnungsrecht steht dem Auftraggeber nur zu, soweit seine Gegenforderung rechtskräftig festgestellt oder unbestritten ist. Dem Auftraggeber steht die Geltendmachung eines Zurückbehaltungsrechtes nur wegen Gegenansprüchen aus diesem Vertragsverhältnis zu.

6. Pflichten des Auftraggebers

6.1. Der Auftraggeber ist verpflichtet, das DCO nur im Rahmen der ihm übertragenen Nutzungsrechte zu verwenden. In diesem Zusammenhang ist der Auftraggeber verpflichtet, dass die durch den Auftraggeber benannten natürlichen Personen entsprechend auf die Einhaltung der gegenüber dem Auftraggeber eingeräumten Nutzungsrechte verpflichtet werden.

6.2. Mitarbeiter des Auftraggebers nutzen das DCO nach vorheriger Erstellung eines individuellen Passworts. Der Auftraggeber hat seine Mitarbeiter zu verpflichten, die individuellen Passwörter geheim zu halten und Dritten gegenüber nicht zugänglich zu machen.

6.3. Der Auftraggeber ist verpflichtet, von Betroffenen erforderliche Einwilligungen einzuholen, soweit dies im Rahmen der Nutzung des DCO erforderlich ist und kein alternativer Verarbeitungsgrundlage anwendbar ist.

6.4. Mit Vertragsende erfolgt eine Sperrung des Zugangs des Auftraggebers zum DCO. Der Auftraggeber ist verpflichtet, relevante Daten bis zum Vertragsende auf seinen Systemen zu sichern.

6.5. Der Auftraggeber gewährleistet, alle erforderlichen Beistellungs- und Mitwirkungsleistungen rechtzeitig und ohne Kosten für SECJUR zu erbringen.

6.6. Der Auftraggeber gewährleistet, Mitarbeiter von SECJUR und von möglichen Subunternehmern in größtmöglichem Umfang bei den zu erbringenden Leistungen zu unterstützen. Die beinhaltet unter anderem, dass der Auftraggeber einen qualifizierten Mitarbeiter zur Unterstützung und Koordination zur Verfügung stellt und SECJUR rechtzeitig alle notwendigen Informationen zukommen lässt.

6.7. Erbringt der Auftraggeber eine erforderliche Mitwirkungsleistung nicht, nicht rechtzeitig oder nicht in der vereinbarten Weise, so sind die hieraus entstandenen Schäden und Aufwendungen (z. B. Verzögerungen, Mehraufwand) vom Auftraggeber zu tragen. Solange Mitwirkungsleistungen des Auftraggebers nicht vertragsgemäß erbracht sind, ist SECJUR von der betreffenden Leistungspflicht ganz oder teilweise insoweit befreit, wie SECJUR auf die jeweilige Mitwirkung oder Beistellung angewiesen ist. SECJUR ist nicht verantwortlich für Leistungsstörungen, die durch die nicht vertragsgemäße Erbringung von Mitwirkungsleistungen durch den Auftraggeber entstehen.

6.8. Der Auftraggeber ist verpflichtet, Dateien und Datenträger inhaltlich und technisch einwandfrei – insbesondere frei von Schadprogrammen (z.B. „Viren“) – zur Verfügung zu stellen und für mögliche Verstöße gegen diese Verpflichtung SECJUR sämtliche Schäden zu ersetzen sowie SECJUR von allen Ansprüchen Dritter freizustellen.

6.9. Der Auftraggeber ist verpflichtet, seine Daten regelmäßig, spätestens mit Vertragsende auf eigenen Systemen zu sichern.

6.10. Der Auftraggeber ist verpflichtet, sich rechtskonform zu verhalten. d.h. seine vertraglichen Pflichten und alle anwendbaren gesetzlichen Vorschriften einhalten, insbesondere gegenüber SECJUR, den Endkunden, Interessenten und anderen Dritten. Sofern der Auftraggeber gesetzlich zum Nachweis der Einhaltung bestimmter Vorgaben verpflichtet ist, führt er diesen Nachweis auch gegenüber SECJUR, soweit zulässig. Als Nachweis genügen Zertifikate oder Prüfberichte, sofern gesetzlich keine strengeren Anforderungen bestehen.

6.11. Bei Auftreten von Mängeln oder sonstigen Störungen ist der Auftraggeber verpflichtet, diese unverzüglich an SECJUR zu melden und die zur Fehlerbehebung erforderlichen ihm vorliegenden Informationen mitzuteilen. Dies umfasst eine nachvollziehbare Schilderung der Fehlersymptome (insb. durch Screenshots). Die Mitteilung hat über die E-Mail-Adresse bug@secjur.com zu erfolgen.

7. Nutzungsrechte

7.1. Der Auftraggeber erhält am DCO ein einfaches, nicht unterlizenzierbares und nicht übertragbares, zeitlich auf die Dauer dieses Vertrages befristetes und räumlich unbeschränktes, nicht ausschließliches Recht, das DCO für eigene interne Zwecke über einen Browser zu verwenden. Die Rechteeinräumung bezieht sich nicht auf den Quellcode des DCO. Rechte zur Bearbeitung, Verbreitung oder öffentlichen Zugänglichmachung des DCO werden nicht gewährt.

7.3. Der Auftraggeber ist nicht berechtigt, das DCO Dritten entgeltlich oder unentgeltlich zur Nutzung zur Verfügung zu stellen. Eine Weitervermietung des DCO ist dem Auftraggeber ausdrücklich nicht gestattet.

7.4. Die Nutzung des DCO ist nur durch den durch den Auftraggeber benannte natürlichen Personen („Named User“) zulässig.

7.5. Auch unter Zugrundelegung der übertragenen Nutzungsrechte verbleiben sämtliche Eigentumsrechte am DCO bei SECJUR.

7.6. Das DCO enthält Softwarekomponenten, die unter der GNU General Public License (GPL) lizenziert sind. Die entsprechenden Lizenzbedingungen der GPL finden Sie unter https://www.gnu.org/licenses/gpl-3.0.de.html. Sie haben das Recht, den Quellcode dieser Komponenten zu erhalten, zu modifizieren und weiterzugeben, soweit dies durch die GPL erlaubt ist. Für weitere Informationen oder um eine Kopie des Quellcodes zu erhalten, kontaktieren Sie uns bitte unter info@secjur.com.

8. Gewährleistung

8.1. SECJUR wird die Software frei von Sach- und Rechtsmängeln (z.B. Verletzung von Schutzrechten Dritter) überlassen und die Software während der Vertragslaufzeit in einem zum vertragsgemäßen Gebrauch geeigneten Zustand erhalten.

8.2. Ein Mangel am DCO liegt dann vor, wenn dieses nicht die vertraglich vereinbarte Beschaffenheit aufweisen. Die vertragliche Beschaffenheit des DCO ergibt sich aus dem Angebot mit dort aufgeführten Leistungen und den zugehörigen Besonderen Bedingungen sowie ggf. weiteren vertraglichen Abreden. Soweit die Beschaffenheit nicht vereinbart wurde, ist nach der gesetzlichen Regelung zu beurteilen, ob ein Mangel vorliegt oder nicht.

8.3. Bezüglich der Mitteilungspflicht von Mängeln gilt 6.11. dieser AGB-Software.

8.4. SECJUR erbringt bei nachgewiesenen wesentlichen Mängeln Nacherfüllungen durch Beseitigung oder Ersatzverschaffung. Dabei stehen SECJUR mindestens zwei Versuche zur Nacherfüllung zu. Ein Anspruch auf Selbstvornahme ist, soweit dies nicht im jeweiligen Einzelfall unbillig wäre (z. B. bei besonderer Dringlichkeit), für den Auftraggeber ausgeschlossen.

8.5. SECJUR ist berechtigt, vorübergehende Umgehungsmöglichkeiten aufzuzeigen und die eigentliche Ursache später durch Anpassungen der Software zu beseitigen, soweit dies dem Auftraggeber zumutbar ist.

8.6. SECJUR trägt die für die Nacherfüllung erforderlichen Aufwendungen, insbesondere die Transport-, Wege-, Arbeits- und Materialkosten nur, sofern sich im Nachhinein herausstellt, dass ein Mangel tatsächlich vorliegt.

8.7. Die verschuldensunabhängige Haftung für anfängliche Mängel gemäß § 536a I Alt. 1 BGB ist ausgeschlossen.

8.8. Mängelansprüche verjähren innerhalb von zwölf (12) Monaten. Dies gilt nicht, soweit es sich um Schadenersatzansprüche handelt, für die SECJUR nach dem Gesetz zwingend haftet (siehe Ziffer 9).

9. Haftung

9.1. SECJUR haftet im Rahmen der gesetzlichen Bestimmungen auf Schadens- und Aufwendungsersatz für die Verletzung von Leben, Körper oder Gesundheit sowie für Schäden, die eine Ersatzpflicht des Herstellers nach § 1 des Produkthaftungsgesetzes (ProdHaftG) begründen.

9.2. Für sonstige Schäden haftet SECJUR ausschließlich nach Maßgabe der folgenden Bestimmungen. SECJUR haftet nach den gesetzlichen Bestimmungen für Schäden, die durch arglistiges Verhalten, Vorsatz oder grobe Fahrlässigkeit verursacht wurden. Bei einfacher Fahrlässigkeit haftet SECJUR nur, soweit vertragswesentliche Pflichten (sog. Kardinalpflichten) verletzt werden. Vertragswesentlich sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertraut und vertrauen darf. Die Haftung ist in diesem Fall auf die Höhe des vertragstypischen, vorhersehbaren Schadens begrenzt.

9.3. Im Falle einer Haftung für einfache Fahrlässigkeit ist die Ersatzpflicht von SECJUR für Beratungsfehler begrenzt auf den Höchstbetrag der Deckungssumme der Vermögenschaden-Versicherung von EUR 10.000.000,00 pro Schadenfall.

9.4. Die vorstehenden Haftungsausschlüsse und -beschränkungen gelten in gleichem Umfang zugunsten der Organe, gesetzlichen Vertreter, Angestellten und sonstigen Erfüllungsgehilfen von SECJUR.

10. Wettbewerb

10.1. Der Auftraggeber verpflichtet sich, das qualifizierte Personal von SECJUR während der Laufzeit des Vertrags nicht abzuwerben. Als Abwerbung gilt bereits die Abgabe eines konkreten Angebots für ein anderes Beschäfti-gungsverhältnis.

10.2. Die zum qualifizierten Personal gehörende Person wird von dem Auftraggeber bis zum Ablauf von zwölf Monaten nach Beendigung – gleich aus welchem Rechtsgrund – des Beschäftigungsverhältnisses zwischen SECJUR und ihr nicht beschäftigt, es sei denn SECJUR hat die Beendigung des Beschäftigungsverhältnisses herbeigeführt oder dieser im Einzelfall vorher schriftlich (§ 126 Abs. 1 BGB) zugestimmt.

11. Referenz

11.1. SECJUR ist berechtigt, den Auftraggeber im Rahmen der gesetzlichen Grenzen als Referenz zu nennen („Referenznennung“). Die Referenznennung beinhaltet unter anderem: Nennung des Firmennamens und Darstellung aktueller sowie vergangener Firmenlogos und Marken; Beschreibung des Inhalts und Umfangs der erbrachten Leistungen. Das Recht zur Referenznennung umfasst unter anderem: sämtlichen Webseiten, Blogs und Social-Media-Kanäle; Pressemeldungen; Interviews; Fachartikel; Printanzeigen; unternehmenseigene Unterlagen; Ausschreibungen; Präsentationen; Webinare; das Digitale Compliance Office; Firmenräume; Messen.

11.2. Der Auftraggeber räumt SECJUR und mit SECJUR verbundenen Unternehmen für die Referenznennung ein einfaches, zeitlich und räumlich unbeschränktes, nicht übertragbares Nutzungsrecht hinsichtlich der hierfür erforderlichen Namens- und Markenrechte ein.

11.3. Die Regelungen dieses Abschnitts gelten für einen Zeitraum von vier Jahren nach Vertragsbeendigung fort.

12. Textform

Ergänzungen und Abänderungen der getroffenen Vereinbarungen bedürfen zu ihrer Wirksamkeit der Textform (§ 126b BGB). Dies gilt auch für Änderungen dieser Textformklausel.

13. Mitteilungen

13.1. Organisatorische Absprachen werden die Vertragsparteien nach Abschluss des Vertrages einvernehmlich treffen. Die Vertragsparteien sind sich einig, konkrete Vereinbarungen, die die Zusammenarbeit – insbesondere Terminabsprachen – betreffen, in Textform (§ 126b BGB) festzuhalten.

13.2. Soweit zutreffend, ist der Auftraggeber verpflichtet, das von SECJUR zur Verfügung gestellte Ticketsystem für alle Mitteilungen im Rahmen des Vertrags zu nutzen.

14. Schutz personenbezogener Daten

14.1. Soweit SECJUR für den Auftraggeber personenbezogene Daten im Auftrag verarbeitet, gelten die Regelungen der Vereinbarung über Auftragsverarbeitung zwischen den Parteien (siehe Anlage Auftragsverarbeitungsvertrag).

14.2. Soweit SECJUR personenbezogene Daten des Auftraggebers als Verantwortlicher verarbeitet, unterstützt der Auftraggeber SECJUR bei der Erfüllung der gesetzlichen Informationspflichten gegenüber den betroffenen natürlichen Personen.

15. Vertraulichkeit

15.1. „Vertrauliche Informationen“ umfassen alle Informationen, unabhängig davon, ob sie schriftlich, mündlich oder in anderer Form offengelegt werden, die (i) ihrer Natur nach vertraulich oder geheimhaltungsbedürftig sind oder (ii) von der empfangenden Partei unter den gegebenen Umständen als vertraulich erkannt werden müssten. Dazu gehören insbesondere, aber nicht ausschließlich, technische Daten, Geschäftsgeheimnisse, Software, Produktbeschreibungen, Preisgestaltungen und andere geschäftliche Informationen.

15.2. Die Parteien verpflichten sich: (i) Vertrauliche Informationen der jeweils anderen Partei ohne ausdrückliche vorherige schriftliche Zustimmung nicht an Dritte weiterzugeben, es sei denn, dies ist zur Erfüllung der Vertragsbedingungen notwendig; (ii) Vertrauliche Informationen ausschließlich für die im Vertrag festgelegten Zwecke zu verwenden; (iii) Angemessene Sicherheitsmaßnahmen zu ergreifen, um die Vertraulichkeit der Informationen zu wahren, mindestens im gleichen Umfang, wie sie ihre eigenen vertraulichen Informationen schützen;(iv) Jeden Missbrauch oder Verdacht eines Missbrauchs vertraulicher Informationen unverzüglich in Textform der anderen Partei mitzuteilen.

15.3. Die Verpflichtung zur Geheimhaltung gilt nicht für Informationen, die: (i) der empfangenden Partei nachweislich vor Erhalt der Informationen bekannt waren und diese nicht einer bestehenden Vertraulichkeitsverpflichtung unterlagen; (ii) von einem Dritten übermittelt wurden, der nicht einer Vertraulichkeitsverpflichtung unterliegt; (iii) Öffentlich bekannt sind oder ohne Verschulden der empfangenden Partei bekannt werden; (iv) unabhängig von der empfangenden Partei entwickelt wurden, ohne auf vertrauliche Informationen der offenlegenden Partei zurückzugreifen; (v) aufgrund gesetzlicher Bestimmungen oder behördlicher Anordnungen offengelegt werden müssen, vorausgesetzt, dass die offenlegende Partei rechtzeitig über die Anforderung informiert wird, um rechtliche Schutzmaßnahmen zu ergreifen.

15.4. Die Verpflichtung zur Geheimhaltung besteht für einen Zeitraum von fünf Jahren nach Beendigung dieses Vertrags oder bis die vertraulichen Informationen keine vertrauliche Natur mehr haben, je nachdem, was früher eintritt.

15.5. Beide Parteien sind berechtigt, vertrauliche Informationen an Subunternehmer weiterzugeben, vorausgesetzt, dass diese zur Einhaltung von Geheimhaltungsverpflichtungen in einem Umfang verpflichtet werden, der diesen Bestimmungen entspricht.

16. Laufzeit, Beendigung

16.1. Die Laufzeit des Vertrages beginnt am 1. und 15. des Folgemonats ab Vertragsunterzeichnung („Vertragsbeginn“).

16.2. Der Vertrag hat eine Laufzeit von zwei ( 2 ) Jahren ab Vertragsbeginn.

16.3. Der Vertrag inklusive aller gebuchten Zusatzleistungen verlängert sich jeweils zum Laufzeitende um zwei ( 2 ) weitere Jahre, wenn er, abgesehen von gesetzlichen Sonderregelungen, nicht vor Ablauf der jeweiligen Laufzeit unter Einhaltung einer Kündigungsfrist von drei ( 3 ) Monaten zum Laufzeitende gekündigt wird.

16.4. Das Recht beider Parteien, den Vertrag aus wichtigem Grund zu kündigen, bleibt von den vorstehenden Ziffern unberührt. Besteht der wichtige Grund in der Verletzung einer vertraglichen Pflicht, ist die Kündigung erst nach erfolglosem Ablauf einer zur Abhilfe gesetzten Frist oder nach erfolgloser Abmahnung zulässig, soweit nicht aufgrund zwingender gesetzlicher Regelungen eine Fristsetzung entbehrlich ist.

16.5. Für SECJUR liegt ein zur außerordentlichen Kündigung des Vertrags berechtigender wichtiger Grund insbesondere darin, dass der Auftraggeber eine erforderliche Mitwirkungshandlung zur Erfüllung des Vertrags nicht binnen einer von SECJUR bestimmten angemessenen Frist ausgeführt hat, sofern SECJUR bei Bestimmung der Frist die vorzunehmende Handlung konkret bezeichnet und erklärt hat, dass den Vertrag außerordentlich zu kündigen, wenn die Handlung nicht bis zum Ablauf der Frist vorgenommen werde.

16.6. Für SECJUR liegt ein zur außerordentlichen Kündigung des Vertrags berechtigender wichtiger Grund insbesondere auch darin, dass sich der Auftraggeber mit der Zahlung von mindestens zwei ( 2 ) Monatsrechnungen im Verzug befindet.

17. Änderungsvorbehalt

SECJUR behält sich das Recht vor, diese AGB-Software zu ändern, um rechtliche, technische oder geschäftliche Veränderungen zu berücksichtigen. Änderungen der AGB-Software werden dem Auftraggeber mindestens vier ( 4 ) Wochen vor dem geplanten Inkrafttreten in Textform (z. B. per E-Mail) mitgeteilt. Ist die Änderung für den Auftraggeber nachteilig, hat der Auftraggeber das Recht, innerhalb von zwei ( 2 ) Wochen nach Erhalt der Mitteilung in Textform zu widersprechen. In der Änderungsmitteilung wird auf die Änderung, das Widerspruchsrecht, die Widerspruchsfrist, das Textformerfordernis und die Folgen des Widerspruchs hingewiesen. Widerspricht der Auftraggeber nicht fristgerecht, gelten die Änderungen als akzeptiert. Bei fristgemäßem Widerspruch wird der Vertrag zu den bisherigen Bedingungen fortgesetzt, wobei sich SECJUR das Recht vorbehält, den Vertrag mit einer Frist von einem ( 1 ) Monat außerordentlich zu kündigen.

18. Schlussbestimmungen


18.1. Im Fall von Widersprüchen verschiedener Bestandteile dieses Vertrages gehen die Bestimmungen des Angebots vor. Vertragliche Regelungen dieser Allgemeinen Geschäftsbedingungen und der Anlage Auftragsverarbeitungsvertrag gehen den besonderen Bedingungen für weitere Leistungen vor.

18.2. Sollte eine Bestimmung des Vertrages und/oder seiner Änderungen beziehungsweise Ergänzungen unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen des Vertrags nicht berührt. Die Parteien trifft bei Unwirksamkeit einer Bestimmung die Pflicht, über eine wirksame und zumutbare Ersatzregelung zu verhandeln, die dem von den Vertragsparteien mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt.

18.3. Der Vertrag gibt die Vereinbarungen zwischen den Parteien im Hinblick auf den Vertragsgegenstand abschließend und vollständig wieder und ersetzen alle vorangegangenen schriftlichen, mündlichen und konkludenten Vereinbarungen, Übereinkünfte oder Abreden. Nebenabreden, schriftlich, mündlich oder konkludent, wurden nicht getroffen.

18.4. Auf den Vertrag und sämtliche außervertraglichen Angelegenheiten oder Verpflichtungen, die sich aus dem Vertrag oder den Leistungen ergeben, findet das Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf vom 11. April 1980 (CISG) Anwendung. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, Hamburg, Deutschland, oder nach Wahl von SECJUR, (i) das Gericht, bei dem die mit der Erbringung der Leistungen schwerpunktmäßig befasste Niederlassung von SECJUR ihren Sitz hat oder (ii) die Gerichte an dem Ort, an dem der Auftraggeber seinen Sitz hat.

18.5. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, Bern, Schweiz, oder nach Wahl von SECJUR, (i) das Gericht, bei dem die mit der Erbringung der Leistungen schwerpunktmäßig befasste Niederlassung von SECJUR ihren Sitz hat oder (ii) die Gerichte an dem Ort, an dem der Auftraggeber seinen Sitz hat.


Annex 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen

Kategorien betroffener Personen: Kunden; Lieferanten; Mitarbeiter; Interessenten; sonstige Vertragspartner und Dritte, deren personenbezogene Daten im Digital Compliance Office verarbeitet werden Zwecke, Art und Umfang der Verarbeitung: Erfüllung gesetzlicher Pflichten; Erstellung sowie Ablage/Speicherung von Dokumenten; Kommunikation zwischen den Vertragsparteien Art der Daten: Stammdaten; Kontaktdaten; Inhaltsdaten; Nutzungsdaten; sonstige personenbezogene Daten, die in Art 4 Nr. 1 der DSGVO definiert sind und die vom Auftraggeber im Zuge der Nutzung des Digitalen Compliance Office übermittelt oder gespeichert werden; ggf. besondere Kategorien personenbezogener Daten.

Annex 2: Weitere Auftragsverarbeiter

Anbieter Gruppensitz Serverstandort Ggf. Transfermechanismus (Art. 44 ff DSGVO) Leistungsgegenstand
Decareto GmbH Deutschland Deutschland Websitescans inkl. Cookiescans
Eagle lsp GmbH Deutschland Deutschland Support für das DCO
Hubspot Inc.(Drittlandtransfer) USA Deutschland Data Privacy Framework Customer-Relationship-Managementsystem, Ticketingsystem, Chatbot
Kombo Technologies GmbH Deutschland Deutschland Schnittstelle für Einbindung von Drittservices in DCO
Microsoft Inc. USA Deutschland Data Privacy Framework Hosting
Sentry.io / Functional Software, Inc. USA USA Data Privacy Framework Fehleranalyse- und behebung
Syngenity GmbH Deutschland Deutschland Support für das DCO


Annex 3: Technische und organisatorische Maßnahmen

Die folgenden Maßnahmen geben einen Überblick über die implementierten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der Integrität, Vertraulichkeit und Verfügbarkeit personenbezogener Daten bei der SECJUR GmbH. Die Maßnahmen werden stets unter Berücksichtigung des vorhandenen Risikos einer unbefugten Offenlegung, einer unbefugten Veränderung oder eines Verlustes personenbezogener Daten ausgewählt und regelmäßig auf ihre Effektivität überprüft. Der aktuelle Stand der Technik wird bei der regelmäßigen Prüfung berücksichtigt, um keine veralteten Schutzmechanismen zu implementieren.

1. Vertraulichkeit
1.1 Zutrittskontrolle
Folgende Maßnahmen sind implementiert, um den unautorisierten Zugang zu personenbezogenen Daten zu verhindern:
☒ elektronisches Schließsystem
☒ Sicherheitsschlösser
☒ Abschließbare Serverschränke
☒ Besucherausweis
☒ Schlüsselregelung
☒ Zutrittskonzept
☒ Alarmanlage
☒ Empfang
☒ Begleitung von Gästen
1.2 Zugangskontrolle
Folgende Maßnahmen sind implementiert, um den unautorisierten Zugriff auf IT-Systeme und Speichermedien zu verhindern:
☒ Endgeräte-Verschlüsselung
☒ Datenträgerverschlüsselung
☒ Passwortrichtlinie
☒ Sperrung nicht genutzter Accounts
☒ Mind. 8 Zeichen Länge
☒ Mindestmaß an Komplexität
☒ Regelmäßige Wechselperioden
☒ Einzelpasswörter
☒ Antivirensoftware
☒ Regelm. Aktualisierung der Antivirensoftware
☒ Firewall
☒ Regelmäßige Aktualisierung der Firewall
☒ automatische Bildschirmsperre
☒ Intrusion-Detection System
☒ Sperrung externer Schnittstellen
1.3 Zugriffskontrolle
Folgende Maßnahmen sind implementiert, um den unautorisierten Zugriff personenbezogener Daten in IT-Systemen zu verhindern:
☒ Berechtigungskonzept
☒ Überprüfung Erteilung und Entzug der Berechtigungen
☒ Differenzierte Rechtevergabe
☒ Definition von Nutzergruppen
☒ Löschung von personenbezogenen Daten nach Zweckerreichung bzw. gesetzlicher Aufbewahrungsfrist
☒ Sichere Überschreibung von Datenträgern nach der Festplattenformatierung
☒ regelmäßige Auswertung der Protokolle
☒ Protokollierung von Zugriffen
☒ minimale Anzahl von Administratorenzugängen
1.4 Trennungskontrolle
Folgende Maßnahmen sind implementiert, um personenbezogene Daten zu trennen, die zu verschiedenen Zwecken verarbeitet werden:
☒ Mandantentrennung
☒ verschiedene Datenbanken
☒ Entwicklungs-, Test- und Produktivsystem
☒ Systemseitige Trennung
☒ Logische Trennung
1.5 Pseudonymisierung
Es sind Maßnahmen implementiert, welche die Pseudonymisierung personenbezogener Daten ermöglichen, falls nötig. Dies erfolgt z. B. durch die Nutzung von Hashwerten oder Kundennummern und einer Einschränkung der Zuordnungstabelle.
2. Integrität
2.1 Weitergabekontrolle
Folgende Maßnahmen sind implementiert, um bei einer Weitergabe personenbezogener Daten die Vertraulichkeit und Integrität zu gewährleisten:
☒ Dokumentation von Datenübermittlungen
☒ Anonymisierung
☒ TLS 1.2 Verschlüsselung
☒ Regelung beim physischen Transport
2.2 Eingabekontrolle
Folgende Maßnahmen sind implementiert, um die Integrität von Daten während der Erfassung zu gewährleisten:
☒ Protokollierung von Eingaben
☒ Schutz der Protokolldaten gegen Manipulation
☒ Schutz der Protokolldaten vor unbefugter Einsichtnahme
3. Vertraulichkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Folgende Maßnahmen sind implementiert, um die Verfügbarkeit personenbezogener Daten zu gewährleisten:
☒ Datensicherungskonzept
☒ Wiederherstellungskonzept
☒ Erprobung der Wiederherstellung
☒ Notfallplan/ Notfallkonzept
☒ Verschlüsselung der Datensicherungen
☒ Intervalle der Datensicherungen: Täglich
☒ USV
☒ Klimaanlagen
☒ Feuermeldeanlage
☒ Rauchmeldeanlage
☒ RAID-System
☒ Backup-Strategie
☒ Spiegelung von Festplatten
☒ Feuchtigkeitsmelder
☒ Zwillingssystem
☒ Spam-Filter
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
4.1 Datenschutz-Management
Folgende organisatorische Maßnahmen existieren, um den datenschutzkonformen Umgang mit personenbezogenen Daten zu gewährleisten:
☒ Mitarbeiter: Vertraulichkeitsverpflichtung
☒ Mitarbeiterschulungen zum Datenschutz
☒ Meldeprozess für Datenschutzverletzungen
☒ Datenverarbeitung in EU oder EWR
☒ Einhaltung der Art. 28 und Art. 44 ff. DSGVO
☒ Benannter Datenschutzbeauftragter
☒ Prozesse für die Ausübung von Betroffenenrechten
4.2 Incident-Response Management
Ein Incident-Response Management ist prozessseitig implementiert.
4.3 Datenschutzfreundliche Voreinstellungen
Systeme der SECJUR GmbH sind so gewählt und entwickelt, dass die Voreinstellungen Grundsätze des Art. 5 DSGVO, insb. der Zweckbindung, beachten.
5. Auftragskontrolle
Folgende Maßnahmen sind für eine datenschutzrechtlich Zulässige Verarbeitung personenbezogener Daten im Auftrag Dritter implementiert:
☒ Verfahren zur Auswahl von Unterauftragnehmern
☒ schriftliche Verträge (AVV)
☒ Überprüfungen und Kontrollen
6. Sonstige Maßnahmen
☒ Regelmäßige Durchführung von Updates
☒ Löschkonzept
☒ Fernwartungen


Annex 4: Auftragsverarbeitungsvertrag

Insoweit Verarbeitungstätigkeiten von SECJUR als Auftragsverarbeitung zu qualifizieren sind, gilt für die Parteien folgender Auftragsverarbeitungsvertrag:

§ 1 Vertragsgegenstand
Im Rahmen der Leistungserbringung nach dem Vertrag (nachfolgend „Hauptvertrag“) ist es erforderlich, dass SECJUR (nachfolgend „Auftragnehmer“) mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften agiert (nachfolgend „Auftraggeber-Daten“). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.

§ 2 Umfang der Beauftragung

2.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.

2.2 Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt in der Art, dem Umfang und zu dem Zweck wie in Annex 1 zu diesem Vertrag spezifiziert; die Verarbeitung betrifft die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

2.3 Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.

2.4 Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

2.5 Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44–48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

§ 3 Weisungsbefugnisse des Auftraggebers

3.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten gemäß den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

3.2 Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem die Weisung zu dokumentieren und die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.

3.3 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Auftraggeber-Daten beim Auftraggeber liegt.

§ 4 Verantwortlichkeit des Auftraggebers

4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern frei-stellen.

4.2 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

4.3 Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

4.4 Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

§ 5 Anforderungen an Personal

Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.

§ 6 Sicherheit der Verarbeitung

6.1 Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. Eine Konkretisierung der ergriffenen technischen und organisatorischen Maßnahmen ist in Annex 3 enthalten.

6.2 Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.

§ 7 Inanspruchnahme weiterer Auftragsverarbeiter

7.1 Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Annex 2. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.

7.2 Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Ein-spruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.

7.3 Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

§ 8 Rechte der betroffenen Personen8.1 Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

8.2 Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

8.3 Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.

8.4 Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auf-traggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

8.5 Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.

§ 9 Mitteilungs- und Unterstützungspflichten des Auftragnehmers

9.1 Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.

9.2 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

§ 10 Datenlöschung

10.1 Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages löschen, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.

10.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

§ 11 Nachweise und Überprüfungen

11.1 Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.

11.2 Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.

11.3 Zur Durchführung von Inspektionen nach Ziffer 11.2 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung gemäß Ziffer 11.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnis-sen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auf-traggeber-Daten verarbeitet werden.

11.4 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.

11.5 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.

11.6 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.

11.7 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.

§ 12 Vertragsdauer und Kündigung

Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

§ 13 Schlussbestimmungen

13.1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

13.2 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.