IHR DIREKTER KONTAKT ZU EL SOCIAL
+49 221 660 064 0

Sie haben eine Frage oder ein Anliegen? Rufen Sie uns gerne an oder schreiben Sie eine Nachricht.

SCHNELL
KONTAKT

Allgemeine Geschäftsbedingungen

ALLGEMEINE GESCHÄFTSBEDINGUNGEN

1. ALLGEMEINES

1.1 Die El Social GmbH & Co. KG (im Folgenden: El Social) ist eine Agentur für Social Media Marketing. El Social unterstützt Kunden bei der zielgerichteten Auslieferung von Werbung im Rahmen des digitalen Marketings, hierbei kommen in erster Linie datengetriebene Technologien zum Einsatz, die ein zielgruppenspezifisches Schalten von Online-Werbung ermöglichen. 

1.2 Die folgenden Allgemeinen Geschäftsbedingungen („AGB“) gelten für alle Aufträge zwischen Kunde und El Social. Der Vertragsschluss erfolgt durch die Rücksendung des vom Kunden unterzeichneten Auftrags. 

1.3 Allgemeine Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil. 

2. ALLGEMEINE DIENSTLEISTUNGEN

2.1 Im Falle einer Beauftragung für Serviceleistungen, wird El Social das vom Kunden vorgegebene Budget dahingehend einsetzen, die mit dem Kunden definierten festgesetzten Ziele zu erreichen. Die Auswahl der Maßnahmen zur Erreichung der Ziele stehen El Social frei, sofern im Auftrag nichts anderes vereinbart ist. 

2.2 Der Kunde ist darüber informiert, dass die von El Social im Rahmen der Kampagne durchgeführten Maßnahmen auf Basis von automatisierten Entscheidungen getroffen werden. In diesem Zusammenhang wird keine Gewährleistung für das Erreichen der Werbeziele, den Einsatz der Werbemittel in einer bestimmten Häufigkeit oder dem Einsatz auf einer bestimmten Website übernommen. 

2.3 Soweit im Rahmen des Auftrags vereinbart, setzt El Social einen Teil des vom Kunden bereitgestellten Budgets für die Beschaffung von Targetingdaten ein, die eine effizientere Durchführung nötiger Maßnahmen ermöglichen.  Die insoweit entstehenden Kosten werden dem Kunden nicht offen gelegt, soweit im Auftrag nichts Gegenteiliges bestimmt ist.

2.4 Sofern im Auftrag nicht anders vereinbart ist, entscheidet El Social nach eigenem Ermessen über den für die Beschaffung von Targetingdaten einzusetzenden Anteil des Werbebudgets. 

2.5 El Social informiert den Kunden auf Wunsch jederzeit über Art und Umfang der durchgeführten Maßnahmen. Diese beinhalten, insofern die Informationen El Social zur Verfügung stehen, die URLs der belegten Umfelder, die Anzahl der Ad Impressions sowie die Klicks auf die Werbeeinblendungen. 

3. WERBEMITTEL

3.1 El Social unterrichtet den Kunden über die notwendigen vom Kunden zu liefernden Werbemittel (Fotos, Videos, Logos usw.). Der Kunde erstellt die Werbemittel gemäß den von El Social vorgegebenen technischen Spezifikationen und übermittelt die Werbemittel an El Social. Soweit El Social die Werbemittel selbst entwickelt werden, gilt dies nicht. 

3.2 Im Falle der Nichteinhaltung der von El Social vorgegebenen Spezifikationen ist El Social dazu berechtigt, die Werbemittel zurückzuweisen. Dieses gilt auch, wenn die Nutzung der Werbemittel nach Auffassung von El Social möglicherweise rechtswidrig ist. 

3.3 Sollte es durch die Lieferungen von Werbemitteln, die nicht der von El Social genannten technischen Spezifikationen entsprechen, zu Kosten kommen oder sich die Umsetzung des Auftrags verzögern, ist der Kunde hierfür verantwortlich. Der Kunde hat die Kosten zu tragen.

3.4 Die alleinige Verantwortung für die Rechtmäßigkeit der übermittelten Werbemittel und deren Verwendung im Rahmen der Online-Werbung weltweit obliegt dem Kunden. Dies umfasst ebenfalls die Verantwortung für die Freiheit der Werbemittel von Rechten Dritter. 

4. PFLICHT DES KUNDEN ZUR MITWIRKUNG

4.1 Der Kunde trägt die Verantwortung dafür, dass die Websites, auf welchen die Werbemittel durch Verlinkung verweisen, über die gesamte Dauer der vertraglich vereinbarten Kampagne zur Verfügung stehen. Etwaige Ausfallzeiten werden El Social unverzüglich schriftlich mitgeteilt. Sollte eine Website ohne eine zuvor erfolgte Ankündigung nicht verfügbar sein, ist eine Berufung auf das Nichterreichen von Mediazielen durch den Kunden nicht möglich. Die Kosten, die El Social durch den Ausfall entstehen, werden uneingeschränkt vom Kunden getragen. 

4.2 Der Kunde ist dazu verpflichtet, den durch El Social zur Verfügung gestellten Programmcode („Tracking-Pixel“) in den eigenen Internetauftritt an den abgestimmten Positionen zu implementieren und während der gesamten Dauer der vertraglich vereinbarten Kampagnenlaufzeit dort zu belassen. Durch das Tracking-Pixel werden El Social anonyme Informationen in Form von Daten übermittelt, welche durch El Social im Rahmen der Kampagnendurchführung zum Zwecke der Kampagnenoptimierung verwendet werden.

4.3 Der Kunde hat es zu unterlassen, die über das Tracking-Pixel übermittelten Informationen in Erfahrung zu bringen. Es ist dem Kunden untersagt, das Tracking-Pixel zu verändern. Für etwaige Nachteile in Bezug auf die Kampagnenoptimierung sowie auf die Zielerreichung, die durch die Entfernung des Tracking-Pixel verursacht wurden, trägt der Kunde die alleinige Verantwortung. 

4.4 Der Kunde wird seinen Internetauftritt in Übereinstimmung mit allen insoweit geltenden Gesetzen betreiben. Soweit die Einbindung eines Tracking-Pixels mit dem Kunden vereinbart ist, muss der Kunde auch die insoweit bestehenden Hinweispflichten auf seiner Internetseite gegenüber den Nutzern erfüllen. 

4.5 El Social wird vom Kunden von jeglichen Ansprüchen Dritter freigestellt, die diese aufgrund eines Verstoßes gegen die Bestimmungen in Ziff. 4 dieser AGB gegen El Social geltend machen.

5. NUTZUNGSRECHTE

5.1 Beide Parteien bleiben Inhaberin der ihnen zustehenden Nutzungsrechte. Nutzungsrechte an den durch den Kunden zur Verfügung gestellten Werbemitteln werden El Social nur insoweit eingeräumt, als dies zur Durchführung des erteilten Auftrages erforderlich ist. Der Kunde erwirbt keinerlei Nutzungsrechte an den von El Social eingesetzten Technologien. 

5.2 El Social wird nach erteiltem Auftrag Inhaber sämtlicher Daten, welche die im Rahmen von Kampagnen erlangt werden. Dies beinhaltet insbesondere Daten, welche in Ziffer 4.2 beschrieben, gewonnen werden. Ein Anspruch des Kunden auf Mitteilung dieser Daten besteht nicht. 

6. FINALE FREIGABE VOR EINSATZ DER WERBEMASSNAHMEN

Vor dem Einsatz der Werbemaßnahmen ist es Pflicht des Kunden, die rechtliche Zulässigkeit der Werbemaßnahmen hinsichtlich UWG, UrhG, MarkenG, UMV usw. zu prüfen. El Social wird die Werbemaßnahmen erst nach der finalen Freigabe durch den Kunden zum Einsatz bringen. Sollte die Nichtbeachtung dieser rechtlichen Vorschriften zu Schäden führen, trägt hierfür allein der Kunde die Verantwortung. El Social ist von Ansprüchen Dritter freizustellen. Im Falle der Rechtswidrigkeit der Werbemaßnahmen steht El Social ein sofortiges Kündigungsrecht zu. El Social kann die bis zum Zeitpunkt der Beendigung der Werbemaßnahmen entstandenen Kosten sowie die bis dahin erbrachten Leistungen dem Kunden in Rechnung stellen.  

7. VERTRAULICHKEIT

7.1. El Social wird jegliche Informationen, die sie von dem Kunden vor und im Rahmen des Auftrags erhält, vertraulich behandeln. El Social wird sie intern nur denjenigen Mitarbeitern zugänglich machen, die sie zur Erfüllung ihrer Verpflichtungen benötigen.

7.2 Die Verpflichtung zur Vertraulichkeit beinhaltet nicht die Informationen, welche die der empfangenden Partei gemäß den Bestimmungen dieser AGB zur Nutzung für eigene Zwecke zugewiesen wurden, sowie der empfangenden Partei bereits bekannt sind oder der empfangenden Partei bekannt werden, ohne dass dieses Bekanntwerden auf einen Verstoß eines Dritten gegen eine Vertraulichkeitsverpflichtung beruht. 

7.3 Beide Parteien sind zur Offenlegung vertraulicher Informationen berechtigt, insofern diese zur Erfüllung gesetzlicher Pflichten erforderlich sind. 

7.4 Nach Beendigung des jeweiligen Auftrages, besteht die Verpflichtung zur Vertraulichkeit zeitlich unbefristet fort. 

7.5 El Social ist dazu berechtigt, den Kunden sowie den Werbetreibenden unter Namensnennung und Abbildung des Logos als Referenzkunden zu führen. 

8. VERGÜTUNGEN UND ZAHLUNGSBEDINGUNGEN

8.1 Sollte die Zahlung eines Vorschusses vereinbart worden sein, so ist El Social erst nach dessen Eingang in voller Höhe zur Durchführung des Auftrags verpflichtet.

8.2 Nach Durchführung eines Auftrags stellt El Social dem Kunden eine Rechnung an die im Auftrag angegebene Rechnungsanschrift. Das von El Social verwendete Erhebungsverfahren und Reporting ist für die Abrechnung maßgeblich. 

9. DATENSCHUTZ UND DATENSICHERHEIT

Beide Parteien tragen für die Einhaltung der für sie geltenden datenschutzrechtlichen Vorschriften die alleinige Verantwortung. Sofern El Social im Auftrage des Kunden zugleich als Auftragnehmer eine Auftragsverarbeitung im Sinne von Art. 28 DS GVO tätig wird, schließen die Parteien mit Zustandekommen dieser AGB den als Anlage 1 beigefügten Auftragsverarbeitungsvertrag ab. 

10. HAFTUNG

In Fällen von Vorsatz, grober Fahrlässigkeit und bei Personenschäden, haftet El Social uneingeschränkt. Im Falle einer leicht fahrlässigen Verletzung einer wesentlichen Vertragspflicht ist die Haftung auf den typischerweise absehbaren Schaden beschränkt. Außer im Fall von Satz 1 ist die Haftung zudem auf den maximal zweifachen Betrag der Vergütung aus dem jeweiligen Auftrag beschränkt. Eine Haftung für etwaige Datenverluste des Kunden ist ausgeschlossen, insofern diese Datenverluste durch eine angemessene Datensicherung des Kunden hätten vermieden können.

11. SCHLUSSBESTIMMUNGEN

11.1 Änderungen und Ergänzungen der vorliegenden AGB oder eines Auftrags bedürfen der Schriftform. Dies gilt auch für Änderungen an dieser Schriftformklausel. 

11.2 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN Kaufrechts und der Regelungen zum internationalen Privatrecht. 

11.3 Ausschließlicher Gerichtsstand ist Köln, soweit es keine andere individuelle Vereinbarung gibt. Dieses gilt für alle Streitigkeiten aus oder im Zusammenhang mit einem Auftrag.

 

ANLAGE 1

Mit der Vereinbarung über die Einbeziehung der AGB der El Social – Agentur für digitale Kommunikation – GmbH kommt zugleich dieser Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO zustande, sofern El Social als Auftragsverarbeiter tätig ist:

 

Auftragsverarbeitungsvertrag  

zwischen dem/der

jeweiligen Vertragspartner der El Social GmbH & Co. KG

- Verantwortlicher - nachstehend Auftraggeber genannt -

und der

El Social GmbH & Co. KG

- Auftragsverarbeiter - nachstehend Auftragnehmer genannt 

1. Gegenstand und Dauer des Auftrags

(1) Gegenstand

Diese Vereinbarung findet auf sämtliche Dienstleistungen Anwendung, welche der Auftragnehmer für den Auftraggeber erbringt. Diese Regelungen finden insbesondere für alle Online- und Mobile- Marketingmaßnahmen statt, die der Auftragnehmer für den Auftraggeber erbringt. 

Die näheren Details ergeben sich aus dem mit dem Auftragnehmer bestehenden Einzelauftrag (im Folgenden „Leistungsvereinbarung“).

(2) Dauer

Die Dauer dieses Vertrages entspricht der Laufzeit der Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten:

Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten im Rahmen der Auftragsdatenverarbeitung erfolgt nach Art, Umfang und Zweck der Datenverarbeitung in folgendem Rahmen:

Zweck der Datenverarbeitung: Ausspielung von Werbemitteln in mobilen Applikationen für interessensbasierte Werbung und Modellierung, Visualisierung, Analysen und Reporting, Re-Targeting, Geolokalisierung

Art und Umfang der Datenerhebung, -verarbeitung und -nutzung: Im Rahmen der Ausspielung von Werbemitteln werden ggfs. IP-Adressen, Cookie-IDs, IDFA´s, Google Advertiser ID, ggf. Order-IDs  (und ggfs. andere Identifier) übertragen

Art der Daten: Pseudonymisierte Daten (z. B. IP-Adressen, Cookie-IDs, IDFA´s, Google Advertiser ID, Ad ID´s, ggf. Order-IDs  (und ggfs. andere Identifier)

Kreis der Betroffenen: Kunden, Interessenten, Websitebesucher, Nutzer mobiler Applikationen

Die Verarbeitung der Daten findet durch die oben genannten Systeme und Dienstleister ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Sofern Systeme zum Einsatz kommen, welche die getrackten Daten auch außerhalb der Europäischen Union speichern und verarbeiten, so erfüllen diese Systeme die Anforderungen des EU / US Privacy Shield Abkommens oder haben mit dem Auftragnehmer Verträge geschlossen (z.B. EU Standard Vertragsklauseln), die ein Datenschutz Niveau entsprechend den Vorgaben der DSGVO sicherstellen. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers. und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt. 

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber auf dessen Wunsch zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. 

(2) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkreten Maßnahmen des Auftragnehmers sind über diesen link einsehbar. 

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DSGVO ausübt. Auf Wunsch des Auftraggebers sind die Kontaktdaten des Datenschutzbeauftragten zu übermitteln. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

b) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

d) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

e) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

f) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

g) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. 

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Er stimmt jedoch bereits jetzt den Unterauftragnehmern zu, die über diesen link einsehbar sind.

Der Wechsel des bestehenden Unterauftragnehmers ist zulässig, soweit:

- der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und

- der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und

- eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird, sofern eine Auftragsverarbeitung vorliegt.

 

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. 

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. 

(3) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

8. Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen

b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden

c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen

d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung

e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen. 

9. Weisungsbefugnis des Auftraggebers

(1) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zu-stimmung durch den Auftraggeber erteilen. 

Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen, insbesondere denen der DSGVO.