AGB

Allgemeine Geschäftsbedingungen der to-eyes GmbH

Vereinbarung zur Auftragsdatenverarbeitung
nach Art. 28 DSGVO (Anlage 1)

Technische und organisatorische Maßnahmen (Anlage 2)

Allgemeine Geschäftsbedingungen der to.eyes GmbH

1. Anwendungsbereich

1.1. Mangels abweichender Vereinbarung richten sich alle Verträ-ge zwischen der to.eyes gmbh (im Folgenden „to.eyes“) und dem Auftraggeber über Werbeagentur-Leistungen ausschließ-lich nach diesen allgemeinen Vertragsbedingungen.
1.2. Die Geltung abweichender oder über diese Regelungen hin-ausgehender allgemeiner Geschäftsbedingungen des Auftrag-gebers ist ausgeschlossen. Dies gilt selbst dann, wenn to.eyes einen Auftrag annimmt, in dem der Auftraggeber auf seine allgemeinen Geschäftsbedingungen hinweist und/oder wenn dem Auftrag allgemeine Geschäftsbedingungen des Auftrag-gebers beigefügt sind.

2. Nutzungsrechte an den Arbeitsergebnissen

2.1. Jeder to.eyes erteilte Auftrag ist ein Urheberwerkvertrag, der auf die Einräumung von Nutzungsrechten an den erstell-ten Werkleistungen gerichtet ist.
2.2. Die wettbewerbs-, marken- und geschmacksmusterrechtliche Zulässigkeit und die markenrechtliche Eintragungsfähigkeit der Arbeitsergebnisse wird von to.eyes nur verantwortet, wenn diese Prüfung ausdrücklich zum Gegenstand des Auf-trags gemacht wurde.
2.3. Alle von to.eyes erstellten Entwürfe und Reinzeichnungen unterliegen dem Urheberrechtsgesetz (UrhG). Die Bestimmun-gen dieses Gesetzes gelten auch dann, wenn die nach § 2 UrhG erforderliche Schöpfungshöhe nicht erreicht ist.
2.4. Die Entwürfe und Reinzeichnungen dürfen ohne ausdrückliche Einwilligung von to.eyes weder im Original noch bei der Re-produktion verändert oder bearbeitet werden.
2.5. to.eyes überträgt dem Auftraggeber die für den jeweiligen Zweck erforderlichen Nutzungsrechte. Soweit nichts anderes vereinbart ist, wird jeweils nur das einfache Nutzungsrecht übertragen. Eine Übertragung oder Unterlizenzierung der Nutzungsrechte an Dritte oder die Nutzung der Arbeitsergeb-nisse in höherer als ursprünglich vorgesehener Stückzahl be-darf der schriftlichen Vereinbarung. Die Nutzungsrechte gehen erst nach vollständiger Bezahlung der Vergütung auf den Auf-traggeber über.
2.6. to.eyes hat das Recht, auf den Vervielfältigungsstücken als Urheber genannt zu werden.
2.7. Vorschläge des Auftraggebers oder seine sonstige Mitarbeit haben keinen Einfluss auf die Höhe der Vergütung. Sie be-gründen kein Miturheberrecht.

3. Vergütung

3.1. Die Anfertigung von Entwürfen und sämtlichen sonstigen Tätigkeiten, die to.eyes für den Auftraggeber erbringt, sind kostenpflichtig, sofern nicht ausdrücklich und schriftlich etwas anderes vereinbart ist.
3.2. Entwürfe und Reinzeichnungen bilden zusammen mit der Einräumung von Nutzungsrechten eine einheitliche Leistung. Die Vergütung erfolgt auf der Grundlage des jeweiligen An-gebots von to.eyes und, soweit dort keine Vergütung festge-legt ist, nach der jeweils gültigen allgemeinen Preisliste von to.eyes. Die Vergütungen sind Nettobeträge, die zuzüglich der gesetzlichen Mehrwertsteuer zu zahlen sind.
3.3. Die Vergütung ist nach der Abnahme des Werkes innerhalb von 14 Tagen nach Rechnungsstellung ohne Abzug zur Zahlung fällig.
3.4. Werden die bestellten Arbeiten in Teilen abgenommen, so werden entsprechende Teilbeträge jeweils bei Abnahme eines Teiles abgerechnet und zur Zahlung fällig. Erstreckt sich ein Auftrag über mehr als einen Monat oder fordert er von to.eyes hohe finanzielle Vorleistungen, so kann to.eyes Ab-schlagszahlungen für abgeschlossene Projektphasen und/oder für die anfallenden Vorleistungen verlangen.
3.5. Werden die Arbeitsergebnisse später in größerem Umfang genutzt als ursprünglich vorgesehen, so ist to.eyes berech-tigt, die Vergütung für diese zusätzliche Nutzung nachträglich in Rechnung zu stellen.
3.6. Gegen Forderungen von to.eyes kann der Auftraggeber nur mit unbestrittenen oder rechtskräftig festgestellten Gegenan-sprüchen aufrechnen.
3.7. Gerät der Auftraggeber in Zahlungsverzug, so kann to.eyes die weitere Leistungserbringung bis zur vollständigen Bezah-lung aller fälligen Beträge aussetzen. Das Recht zur außeror-dentlichen Kündigung wegen nachhaltigen Zahlungsverzugs bleibt unberührt.

4. Neben- und Reisekosten

4.1. Soweit im Angebot von to.eyes nichts anderes festgelegt ist sind notwendige Auslagen für technische Nebenkosten, insbe-sondere für spezielle Materialien, für die Anfertigung von Modellen, Fotos, Reproduktionen, Satz und Druck etc. gegen Nachweis vom Auftraggeber zu erstatten.
4.2. to.eyes ist berechtigt aber nicht verpflichtet, die zur Auf-tragserfüllung notwendigen Fremdleistungen im Namen und für Rechnung des Auftraggebers zu bestellen. Der Auftragge-ber verpflichtet sich, to.eyes entsprechende Vollmacht zu er-teilen.
4.3. Reisekosten und Spesen für Reisen, die im Zusammenhang mit dem Auftrag zu unternehmen und mit dem Auftraggeber vor-ab abgestimmt sind, werden vom Auftraggeber gegen Nach-weis erstattet.

5. Lieferung und Abnahme

5.1. Liefertermine sind nur verbindlich, wenn sie von to.eyes ausdrücklich als verbindlich bestätigt werden. Besteht ein schriftlicher Vertrag, so bedarf auch die Bestätigung des Lie-fertermins der Schriftform.
5.2. Die Versendung der Arbeiten und Vorlagen erfolgt auf Gefahr und für Rechnung des Auftraggebers.
5.3. Der Auftraggeber ist verpflichtet, die vertragsgemäß erbrach-ten Arbeitsergebnisse abzunehmen. Unwesentliche Mängel berechtigen nicht zur Verweigerung der Abnahme, sondern sind Gegenstand der Mängelbeseitigung. Der Abnahme steht es gleich, wenn der Auftraggeber (i) nicht spätestens 14 Tagen nach Ablieferung der Arbeitsergebnisse die Abnahme mit ei-ner schriftlichen Begründung verweigert oder (ii) die Arbeits-ergebnisse produktiv einsetzt.
5.4. to.eyes ist nicht verpflichtet, Dateien oder Layouts, die im Computer erstellt wurden, an den Auftraggeber herauszuge-ben. Wünscht der Auftraggeber die Herausgabe von Compu-terdateien, so ist dies gesondert zu vereinbaren und zu vergü-ten. Hat to.eyes dem Auftraggeber Computerdateien zur Ver-fügung gestellt, so dürfen diese nur mit vorheriger Zustim-mung von to.eyes geändert und/oder genutzt werden.

6. Produktionsüberwachung und Belegmuster

6.1. Die Produktionsüberwachung durch to.eyes erfolgt nur auf-grund besonderer Vereinbarung. Bei Übernahme der Produk-tionsüberwachung ist to.eyes berechtigt, nach eigenem Er-messen die notwendigen Entscheidungen zu treffen und ent-sprechende Anweisungen zu geben. to.eyes haftet für Fehler nur bei eigenem Verschulden und nicht für ein Verschulden der überwachten Unternehmen.
6.2. Bei Übernahme der Produktionsüberwachung durch to.eyes erhält der Auftraggeber vor der Produktionsdurchführung nur dann Kontrollabzüge, wenn dies vorab gesondert vereinbart wird.
6.3. Von allen vom Auftraggeber veröffentlichten Arbeiten über-lässt der Auftraggeber to.eyes 10 einwandfreie Belege unent-geltlich. to.eyes ist berechtigt, diese Muster zum Zwecke der Eigenwerbung zu verwenden und zu vervielfältigen. Darüber hinaus ist to.eyes berechtigt, diese Arbeiten im Rahmen ihrer Akquise- und Pressearbeit Dritten zu überlassen.

7. Haftungsregelung

7.1. to.eyes verpflichtet sich, den Auftrag mit der Sorgfalt eines ordentlichen Kaufmanns auszuführen.
7.2. Im Falle von leicht fahrlässig verursachten Schäden sind Ansprüche des Auftraggebers auf Schadensersatz der Höhe nach auf den Schaden beschränkt, den to.eyes zum Zeitpunkt der Pflichtverletzung als mögliche Folge der Pflichtverletzung vorausgesehen hat oder mit dem to.eyes zumindest typi-scherweise hätte rechnen müssen.
7.3. to.eyes wird ihr überlassene Vorlagen, Filme, Displays, Lay-outs etc. des Auftraggebers sorgfältig behandeln. Für hieran entstehende Schäden oder Verluste haftet sie jedoch nur bei Vorsatz oder bei grober Fahrlässigkeit. Ein über den Materi-alwert hinausgehender Schadenersatz für die Beschädigung oder den Verlust solcher Unterlagen ist ausgeschlossen.
7.4. Sofern to.eyes notwendige Fremdleistungen gemäß Zif-fer 4.2 im Namen des Auftraggebers in Auftrag gibt, sind die jeweiligen Auftragnehmer keine Erfüllungsgehilfen von to.eyes. to.eyes haftet insoweit nur für eigenes Verschulden im Rahmen der übrigen Bestimmungen dieser Ziffer 7.
7.5. Mit der Genehmigung von Entwürfen, Reinausführungen oder Reinzeichnungen durch den Auftraggeber übernimmt dieser die Verantwortung für Richtigkeit von Text und Bild. Soweit der Auftraggeber Entwürfe, Texte, Reinausführungen und Reinzeichnungen freigibt entfällt jede Haftung von to.eyes.
7.6. Außer in den Fällen der Übernahme einer Garantie, bei Arg-list oder bei Personenschäden gelten die vorstehenden Haf-tungsbeschränkungen für alle Ansprüche auf Schadensersatz aus oder im Zusammenhang mit dem Vertrag, unabhängig vom Rechtsgrund (auch für Ansprüche aus unerlaubter Hand-lung).
7.7. Die vorstehenden Haftungsbeschränkungen gelten entspre-chend im Falle etwaiger Schadensersatzansprüche des Auf-traggebers gegen Mitarbeiter oder Beauftragte von to.eyes.

8. Gestaltungsfreiheit, Beistellungen des Auftraggebers

8.1. Im Rahmen der bei Auftragserteilung gemachten Vorgaben des Auftraggebers besteht Gestaltungsfreiheit. Reklamatio-nen hinsichtlich der künstlerischen Gestaltung sind insoweit ausgeschlossen. Wünscht der Auftraggeber während oder nach der Produktion Änderungen, so hat er die hierdurch ver-ursachten Mehrkosten zu tragen. to.eyes behält den Vergü-tungsanspruch für bereits begonnene oder fest beauftragte Arbeiten.
8.2. Der Auftraggeber ist verpflichtet, die für die Durchführung des Auftrags erforderlichen Beistellungen so rechtzeitig zu erbrin-gen, dass eine termingerechte Erfüllung des Auftrags möglich ist. Verzögert sich die Durchführung des Auftrages aus Grün-den, die der Auftraggeber zu vertreten hat, so kann to.eyes eine angemessene Erhöhung der Vergütung verlangen. Die Geltendmachung eines weitergehenden Verzugsschadens bleibt davon unberührt.
8.3. Der Auftraggeber versichert, dass er zur Verwendung aller to.eyes übergebenen Vorlagen berechtigt ist. Sollte er entge-gen dieser Versicherung nicht zur Verwendung berechtigt sein, stellt der Auftraggeber to.eyes von allen Ansprüchen Dritter frei.

9. Geheimhaltung

9.1. Die Parteien sind zur Geheimhaltung aller ihr bei der Zusam-menarbeit bekanntgewordenen Geschäftsgeheimnisse der je-weils anderen Vertragspartei verpflichtet. Soweit sie dritte Personen zur Erfüllung ihrer Aufgaben heranziehen, haben sie diesen Personen die gleiche Verpflichtung aufzuerlegen.
9.2. Die Geheimhaltungsverpflichtung besteht über die Dauer der Zusammenarbeit hinaus. Alle zur Verfügung gestellten Unter-lagen des Auftraggebers werden nach Beendigung der Zu-sammenarbeit an den Auftraggeber zurückgegeben oder auf Wunsch vernichtet.

10. Schlussbestimmungen

10.1. to.eyes darf seine Leistungen ganz oder in Teilen durch Subun-ternehmer erbringen lassen.
10.2. Erfüllungsort ist der Sitz von to.eyes in Kaufbeuren.
10.3. Es gilt nur das Recht der Bundesrepublik Deutschland.
10.4. Die Unwirksamkeit einer der vorstehenden Klauseln berührt die Geltung der übrigen Bestimmungen nicht.


Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO (Anlage 1)

1. Gegenstand und Dauer des Auftrags

1.1. Gegenstand

1.2. Gegenstand des Auftrags zum Datenumgang ist die Durchfüh-rung folgender Aufgaben durch den Auftragsverarbeiter:
1.2.1. EYEMAIL® – In diesem Mailingsystem übersendet der Verantwortliche dem Auftragsverarbeiter online Adressdaten seiner Kunden. Die Online-Software ist HTTPS-verschlüsselt und der Optiker hat einen entsprechenden personalisierten Zugang dazu. Nach dem Upload werden die Daten von dem System automatisiert verarbeitet und automatisch die Druckdaten generiert. Diese Druckdaten (personalisierte Briefbögen) holt sich dann der Lettershop des Auftragsverarbeiters, der eben-falls einen Zugang zu dem System hat, aus diesem ab und produziert die Briefe. Die Original-Adressdatei des Verantwortlichen wird 30 Tage nach dem Upload vom System automatisiert gelöscht und die Druckdateien aus Qualitätssicherungsgründen nach 90 Tagen.
1.2.2. EYEMARKET® – In diesem Analyse-Tool übersendet der Verantwortliche dem Auftragsverarbeiter über das unter 1.2.1 genannte Online-System wie bei 1.2.1 entsprechende Adressdaten. In diesem Fall werden allerdings keine Briefe gedruckt, sondern nur eine Auswertung der Daten vorgenommen. Dabei lädt der Verantwortliche seine Original-Adressdatei hoch, die auch wieder 30 Tage gespeichert und danach automatisch gelöscht wird. Für die Auswertung selbst werden die Adressen pseudonymisiert und in der Datenbank des Auftragsverarbeiters bleibt dann nur noch dieses Pseudonym übrig sowie das Geburtsdatum, die Geo-Koordinaten per Adresse sowie das Auftragsdatum. Der Klarname des Kunden wird nicht mehr gespeichert. Diese pseudonymisierten Datensätze werden so-lange gespeichert, wie der Verantwortliche mit dem Auftragsverarbeiter eine Geschäftsbeziehung hat.
1.2.3. MAILINGS / POSTKARTEN – Jeder Verantwortliche kann beim Auftragsverarbeiter ein Mailing oder Postkarten bestellen. In diesen Fällen übersendet der Verantwortliche dem Auftragsverarbeiter die Adressen in der Regel per E-Mail. Der Auftragsverarbeiter empfiehlt dem Verantwortlichen die Da-ten als verschlüsseltes ZIP zuzusenden. Diese Daten werden beim Auftragsverarbeiter nach 30 Tagen automatisiert gelöscht. Dies betrifft sowohl die E-Mail als auch die Adressdaten die zur Verarbeitung auf dem internen File-Server des Auftragsverarbeiters liegen. Die Weitergabe an den Letter-shop des Auftragsverarbeiters läuft entweder per SFTP oder – wenn das nicht möglich ist – als verschlüsseltes ZIP per E-Mail.
1.3. Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zur Kündigung der Leistungsvereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter bzw. bis zur Erfüllung des Auftrags.

2. Konkretisierung des Auftragsinhalts

2.1. Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen sind konkret beschrieben in der Leistungsvereinbarung bzw. im Auftrag.
2.2. Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/ Beschreibung der Datenkategorien)
• Personenstammdaten der Kunden des Verantwortlichen (Vorname, Name, Adresse, PLZ, Ort)
• Auftragsdatum (Brillen- oder Kontaktlinsenauftrag)
• Geburtsdatum
2.3. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
• Kunden und Interessenten des Verantwortlichen
• Mitarbeiter des Kunden
2.4. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen ausdrücklichen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

3. Technisch-organisatorische Maßnahmen

3.1. Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3.2. Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 Buchst. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen (Einzelheiten in Anlage 1).
3.3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung und Löschung von Daten, Einschränkung der Verarbeitung

4.1. Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
4.2. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.

5. Sonstige Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
5.1. Schriftliche Benennung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Als Datenschutzbeauftragte(r) ist beim Auftragsverarbeiter

Herr Werner Hülsmann
Datenschutzwissen.de
Telefon: 0177 / 28 28 681
E-Mail: wh@datenschutzwissen.de

benannt. Ein Wechsel des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich mitzuteilen.
5.2. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 Buchst. b, 29, 32 Abs. 4 DSGVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten ein-schließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
5.3. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 Satz 2 Buchst. c, Art. 32 DSGVO [Einzelheiten in Anlage 1]
5.4. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen
5.5. Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
5.6. Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.
5.7. Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maß-nahmen, um zu gewährleisten, dass die Verarbeitung in sei-nem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
5.8. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages

6. Anfragen betroffener Personen

6.1. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragsverarbeiter, wird der Auftragsverarbeiter die betroffene Person an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen nach Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten auf Weisung. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Verantwortlichen nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

7. Unterauftragsverhältnisse

7.1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice o-der sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
7.2. Der Auftragsverarbeiter darf Unterauftragsverarbeiter (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Verantwortlichen beauftragen. Die Auslagerung auf Unterauftragsverarbeiter oder der Wechsel des bestehenden Unterauftragsverarbeiters sind zulässig, soweit:
• der Auftragsverarbeiter eine solche Auslagerung auf Unterauftragsverarbeiter dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
• der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
• eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO zugrunde gelegt wird.
7.3. Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter und dessen erst-maliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
7.4. Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechen-de Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
7.5. Eine weitere Auslagerung durch den Unterauftragsverarbeiter bedarf der ausdrücklichen Zustimmung des Hauptauftragsverarbeiters (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragsverarbeiter aufzuerlegen.

8. Kontrollrechte des Verantwortlichen

8.1. Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
8.2. Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und ins-besondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
8.3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann nach Wahl des Auftragsverarbeiters erfolgen durch
• die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Daten-schutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz oder ISO 27001).

9. Mitteilung bei Verstößen des Auftragsverarbeiters

9.1. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.
• die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
• die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden
• die Verpflichtung, dem Verantwortlichen im Rahmen sei-ner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
• die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung
• die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

10. Weisungsbefugnis des Verantwortlichen

10.1. Mündliche Weisungen bestätigt der Verantwortliche unverzüglich (mindestens in Textform).
10.2. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird

11. Löschung und Rückgabe von personenbezogenen Daten

11.1. Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
11.2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
11.3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlicher übergeben.

12. Informationspflichten, Schriftformklausel, Rechtswahl

12.1. Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Beteiligten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Verantwortlichen im Sinne der Datenschutz-Grundverordnung (Auftraggeber) liegen.
12.2. Änderungen und Ergänzungen dieser Vereinbarung zur Auftragsverarbeitung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung der Bedingungen dieser Vereinbarung zur Auftragsverarbeitung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
12.3. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen der Leistungsvereinbarung vor. Sollten einzelne Teile dieser Vereinbarung zur Auftragsverarbeitung unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
12.4. Es gilt deutsches Recht.

Unterauftragsverarbeiter Anschrift Leistung
x-dialog Marketing e.K. Unterwanger Str. 3
87439 Kempten
Produktion und Verarbeitung von Mailings (inkl. eyemail®); Weiterverarbeitung, Bündelung und Postauflieferung von Postwurfsendungen; Bereitstellung der Online-Plattform für die Abwicklung von eyemail®, eyemarket®, eyeplan®
kbprintcom.at Druck +
Kommunikation GmbH
Gutenbergstr. 2
4840 Vöcklabruck
Österreich
Produktion und Verarbeitung von MAXI-Postkarten
SpaceNET AG Joseph-Dollinger-Bogen 14
80807 München
Bereitstellung von E-Mail-Postfächern inkl. täglicher Datensicherung für eyepage®
Atrivio GmbH Albert-Einstein-Str. 6
87437 Kempten
Bereitstellung der Software zur Online-Verwaltung
aller Internetseiten (eyepage®)
Brillen-Profi-Contact GmbH Mindelheimer Str. 19
87600 Kaufbeuren
Fakturierung von Rechnungen, Übernahme der Buchhaltung inkl. Forderungsmanagement


Technische und organisatorische Maßnahmen (Anlage 2)

Bitte entnehmen Sie Anlage 2 (Technische und organisatorische Maßnahmen) den kompletten AGB per PDF: Download hier