AGB AV

Diese Anlage (im Folgenden „AV-Vertrag“ genannt) konkretisiert die Verpflichtungen zum Datenschutz, die sich aus einem vom Auftraggeber genutzten Dienstleistungsvertrag (nachstehend „Vertrag“ oder „Hauptvertrag“ genannt)  ergeben. Der AV-Vertrag findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen personenbezogene Daten (nachfolgend „Daten“ genannt) durch den Auftragnehmer oder durch den vom Auftragnehmer Beauftragten verarbeitet werden.Dieser AV-Vertrag trägt Art. 28 Abs. 3 DSGVO (Datenschutzgrundverordnung) Rechnung, nach dem jedes Unternehmen, das Daten im Auftrag verarbeiten lässt, einen Vertrag oder ein anderweitiges Rechtsinstrument nutzen muss, um die Verarbeitung von Daten zu regeln. Es sind speziell Vereinbarungen zu den Verantwortlichkeiten, dem Gegenstand und der Dauer der Verarbeitung, Art und Zweck der Verarbeitung, der Art der verarbeiteten Daten sowie den Rechten und Pflichten der Vertragsparteien zu treffen.Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Textform nach § 126 b BGB gemeint, zu deren Wirksamkeit auch eine E-Mail genügt.Der vorliegende AV-Vertrag ist nur gültig in Verbindung mit einem aktiven Dienstleistungsvertrag mit der Nexanum.

§ 1 Gegenstand und Dauer der Verarbeitung
Auftragnehmer ist 
Nexanum Commerce UG (haftungsbeschränkt)Eichenstrasse 2474834 Elztal Gegenstand der Vereinbarung sind die Rechte und Pflichten des Auftragnehmers und seiner Kunden (Auftraggeber) im Rahmen der Leistungserbringung gemäß der Leistungsbeschreibung des Hauptvertrags, soweit eine Auftragsverarbeitung von personenbezogenen Daten durch den Auftragnehmer gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer im Rahmen dieser Auftragsverarbeitung, durchführt. Dies gilt auch, sofern der Vertrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.Die Dauer der Verarbeitung richtet sich nach der Dauer und der Laufzeit des Hauptvertrags.
§ 2 Art und Zweck der Verarbeitung
Die Art der Verarbeitung umfasst alle Arten von Verarbeitung im Sinne der DSGVO zur Erfüllung des Hauptvertrags.Zweck der Verarbeitung sind alle, zur Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere der Online-Kundengewinnung und dem IT-Support, erforderlichen Zwecke.
§ 3 Art der personenbezogenen Daten und Kategorien von Betroffenen
Die Art der personenbezogenen Daten umfasst:
Personenstammdaten, also Daten über Namen, Anschrift der Kunden oder andere persönliche Informationen zu der PersonKontaktdaten wie Telefonnummern und E-Mail-Adressen Die Kategorien betroffener Personen umfassen Kunden, Interessenten und Mitarbeiter des Auftraggebers.
§ 4 Rechte und Pflichten des Auftraggebers
Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen schriftlich. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich schriftlich bestätigen.Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch vor Vertragsbeginn festgelegte Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme und -prozesse zu kontrollieren. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Kontrollen finden grundsätzlich nach angemessener Vorankündigung, nach Unterzeichnung einer entsprechenden Verschwiegenheitserklärung und zu den üblichen Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten dieses Vertrages wie vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (Verantwortlicher im Sinne Art. 4 Nr. 7 DSGVO).Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung hat auch nach Beendigung des Hauptvertrags Bestand.
§ 5 Weisungen
Die Weisungen werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form, oder in einem elektronischen Format durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Insbesondere wird der Auftragnehmer nur nach dokumentierter Weisung des Auftraggebers Daten, die im Auftrag verarbeitet werden, berichtigen, löschen oder deren Verarbeitung einschränken.Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich.Der Auftraggeber kann einzelne zur Weisung befugte Personen benennen.Weisungsempfänger sind Supportmitarbeiter des Auftragnehmers.Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich die Nachfolger bzw. die Vertreter mitzuteilen.Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen beim Auftraggeber entsprechend geändert wird oder die rechtliche Zulässigkeit der Weisung nachgewiesen wird.Rechtswidrige Weisungen wird der Auftragnehmer ablehnen.
§ 6 Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 – 36 DSGVO geregelten Pflichten zur Sicherheit der Verarbeitung, Meldung bei Verletzungen des Schutzes personenbezogener Daten und Datenschutzfolgeabschätzung im erforderlichen Umfang, insbesondere im Falle einer Kontrolle des Auftraggebers durch Aufsichtsbehörden oder andere Stellen oder einer Geltendmachung von Rechten betroffener Personen, soweit die Verarbeitung im Auftrag betroffen ist.Der Auftragnehmer ist gemäß Art. 33 Abs. 2 DSGVO verpflichtet, dem Auftraggeber jedwede Verletzung des Schutzes personenbezogener Daten, die im Rahmen des vorliegenden Vertrages verarbeitet werden, unverzüglich zu melden.Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§ 7 Technische und organisatorische Maßnahmen
Der Auftragnehmer verpflichtet sich, seine innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes und dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenem Schutzniveau gerecht werden. Er ergreift technische und organisatorische Maßnahmen zum Schutz der Daten des Auftragnehmers, die den Anforderungen der DSGVO gemäß Art. 32 genügen.Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit sowie die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Der Auftragnehmer verpflichtet sich die getroffenen Maßnahmen in diesem Zusammenhang stets auf dem aktuellen Stand der Technik zu halten.Die Beschreibung der technischen und organisatorischen Maßnahmen gemäß Anhang 1 „TOM“ ist Bestandteil des AV Vertrags.Der Auftragnehmer verpflichtet sich die Wirksamkeit der getroffenen Maßnahmen regelmäßig, zumindest aber jährlich, zu prüfen, zu bewerten und gegebenenfalls anzupassen.Änderungen an den getroffenen Maßnahmen bleiben dem Auftragnehmer vorbehalten, wobei sichergestellt werden muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.Wesentliche Änderungen sind dem Auftraggeber in schriftlicher Form mitzuteilen.
§ 8 Anfragen betroffener Personen
Wendet sich eine betroffene Person mit dem Anliegen der Auskunft, Berichtigung oder Löschung an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung der Person zu dem jeweiligen Auftraggeber möglich und zulässig ist.Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen nach Kapitel 3 DSGVO (Recht auf Auskunft, Information, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch) im Rahmen seiner Möglichkeiten und gemäß den vertraglich vereinbarten Bedingungen.Der Auftragnehmer haftet nicht für die Einhaltung der im Rahmen der Anfrage geltenden Vorschriften auf Vollständigkeit und Korrektheit sowie der gesetzlichen Fristen.
§ 9 Unterauftragsverhältnisse
Als Untervertragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die unmittelbar mit der Erbringung der im Hauptvertrag beschriebenen Dienstleistung in Zusammenhang stehen und durch verbundene oder fremde Unternehmen erbracht werden.Mit dem Hinzuziehen verbundener oder fremder Unternehmen durch den Auftragnehmer ist der Auftraggeber einverstanden. Der Auftragnehmer hat den Auftraggeber von der Beauftragung in Kenntnis zu setzen, sodass dieser innerhalb einer Frist von 14 Tagen widersprechen kann. Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung, behält sich der Auftragnehmer das Recht vor, die Anlage sowie den dazugehörigen Vertrag fristlos zu kündigen.Eine Liste der aktuell eingesetzten Unterunternehmen inklusive deren jeweiliger Geschäftssitz sind den Allgemeinen Geschäftsbedingungen zu entnehmen. Diese Liste wird bei etwaigen Erweiterungen oder Anpassungen zeitnah aktualisiert.Beauftragt der Auftragnehmer Subunternehmer so obliegt es dem Auftragnehmer, seine aus diesem Vertrag hervorgehenden datenschutzrechtlichen Verpflichtungen auf diesen zu übertragen. In diesem Zusammenhang verpflichtet sich der Auftragnehmer dem Untervertragsverhältnis einen vertraglichen Rahmen gemäß Art. 28 Abs. 2-4 zu Grunde zu legen. Der Auftragnehmer behält die volle Verantwortung für die von ihm eingesetzten Subunternehmen.
§ 10 Sonderkündigungsrecht
14.1. Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einerFrist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß desAuftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt,der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will.14.2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieserVereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen undorganisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.14.3. Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemesseneFrist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichenKündigung wie in diesem Abschnitt beschrieben berechtigt.
§ 11 Beendigung des AV-Vertrages
11.1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hatder Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zuvernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtlichevorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen ohne unverhältnismäßig hohen Aufwand nicht mehr möglich ist.
11.2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch beiSubunternehmern herbeizuführen.11.3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen.11.4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sinddurch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über dasVertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber beiVertragsende übergeben.

§ 12 Haftung und Schadensersatz
Auftragnehmer und Auftraggeber haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelungen.
§ 13 Schlussbestimmungen
Erweiterungen und Änderungen dieses Vertrages sind zu ihrer Wirksamkeit schriftlich zu formulieren und dem Auftraggeber unverzüglich mitzuteilen.Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnissevon Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über dieBeendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information derGeheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei alsvertraulich zu behandeln.Sollte das Eigentum oder die zu verarbeitenden Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlicher im Sinne der DSGVO liegen.Es gilt das deutsche Recht.Für Rechtsstreitigkeiten aus einem Vertrag mit dem Anbieter wird der Gerichtsstand am Sitz des Anbieters vereinbart, sofern die Vertragspartner Kaufleute, juristische Personen des öffentlichen Rechts oder des öffentlich-rechtlichen Sondervermögens sind. Der Anbieter bleibt jedoch dennoch berechtigt den Dienstleister bei Vertragsverstoß an dessen Sitz zu verklagen.Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages den Regelungen des Hauptvertrages vor.Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Statt den unwirksamen oder undurchführbaren Bestimmungen gelten diejenigen wirksamen und durchführbaren Regelungen, deren Wirkung der wirtschaftlichen Zielsetzung am nächsten kommt, die die Vertragsparteien mit den unwirksamen bzw. undurchführbaren Bestimmungen verfolgt haben. 
Anlage 1: Technische und Organisatorische Maßnahmen (TOM)1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle – Unsere Server befinden sich in den deutschen IONOS Rechenzentren von IONOS. Der Zutritt ist strengstens geregelt und unter anderem durch folgende Maßnahmen gesichert:Empfangs- und AusweispflichtZutritt externer Besucher nur in BegleitungPförtnerSicherheitsdienstProtokollierter ZutrittZutritt wird durch Zutrittskarten mit strengen Auflagen reglementiertZutrittskontrollsystemVideokamerasSicherheitstürenEinbruchmeldeanlageZugangskontrolle Infrastruktur:Fernzugriffe auf die internen Systeme sind durch eine Firewall geschütztFernzugriffe sind nur in authentifizierter Form möglich2 Faktor Authentifizierung am Cloud BackendSysteme sind durch Virenschutz abgesichertPrivates Netzwerk mit VPN ZugriffZugangskontrolle Backend:Zugriff ist nur in authentifizierter Form möglichProtokollierung der ZugängeZugriffskontrolle Infrastruktur:Zugriff auf System nur durch ausgewählte AdministratorenVerschlüsselung von Zugangsdaten zu den internen SystemZugriffskontrolle Backend:Der Zugriff auf Daten unterliegt einem Rollen- und RechtekonzeptTrennungskontrolle:Physikalische Trennung zwischen Produktions-/Test-/EntwicklungsumgebungStrikte Trennung der Datensätze durch MandantenkonzeptTrennung der Daten nach VerwendungszweckVerschlüsselung:Alle Verbindungen zu unseren Systemen sind verschlüsselt.Es werden nur sichere Protokolle (ssh, sftp, https) verwendetDie Verschlüsselung wird immer auf dem Stand der Technik gehaltenPseudonymisierung:Es erfolgt keine Verwendung von Echtdaten außerhalb der Produktionsumgebung
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
WeitergabekontrolleDaten werden nur über sichere Protokolle transportiertEine Weitergabe von Daten erfolgt ausschließlich gesichert (verschlüsselt und/oder passwortgeschützt)EingabekontrolleÄnderungen (Anlegen, Aktualisierung) an Datensätzen werden stets protokolliertÄnderungen an Systemeinstellungen werden stets protokolliert
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Unsere Server befinden sich in einem IONOS Rechenzentrum in Deutschland, das nach ISO 27001 und ISO 9001 zertifiziert ist und höchsten Ansprüchen an Verfügbarkeit gerecht wird.Das IONOS Netz ist mehrstufig vor Hackerangriffen, wie DDos-Attacken geschützt.Updates und Patches werden zeitnah eingespielt.Daten werden regelmäßig gesichert.Es werden regelmäßig Backups der Daten erstellt, die räumlich getrennt aufbewahrt werden.Die zentralen Dienste werden stets durch ein Monitoring überwacht.Virenschutz, Firewalls und andere relevante Sicherheitssysteme werden stets aktuell gehalten.Die Serverhardware ist mehrfach redundant und ausfallsicher ausgelegt.Es existiert eine Brandschutzanlage.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mindestens einmal jährlich durchgeführt.Regelmäßige Schulung aller mit personenbezogenen Daten in Berührung kommenden Personen, um die Einhaltung der gesetzlichen Vorschriften zu gewährleistenDatenschutzfreundliche Voreinstellungen unserer Dienste minimieren die anfallenden personenbezogenen DatenSorgfältige Auswahl von Subunternehmern/Auftragsverarbeitern, vor allem in Bezug auf den DatenschutzAbschluss notwendiger Vereinbarungen mit eventuellen Subunternehmern/Auftragsverarbeitern und deren ÜberprüfungKundenspezifische Dokumentation von Weisungen und Tätigkeiten im Rahmen der AuftragsverarbeitungDatenschutzvorfälle werden unverzüglich dokumentiert und ausgewertet.

Download