Präambel

(1) Der Auftragnehmer stellt dem Auftraggeber die Plattform zur Verfügung und erbringt in diesem Zusammenhang Leistungen auf Grundlage einer zwischen den Parteien geschlossenen Vereinbarung bestehend aus dem Bestellformular und den Allgemeinen Geschäftsbedingungen (nachfolgend „Hauptvertrag“ genannt). Im Rahmen dieser Leistungserbringung ist es erforderlich oder zumindest nicht auszuschließen, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftragsdaten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftragsdaten zur Durchführung des Hauptvertrags.

§1 Anwendungsbereich, Gegenstand und Dauer der Verarbeitung

(1) Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Auftragsdaten im Rahmen dieser Auftragsverarbeitung in Berührung kommen können.
(2) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers bei der Zurverfügungstellung der Online-Plattform und der Erbringung der im Hauptvertrag definierten Leistungen; Details hierzu ergeben sich aus dem Hauptvertrag (Gegenstand der Verarbeitung). Es werden hierbei personenbezogene Daten zum Zweck der Bereitstellung der Anwendung und Dienste entsprechend des Hauptvertrages verarbeitet als auch personenbezogene Daten, welche die Nutzer bei Verwendung der Online-Plattform ITService-Akademie.de und in den Online-Meetings eingeben oder erfassen (Umfang, Art und Zweck der Verarbeitung).
Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO und beinhalten folgende Leistungen:

• Administration und Wartung von IT‐Systemen

• Fernwartung von IT-Systemen und NAS-Systeme

• Dokumentation der erbrachten Arbeiten und Leistungen

(3) Dauer der Verarbeitung: Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags.
(4) Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
(a) Personenbezogene Daten, welche zur Bereitstellung der Online-Plattform und Herstellung der Kommunikation erforderlich sind, werden im Teilnehmerprofil erfasst und gespeichert: Dazu zählen Zugangsdaten von registrierten Benutzern wie Name und E-Mail-Adresse und Passwort. Optional können die Nutzer im Teilnehmerprofil auch weitere Angaben machen wie etwa Titel, Initialen, Ort, Berufsbezeichnung und Arbeitgeber oder Firmenname und Sitz angegeben werden.
(b) Personenbezogene Daten, welche von den Nutzern während der Kommunikation in Online-Meetings über die Anwendung TeamViewer® erhoben und verarbeitet werden: Textnachrichten (Chats), Video- und Audiodaten, welche Bildnisse und Stimmen der Nutzer enthalten. Video- und Audiodaten als auch Textnachrichten in Chats können auch weitere, zwischen den Nutzern von TeamViewer®(Online-Meeting) im Rahmen der Kommunikation ausgetauschte Personenstammdaten, Kommunikationsdaten und andere personenbezogene Daten enthalten. Audio-, Video- und Chatnachrichten werden grundsätzlich nicht gespeichert bzw. nur bis zum Ende der Kommunikation zwischengespeichert, es sei denn, der Auftraggeber erstellt manuell eine Aufzeichnung.
(c) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen den Auftraggeber, Mitarbeiter oder sonstige nutzungsberechtigte Personen auf Seiten des Auftraggebers (z.B. Mitarbeiter) und die jeweiligen Kommunikationspartner der nutzungsberechtigten Personen sowie Personen, über die kommuniziert wird.
(d) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
(5) Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten erforderlichen unter Absatz (2) definierten Leistungen zur Auftragsverarbeitung. Der Zugriff auf Daten des Auftraggebers ergibt sich aus den Leistungsbeschreibungen. Der Auftraggeber stimmt diesen Vertragszwecken mit Annahme dieser Vereinbarung zur Auftragsverarbeitung zu.
(6) Art der personenbezogenen Daten sind insbesondere:

• Kundenstammdaten (Name, Anschrift, Kunden-Nummer)

• Kommunikationsdaten (Fax- und Telefonnummer, E-Mail, IP-Adressen)

• Abrechnungs- und Zahlungsdaten

• Dokumentation der erbrachten Leistungen

(7) Bei den Betroffenen dieser Daten handelt es sich insbesondere um:

• Kunden und potenzielle Kunden des Auftraggebers (Endverbraucher)

• Mitarbeiter und Angehörige des Auftraggebers

• Mitarbeiter des Auftragnehmers

§2 Verantwortlichkeit für die Datenverarbeitung

Der Auftraggeber ist im Rahmen dieses Vertrages für die Rechtmäßigkeit der Verarbeitung der Auftragsdaten sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Der Auftragnehmer verarbeitet personenbezogene Daten nur im Auftrag des Auftraggebers auf dessen Weisung hin.

§3 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die Auftragsdaten nicht an unbefugte Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftragsdaten gem. Art. 32 DSGVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

§4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer hat Auftragsdaten nur nach Weisung des Auftraggebers unter Beachtung von § 6 dieser Vereinbarung zu verarbeiten. Der Auftragnehmer hat die Auftragsdaten ausschließlich nach Weisung des Auftraggebers zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
(2) Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und -nutzung in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.
(3) Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Auftragsdaten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Der Auftragnehmer kann für diese Unterstützungsleistung die ihm hierdurch entstehenden, nachzuweisenden Aufwände und Kosten ersetzt verlangen (reiner Aufwandsersatz), es sei denn, die Kontrolle steht in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welchen der Auftragnehmer zu vertreten hat.
(5) Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit und den Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen.
(6) Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit und zur Geheimhaltung entsprechend § 203 StGB zu verpflichten.
(7) Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen und Verstöße des Auftragnehmers, der bei ihm beschäftigten Personen oder eines eingesetzten Unterauftragnehmers gem. § 9 gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers durchführen.

§5 Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(3) Dem Auftraggeber obliegen die aus Art. 33 und Art.34 DSGVO resultierenden Meldepflichten.

§6 Weisungsbefugnis des Auftraggebers

(1) Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie insbesondere in den Bestimmungen dieser Vereinbarung und den Festlegungen des Hauptvertrags Ausdruck finden, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftraggeber kann in schriftlicher Form oder in Textform einzelne Weisungen ändern, ergänzen oder ersetzten (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu vergüten. Eine Vergütungspflicht besteht nicht, wenn die Weisung aufgrund eines Verstoßes gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag notwendig ist, welche der Auftragnehmer zu vertreten hat.
(2) Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (z.B. per E-Mail) bestätigen.
(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

§8 Kontrollrechte des Auftraggebers

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung, die nur in besonderen Ausnahmefällen entfallen darf - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber, es sei denn, die Kontrolle steht in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welche der Auftragnehmer zu vertreten hat
 

§9 Weitere Auftragsverarbeiter nach Art. 28 Abs. 2 und 4 DSGVO)

(1) Der Auftraggeber erteilt hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“ genannt) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen Unterauftragnehmer ergeben sich aus Anlage 2, für welche der Auftragnehmer die Genehmigung mit Abschluss dieser Vereinbarung erteilt. Der Auftragnehmer informiert den Aufraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Zustimmung zur Änderung als gegeben. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Wochen zu kündigen.
(2) Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Unterauftragnehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Unterauftragnehmern wahrnehmen kann. Insbesondere wird der Auftragnehmer solche Unterauftragnehmer zur Geheimhaltung entsprechend §203 StGB verpflichten, welchen Privatgeheimnissen des Auftraggebers gem. §203 StGB offenbart werden könnten.

§10 Löschung von Daten und Rückgabe von Datenträgern

Nach Abschluss der vertraglichen Arbeiten, spätestens mit Beendigung des Hauptvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber nach dessen Wahl auszuhändigen oder datenschutzgerecht zu vernichten. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
 

§11 Haftung

Eine zwischen den Vertragsparteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, es sei denn, die Vertragsparteien haben ausdrücklich etwas anderes vereinbart.

§12 Schlussbestimmungen

(1) Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.
(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers oder Änderungen der Anlage - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Die Rechte und Pflichten des Vertrages bleiben so lange bestehen, wie der Auftragnehmer die Daten des Auftraggebers verarbeitet.
(4) Ausschließlicher Gerichtsstand für alle aus diesem Vertrag sich ergebenden Streitigkeiten ist der Sitz des Auftragnehmers.
(5) Es gilt deutsches Recht.

Stand 06.01.2019