1.1 Vertragsgegenstand ist die Betreuung im Marketing und die Erstellung von Strategie- und SEO Dienstleistungen und Werbekampagnen. Er umfasst die gezielte Online-Werbung, als auch die IT Verwaltung und die anfallenden Arbeiten im Markenaufbau für Kunden der Digital Agency One.
1.2Für die Erbringung der Leistung gelten vorrangig die Regeln in diesem Vertrag, einschließlich seiner Anlagen und etwaiger Nachträge. Ergänzende oder entgegenstehende ‘Allgemeine Geschäftsbedingungen’ der Parteien werden ausdrücklich nicht Vertragsinhalt.
2.1 Im Rahmen dieses Vertrages erbringt die Auftragnehmerin gemäß den Vorgaben des Auftraggebers, sowie in Abstimmung mit diesem, beratende und dienstliche Leistungen.
Der Leistungsumfang richtet sich nach den laut Angebot von der Auftragnehmerin geschuldeten Leistungen.
2.2 Den Parteien ist bewusst, dass es sich weitestgehend um Marketing- und Werbeaktivitäten durch die Optimierung und Betreuung der Online-Aktivitäten des Auftraggebers handelt. Die Auftragnehmerin schuldet nur Dienstleistungen, er kann also keine Umsatzsteigerungen o. Ä. zusagen. Die Parteien sind sich darüber überein, dass ein Werk oder ein Erfolg nicht geschuldet ist.
2.3 Die Auftragnehmerin ist in der Wahl des Leistungsorts grundsätzlich frei.
2.4 Die Auftragnehmerin ist in der Einteilung ihrer Arbeitszeit frei. Sie hat sich jedoch mit dem Auftraggeber abzustimmen, um ggf. auf Traffic-Aufkommen reagieren zu können.
3.1 Der Auftraggeber (Kunde der Digital Agency One) hat die Leistungen der Auftragnehmerin (Digital Agency One) durch angemessene Mitwirkungshandlungen zu fördern. Er wird insbesondere der Auftragnehmerin, die dafür erforderlichen Informationen und Daten zur Verfügung stellen. Ferner wird der Auftraggeber der Auftragnehmerin, die notwendigen Nutzungsrechte für die Online-Medien, sowie weiteren für das technische SEO oder Advertising notwendigen Zugänge bereitstellen und die Nutzung im Rahmen dieses Vertrages gestatten.
3.2 Der Auftraggeber garantiert, dass alle von ihm zur Verfügung gestellten Daten, Darstellungen, Fotos, Angaben und sonstige Informationen frei von Rechten Dritten sind und keine Ansprüche Dritter gegen den Verwender begründen können. Der Auftraggeber wird die Auftragnehmerin bei der Abwehr solcher Ansprüche unterstützen, ihn auf erste Anforderung von allen damit in Zusammenhang stehenden Ansprüchen des Dritten freistellen und ihm jeglichen Schaden, der diesem wegen des Rechts des Dritten entsteht, einschließlich etwaiger für die Rechtsverteidigung anfallenden Gerichts- und Anwaltskosten ersetzen.
4.1 Über die Vergütung kommen die Parteien mittels gesonderter Vereinbarung (beiliegendes unterschriebenes Angebot) überein, insbesondere für die Dienstleistungen der Digital Agency One.
4.2 Zahlungen müssen in bar oder kosten- und spesenfrei auf das in der Rechnung angegebene Geschäftskonto der Auftragnehmerin geleistet werden. Maßgeblich für den Ausgleich der Forderung ist der Eingang des geschuldeten Betrags bei der Auftragnehmerin. Eingehende Zahlungen werden auch bei abweichender Tilgungsbestimmung des Auftraggebers ausschließlich nach § 366 BGB verrechnet.
4.3 Zusätzlich erstattet der Auftraggeber der Auftragnehmerin die dieser für gesonderte Werbemaßnahmen und individuelle Software verauslagten Kosten. Der Auftraggeber muss für derartige Aufwendungen aufkommen und diese tragen. Das konkrete Budget hierbei wird im Einzelfall separat mittels gesonderter Vereinbarung festgelegt und muss vom Auftraggeber schriftlich gestattet werden.
4.4 Mit der Vergütung ist auch die Einräumung von Rechten an den Arbeitsergebnissen der Auftragnehmerin abgegolten.
4.5 Soweit im Rahmen des gebuchten Pakets gesonderte Werbemaßnahmen beauftragt werden, sind der Auftragnehmerin die hierfür anfallenden Kosten und Auslagen im Sinne von Ziff. 4.2 gesondert zu erstatten.
4.6 Die Auftragnehmerin hat Anspruch auf Ersatz ihrer sonstigen erforderlichen Aufwendungen, die ihm in Ausübung seiner Tätigkeit nach diesem Vertrag entstehen, soweit die Erstattung gesondert vereinbart worden ist.
4.7 Vergütung und Werbekosten sind jeweils nach Ablauf des Monats und Erhalt einer ordnungsgemäßen und prüffähigen Rechnung sofort zur Zahlung fällig.
5.1 Der Vertrag beginnt mit seiner Unterzeichnung durch die Digital Agency One.
5.2 Die Dauer des vorliegenden Vertrages richtet sich nach der Dauer der angebotenen Leistungen für die Kunden der Digital Agency One, ohne dass es einer diesbezüglichen Kündigung bedarf.
5.3 Die Auftragnehmerin hat ihr überlassene Arbeits- und Geschäftsunterlagen sowie Arbeitsergebnisse nach Vertragsbeendigung unverzüglich und unaufgefordert zurückzugeben oder zu löschen. Elektronische Daten sind vollständig zu löschen. Die Auftragnehmerin hat dem Auftraggeber auf dessen Wunsch die Löschung schriftlich zu bestätigen.
6.1 „Arbeitsergebnisse“ sind sämtliche durch die Tätigkeit der Auftragnehmerin im Rahmen dieses Vertrages geschaffenen Werke, insbesondere Dokumente, Projektskizzen, Präsentationen, grafische Darstellungen, Fotos und Entwürfe.
6.2 Die Auftragnehmerin räumt dem Auftraggeber an den Arbeitsergebnissen im Zeitpunkt von deren Entstehung das räumlich, zeitlich und inhaltlich unbeschränkte, ausschließliche, übertragbare und unterlizenzierbare Recht zur Nutzung für sämtliche Nutzungsarten, hauptsächlich zu deren Vervielfältigung, Verbreitung, Verwertung und Bearbeitung ein, außerdem das alleinige und unbeschränkte Eigentum an denjenigen Arbeitsergebnissen, an denen ein solches begründet und übertragen werden kann. Kann an Arbeitsergebnissen ein Eigentumsrecht begründet und übertragen werden, räumt die Auftragnehmerin dem Auftraggeber dieses ebenfalls im Zeitpunkt von dessen Entstehung ein.
7.1 Schadensersatzansprüche gegen die Auftragnehmerin sind – unabhängig vom Rechtsgrund, insbesondere aufgrund der Verletzung gewerblicher Schutzrechte Dritter und unerlaubter Handlung – vorbehaltlich der nachfolgenden Regelungen ausgeschlossen. Die Auftragnehmerin haftet primär nicht für Schäden, die nicht auf einer vorsätzlichen oder fahrlässigen Handlung oder Pflichtverletzung ihrer gesetzlichen Vertreter, Mitarbeiter oder Erfüllungsgehilfen beruhen. Die Sätze 1 und 2 gelten nicht für Ansprüche nach dem Produkthaftungsgesetz.
7.2 Die Auftragnehmerin haftet nach Maßgabe der gesetzlichen Bestimmungen für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung eines oder mehrerer ihrer gesetzlichen Vertreter, Mitarbeiter oder Erfüllungsgehilfen beruhen sowie für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung eines oder mehrerer ihrer gesetzlichen Vertreter, Mitarbeiter oder Erfüllungsgehilfen beruhen.
7.3 Die Auftragnehmerin schuldet nach Maßgabe der gesetzlichen Bestimmungen Schadensersatz oder Ersatz der dem Auftraggeber entstandenen Aufwendungen, wenn ein Schaden auf der Verletzung einer von der Auftragnehmerin übernommenen Garantie für die Beschaffenheit der Leistung beruht oder einer oder mehrere der gesetzlichen Vertreter, Mitarbeiter oder Erfüllungsgehilfen von der Auftragnehmerin fahrlässig eine Pflicht verletzt haben, die für die Erreichung des Vertragszwecks von wesentlicher Bedeutung ist. Die Auftragnehmerin haftet in gleicher Weise, wenn einer oder mehrere ihrer gesetzlichen Vertreter, Mitarbeiter oder Erfüllungsgehilfen fahrlässig eine Pflicht zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des Auftraggebers verletzt haben und dem Auftraggeber die Leistung durch die Auftragnehmerin nicht mehr zuzumuten ist.
7.4 Für Pflichtverletzungen im Sinne der Ziff. 7.2 haftet die Auftragnehmerin der Höhe nach unbeschränkt. In den in 7.3 genannten Fällen ist die Höhe des Schadensersatzanspruchs auf den vorhersehbaren Schaden begrenzt. In jedem Fall ist der Ersatz für Folgeschäden, wie z. B. entgangenen Gewinn, ausgeschlossen.
7.5 Soweit die Haftung von der Auftragnehmerin ausgeschlossen oder begrenzt ist, gilt dies auch für die persönliche Haftung von Angestellten, Arbeitnehmern, Mitarbeitern, Vertretern und Erfüllungsgehilfen von der Auftragnehmerin.
8.1 „Vertrauliche Informationen“ sind alle Informationen und Unterlagen der jeweils anderen Partei, die als vertraulich gekennzeichnet oder aus den Umständen heraus als vertraulich anzusehen sind, insbesondere Kundendaten, Informationen über betriebliche Abläufe, Geschäftsbeziehungen und Know-how, sowie – für die Auftragnehmerin - sämtliche Arbeitsergebnisse.
8.2 Die Parteien vereinbaren, über solche vertrauliche Informationen-Stillschweigen zu wahren und diese nur für die Durchführung dieses Vertrages und den damit verfolgten Zweck zu verwenden. Diese Verpflichtung besteht für einen Zeitraum von sechs Monaten nach Beendigung des Vertrages fort.
8.3 Von dieser Verpflichtung ausgenommen sind solche vertraulichen Informationen,
8.3.1, die dem Empfänger bei Abschluss des Vertrages nachweislich bereits bekannt waren oder danach von dritter Seite bekannt werden (Public Knowledge), ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden;
8.3.2, die bei Abschluss des Vertrages öffentlich bekannt sind oder danach öffentlich bekannt gemacht werden, soweit dies nicht auf einer Verletzung dieses Vertrages beruht;
8.3.3, die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichtes oder einer Behörde offengelegt werden müssen. Soweit zulässig und möglich wird der zur Offenlegung verpflichtete Empfänger die andere Partei vorab unterrichten und ihr Gelegenheit geben, gegen die Offenlegung vorzugehen.
9.1 Die Vertragsparteien beachten die einschlägigen datenschutzrechtlichen Vorschriften. Die Auftragnehmerin wird insbesondere, sofern er in Kontakt mit personenbezogenen Daten kommt, diese Daten iSd Art. 28 DSGVO nur im Rahmen der Weisung des Auftraggebers erheben, verarbeiten oder nutzen. Die Vertragsparteien verpflichten ihre Mitarbeiter auf die Einhaltung des Datengeheimnisses, sofern nicht bereits eine solche Verpflichtung besteht.
9.2 Mit dem 25.05.2018 verpflichten sich beide Parteien unter Bezug der neuen Datenschutzgrundverordnung zu arbeiten und diese rechtssicher umzusetzen. Diese umfasst die Dokumentation der personenbezogenen Daten und die Auslegung, welche Drittanbieter Zugang zu diesen Daten haben und zu welchem Zweck. Außerdem ist der Auftraggeber verpflichtet, seinen Kunden jederzeit Zugriff auf diese Daten zu erhalten und bei Bedarf, nach Kündigung des Vertrages die Daten löschen zu lassen.
10.1 Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
10.2 Allgemeine Geschäftsbedingungen beider Parteien finden keine Anwendung.
10.3 Auf diesen Vertrag ist das deutsche Recht unter Ausschluss des Übereinkommens der Vereinten Nationen über Vertrage über den internationalen Warenverkauf vom 11.4.1980 (UN- Kaufrecht) anzuwenden. Ausschließlicher Gerichtsstand für alle Streitigkeiten zwischen den Parteien aus oder in Verbindung mit diesem Vertrag ist Rösrath/Bensberg.
10.4 Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Die Vertragsparteien werden sich bemühen, anstelle der unwirksamen Bestimmung eine solche zu finden, die dem Vertragsziel rechtlich und wirtschaftlich am besten gerecht wird.
1.1 Der Auftragnehmer erhält alle Zugänge und Daten, die für die beauftragten Leistungen erforderlich sind. Somit sind die Daten aus den Social Media Profilen, relevante Kundendaten, alle vorhandenen Webauftritte des Auftraggebers und sonstige Daten, die zur Leistungserfüllung dienlich sind.
1.2 Die Dauer dieser Verarbeitung endet mit Beendigung dieses Hauptvertrages.
2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten
Daten erheben: Nein, die Daten werden vom Auftraggeber erhoben.
Daten speichern: Ja, zur Auswertung und Visualisierung der Ergebnisse.
Daten nutzen: Ja, zur Analyse.
Daten an Dritte übermitteln: Ja, zur Auswertung und Analyse mit Werkzeugen einer Cloud, sonstige Dritte sind nicht betroffen.
Daten Löschen: Ja, vorbehaltlich nach Ende des Vertrages
Datenverarbeitung einschränken („sperren“): Nein
Eine Datenverarbeitung oder -übermittlung durch den Auftragnehmer in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ist nur zulässig, soweit ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO vorliegt oder durch andere geeignete Garantien i. S. v. Art. 46 Abs. 2 DSGVO ein angemessenes Datenschutzniveau sichergestellt ist. Der Auftragnehmer verpflichtet sich, die Einhaltung der Garantie und eines angemessenen Datenschutzniveaus sicherzustellen, bevor Daten durch den Auftragnehmer in Drittländer übermittelt werden.
2.2 Bei den betroffenen Personen der Datenverarbeitung handelt es sich um Kunden sowie Interessenten der Leistungen des Auftraggebers, die über die Webpräsenz Kontakt zu dem Unternehmen aufgenommen haben.
2.3 Zu den Kategorien der verarbeiteten Daten zählen: Personenstammdaten, Kontaktdaten, Verrechnungsdaten, Kundenhistorie, persönliche Daten der Bewerber, Zwischenhändler, Pressevertreter, Dienstleister und andere Unternehmensdaten.
3.1 Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Vereinbarung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben (siehe Anlage 1, §9). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. (Siehe Anlage 1, 1.)
3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative, adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Soweit vom Auftraggeber angefordert, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a. Benennung eines Datenschutzbeauftragten beim Auftragnehmer, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.
b. Benennung eines EU-Vertreters, falls der Auftragnehmer seinen Sitz außerhalb der Union hat.
c. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
d. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO. (s. Anlage 1 – 2.)
e. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
f. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
g. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person eines Dritten oder einem anderen Anspruch im Kontext der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
h. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
i. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
6.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.2 Der Auftragnehmer kann nach eigenem Ermessen Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen. (Siehe Anlage 1, 2.)
6.3 Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
6.4 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
6.5 Eine weitere Auslagerung durch den Unterauftragnehmer muss geregelt werden. (Siehe Anlage 1, 3.) Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
7.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, welche rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
7.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
7.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
a. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
b. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
c. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
d. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz).
7.4 Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
8.1 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen. Hierzu gehören u. a.:
a. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
b. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
c. die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
d. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
e. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
8.2 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
9.1 Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
9.2 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er überzeugt ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
10.1 Soweit Kopien oder Duplikate der Daten erstellt werden, werden die Kopien nach Entfall des entsprechenden Erhebungsgrundes gelöscht, spätestens jedoch mit Ablauf der entsprechenden gesetzlichen Aufbewahrungsfrist. Der Auftraggeber, als Kunde der Digital Agency One, gestattet Digital Agency One, Sicherheitskopien anzufertigen, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind.
10.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Kunden der Digital Agency One – spätestens mit Beendigung der Leistungsvereinbarung – hat die Digital Agency One sämtliche in ihren Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Kontext des Auftragsverhältnisses stehen, dem Kunden der Digital Agency One auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
10.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen
Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
Dies ist eine Anlage zur “Auftragsdatenverarbeitung Digital Agency One” (Datenschutzvereinbarung). Hier finden Sie alle verarbeitungsrelevanten Details (siehe Artikel 28 DS-GVO). Somit ist dies eine „dokumentierte Weisung“ gemäß Artikel 28 (3a) DS-GVO).
Für jeden Ort der Verarbeitung werden die wichtigsten technisch-organisatorischen Maßnahmen aufgezählt:
1.1 Allgemeine Angaben
a. Anzahl der Beschäftigten, die mit der Durchführung der Auftragsverarbeitung befasst sind?
- Anzahl Beschäftigte: 2 Personen
- Mitarbeiter werden regelmäßig zum Thema Datenschutz und für den Umgang mit personenbezogenen Daten sensibilisiert.
b. Werden Unterauftragnehmer eingesetzt?
- Für diesen Vertrag können eigenständig beauftragte Unterauftragnehmer durch den Auftragnehmer eingesetzt werden
1.2 Zutritt zum Unternehmen
a. Sind Gelände und Gebäude außerhalb der Betriebszeit gegen unbefugten Zutritt gesichert?
- Das Gelände ist Privatbesitz, Büroräume sind ohne Schlüssel nicht betretbar.
1.3 Zugang zu Datenverarbeitungssystemen
a. Sind Maßnahmen zur Zugangskontrolle zum Desktop und zu den vernetzten Systemen eingerichtet?
- Authentifizierung über Benutzername und Zugangskontrolle durch Passwort
b. Sind die Systeme gegen unbefugtes Eindringen und gegen das Internet geschützt?
- Ja. Zugänge über Password-Manager geregelt.
c. Ist der Zugang von externen Stellen aus sicher gestaltet, ggf. wie?
- Falls der Zugang nötig sein sollte, werden VPN-Verbindung sowie Verschlüsselungen angewandt.
1.4 Schutz der Daten vor unbefugten Zugriff
a. Besteht ein dokumentiertes Berechtigungsprofil, das sicherstellt, dass jeder Mitarbeiter nur über die Zugriffsbefugnisse verfügt, die er zur Aufgabenerledigung benötigt?
- Ja, die Zugriffsrechte werden direkt auf den Systemen Facebook Businessmanager und Google mit den jeweiligen Diensten verwaltet.
b. Ist eine Rechteverwaltung zur dokumentierten Rechtevergabe eingerichtet, die auch bei einer Veränderung des Aufgabengebiets eine zeitnahe Aufhebung nicht mehr benötigter Rechte sicherstellt?
- Die Zugriffsrechte werden auf den Systemen Facebook Businessmanager und den jeweiligen Google Diensten verwaltet und bei Änderung der Aufgabengebiete manuell aktualisiert, Passwörter über den Password-Manager administriert.
c. Bestehen Verhaltensmuster zur Sicherung von gedruckten Daten?
- Daten in Papierform werden, wenn nicht mehr benötigt, zunächst unkenntlich gemacht, bevor diese entsorgt werden.
- Daten, die in Papierform vorliegen, werden in von unbefugten Personen nicht zugänglichen Räumen / Fächern aufbewahrt.
1.5 Schutz der Daten vor Übertragung und Weitergabe
a. Werden die Daten bei ihrer Übertragung vor unbefugter Kenntnisnahme geschützt?
- Daten werden stets über, sichere Verbindungen übertragen, sonstige Maßnahmen: E-Mail-Verkehr ist SSL / TLS verschlüsselt, Datenverkehr findet über „https“ statt, FTP Datentransfer finden verschlüsselt statt.
b. Werden Datenübermittlungen nachvollziehbar protokolliert und kontrolliert?
- Der E-Mail Verlauf wird im Postfach protokolliert und gespeichert.
c. Werden bei Datenträgertransporten die erforderlichen Sicherheitsvorkehrungen beachtet?
- Der Datenaustausch findet ausschließlich digital über E-Mail o.Ä. statt.
d. Erfolgt bei Fernwartung der Zugriff auf die Kundendaten und Kundensysteme nur über sichere Leitungen?
- VPN-Verbindung (dies ist auch der Fall, wenn der Zugriff von einer anderen Stelle aus erfolgt)
1.6 Kontrolle der Auftragsverarbeitung
a. Werden bei einer Vergabe von Serviceaufträgen (z. B. IT-Service, Wartung etc.) die Vorgaben des Art. 28 DSGVO beachtet?
- Abschluss eines Vertrags gemäß Art. 28 DSGVO
1.7 Gewährleistung und Verfügbarkeit der Daten
a. Sind Maßnahmen zur Sicherung des Serverraums und der IT-Infrastruktur eingerichtet?
- Unbefugte Personen haben keinen Zutritt zu diesen Räumen
1.8 Trennung verschiedener Mandaten
a. Sind die Daten der verschiedenen Kunden in geeigneter Weise voneinander getrennt, um eine getrennte Verarbeitung zu gewährleisten?
- Art der Trennung: Anwendungsebene (Google Dienste / Facebook Businessmanager)
Der Auftragnehmer darf nach eigenem Ermessen Unterauftragnehmer („weitere Auftragsverarbeiter“) zur Erfüllung der Dienstleistung einsetzen, sofern mit diesen ein inhaltlich identischer Vertrag abgeschlossen wurde und die Hinzuziehung Dritter zuvor schriftlich gegenüber dem Auftraggeber angezeigt wird. Der Auftraggeber wird unverzüglich über jede Änderung der weiteren Auftragsverarbeiter informiert, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
Die Datenverarbeitung findet vorwiegend innerhalb der EU statt. Sofern ein Datentransfer zu Anbietern außerhalb der Europäischen Union bzw. der Staaten des Europäischen Wirtschaftsraumes nötig wird, zum Beispiel, um Cloud-basierende Dienstleistungen in Anspruch zu nehmen, wird dieser verschlüsselt und unter für den Datentransfer üblichen Sicherheitsvorkehrungen (wie SSL/TLS Zertifikaten etc.) vorgenommen. Sollte derartiger Transfer nötig sein, werden die Datenschutzvorkehrungen möglicher Dritter festgehalten und auf ein angemessenes Datenschutzniveau hin überprüft, um dieses gewährleisten zu können. Eine solche Verarbeitung von Daten außerhalb der EU ist zu derzeitigem Stand nicht vorgesehen. Dem Auftraggeber wird vorbehalten, die Datenschutzvorkehrungen möglicher Dritter zu kontrollieren und zu prüfen.
Der Auftragnehmer ist ausdrücklich nicht verantwortlich für die Sicherheit des Datentransfers, der durch Erhebung von Nutzerverhalten und Daten, durch Einsatz von Tracking-Tools wie Facebook Pixel und Google Tag-Manager, oder ähnlichen entsteht. Beim Einsatz derartiger Tracking-Tools wird dem Auftraggeber empfohlen, die DSGVO-Konformität der jeweils außerhalb der EU sich beteiligten Unternehmen wie Google oder Facebook eigenverantwortlich zu prüfen.