open-diakonie.de

Nutzungsbedingungen

open-diakonie – Allgemeine Nutzungsbedingungen

Der Rummelsberger Dienste für Menschen gGmbH, Rummelsberg 2, 90592 Schwarzenbruck, (nachfolgend „RDM“) stellt über RuDi#Chat einen Messenger für Text-, Sprach- und Bilddateien, über RuDi#Live eine Videokonferenzlösung, über RuDi#Cloud einen Speicherdienst, über RuDi#Time ein Umfrage-Tool sowie über RuDi#Key ein Authenifizierungsdienst zur Verfügung (nachfolgend RuDi#Chat, RuDi#Live, RuDi#Cloud, RuDi#Time und RuDi#Key gemeinsam „open-diakonie“), deren Dienste Nutzerinnen und Nutzer (nachfolgend „User“) in Anspruch nehmen können. Diese Nutzungsbedingungen gelten für die Nutzung von open-diakonie.
open-diakonie richtet sich an Mitarbeiterinnen und Mitarbeiter (im folgenden „Mitarbeitenden“), Klientinnen und Klienten sowie mit der RDM verbundene Unternehmen. Als verbundene Unternehmen der RDM gelten rechtlich selbstständige Einrichtungen, die im Verhältnis zueinander analog § 15 Aktiengesetz stehen bzw. als „Unternehmensgruppe“ i.S.d. DS-GVO ErwGr. 48 zu bewerten sind (nachfolgend „Einrichtungen“). Die Einrichtungen machen sich die nachfolgenden Regelungen gegenüber Mitarbeitenden zu eigen, sofern keine speziellen Regelungen bestehen, die den vorliegenden Allgemeinen Nutzungsbedingungen vorgehen.

1. Gegenstand

open-diakonie soll der schnelleren, sicheren, umfassenden und zeitgemäßen Kommunikation und Information der Mitarbeitenden der RDM untereinander sowie zu Klientinnen und Klienten und den Geschäftspartnern dienen. Die Leistungen, die mittels der Nutzung von open-diakonie erbracht werden, erfolgt durch die jeweilige Einrichtung. Im Verhältnis der Einrichtung zu ihren Nutzern können gesonderte Regelungen gelten.

2. Leistungsbeschreibung

Die open-diakonie-Plattform besteht aus komplexen Hard- und Softwarekomponenten, deren einzelne Bestandteile ständig miteinander interagieren und die gleichzeitig einer ständigen Anpassung durch Weiterentwicklungen, veränderte gesetzliche Anforderungen oder Sicherheitsupdates unterliegen. RDM wird sämtliche Anpassungen an den Hard- und Softwarekomponenten im Rahmen der bestehenden technischen und betrieblichen Möglichkeiten sorgfältig vornehmen, kann aber eine ununterbrochene Verfügbarkeit der Plattform nicht zusichern. RDM sichert eine Verfügbarkeit der Plattform von 95% im Jahresmittel zu. Dies schließt erforderliche Wartungsarbeiten nicht mit ein. RDM ist berechtigt jederzeit Wartungsarbeiten durchzuführen. Während der Wartungsarbeiten können die vorgenannten Leistungen nicht oder nur eingeschränkt zur Verfügung stehen.
RDM ist berechtigt, den Zugang zu den bereitgestellten Leistungen ganz oder teilweise zu sperren sowie alle erforderlichen Maßnahmen zu ergreifen, um eine missbräuchliche Nutzung der Leistungen zu verhindern, wenn der User Pflichten nach dieser Nutzungsvereinbarung verletzen.

3. Registrierung

Um als User open-diakonie nutzen zu können, ist eine vorherige Registrierung erforderlich. Hierzu müssen Sie als User die im Anmeldeformular abgefragten Daten bereitstellen, die Sie anschließend für die Dauer ihrer Registrierung auf dem aktuellen Stand zu halten verpflichtet sind. Es besteht Klarnamenpflicht. RDM bietet open-diakonie den Usern kostenlos an. Etwaig anfallende Verbindungskosten (z.B. Datenvolumen) hat der User selbst zu tragen, sofern nicht anderweitig geregelt.
Ein Rechtsanspruch auf Registrierung besteht nicht. RDM behält sich vor, eine Registrierung, ohne die Angabe von Gründen zu verweigern. Alle Daten der betroffenen User, die in der Anwendung gespeichert wurden, werden in diesem Fall gemäß Ziffer 5 gelöscht, sofern kein gesetzlicher oder vertraglicher Grund zur Speicherung besteht.
Jeder User ist verpflichtet sein Passwort geheim zu halten und vertraulich zu behandeln. Die Nutzung einer Kennung durch mehrere Personen ist untersagt. Eine Weitergabe der Zugangsdaten an Mitarbeitende der RDM ist in Ausnahmefällen zulässig, wenn dies für die Erledigung der übertragenen Tätigkeit unerlässlich ist.
RuDi#Time und RuDi#Live kann ohne Registrierung verwendet werden.

4. Verfügbarkeit der Plattform

Sofern eine Nichtverfügbarkeit von open-diakonie auf Vorsatz oder grober Fahrlässigkeit von RDM oder eines Erfüllungsgehilfen von RDM beruht, kann sich RDM nicht auf eine Einhaltung der Verfügbarkeitszusage nach der Leistungsbeschreibung (Ziffer 2) berufen.
RDM ist für eine Unterschreitung der Verfügbarkeitszusage nicht verantwortlich, sofern die Nichterreichbarkeit auf höhere Gewalt, auf technische Störungen bei Dritten, die nicht Erfüllungsgehilfen von RDM sind, oder auf einem rechtswidrigen Angriff auf RDM oder einen von RDM beauftragten Dienstleister beruhen.

5. Löschung

Der open-diakonie Account wird bei Inaktivität von drei Monaten automatisch gelöscht. Die Inhaltsdaten von RuDi#Chat (z.B. Chatnachrichten) Metadaten (z.B. Verbindungsdaten) werden für vier Wochen gespeichert und anschließend automatisch gelöscht.
Die Daten in RuDi#Cloud werden bei Löschung des Accounts entfernt, unterlieden sonst keiner automatischen Löschung. Die Daten in RuDi#Time werden nach Ablauf der Umfrage und vom Nutzer eingestellten Zeitraum gelöscht. Bei RuDi#Live werden keine Inhaltsdaten gespeichert. Verbindungsdaten werden für vier Wochen gespeichert und anschließend automatisch gelöscht. Bei BigBlueButton werden keine Inhaltsdaten gespeichert. Verbindungsdaten werden für vier wochen gespeichert und anschließend gelöscht. Wird BBB im Kontext des Unterrichts eingesetzt werden die Teilnahmedaten als Nachweis der Teilnahme entsprechend den gesetzlichen Regelungen gespeichert.

6. Unzulässige Nutzung

Unzulässig ist jede Nutzung von open-diakonie, die
(a) gegen datenschutzrechtliche, persönlichkeitsrechtliche, lizenz- und urheberrechtliche oder strafrechtliche Bestimmungen verstößt und damit die Sicherheit des Unternehmensnetzes beeinträchtigt; oder
(b) für die Interessen und das Ansehen des Vereins und dessen Belegschaft geschäftsschädigende oder in sonstiger Weise beleidigende, verleumderische, verfassungsfeindliche, gewaltverherrlichende, rassistische, fremdenfeindliche, sexistische oder pornographische Inhalte aufweist; oder
(c) Inhalte bzw. Beiträge einzustellen bzw. zu versenden, die Viren, Umgehungsvorrichtungen oder unaufgeforderte Massensendungen (so genannte „Spam“) enthalten; oder
(d) nutzungswidrige Beeinträchtigungen zu veranlassen, die die gewöhnliche Nutzung behindern.

7. Pflichten von Mitarbeitenden

Die Nutzung von open-diakonie hat durch die Mitarbeitenden ausschließlich zu dienstlichen Zwecken zu erfolgen. RuDi#Chat dient nicht der Dokumentation von betrieblichen Inhalten oder zu umfassenden Beratungszwecken.
Die Nutzung von open-diakonie muss durch ein ausreichend sicheres Passwort gesichert werden, sofern vorhanden nach den Anforderungen der betrieblichen Passwortrichtlinie. Mitarbeitenden sind verpflichtet sicherzustellen, dass Dritte selbst bei Zugriff auf das Endgerät keinen Zugriff auf open-diakonie und damit Kenntnis von betrieblichen Inhalten erlangen können (z.B. durch einen zusätzlichen Passwortschutz). Die Mitarbeitenden werden unverzüglich das Passwort ändern, wenn das Endgerät
(a) gestohlen oder verloren wurde oder in sonstiger Weise abhandengekommen ist. Dies gilt auch, falls der Verlust des Endgeräts aus Sicht des Arbeitnehmers nur vorübergehend sein wird, oder
(b) gepfändet wurde oder die Eröffnung eines Insolvenzverfahrens über das Vermögen des Arbeitnehmers oder dessen Ehe-/Lebenspartner beantragt wurde, oder
(c) beschädigt, zerstört oder die Gebrauchstauglichkeit in anderer Weise beeinträchtigt wurde.

8. Zusatzpflichten für Mitarbeitende bei der Nutzung von open-diakonie auf eigenen Geräte

Mitarbeitenden ist es gestattet auf ihren im Alleineigentum stehenden Endgeräte open-diakonie für die betriebliche Nutzung zu installieren und zu verwenden. Eine weitergehende Nutzung dienstlicher Software oder betrieblicher Daten auf privaten Endgeräten ist hiervon nicht umfasst. Mitarbeitenden ist es verboten betriebliche Inhalte auf privaten Endgerät zu speichern. RDM ist jederzeit berechtigt per Fernzugriff die betrieblichen Inhalte (auch auf dem Endgerät des Arbeitnehmers) zu löschen.
RDM ist verpflichtet den Datenschutz zu wahren. Dazu bedarf es der Sicherstellung geeigneter Kontrollmöglichkeiten über die Verarbeitung personenbezogener Daten. Die Mitarbeitenden verpflichten sich daher der RDM auf jederzeitiges Verlangen - in zu begründenden Einzelfällen (z.B. im Rahmen einer behördliche Kontrolle) - das Endgerät aushändigen. Der Zugriff erfolgt unter Wahrung der Vertraulichkeit privater Daten. RDM wird das Endgerät unverzüglich zurückgeben, sobald der physische Zugriff nicht mehr erforderlich ist, spätestens jedoch zum Ende der Arbeitszeit des Mitarbeitenden am Tag der Herausgabe. RDM darf das Endgerät Dritten zugänglich machen, soweit dies zur Erfüllung eigener Verpflichtungen, etwa gegenüber Aufsichtsbehörden, erforderlich ist.
Außerhalb der Arbeitszeit stellt der Mitarbeitende sicher, sein Endgerät ausschließlich zu privaten Zwecken zu nutzen, sodass es vorbehaltlich im Einzelfall angeordneter Überstunden zu keiner Überschreitung der arbeitsvertraglich vereinbarten Arbeitszeit kommt. Es besteht weder beim Arbeitgeber eine Erwartungshaltung der fortwährenden Erreichbarkeit noch eine Verpflichtung des Mitarbeitenden zur betrieblichen Nutzung seines Endgeräts außerhalb der Arbeitszeit.
Die Regelungen dieses Abschnitts gelten gleichermaßen für die Mitarbeitenden anderer Einrichtungen, die sich open-diakonie bedienen und keine gesonderte abweichende Regelungen für Ihre Mitarbeitenden treffen.

9. Datenschutz

RDM und die Einrichtungen, die open-diakonie nutzen, verpflichten sich zur Einhaltung des Datenschutzes. Für die Plattform gelten die Datenschutzhinweise von RDM, für die betriebliche Nutzung von open-diakonie durch eine Einrichtung können ergänzend die Datenschutzhinweise der Einrichtung gelten, von der die User Leistungen erhalten.
Ergänzender Hinweis für Einrichtungen: RDM betreibt open-diakonie grundsätzlich als allein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO, § 4 Ziffer 9 DSG-EKD. Sofern eine andere Einrichtung open-diakonie nutzt, ist die RDM Auftragsverarbeiter der Einrichtung (Art. 28 DS-GVO, § 30 DSG-EKD). Es gilt die Vereinbarung zur Auftragsverarbeitung, die als Anhang Bestandteil dieser Nutzungsvereinbarung ist. Sofern RDM und Einrichtungen zu einer „gemeinsamen Verantwortlichkeit“ gem. Art. 26 DS-GVO, § 29 DSG-EKD gelangen, geht die „Vereinbarung zur gemeinsamen Verantwortlichkeit“ diesen allgemeinen Nutzungsbedingungen vor, sofern spezieller oder gesetzlich zwingend geboten.

10. Haftung

RDM haftet auf Schadenersatz wegen Verletzung vertraglicher oder außervertraglicher Pflichten nur bei Vorsatz oder grober Fahrlässigkeit sowie für garantierte Beschaffenheitsmerkmale, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit oder nach dem Produkthaftungsgesetz.

11. Haftungsfreistellung

User und/oder Einrichtung stellen RDM für den Fall von der Haftung frei, sofern RDM als Plattformbetreiber von einem Dritten für einen Umstand in Anspruch genommen wird, der dem Verantwortungskreis des Users oder der Einrichtung obliegt.
Dies gilt nicht, wenn die Rechtsverletzung von Usern oder Einrichtung nicht zu vertreten ist. User und Einrichtungen sind verpflichtet, der RDM für den Fall einer Inanspruchnahme durch Dritte unverzüglich, wahrheitsgemäß und vollständig alle Informationen zur Verfügung zu stellen, die für die Prüfung der Ansprüche und eine Verteidigung erforderlich sind.

12. Gewährleistung

RDM kann keine Gewährleistung für technische Mängel, insbesondere für die ständige und ununterbrochene Verfügbarkeit der Datenbank und ihrer Inhalte oder für die vollständige und fehlerfreie Wiedergabe der von Usern bereitgestellten Beiträge übernehmen.
Die Leistungen der Anwendung werden von der Betreiberin ohne jegliche rechtliche Verpflichtungen zur Aufrechterhaltung des Betriebs angeboten. RDM ist berechtigt, die Leistungen zu beschränken oder ganz oder teilweise einzustellen.

13. Beendigung

Der Nutzungsvertrag wird beendet, wenn der User das Benutzerkonto löscht, RDM einen User von der Nutzung von open-diakonie ausschließt oder RDM den Betrieb einstellt. Sofern keine Gründe für einen sofortigen Ausschluss vorliegen, hat RDM den Ausschluss mit einer Frist von zwei Wochen in Textform anzukündigen.

14. Externe Inhalte

RDM hat keinen Einfluss auf die Inhalte der User, Einrichtungen und Dritten und darauf, dass Einrichtungen die Datenschutzbestimmungen einhalten. Deshalb kann die RDM für diese fremden Inhalte auch keine Gewähr übernehmen, sofern sie die Inhalte nicht zu eigen gemacht hat, also sie wie eigene Inhalte und/oder Dienste erscheinen lässt.
Für die Inhalte von verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seite verantwortlich. Zweck und Umfang der Datenerhebung, der weiteren Verarbeitung und Nutzung der Daten durch die jeweiligen Einrichtung sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen des Dritten.
RDM ist grundsätzlich nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.

15. Änderung der Nutzungsbedingungen

RDM ist berechtigt, diese Vertragsbedingungen jederzeit für die Zukunft zu ändern oder zu ergänzen. RDM wird dem User und/oder der Einrichtung die Änderungen oder Ergänzungen spätestens zwei Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist der User und/oder die Einrichtung mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann er/sie den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Textform. Widerspricht der Kunde nicht, so gelten die Änderungen oder Ergänzungen der Nutzungsbedingungen als von ihm genehmigt

16. Salvatorische Klausel

Die Unwirksamkeit einer Bestimmung dieser Nutzungsvereinbarung hat keine Auswirkungen auf die Wirksamkeit der Vereinbarung im Übrigen.

Anhang für Einrichtungen: Vereinbarung zur Auftragsverarbeitung

Diese Vereinbarung zwischen der Einrichtung, die open-diakonie nutzt, (nachfolgend: Auftraggebende) und RDM (nachfolgend Auftragnehmende) konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Nutzungsvertrag (nachfolgend: Hauptvertrag) in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmenden oder durch den Auftragnehmenden Beauftragte mit personenbezogenen Daten („Daten“) des Auftraggebenden in Berührung kommen können.
  1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
    1. Der Gegenstand der Auftragsverarbeitung ist im Hauptvertrag beschrieben. Im Wesentlichen handelt es sich um die Bereitstellung eines Chat- und einer Videokonferenzsystems für die Kommunikation mit Klientinnen und Klienten und Mitarbeitenden untereinander. Nicht Gegenstand der Auftragsverarbeitung ist der Betrieb der Plattform selbst.
    2. Art und Zweck der Auftragsverarbeitung sind im Hauptvertrag beschrieben und umfassen insbesondere die Registrierung und Verarbeitung der personenbezogenen Daten der User und die technische Bereitstellung von Chat- und Videokonferenzsystem.
    3. Die Verarbeitung umfasst alle Daten, die von Usern über open-diakonie ausgetauscht werden. Dies umfasst regelmäßig Vorname und Nachname, Kontaktdaten (E-Mail) sowie sämtliche Kommunikationsinhalte. Die Kommunikation kann besondere Kategorien personenbezogener Daten enthalten.
    4. Von der Verarbeitung betroffen sind Klientinnen und Klienten und Mitarbeiterinnen und Mitarbeiter sowie ggfs. Dienstleister.
    5. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages.
  2. Anwendungsbereich und Verantwortlichkeit
    1. Der Auftragnehmende verarbeitet personenbezogene Daten im Auftrag des Auftraggebenden. Dies umfasst Tätigkeiten, die im Hauptvertrag konkretisiert sind. Der Auftraggebende ist hinsichtlich der Verarbeitung der Daten für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
    2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggebenden danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
    3. Im Falle einer Inanspruchnahme durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichten sich Auftraggebende und Auftragnehmende, sich bei der Abwehr des Anspruches gegenseitig zu unterstützen.
  3. Pflichten des Auftragnehmenden
    1. Der Auftragnehmende darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebenden verarbeiten. Sofern der Auftragnehmende durch nationales oder europäisches Recht zu einer hiervon abweichenden Verarbeitung verpflichtet ist, weist er – sofern dies rechtlich zulässig ist – den Auftraggebenden vor Beginn der Verarbeitung auf diesen Umstand hin. Der Auftragnehmende informiert den Auftraggebenden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmende darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggebende bestätigt oder abgeändert wurde.
    2. Der Auftragnehmende wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird die in Ziffer 9 beschriebenen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebenden treffen. Die Maßnahmen sollen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggebenden sind diese technischen und organisatorischen Maßnahmen bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
    3. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmenden vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
    4. Der Auftragnehmende unterstützt den Auftraggebenden im Rahmen seiner Möglichkeiten und der vertraglich geschuldeten Leistung bei der Erfüllung der Anfragen und Ansprüche Betroffener gemäß Kapitel III der DS-GVO bzw. Kapitel 3 des DSG-EKD sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO bzw. §§ 31 bis 33 genannten Pflichten.
    5. Der Auftragnehmende gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebenden befassten Mitarbeitern und anderen für den Auftragnehmenden tätigen Personen untersagt ist, die Daten außerhalb der Weisungen des Auftraggebenden zu verarbeiten. Ferner gewährleistet der Auftragnehmende, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
    6. Der Auftragnehmende unterrichtet den Auftraggebenden unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebenden bekannt werden. Der Auftragnehmende trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggebende ab.
    7. Der Auftragnehmende gewährleistet, seinen Pflichten nach 32 Abs. 1 lit. d DS-GVO bzw. § 30 Abs. 3 Satz 3 DSG-EKD nachzukommen und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
    8. Der Auftragnehmende berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggebende dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Beschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmende die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggebenden, sofern nicht im Vertrag bereits vereinbart. Der Auftragnehmende löscht die Daten automatisch gemäß dem Hauptvertrag.
    9. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebenden entweder herauszugeben oder zu löschen. Der Auftragnehmende ist berechtigt bis zur Erfüllung gesetzlicher oder vertraglicher Aufbewahrungsfristen die Daten oder eine Kopie der Daten aufzubewahren.
  4. Pflichten des Auftraggebenden
  5. Der Auftraggebende hat den Auftragnehmenden unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  6. Anfragen Betroffener
  7. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung oder Auskunft an den Auftragnehmenden, wird der Auftragnehmende die betroffene Person an den Auftraggebenden verweisen, sofern eine Zuordnung an den Auftraggebenden nach den Angaben der betroffenen Person möglich ist.
  8. Nachweismöglichkeiten
    1. Der Auftragnehmende weist dem Auftraggebenden die Einhaltung der in Art 28. DS-GVO und diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Zum Nachweis der Einhaltung der vereinbarten Pflichten kann der Auftragnehmende, dem Auftraggebenden Zertifikate und Prüfergebnisse Dritter (z.B. nach Art. 42 DS-GVO oder ISO 27001) zur Verfügung stellen oder Prüfberichte des betrieblichen Datenschutzbeauftragten.
    2. Sollten im Einzelfall Inspektionen durch den Auftraggebende oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmende darf diese von der Unterzeichnung einer angemessenen Verschwiegenheitserklärung abhängig machen. Sollte der durch den Auftraggebenden beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmenden stehen, hat der Auftragnehmende gegen diesen ein Einspruchsrecht
    3. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebenden eine Inspektion vornehmen, gilt grundsätzlich 6.2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
    4. Für die Unterstützung bei der Durchführung einer Inspektion nach Ziffer 6.2 oder 6.3 darf der Auftragnehmende eine angemessene Vergütung verlangen, sofern nicht Anlass der Inspektion der dringende Verdacht eines Datenschutzvorfalls im Verantwortungsbereich des Auftragnehmenden war. In diesem Fall sind die Verdachtsmomente mit der Ankündigung der Inspektion vom Auftraggebenden vorzutragen.
  9. Subunternehmer (weitere Auftragsverarbeiter)
    1. Der Auftraggebende stimmt zu, dass der Auftragnehmende Subunternehmenden hinzuzieht. Vor der Hinzuziehung oder Ersetzung von Subunternehmenden informiert der Auftragnehmende den Auftraggebenden mit einer Frist von zwei Wochen in Textform. Der Auftraggebende kann der Änderung nur aus wichtigem Grund widersprechen. Der Widerspruch hat binnen 14 Tagen zu erfolgen und alle wichtigen Gründe ausdrücklich zu benennen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger Grund vor, der vom Auftragnehmenden nicht durch Anpassung des Auftrages beseitigt werden kann, wird dem Auftraggebenden ein Sonderkündigungsrecht eingeräumt. Über die bei Vertragsschluss bereits bestehenden Subunternehmer und Teilleistungen erfolgt keine gesonderte Information. Ein Widerspruchsrecht des Auftraggebenden besteht für die bei Vertragsschluss bestehende Subunternehmenden nicht.
    2. Erteilt der Auftragnehmende Aufträge an Subunternehmenden, so obliegt es dem Auftragnehmenden, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmenden zu übertragen.
    3. Auf schriftliche Aufforderung des Auftraggebenden hat der Auftragnehmende jederzeit Auskunft über die datenschutzrelevanten Verpflichtungen seiner Subunternehmenden zu erteilen.
  10. Informationspflichten, Schriftformklausel, Rechtswahl
    1. Sollten die Daten des Auftraggebenden beim Auftragnehmenden durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmende den Auftraggebenden unverzüglich darüber zu informieren. Der Auftragnehmende wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggebenden als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung bzw. des EKD-Datenschutzgesetzes liegen.
    2. Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmenden – bedürfen einer schriftlichen Vereinbarung, die auch in elektronischer Form erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
    3. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Die Technischen und organisatorischen Maßnahmen finden Sie unter TOM