AGB für Abos:
Diese Allgemeinen Geschäftsbedingungen gelten für Schulen und andere Bildungseinrichtungen mit einem Abo-Vertrag für die Nutzung von IQES online. Ebenso wird die Auftragsverarbeitung gemäss DSGVO geregelt.
§ 1 Anwendungsbereich
(1) Allgemeinen Geschäftsbedingungen (AGB) sind Vertragsbestandteil und gelten ausschließlich. Entgegenstehende oder von den AGB des Anbieters abweichende Bedingungen des Nutzers erkennt der Anbieter nicht an, sofern der Anbieter deren Geltung nicht ausdrücklich zugestimmt hat.
(2) Diese AGB gelten nur gegenüber Unternehmen. Bildungseinrichtungen wie z. B. Schulen gelten für die vorliegenden AGB als Unternehmen.
(3) Mit der Bestellung eines Abos werden dem Nutzer die AGB zur Kenntnis gegeben und wird der Nutzer die Geltung der Allgemeinen Geschäftsbedingungen bestätigen. Sie gelten damit für die Nutzung der vertragsgegenständlichen Standard-Software umfassend.
§ 2 Vertragsgegenstand
(1) Diese Vertragsbedingungen regeln die zeitweise Nutzung der vertragsgegenständlichen Standard-Software und digitalen Dienstleistungen von IQES, namentlich die IQES Website, die IQES Mediathek und das IQES Evaluationscenter, in ihrer bei Vertragsschluss aktuellen Version.
(2) Die Software wird vom Anbieter als SaaS- bzw. Cloud-Lösung bereitgestellt. Der Nutzer kann die auf den Servern des Anbieters bzw. eines von dem Anbieter beauftragten Dritten gespeicherte und ausführbare Software über eine Internetverbindung für die Dauer des Vertrages nutzen.
(3) Die Lizenz an der Software kann nur von Unternehmern erworben werden.
§ 3 Vertragsabschluss, Vertragsdauer
(1) Der Vertrag kommt durch die Bestellung des Nutzers durch Betätigung der »Bestellen« oder ähnlich gekennzeichneten Schaltfläche nach Ausfüllen des entsprechenden Bestellformulars zustande. Dabei kann der Nutzer durch jeweils gut ersichtliche Links
- diese AGB und
- die Datenschutzinformation
zur Kenntnis nehmen und erhält nachfolgend die Annahme seines so gemachten Vertragsangebotes durch den Anbieter per E-Mail, wobei ein Link zu den AGB im E-Mail enthalten ist.
(2) Im Rahmen des Vertragsschlusses wird der Nutzer zudem online einen Auftragsverarbeitungsvertrag mit dem Anbieter abschließen.
(3) Der Vertrag läuft für die bei der Bestellung vereinbarte Abodauer (normalerweise 1, 2 oder 3 Jahre). Das Abo wird nach Ende der Laufzeit nicht automatisch erneuert. Eine Kündigung während der Abolaufzeit ist ausgeschlossen.
§ 4 Zahlung
(1) Es gelten die bei Vertragsschluss gültigen Preise und Zahlungsbedingungen.
(2) Die Bezahlung der laufenden Vergütungen erfolgt auf dem vereinbarten Zahlungsweg.
(3) Gerät der Nutzer mit seinen Zahlungen in Verzug, kann der Anbieter ein Leistungsverweigerungsrecht dadurch geltend machen, dass der Anbieter den Zugang des Nutzers zu der Software vorübergehend sperrt. In diesem Fall ist der Nutzer trotz gesperrtem Zugang weiterhin zur Leistung des Entgeltes verpflichtet. Der Anbieter kann wegen des Zahlungsverzuges auch fristlos kündigen.
§ 5 Verfügbarkeit der Software, Höhere Gewalt
(1) Der Anbieter ist verpflichtet, dem Nutzer die Software dauerhaft am Routerausgang des Rechenzentrums, in dem der Server mit der Software steht (»Übergabepunkt«), zur Nutzung zur Verfügung zu stellen. Die Leistung des Anbieters umfasst die Software in ihrer aktuellen Version, die für ihre Nutzung erforderliche Rechenleistung und den erforderlichen Speicherplatz auf einem über das Internet anwählbaren Server nebst Einwahllogistik für den Nutzer. Der Anbieter schuldet nicht die Datenverbindung zwischen den IT-Systemen des Nutzers bis zu dem soeben definierten Übergabepunkt.
(2) Der Anbieter ist berechtigt, die Nutzung der Software insbesondere für Wartung, Pflege und Verbesserung sowie aus sonstigen für den Betriebsablauf des Anbieters oder der Software erforderlichen Gründen vorübergehend einzuschränken oder ganz zu sperren. Der Anbieter wird dabei möglichst auf die durchschnittlichen Belange der Nutzer Rücksicht nehmen (z. B. bei der Bestimmung von Wartungszeiten). Bei dringenden Störungen ist der Anbieter zur Fehlerbeseitigung auch zu normalen Geschäftszeiten berechtigt.
(3) Der Nutzer soll Funktionsausfälle oder -störungen der Software so schnell und präzise wie möglich dem Anbieter mitteilen.
(4) Ist der Anbieter zur Leistungserbringung aufgrund höherer Gewalt nicht imstande, so ruht die Verpflichtung des Anbieters zur Leistungserbringung, solange das Leistungshindernis andauert.
(5) Dauert das Leistungshindernis mehr als vier Wochen, hat der Nutzer das Recht, den Vertrag fristlos zu kündigen, wenn die Vertragserfüllung infolge des Hindernisses für ihn kein Interesse mehr hat.
§ 6 Leistungserbringung, Support
(1) Der Nutzer kann beim Anbieter Hilfe zur Bedienung der Software erhalten (Support). Dies erfolgt zunächst durch die Online-Hilfen, FAQs und Video-Tutorials auf www.iqesonline.net. Weiter betreibt der Anbieter eine Support-Hotline, an den sich Benutzer*innen per Kontaktformular, E-Mail oder Telefon wenden können. Die Wartungsbereitschaftszeit ist Montag – Freitag, jeweils 8.00 – 17.00 Uhr.
(2) Der Nutzer hat nur Anspruch auf die von dem Anbieter tatsächlich aktuell angebotenen Supportleistungen.
(3) Der Anbieter kann die Supportleistung von einer ausreichenden Authentifizierung des Kunden abhängig machen.
(4) Soweit der Anbieter elektronischen Support leistet, gestattet der Nutzer dem Anbieter jederzeit zum Zweck des Supports den Zugang zu allen seinen Systemkomponenten. Der Nutzer ist nicht berechtigt, gegenüber dem Anbieter eigene Kosten geltend zu machen, die in Zusammenhang mit dem Erbringen des Supports stehen, wie Verbindungs- oder Administratorenkosten, Zeitaufwand etc.
§ 7 Updates
(1) Der Anbieter entwickelt die Software und seine Dienste ständig weiter. Verbesserungen und Updates der Standard-Software im Rahmen der bisherigen Funktionalitäten und in Anpassung an geänderte rechtliche und technische Rahmenbedingungen werden dem Nutzer im Rahmen der Überlassung freiwillig automatisch zur Verfügung gestellt.
(2) Der Nutzer hat keinen Anspruch auf bestimmte Verbesserungen (soweit die Software nicht mangelhaft ist oder wird) oder eine bestimmte Zeitfolge von Maßnahmen.
(3) Der Nutzer hat insbesondere keinen Anspruch auf Weiterentwicklungen mit zusätzlichen Funktionen, deren Nutzung kann vom Anbieter von einer Änderung des Vertrages abhängig gemacht werden, insbesondere einer Anpassung der Vergütung.
§ 8 Verbotene Nutzungen
(1) Dem Nutzer ist verboten, die Cloud-Software übermäßig und in spammender Weise zu nutzen. Er hat alle Vorkehrungen zu treffen, die eine unrechtmäßige, spammende oder sonst übermäßige Nutzung ausschließen.
(2) Dem Nutzer ist untersagt, die Software oder die Server, auf denen sie abläuft, mit schädlichem Code (Computerviren, Würmer oder Trojaner etc.) zu infizieren oder zu verunreinigen oder fahrlässig eine solche Nutzung zu ermöglichen.
(3) Eine Weitergabe, Untervermietung, Unterlizensierung oder sonstige Weiterveräußerung der Software durch den Nutzer ist nicht gestattet, sofern dies nicht ausdrücklich vereinbart ist.
§ 9 Pflichten des Nutzers, Mitwirkung
(1) Der Nutzer ist verpflichtet, die für den Vertrag erforderlichen Daten vollständig und wahrheitsgemäß anzugeben. Die Pflicht zur wahrheitsgemäßen Angabe betrifft insbesondere die Firma, den Vornamen und Nachnamen, die vollständige Adresse sowie die Kontaktmöglichkeiten und die Bankdaten. Macht der Nutzer unwahre Angaben, kann der Anbieter den Vertrag aus wichtigem Grund fristlos kündigen.
(2) Der Nutzer ist verpflichtet, seine Daten jeweils aktuell zu halten und Veränderungen dem Anbieter unverzüglich mitzuteilen.
(3) Der Nutzer erhält vom Anbieter die Zugangsdaten zur Software. Die Zugangsdaten haben den Zweck, die Nutzung der gehosteten Software durch unberechtigte Personen auszuschließen. Diese Zugangsdaten sind vom Nutzer vor dem unbefugten Zugriff durch Dritte zu schützen und zur Sicherheit in regelmäßigen Abständen zu ändern. Digital darf der Nutzer Benutzernamen und Kennwörter nur sicher verschlüsselt speichern.
(4) Bei mehrmaliger falscher Eingabe der Zugangsdaten kann zum Schutz des Nutzers der Zugang gesperrt werden.
(5) Der Nutzer ist verpflichtet, den Anbieter unverzüglich in Kenntnis zu setzen, wenn der Nutzer Kenntnis davon erlangt, dass Dritte Zugriff auf seine Zugangsdaten haben oder sich sonst Zugang zu seinem Nutzerprofil verschafft haben. Benachrichtigt der Nutzer den Anbieter nicht unverzüglich, ist er verpflichtet, dem Anbieter den daraus entstandenen Schaden zu ersetzen.
§ 10 Gewährleistung
(1) Der Anbieter leistet nach den anwendbaren gesetzlichen Bestimmungen Gewähr für die Software, soweit nachfolgend nicht ein anderes geregelt ist. Der Anbieter leistet die Gewähr nur im Rahmen der Eigenschaften der von ihm angebotenen und beschriebenen Software. Der Anbieter leistet keine Gewähr dafür, dass die Software den Interessen oder betrieblichen Besonderheiten des Nutzers entspricht, soweit nicht ein entsprechendes Beratungs- oder sonstiges Verschulden des Anbieters vorliegt.
(2) Ausgeschlossen ist eine etwaige verschuldensunabhängige Haftung des Anbieters für anfängliche Mängel. Für anfängliche Mängel haftet der Anbieter nur, wenn er diesen Mangel kannte oder hätte kennen müssen und den Nutzer nicht entsprechend informiert hat.
(3) Der Nutzer hat keinen Anspruch wegen Mängeln, wenn die Software nicht ordnungsgemäß funktioniert, weil der Nutzer sie unter nicht vereinbarten Einsatzbedingungen oder in einer nicht vereinbarten Systemumgebung oder sonst unter Verstoß gegen § 8 dieses Vertrages nutzt oder sie selbst oder durch Dritte nachteilig verändert hat und dies für den Mangel verantwortlich ist.
(4) Der Nutzer ist verpflichtet, etwaige Mängel nachvollziehbar und detailliert zu melden. Dabei hat der Nutzer insbesondere die Arbeitsschritte, die zum Auftreten des Mangels geführt haben, die Erscheinungsweise sowie die Auswirkungen des Mangels anzugeben.
(5) Die Behebung von Mängeln erfolgt innerhalb der Geschäftszeiten des Anbieters durch kostenfreie Nachbesserung der Software. Hierfür steht dem Anbieter eine angemessene Frist zu.
(6) Der Nutzer ist verpflichtet, den Anbieter in zumutbarem Maße bei der Beseitigung von Mängeln zu unterstützen.
(7) Ansprüche des Nutzers wegen Sach- und/oder Rechtsmängeln verjähren in einem Jahr ab Ablieferung der Software. Dies gilt nicht, wenn der Anbieter vorsätzlich oder grob fahrlässig gehandelt hat oder durch den Mangel Leben, Körper, Freiheit oder Gesundheit des Nutzers verletzt wurden.
§ 11 Haftung
(1) Der Anbieter haftet, gleich aus welchem Rechtsgrund, für vorsätzliches oder grob fahrlässiges Verhalten sowie bei einer schuldhaften Verletzung von Leben, Körper und Gesundheit der Höhe nach unbeschränkt.
(2) Im Übrigen ist die Haftung des Anbieters, gleich aus welchem Rechtsgrund, ausgeschlossen. Diese Haftungsbeschränkung gilt auch zu Gunsten der Angestellten und Mitarbeiter des Anbieters sowie dessen Erfüllungs- und Verrichtungsgehilfen und Subunternehmer. Eine Umkehr der Beweislast ist mit den vorstehenden Regelungen nicht verbunden.
§ 12 Urheberrechte des Anbieters, Lizenzen
(1) Der Anbieter räumt dem Nutzer für die Dauer des Vertrages das nicht ausschließliche, nicht übertragbare und nicht unterlizenzierbare Recht zur Nutzung der vertragsgegenständlichen Software ein.
(2) Soweit nicht gesetzlich erlaubt, ist dem Nutzer insbesondere untersagt,
- die Software zu übersetzen, zu bearbeiten, zu vermischen oder sonst zu verändern; dies gilt auch für die zugehörige Dokumentation,
- die Software zu dekompilieren, nachzuahmen, einem Reverse-Engineering zu unterziehen,
- die Software oder die Dokumentation zu vervielfältigen, soweit dies nicht für den vertragsgemäßen Mietgebrauch notwendig ist,
- an der Software Marken, Urheber- oder anderen Schutzrechtsvermerke des Anbieters zu entfernen, zu verändern oder unkenntlich zu machen.
(3) Die von der Software erfassten, verarbeiteten und erzeugten Daten des Nutzers werden auf den Servern des Anbieters gespeichert. Der Nutzer bleibt alleiniger Inhaber der Daten. Insoweit ist der Anbieter nur Auftragsverarbeiter.
(4) Sämtliche Informationen, Inhalte und Instrumente (Erhebungswerkzeuge, Evaluationsinstrumente, Handreichungen, Unterrichtsmittel etc.) auf IQES sind Eigentum des Anbieters und immaterialgüterrechtlich geschützt. Der Kunde verpflichtet sich, sie nur für die vom Anbieter vorgesehenen Verwendungszweck im Rahmen der vertraglichen Vereinbarungen und nur während der Vertragsdauer einzusetzen. Er verpflichtet sich weiter, die Informationen und Instrumente nicht an Dritte weiterzugeben.
§ 13 Datenschutz
(1) Für den Vertrag werden gem. Art. 6 Abs. 1 lit. b DSGVO Vertragsdaten erhoben (zB Name, Anschrift und Mail-Adresse, ggf. in Anspruch genommene Leistungen und alle anderen elektronisch oder zur Speicherung übermittelten Daten, die für die Durchführung des Vertrages erforderlich sind), soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung dieses Vertrages erforderlich sind.
(2) Die Vertragsdaten werden an Dritte nur weitergegeben, soweit es (nach Art. 6 Abs. 1 lit. b DSGVO) für die Erfüllung des Vertrages erforderlich ist, dies dem überwiegenden Interesse an einer effektiven Leistung (gem. Art. 6 Abs. 1 lit. f DSGVO) entspricht oder eine Einwilligung des Betroffenen (nach Art. 6 Abs. 1 lit. a DSGVO) oder sonstige gesetzliche Erlaubnis vorliegt. Die Daten werden nicht in ein Land außerhalb der EU weitergegeben, soweit dafür nicht von der EU-Kommission ein vergleichbarer Datenschutz wie in der EU festgestellt ist, eine Einwilligung hierzu vorliegt oder mit dem dritten Anbieter die Standardvertragsklauseln vereinbart wurden.
(3) Betroffene können jederzeit kostenfrei Auskunft über die gespeicherten personenbezogenen Daten verlangen. Sie können jederzeit Berichtigung unrichtiger Daten verlangen (auch durch Ergänzung) sowie eine Einschränkung ihrer Verarbeitung oder auch die Löschung Ihrer Daten. Dies gilt insbesondere, wenn der Verarbeitungszweck erloschen ist, eine erforderliche Einwilligung widerrufen wurde und keine andere Rechtsgrundlage vorliegt oder die Datenverarbeitung unrechtmäßig ist. Die personenbezogenen Daten werden dann im gesetzlichen Rahmen unverzüglich berichtigt, gesperrt oder gelöscht. Es besteht jederzeit das Recht, eine erteilte Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Dies kann durch eine formlose Mitteilung erfolgen, z.B. per Mail. Der Widerruf berührt die Rechtmäßigkeit der bis dahin vorgenommenen Datenverarbeitung nicht. Es kann Übertragung der Vertragsdaten in maschinenlesbarer Form verlangt werden. Soweit durch die Datenverarbeitung eine Rechtsverletzung befürchtet wird, kann bei der zuständigen Aufsichtsbehörde eine Beschwerde eingereicht werden.
(4) Die Daten bleiben grundsätzlich nur so lange gespeichert, wie es der Zweck der jeweiligen Datenverarbeitung erfordert. Eine weitergehende Speicherung kommt vor allem in Betracht, wenn dies zur Rechtsverfolgung oder aus berechtigten Interessen noch erforderlich ist oder eine gesetzliche Pflicht besteht, die Daten noch aufzubewahren (z. B. steuerliche Aufbewahrungsfristen, Verjährungsfrist).
(5) Soweit der Anbieter, im Auftrag des Vertragspartners, Personendaten bearbeitet, gelten zudem die Bestimmungen von Anhang 1 (Auftragsdatenverarbeitung).
§ 14 Gerichtsstand, anwendbares Recht
(1) Erfüllungsort ist der Sitz des Anbieters.
(2) Für sämtliche gegenwärtigen und künftigen Ansprüche aus der Geschäftsbeziehung mit einem Nutzer ist ausschließlicher Gerichtsstand der Geschäftssitz des Anbieters.
(3) Für alle Rechtsbeziehungen zwischen den Parteien gilt ausschließlich schweizerisches Recht.
Anhang: Auftragsdatenverarbeitungsvertrag
Auftragsverarbeiter
Die IQES GmbH hat ihren Sitz in der Schweiz, für welche die EU einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen hat. Also dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DSGVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses sind folglich privilegiert: Sie werden solchen innerhalb der EU gleichgestellt. Der Angemessenheitsbeschluss ist hier abrufbar: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Schweiz_DE.pdf.
Präambel
Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich Schulsoftware gemäß Vertrag (im Folgenden: »Hauptvertrag«). Namentlich bietet er eine digitale Arbeits- und Lernplattform mit Materialien für Schule und Unterricht (www.iqesonline.net, IQES Mediathek) sowie Services für Feedback und Evaluation (IQES Evaluationscenter). Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
§ 1 Begriffsbestimmungen
(1) Verantwortlicher ist gem. Art. 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
(2) Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(3) Personenbezogene Daten sind gem. Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden »betroffene Person«) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
(4) Verarbeitung ist gem. Art. 4 Abs. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
§ 2 Vertragsgegenstand
(1) Der Auftragnehmer erhält Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus den AGB. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung gegenüber den Betroffenen und die Einholung und Verwaltung eventuell notwendiger Einwilligungen.
(2) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
(3) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags.
§ 3 Weisungsrecht
(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Die Weisungen des Auftraggebers ergeben sich aus dem Hauptvertrag. Spätere Weisungen werden vom Auftraggeber schriftlich oder in Textform erteilt. Mündliche Weisungen sind unbeachtlich. Weisungen an die IQES GmbH sind zu senden an: datenschutzbeauftragter@iqesonline.net oder per Post an IQES GmbH, Datenschutzbeauftragter, Tellstrasse 18, 8400 Winterthur, Schweiz.
(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
§ 4 Schutzmaßnahmen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht rechtswidrig an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO.
(3) Beim Auftragnehmer ist ein betrieblicher Datenschutzbeauftragter/als Ansprechpartner für den Datenschutz bestellt. Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Website (http://www.iqesonline.net).
(4) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
§ 5 Informationspflichten des Auftragnehmers
(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich, mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
b) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
(3) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als »Verantwortlichem« im Sinne der DSGVO liegen.
(4) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DSGVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen. Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht in Hinblick auf Art. 35 DSGVO.
(5) An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
§ 6 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrags, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen, zu überzeugen. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
(2) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.
(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
§ 7 Einsatz von Subunternehmern
(1) Die vertraglich vereinbarten Leistungen bzw. Teilleistungen werden unter Einschaltung von Subunternehmern durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern (»Subunternehmerverhältnis«) befugt. Der Auftraggeber informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter. Sollte der Verantwortliche nicht einverstanden sein, hat er ein Sonderkündigungsrecht mit einer Frist von vier Wochen nach Bekanntwerden.
(2) Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Eine weitere Auslagerung durch den Unterauftragnehmer liegt zum Zeitpunkt des Vertragsschlusses nicht vor. Eine Änderung wird angezeigt
(3) Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
(4) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste.
(5) Alle Weisungen und Anfragen bezüglich der Verarbeitung von personenbezogenen Daten sind an den Auftragnehmer direkt und nicht an den Subunternehmer zu richten. Der Auftragnehmer gibt Weisungen und Anfragen nötigenfalls weiter.
§ 8 Anfragen und Rechte Betroffener
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DSGVO.
(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbst-ständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
§ 9 Haftung
(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich. Der Auftragnehmer haftet im Innenverhältnis nach dem gesetzlichen Maßstab des Art. 82 II S. 2 DSGVO.
(2) Die Parteien stellen sich hinsichtlich eines etwaigen Bußgeldes jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Die Freistellung erfolgt in dem Umfang, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.
(3) Der Auftragnehmer haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
§ 10 Außerordentliches Kündigungsrecht
(1) Der Auftraggeber kann den Hauptvertrag fristlos kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will.
§ 11 Rohdatenexport
(1) Die Befragungsergebnisse von Online-Befragungen werden dem Auftraggeber im Regelfall nur anonymisiert zur Verfügung gestellt. Der Auftragnehmer muss jedoch zur Erfüllung seiner Dienstleistung die Rohdaten der Befragungen speichern.
(2) Diese Rohdaten werden nur auf explizite Anfrage des Auftraggebers an diesen herausgegeben. Durch Auswertung dieser Rohdaten kann die Anonymität der Teilnehmenden beeinträchtigt werden. Der Auftragnehmer rät daher aus datenschutzrechtlichen Gründen von der Verarbeitung von Rohdaten durch den Auftraggeber ab.
(3) Sollte der Auftraggeber sich dennoch entscheiden, die Rohdaten zu beziehen, hat er auch hier dafür Sorge zu tragen, dass alle datenschutzrechtlichen Bestimmungen durch die Verarbeitung von Rohdaten gewahrt bleiben. Teilnehmende sind vom Verantwortlichen entsprechend den datenschutzrechtlichen Vorschriften zu informieren.
§ 12 Löschung der Daten und Beendigung des Hauptvertrags
(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger überlassen oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine den Auftragnehmer treffende Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Sollten den Auftraggeber Speicherungspflichten oder ähnliches treffen, ist der Auftraggeber nach Vertragsende allein für diese zuständig. Es werden diesbezüglich keine Daten von der Löschung ausgenommen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.
(2) Die Daten werden nach Beendigung des Hauptvertrags innerhalb von 14 Tagen zur Löschung frei-gegeben. Es obliegt dem Auftraggeber selbst, die Daten entsprechend vorher zu sichern.
(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt auch über das Ende des Hauptvertrags hinaus, solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
§ 13 Schlussbestimmungen
(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen mindestens der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Der Auftragnehmer behält sich vor, den Auftragsverarbeitungsvertrag einseitig anzupassen, wenn aktuelle Rechtsprechungen oder andere rechtliche Gegebenheiten dies nahelegen. Der Auftraggeber darf dabei nicht unangemessen benachteiligt werden.
Der Auftraggeber ist darüber mit einer Vorlaufzeit von 6 Wochen zu informieren. In diesen 6 Wochen steht ihm ein Sonderkündigungsrecht des gesamten Vertrages (inkl. Hauptvertrag) zu. Macht er von diesem Sonderkündigungsrecht keinen Gebrauch, so gelten die geänderten Bedingungen als wirksam einbezogen. Sollte die Unwirksamkeit der Änderung nachträglich festgestellt werden, so gilt der ursprüngliche Vertrag fort.
(4) Der Auftragnehmer behält sich vor, verbindliche Mitteilungen, Nachrichten und Anzeigen auf elektronischem Wege (z. B. über E-Mail) zukommen zu lassen. Es obliegt dem Auftraggeber und seinen Mitarbeitern/-innen, die angegeben E-Mailkonten regelmäßig zu überprüfen.
(5) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(6) Gerichtsstand für Ansprüche gegen den Auftragnehmer ist der Firmensitz des Auftragnehmers.
