AGB Kuriere

AGB & AVV gg. Kuriere B2B B2C
Allgemeine Geschäftsbedingungen & AVV mit Kundeninformationen

Inhaltsverzeichnis

1. Geltungsbereich, Vertragspartner und Begriffsbestimmungen
2. Vertragsgegenstand
3. Leistungen des Providers
4. Registrierung, Vertragsschluss
5. Vertragsschluss über Aufträge
6. Nutzungsrechte
7. Support
8. Verfügbarkeit der Software
9. Pflichten des Kuriers
10. Vergütung und Zahlungsbedingungen
11. Haftung für Mängel
12. Haftung für Schäden
13. Rechtsmängel und Freistellung
14. Vertragslaufzeit und Kündigung
15. Datenschutz und Geheimhaltung
16. Änderungen der AGB
17. Schlussbestimmungen

Geltungsbereich, Vertragspartner und Begriffsbestimmungen

Die nachfolgenden Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für alle Verträge zwischen Martin Hawel, Radkurier24, Radlkoferstraße 2, 81373, München, Tel.: +49 (0) 176 – 42006699, E-Mail: mail@radkurier24.com (nachfolgend geschlechtsneutral „Provider“) und den Kund:innen (nachfolgend geschlechtsneutral „Kurier“, gemeinsam auch „Parteien“) des Providers.

Die AGB des Providers gelten ausschließlich. Verwendet der Kurier entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen, wird deren Geltung hiermit widersprochen; sie werden nur dann Vertragsbestandteil, wenn der Provider dem ausdrücklich zugestimmt hat.

Diese AGB gelten ausschließlich, wenn der Kurier Unternehmer ist. Unternehmer ist gem. § 14 BGB eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Demgegenüber ist Verbraucher gem. § 13 BGB jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können.

Sofern zwischen den Parteien nichts anderes vereinbart wird, gelten diese AGB gegenüber dem Kurier in der zum Zeitpunkt der Bestellung des Kuriers gültigen bzw. jedenfalls in der ihm zuletzt in Textform mitgeteilten Fassung als Rahmenvereinbarung auch für gleichartige künftige Verträge, ohne dass der Provider in jedem Einzelfall wieder auf sie hinweisen muss. Im Einzelfall getroffene, individuell geschlossene Rahmenvereinbarungen oder sonstige Verträge mit dem Kurier (einschließlich Nebenabreden, Ergänzungen und Änderungen) haben in jedem Fall Vorrang und werden von diesen AGB lediglich ergänzt.

Vertragsgegenstand

Vertragsgegenstand ist die entgeltliche und auf die Vertragslaufzeit begrenzte Gewährung der Nutzung der mobilen Applikation „App Radkurier24Driver“ (nachfolgend „App“ oder „Software“) im Unternehmen des Kuriers über das Internet.

Die Nutzung der Software wird über eine App angeboten. Die Nutzung der App unterliegt eigenen Bedingungen des jeweiligen App-Store-Anbieters, die beim Download der mobilen Anwendung per Zustimmung des Kuriers vereinbart werden.

In der Software können Verknüpfungen zu fremden Web-Services bzw. Diensten von Drittanbietern enthalten sein. Diese AGB gelten nicht für solche Dienste, die nicht vom Provider, sondern von einem Drittanbieter auf deren Webseiten zur Verfügung gestellt werden, auch wenn dies unentgeltlich geschieht und/oder für deren Nutzung eine Registrierung beim Provider erforderlich ist. Für diese Dienste gelten ausschließlich die vom Drittanbieter vor Inanspruchnahme der Dienste bereitgestellten Allgemeinen Geschäftsbedingungen bzw. die gesetzlichen Bestimmungen im Verhältnis zwischen dem Kurier und dem Drittanbieter. Der Provider vermittelt insoweit lediglich den technischen Zugriff auf diese Dienste.

Die Kurierlieferaufträge werden von Besuchern (nachfolgend „Kurierkunden“) der Website Radkurier24.com oder angeschlossenen Partnern des Providers eingestellt. Kurierkunden können sowohl Verbraucher i.S.d. § 13 BGB als auch Unternehmer i.S.d. § 14 BGB sein.

Der Provider erstellt, wartet und unterhält die Software bzw. App, agiert jedoch nicht selbst aktiv als Vertragspartner oder Vermittler zwischen den Kurier und Kurierkunden geschlossenen Verträgen. Verträge über die auf Radkurier24.com dargestellten Dienstleistungen werden direkt über die App des Providers zwischen dem Kurier und dem Kurierkunden geschlossen. Durch Abschluss eines Kurierlieferauftrags kommen somit ausschließlich vertragliche Beziehungen zwischen dem Kurier und dem jeweiligen Kurierkunden der Website zustande. Für den Vertrag zwischen dem Kurier und dem Kurierkunden gelten die entsprechenden gesetzlichen Bestimmungen sowie ggf. hiervon abweichende Vertragsbedingungen des Kuriers.

Für die Nutzung der App gelten ergänzend zu diesen AGB die grundsätzlichen Regeln für Kuriere, welche der Kurier im Registrierungsprozess in Textform erhält.

Leistungen des Providers

Der Provider gewährt dem Kurier die Nutzung der Software in der jeweils aktuellsten Version über das Internet.

Der Provider gewährleistet die Funktionsfähigkeit und Verfügbarkeit der Software während der Vertragslaufzeit und wird diese in einem zum vertragsgemäßen Gebrauch geeigneten Zustand erhalten. Der Funktionsumfang der Software ergibt sich aus der aktuellen Leistungsbeschreibung des Providers auf der Website unter der URL abrufbaren Link https://radkurier24.com/anleitung/#toggle-id-2.

Der Provider stellt dem Kurier ferner nach Vertragsschluss eine Benutzerdokumentation zur Verfügung. Die Benutzerdokumentation wird dem Kurier als Tutorial-Videos und über Website unter dem Link https://radkurier24.com/anleitung/#toggle-id-2 abrufbar überlassen.

Der Provider kann die Software unter angemessener Berücksichtigung der berechtigten Interessen des Kuriers laufend weiterentwickeln und diese insbesondere aufgrund geänderter Rechtslage, technischer Standards oder zur Verbesserung der IT-Sicherheit durch laufende Updates und Upgrades verbessern. Eine Anpassung auf die individuellen Bedürfnisse oder die IT-Umgebung des Kuriers schuldet der Provider jedoch nicht, sofern zwischen den Parteien nichts anderes vereinbart wird. Der Kurier wird über die App/Play-Store rechtzeitig über notwendige Updates oder Upgrades informiert. Sofern eine wesentliche Beeinträchtigung der berechtigten Interessen des Kuriers besteht, steht diesem ein Sonderkündigungsrecht nach Maßgabe der Ziffer 14.2. dieser AGB zu. Änderungen mit lediglich unwesentlichem Einfluss auf die Leistungen des Providers stellen keine Leistungsänderungen im Sinne dieser Ziffer dar. Dies gilt insbesondere für Änderungen rein graphischer Art und die bloße Änderung der Anordnung von Funktionen.

Der Provider wird regelmäßig Wartungen an der Software vornehmen und nach Maßgabe der technischen Möglichkeiten unverzüglich sämtliche Softwarefehler beseitigen. Ein Fehler liegt dann vor, wenn die Software die in der Leistungsbeschreibung angegebenen Funktionen nicht erfüllt, fehlerhafte Ergebnisse liefert oder in anderer Weise nicht funktionsgerecht arbeitet, so dass die Nutzung der Software unmöglich oder eingeschränkt ist. Wartungen werden außerhalb der üblichen Geschäftszeiten des Kuriers durchgeführt, sofern eine Wartung nicht aufgrund zwingender Gründe zu einer anderen Zeit vorgenommen werden muss.

Der Provider wird Maßnahmen zum Schutz der Daten sowie deren Backups nach dem Stand der Technik vornehmen. Den Provider treffen jedoch keine Verwahrungs- oder Obhutspflichten. Der Kurier ist für eine ausreichende Datensicherung (z.B. Rechnungen) selbst verantwortlich.

Der Kurier ist alleiniger Inhaber der auf den Servern des Providers abgelegten Daten. Die Daten können vom Kurier jederzeit herausverlangt werden.

Registrierung, Vertragsschluss

Mit der erfolgreichen Registrierung kommt ein Nutzungsvertrag zwischen dem Provider und dem Kurier über die Nutzung der Software unter Geltung dieser AGB zustande.

Für eine Registrierung kann sich der Kurier nach Eingabe seiner Daten in das dafür vorgesehene Online-Formular durch Anklicken des den Registrierungsprozess abschließenden Buttons anmelden. Das Absenden der Registrierungsdaten stellt das Angebot des Kuriers auf Abschluss des Nutzungsvertrages dar, das der Provider annehmen kann, aber nicht annehmen muss. Der Provider kann das Angebot des Kuriers innerhalb von 14 Tagen nach Zugang des Antrags durch eine elektronisch übermittelte Bestätigung-E-Mail oder durch Freischaltung des Nutzerkontos annehmen. Nimmt der Provider das Vertragsangebot des Kuriers nicht innerhalb der vorgenannten Frist an, so gilt dies als Ablehnung des Angebots.

Für die Nutzung der Software können sich ausschließlich Unternehmer i.S.d. Ziffer 1.3. dieser AGB als natürliche Personen, juristische Personen oder Personengesellschaften registrieren. Die Registrierung einer juristischen Person kann nur über eine vertretungsberechtigte Person vorgenommen werden, die namentlich genannt werden muss. Als natürliche Person können sich nur Kuriere registrieren, die volljährig und geschäftsfähig sind.

Der Provider kann vor Vertragsschluss verlangen, dass der Kurier dem Provider seine Unternehmereigenschaft ausreichend nachweist. Dieses kann z.B. durch Angabe einer gültigen Umsatzsteuer-Identifikationsnummer eines Mitgliedstaats der Europäischen Union und einen Nachweis seiner Ansässigkeit oder durch sonstige geeignete Legitimationsnachweise (z.B. Gewerbeanmeldung, Handelsregisterauszug, Auszug BG-Verkehr) erfolgen. Die für den Legitimationsnachweis erforderlichen Daten sind vom Kurier vollständig und wahrheitsgemäß anzugeben.

Der Provider speichert den Vertragstext einschließlich der AGB bei Vertragsschluss unter Wahrung des Datenschutzes und sendet diese dem Kurier nach Absendung von dessen Bestellung in Schrift- oder Textform (per Brief oder E-Mail) zu. Eine darüber hinausgehende Zugänglichmachung des Vertragstextes durch den Provider erfolgt nicht.

Der Provider kann den Vertragstext einschließlich der AGB ferner über einen Verweis auf eine Onlinequelle (z.B. per Link) bereitstellen.

Der Vertragsschluss erfolgt ausschließlich in deutscher Sprache.

Der Kurier sichert zu, dass die bei Erstellung seines Nutzerprofils verwendeten Daten (im Folgenden „Profil-Daten“ genannt) wahrheitsgemäß und vollständig sind. Der Kurier ist verpflichtet, seine Daten stets auf dem aktuellen Stand zu halten und im Falle von Änderungen eine Aktualisierung seiner Daten in seinem Nutzerkonto durchzuführen. Die Nutzung von Pseudonymen ist unzulässig. Gleiches gilt auch für alle Angaben, die von dem Kurier bei der Einrichtung von Mitarbeiter-Logins gemacht werden.

Mit der Registrierung erstellt der Kurier ein Passwort für sein Nutzerkonto. Der Kurier kann das Passwort jederzeit in seinem Nutzerkonto ändern. Der Kurier darf das Passwort Dritten nicht mitteilen oder zugänglich machen und hat es sorgfältig zu verwahren, um Missbräuche zu vermeiden. Der Kurier ist auch für die Geheimhaltung der Mitarbeiter-Logins verantwortlich und wird seine Mitarbeiter entsprechend anweisen. Der Kurier ist verpflichtet, den Provider unverzüglich zu informieren, wenn das Passwort verloren gegangen ist oder wenn ihm bekannt wird, dass unbefugte Dritte von dem Passwort Kenntnis erlangt haben. Der Kurier haftet für jeden Missbrauch Dritter, soweit dieser nicht den Nachweis erbringt, dass ihn hieran kein Verschulden trifft.

Der Kurier darf sich jeweils nur einmal registrieren. Ein Nutzerkonto ist nicht auf Dritte bzw. Mitarbeiter übertragbar.

Die Registrierung kann nur durch anschließendes Klicken der Checkboxen sowie den die Registrierung abschließenden Button abgeschlossen werden.

Nach Abschluss der Registrierung erhält der Kurier eine Bestätigungs-E-Mail mit einem Aktivierungslink, um sich durch Anklicken des Aktivierungslinks als Kurier zu verifizieren. Um die Registrierung abzuschließen, muss der Kurier sich durch Anklicken des Links in der Bestätigungs-E-Mail verifizieren.

Der Vertragsschluss erfolgt ausschließlich in deutscher Sprache.

Die E-Mail-Adresse dient der Identifizierung und der persönlichen Kennzeichnung des Kuriers. Der Kurier hat sicherzustellen, dass die von ihm bei der Online-Registrierung und von ihm zur Bestellabwicklung angegebene E-Mail-Adresse zutreffend ist, so dass unter dieser Adresse bzw. Mobilfunknummer die vom Provider versandten E-Mails bzw. Benachrichtigungen empfangen werden können. Insbesondere hat der Kurier bei dem Einsatz von SPAM-Filtern sicherzustellen, dass alle vom Provider oder von diesem mit der Abwicklung beauftragten Dritten versandten Mails zugestellt werden können.

Vertragsschluss über Aufträge

Sofern der Kurier seinen Status innerhalb der App im Menü unter dem Button „Nicht verfügbar“ auf verfügbar stellt, kann dieser Angebote für Kurierlieferaufträge (nachfolgend „Kurierlieferauftrag“) erhalten.

Der Kurier erhält über die Benachrichtungsfunktion und/oder über die App ein rechtsverbindliches Angebot für einen Kurierlieferauftrag, welcher zuvor von dem Kurierkunden über die Website Radkurier24.com oder angeschlossenen Partnern des Providers eingestellt wurde.

Der Kurier kann im Kurierlieferauftrag innerhalb der App alle relevante Daten (z.B. Anlieferort, Vergütung, Lieferzeit, Lieferort) einsehen und entscheiden, ob den Kurierlieferauftrag annehmen oder ablehnen möchte.

Sofern der Kurier den Kurierlieferauftrag nicht annimmt, ist keine weitere Handlung des Kuriers erforderlich. Der Kurierlieferauftrag verbleibt für einen Zeitraum in der Software des Providers und wird dann automatisch entfernt, wenn dieser nicht vom Kurier angenommen wurde.

Sofern der Kurier den Kurierlieferauftrag annimmt, kommt ein Vertrag zwischen dem Kurier und dem Kurierkunden zustande, indem der Kurier durch Klicken des den Bestellvorgang abschließenden Buttons und mit Absenden das rechtsverbindliche Angebot für einen Kurierlieferauftrag annimmt.

Die Lieferung des Kurierlieferauftrags hat innerhalb des in der App angezeigten Zeitfensters ab Auftragseingang zu erfolgen.

Die Für den Vertragsschluss gelten die Ziffern 4.13. und 4.14. entsprechend.

Nutzungsrechte

Eine physische Überlassung der Software an den Kurier erfolgt nicht.

Der Kurier erhält an der jeweils aktuellsten Version der Software für die vertraglich festgelegte Anzahl an Nutzern einfache, d.h. nicht unterlizenzierbare und nicht übertragbare, zeitlich auf die Dauer des Vertrags beschränkte Rechte die Software mittels Zugriff über die App nach Maßgabe der nachfolgenden Regelungen zu nutzen.

Der Kurier darf die Software nur im Rahmen seiner eigenen geschäftlichen Tätigkeit durch eigenes Personal nutzen. Dem Kurier ist eine weitergehende Nutzung der Software nicht gestattet.

Support

Der Provider richtet für Kurieranfragen zu den Funktionen der Software einen Support ein. Anfragen an den Support können per E-Mail support@radkurier24.com gestellt werden. Die Anfragen werden in zeitlicher Reihenfolge ihres Eingangs bearbeitet.

Für jede Anfrage des Kuriers vergibt der Provider eine Bearbeitungsnummer (“Ticket”). Auf Wunsch des Kuriers wird der Provider hierfür ein elektronisches Ticketsystem einführen, das eine ständige Nachvollziehbarkeit des Standes der Bearbeitung der Tickets ermöglicht.

Der Kurier hat die Probleme so exakt wie möglich zu schildern.

Verfügbarkeit der Software

Die Software des Providers wird unter dem Vorbehalt der Verfügbarkeit angeboten. Eine Verfügbarkeit zu 100 Prozent ist technisch nicht zu realisieren und kann dem Kurier deshalb nicht gewährleistet werden. Der Provider bemüht sich, die Software möglichst konstant verfügbar zu halten. Insbesondere Wartungs-, Sicherheits- oder Kapazitätsbelange sowie Ereignisse, die nicht im Machtbereich des Providers stehen (Störungen von öffentlichen Kommunikationsnetzen bzw. bei angeschlossenen Drittanbietern (third parties), Stromausfälle, Hostingausfälle, Hackingeingriffe, Ausfälle der Telekommunikationsleitungen ab dem Übergabepunkt an das Internet, etc.), können zu Störungen oder zur vorübergehenden Stilllegung der Software führen und werden auf das Verfügbarkeitsminimum nicht angerechnet. Die Verfügbarkeit berechnet sich auf der Grundlage der im Vertragszeitraum auf den jeweiligen Kalendermonat entfallenden Zeit abzüglich der Wartungszeiten. Der Provider wird die Wartungsarbeiten, soweit dies möglich ist, in nutzungsarmen Zeiten durchführen.

Pflichten des Kuriers

Der Kurier ist verpflichtet, die technischen Voraussetzungen für die Inanspruchnahme der Software zu schaffen.

Der Kurier hat die ihm übermittelten Zugangsdaten dem Stand der Technik entsprechend vor Zugriffen Dritter zu schützen und zu verwahren. Der Kurier wird dafür sorgen, dass eine Nutzung nur im vertraglich vereinbarten Umfang geschieht. Ein unberechtigter Zugriff ist dem Provider unverzüglich mitzuteilen.

Der Kurier ist verpflichtet, keine Daten abzulegen, deren Nutzung gegen geltendes Recht, behördliche Auflagen bzw. Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstoßen.

Der Kurier ist verpflichtet, seine Daten und Informationen vor der Eingabe auf Viren oder sonstige schädliche Komponenten zu prüfen und hierzu dem Stand der Technik entsprechende Virenschutzprogramme einzusetzen.

Der Kurier ist verpflichtet, seine Daten (insbesondere Rechnungsdaten) stets auf dem aktuellen Stand zu halten und im Falle von Änderungen eine Aktualisierung seiner Daten selbst durchzuführen oder dem Provider mitzuteilen.

Unbeschadet der Verpflichtung des Providers zur Datensicherung ist der Kurier selbst für die Eingabe und Pflege seiner zur Nutzung der Software erforderlichen Daten und Informationen verantwortlich.

Es dürfen keine Technologien eingesetzt werden, die der Software, den Provider oder Dritten schaden oder diese belästigen (Viren, Roboter, Spider, Scraper, Crawler, Hacking, Brute-Force-Attacken, etc.). Insbesondere dürfen keine Technologien eingesetzt werden, durch welche Kurieraufträge automatisch angenommen werden.

Dem Kurier ist es untersagt, vertrauliche Informationen im Wege des Reverse Enginereeing zu erlangen. „Reverse Enginereeing“ sind dabei sämtliche Handlungen, einschließlich des Beobachtens, Testens, Untersuchens und des Rück- sowie ggf. erneuten Zusammenbaus, mit dem Ziel, an vertrauliche Informationen zu gelangen. Die Berechtigungen zum Reverse Engineering nach § 69d Abs. 3 und § 69e UrhG bleiben hiervon unberührt.

Der Provider ist berechtigt, den Kurier im Falle der missbräuchlichen Nutzung der Software zu verwarnen und/oder den Zugang zu der Software zeitweise oder dauerhaft zu sperren und wird ggf. zivil- und strafrechtliche Maßnahmen einleiten.

Gebühr und Zahlungsbedingungen

Der Kurier verpflichtet sich, dem Provider für die Überlassung und Nutzung der Software eine prozentuale Nutzungsgebühr zu bezahlen. Sofern nicht anders vereinbart, richtet sich die Gebühr nach der im Zeitpunkt des Vertragsschlusses im Onlineangebot unter dem Link LINK ZUR PREISLISTE abrufbaren gültigen Preisliste des Providers. Die angegebene Gebühr versteht sich in EURO und ist ein Nettopreis zzgl. der am Tag der Rechnungsstellung geltenden gesetzlichen Umsatzsteuer.

Die Abrechnung der Nutzungsgebühr erfolgt in einem monatlichen Zeitintervall.

Der Provider behält sich vor, die Vergütung zur Bewahrung des Preis-Leistungs-Verhältnisses nach billigem Ermessen anzupassen, um zukünftig auf Kostensteigerungen oder -senkungen und sich dadurch verändernde, nicht anders ausgleichbare Kostensituationen angemessen reagieren zu können. Die für die Anpassung zu berücksichtigenden Kostenelemente bzw. Anpassungsmaßstäbe können die Modifizierung, Erweiterung und/oder Anpassung der vertragsgegenständlichen Nutzungsmöglichkeiten der SaaS-Dienste des Providers, Verwaltungs- und Gemeinkosten (Mietzins, Finanzierungs- und Transaktionskosten, Personal- und Dienstleisterkosten, Energie- und Internetzugangskosten, IT-Entwicklungskosten, usw.) sowie staatlich auferlegte Steuern, Gebühren, Beiträge und sonstige Abgaben sein. Sämtliche Anpassungen der Vergütung gelten einen (1) Monat nach Bekanntgabe. Das Kündigungsrecht des Kuriers nach Maßgabe der Ziffer 13. dieser AGB bleibt hiervon unberührt.

Einwendungen gegen die Abrechnung der vom Provider erbrachten Leistungen hat der Kurier innerhalb einer Frist von 14 Tagen nach Zugang der Rechnung schriftlich bei der auf der Rechnung angegebenen Stelle zu erheben. Nach Ablauf der vorgenannten Frist gilt die Abrechnung als vom Kurier genehmigt. Der Provider wird den Kurier mit Übersendung der Rechnung auf die Bedeutung seines Verhaltens besonders hinweisen.

Der Kurierkunde zahlt die Vergütung für einen Kurierauftrag über den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend„Stripe“) bezahlen. Der Provider bietet dem Kurierkunde verschiedene Zahlungsmethoden über Stripe an. Die einzelnen über Stripe angebotenen Zahlungsarten werden dem Kurierkunde auf der Website des Providers mitgeteilt. Stripe kann sich weiterer Zahlungsdienste zur Zahlungsabwicklung bedienen, für die ggf. besondere Zahlungsbedingungen gelten, auf die der Kurierkunde ggf. gesondert hingewiesen wird. Weitere Informationen erhält der Kunde unter https://stripe.com/de abrufbar.

Die Zahlungsabwicklung zwischen dem Kurier und dem Provider erfolgt über den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (im Folgenden „Stripe“ genannt). Der Provider verwendet für die Zahlungsabwicklung Stripe Connect. Bei Stripe Connect handelt es sich um programmierbare APIs und Tools, mit denen der Kurier Zahlungen von Endkunden für die vom ihm angebotenen Leistungen entgegennehmen kann. Für die Nutzung von Stripe Connect ist eine Registrierung des Kuriers bei Stripe Connect erforderlich. Nach Abgabe der Bestellung des Endkunden auf der Website des Providers fordert dieser Stripe zur Einleitung der Zahlungstransaktion auf. Stripe zieht die fälligen Gebühren im Namen des Kuriers vom Zahlungsmittel des Endkunden ein und hält die Gebühren auf einem nichtverzinsten Treuhandkonto vor. Hierzu richtet der Provider ein eigenes Treuhandkonto bei Stripe ein. Die Auszahlung der Gebühren wird durch Stripe automatisch an den Provider und Kurier durchgeführt. Wird die Zahlungsabwicklung mangels ausreichender Kontodeckung oder aufgrund der Angabe einer falschen Bankverbindung nicht eingelöst oder widerspricht der Kurier der Abbuchung, obwohl er hierzu nicht berechtigt ist, hat der Kurier dem Provider die durch die Rückbuchung des jeweiligen Kreditinstituts entstehenden Gebühren zu tragen, wenn er dies zu vertreten hat. Weitere Informationen zu Stripe sind im Internet unterhttps://stripe.com/de/connect, https://stripe.com/de/privacy oder https://stripe.com/payment-terms/legalabrufbar.

Die Gebühr für die Überlassung und Nutzung der Software ist vom Kurier jeweils zum Monatsende zu zahlen, sofern nichts anderes vereinbart ist. Die Gebühr wird monatlich per Bankeinzug (Lastschrift) vom Bankkonto des Kuriers abgebucht. Die Gebühr ist nach Erteilung eines SEPA-Lastschriftmandats, nicht jedoch vor Ablauf der Frist für die Vorabinformation (sog. Prenotification), zur Zahlung fällig. Vorabinformation ist jede Mitteilung (z.B. Rechnung, Police, Vertrag) des Providers an den Kurier, die eine Belastung mittels SEPA-Lastschrift ankündigt. Wird die Lastschrift mangels ausreichender Kontodeckung oder aufgrund der Angabe einer falschen Bankverbindung nicht eingelöst oder widerspricht der Kurier der Abbuchung, obwohl er hierzu nicht berechtigt ist, hat der Kurier die durch die Rückbuchung des jeweiligen Kreditinstituts entstehenden Gebühren zu tragen, wenn er dies zu vertreten hat.

Mit Ablauf vorstehender Zahlungsfrist kommt der Kurier in Verzug. Die ausstehende Vergütung ist während des Verzugs zum jeweils geltenden gesetzlichen Verzugszinssatz zu verzinsen. Der Provider behält sich die Geltendmachung eines weitergehenden Verzugsschadens (z.B. angemessene Kosten der notwendigen Rechtsverteidigung einschließlich aller Gerichts- und Anwaltskosten, Kosten für Mahnverfahren oder Inkasso) vor. Gegenüber Kaufleuten bleibt der Anspruch des Providers auf den kaufmännischen Fälligkeitszins (§ 353 HGB) unberührt. Im Falle überfälliger Forderungen werden eingehende Zahlungen des Kuriers zunächst auf etwaige Kosten und Zinsen und anschließend auf die älteste Forderung angerechnet.

Aufrechnungsrechte stehen dem Kurier nur zu, wenn seine Gegenansprüche rechtskräftig festgestellt oder unbestritten mit der Hauptforderung des Providers gegenseitig verknüpft oder von diesem anerkannt sind.

Ein Zurückbehaltungsrecht des Kuriers ist ausgeschlossen, es sei denn, die Gegenforderung des Kuriers stammt aus demselben Vertragsverhältnis und ist unbestritten oder rechtskräftig festgestellt. Zur Geltendmachung des Rechts ist eine schriftliche Anzeige an den Provider erforderlich.

Wird nach Abschluss des Vertrags erkennbar (z.B. durch Antrag auf Eröffnung eines Insolvenzverfahrens), dass der Anspruch des Providers auf die Vergütung durch mangelnde Leistungsfähigkeit des Kuriers gefährdet wird, so ist der Provider nach den gesetzlichen Vorschriften zur Leistungsverweigerung und – gegebenenfalls nach Fristsetzung – zum Rücktritt vom Vertrag berechtigt (§ 321 BGB).

Haftung für Mängel

Hinsichtlich der Gewährung der Nutzung der Software gelten die Gewährleistungsvorschriften des Mietrechts (§§ 535 ff. BGB).

Der Kurier hat dem Provider jegliche Mängel unverzüglich anzuzeigen.

Die Gewährleistung des Providers ist ausgeschlossen, sofern die Funktions- und Betriebsbereitschaft nur unerheblich beeinträchtigt ist. Die verschuldensunabhängige Haftung gem. § 536a Abs. 1 BGB für Mängel die bereits bei Vertragsschluss vorlagen ist ausgeschlossen.

Haftung für Schäden

Hinsichtlich der von dem Provider erbrachten Leistungen haftet dieser, dessen gesetzlichen Vertreter und Erfüllungsgehilfen uneingeschränkt

bei Vorsatz oder grober Fahrlässigkeit,

bei vorsätzlicher oder fahrlässiger Verletzung des Lebens, des Körpers oder der Gesundheit,

bei Garantieversprechen, soweit dieses zwischen den Parteien vereinbart wird,

soweit der Anwendungsbereich des Produkthaftungsgesetzes eröffnet ist.

Bei der Verletzung vertragswesentlicher Pflichten ist die Haftung des Providers auf den vorhersehbaren, vertragstypischen Schaden begrenzt, sofern nicht gemäß Ziffer 12.1. uneingeschränkt gehaftet wird. Wesentliche Vertragspflichten sind solche Pflichten, die der Vertrag dem Provider nach seinem Inhalt zur Erreichung des Vertragszwecks auferlegt, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kurier regelmäßig vertrauen darf (sog. Kardinalpflichten).

Für den Verlust von Daten haftet der Provider insoweit nicht, als der Schaden darauf beruht, dass es der Kurier unterlassen hat, Datensicherungen durchzuführen und dadurch sicherzustellen, dass verloren gegangene Daten mit vertretbarem Aufwand wiederhergestellt werden können.

Im Übrigen ist eine Haftung des Providers ausgeschlossen.

Rechtsmängel und Freistellung

Der Provider gewährleistet, dass die Software keine Rechte Dritter verletzt. Der Provider wird den Kurier von allen Ansprüchen Dritter wegen von ihm zu vertretender Schutzrechtsverletzungen im Zusammenhang mit der vertragsgemäßen Nutzung der Software auf erstes Anfordern hin freistellen sowie die Kosten einer angemessenen Rechtsverfolgung ersetzen. Der Kurier wird den Provider unverzüglich über Ansprüche von Dritten, die diese aufgrund der vertragsgemäßen Nutzung der Software gegen ihn geltend machen, informieren und ihm sämtliche erforderlichen Vollmachten erteilen und Befugnisse einräumen, um die Ansprüche zu verteidigen.

Der Kurier sichert zu, dass die auf den Servern des Providers abgelegten Inhalte und Daten sowie dessen Nutzung und Bereitstellung durch den Provider, nicht gegen geltendes Recht, behördliche Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstoßen. Der Kurier wird den Provider von Ansprüchen, die Dritte aufgrund eines Verstoßes gegen diese Ziffer geltend machen, auf erstes Anfordern freistellen sowie die Kosten einer angemessenen Rechtsverfolgung ersetzen. Der Kurier wird den Provider unverzüglich informieren, wenn Dritte dem Provider gegenüber unter die vorstehende Freistellungsverpflichtung fallende Ansprüche erheben. Der Kurier ist verpflichtet, dem Provider unverzüglich alle ihm verfügbaren Informationen über den betreffenden Sachverhalt vollständig, wahrheitsgemäß und unverzüglich in Schrift- oder Textform (per Brief oder E-Mail) mitzuteilen. Eventuelle darüber hinausgehende Ansprüche des Providers bleiben unberührt.

Vertragslaufzeit und Kündigung

Der Vertrag wird auf unbestimmte Zeit geschlossen. Das Vertragsverhältnis beginnt mit Vertragsschluss und kann von jeder Partei jederzeit schriftlich mit einer Frist von einem (1) Monat zum Ende des jeweiligen Kalendermonats gekündigt werden.

Unberührt bleibt das Recht jeder Partei, bei Vorliegen eines wichtigen Grundes – ohne Einhaltung einer Kündigungsfrist – innerhalb einer angemessenen Zeit ab Kenntnis des Kündigungsgrundes ganz oder teilweise zu kündigen. Ein wichtiger Grund liegt vor, wenn Tatsachen gegeben sind, aufgrund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalles und unter Abwägung der Interessen der Vertragspartner die Fortsetzung des Vertrages nicht mehr zugemutet werden kann. Besteht der wichtige Grund in der Verletzung einer vertraglichen Pflicht, ist die Kündigung erst nach erfolglosem Ablauf einer zur Abhilfe gesetzten Frist oder nach erfolgloser Abmahnung zulässig, soweit nicht gemäß § 314 i.V.m. § 323 Absatz 2 BGB eine Fristsetzung entbehrlich ist. Im Falle der Kündigung aus wichtigem Grund hat der Provider Anspruch auf Vergütung für die bis zum Wirksamwerden der Kündigung aufgrund des Vertrages erbrachten Leistungen. Die Vergütung entfällt aber für solche Leistungen, für die der Kurier darlegt, dass sie für ihn aufgrund der Kündigung ohne Interesse sind.

Der Vertrag kann in Schrift- oder Textform (z.B. per E-Mail an kuendigung@radkurier24.com oder per Brief) gekündigt werden.

Bis zum Wirksamwerden der Kündigung erbrachte Leistungen sind zu vergüten; im Fall einer durch den Provider schuldhaft verursachten außerordentlichen Kündigung durch den Kurier gilt dies nur, soweit die erbrachten Leistungen für den Kurier nutzbar sind.

Der Provider wird sämtliche auf seinen Servern verbleibende Daten des Kuriers 30 Tage nach Beendigung des Vertragsverhältnisses unwiederherstellbar löschen. Ein Zurückbehaltungsrecht oder Pfandrechte an den Daten zugunsten des Providers bestehen nicht.

Datenschutz und Geheimhaltung

Die Parteien werden die für sie jeweils geltenden anwendbaren datenschutzrechtlichen Bestimmungen einhalten.

Sofern und soweit der Provider im Rahmen der Leistungserbringung Zugriff auf personenbezogene Daten des Kuriers hat, werden die Parteien mit dem Abschluss des Hauptvertrages einen entsprechenden Auftragsverarbeitungsvertrag abschließen. In diesem Fall wird der Provider die entsprechenden personenbezogenen Daten allein nach diesen Bestimmungen und nach den Weisungen des Kuriers verarbeiten.

Sofern und soweit der Provider im Rahmen der Leistungserbringung Zugriff auf personenbezogene Daten der Kurierkunden bzw. Kuriers hat, werden die Parteien mit dem Abschluss des Hauptvertrages einen entsprechenden Auftragsverarbeitungsvertrag abschließen. In diesem Fall wird der Provider als Auftragsverarbeiter im Sinne von Art. 28 Abs. 3 DSGVO tätig und wird die entsprechenden personenbezogenen Daten allein nach diesen Bestimmungen und nach den Weisungen des Kuriers verarbeiten. Ergänzend zu diesen AGB gelten spezielle Regelungen des Auftragsverarbeitungsvertrages einsehbar und abrufbar unter dem Link HIER IST DER LINK ZUM AVV ZU ERGÄNZEN.

Der Provider verpflichtet sich, über alle vertraulichen Informationen (einschließlich Geschäftsgeheimnisse), die er im Zusammenhang mit diesem Vertrag und dessen Durchführung erfährt, Stilschweigen zu bewahren und diese nicht gegenüber Dritten offenzulegen, weiterzugeben noch auf sonstige Art zu verwenden. Vertrauliche Informationen sind dabei solche, die als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen ergibt, unabhängig davon, ob sie in schriftlicher, elektronischer, verkörperter oder mündlicher Form mitgeteilt worden sind. Die Geheimhaltungsverpflichtung gilt nicht, soweit der Provider gesetzlich oder aufgrund bestands- bzw. rechtskräftiger Behörden- oder Gerichtsentscheidung zur Offenlegung der vertraulichen Information verpflichtet ist. Der Provider verpflichtet sich, mit allen Mitarbeitern und Subunternehmern eine den vorstehenden Absatz inhaltgleiche Regelung zu vereinbaren.

Änderung der AGB

Der Provider behält sich vor, diese AGB jederzeit ohne Angabe von Gründen zu ändern, es sei denn, dies ist für den Kurier nicht zumutbar. Der Provider wird den Kurier über Änderungen der AGB rechtzeitig in Textform benachrichtigen. Widerspricht der Kurier der Geltung der neuen AGB nicht innerhalb einer Frist von vier (4) Wochen nach der Benachrichtigung, gelten die geänderten AGB als vom Kurier angenommen. Der Provider wird dem Kurier in der Benachrichtigung auf sein Widerspruchsrecht und die Bedeutung der Widerspruchsfrist hinweisen. Widerspricht der Kurier den Änderungen innerhalb der vorgenannten Frist, so besteht das Vertragsverhältnis zu den ursprünglichen AGB fort.

Der Provider behält sich darüber hinaus vor, diese AGB zu ändern,

soweit der Provider hierzu aufgrund einer Änderung der Rechtslage verpflichtet ist;

soweit der Provider damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt;

soweit der Provider zusätzliche, gänzlich neue Dienstleistungen, Dienste oder Dienstelemente einführt, die einer Leistungsbeschreibung in den AGB bedürfen, es sei denn, das bisherige Vertragsverhältnis wird dadurch nachteilig verändert;

wenn die Änderung lediglich vorteilhaft für den Kurier ist; oder

wenn die Änderung rein technisch oder prozessual bedingt ist, es sei denn, sie hat wesentliche Auswirkungen für den Kurier.

Das Kündigungsrecht des Kuriers gem. Ziffer 14. bleibt hiervon unberührt.

Schlussbestimmungen

Für diese AGB und die Vertragsbeziehung zwischen den Parteien gilt das Recht der Bundesrepublik Deutschland.

Eine Abtretung von Ansprüchen aus dem zwischen den Parteien geschlossenen Vertrag durch den Kurier, insbesondere eine Abtretung etwaiger Mängelansprüche des Kuriers, ist ausgeschlossen.

Ist der Kurier Kaufmann i.S.d. Handelsgesetzbuchs, Unternehmer i.S.v. § 14 BGB, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist ausschließlicher – auch internationaler Gerichtsstand für alle sich aus dem Vertragsverhältnis unmittelbar oder mittelbar ergebenden Streitigkeiten der Geschäftssitz des Providers. Der Provider ist in allen Fällen auch berechtigt, Klage am Erfüllungsort der Leistungsverpflichtung gemäß diesen AGB bzw. einer vorrangigen Individualabrede oder am allgemeinen Gerichtsstand des Kuriers zu erheben. Vorrangige gesetzliche Vorschriften, insbesondere zu ausschließlichen Zuständigkeiten, bleiben unberührt.

Stand: 02.05.2023

Allgemeine Geschäftsbedingungen zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO

Geltungsbereich und Vertragspartner

Die nachfolgende Allgemeine Geschäftsbedingungen zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO (nachfolgend „AGB-AVV“) konkretisieren die Verpflichtungen zum Datenschutz, die sich aus einem zwischen dem Verantwortlichen (nachfolgend geschlechtsneutral „Auftraggeber“) und Radkurier24, Herrn Martin Hawel, Radlkoferstraße 2, 81373 München, Deutschland (nachfolgend geschlechtsneutral „Auftragnehmer“,gemeinsam mit dem Auftraggeber auch „Parteien“) geschlossenen Dienstleistungsvertrag gem. Ziffer 2.1. (nachfolgend „Hauptvertrag“) ergeben.

Gegenstand und Umfang der Auftragsverarbeitung

Im Rahmen der Leistungserbringung nach der Allgemeinen Geschäftsbedingungen mit Kundeninformationen vom 02.05.2023 (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer als Auftragsverarbeiter mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeberdaten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeberdaten zur Durchführung des Hauptvertrags.

Der Auftragnehmer verarbeitet die Auftraggeberdaten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.

Die Verarbeitung von Auftraggeberdaten durch den Auftragnehmer erfolgt in der Art, dem Umfang und zu dem Zweck wie in Anlage 1 („Gegenstand der Auftragsverarbeitung“) zu diesem AV-Vertrag spezifiziert, die Verarbeitung betrifft die dort näher bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeberdaten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeberdaten nicht mehr als Auftraggeberdaten im Sinne dieses Vertrags gelten.

Der Auftragnehmer darf die Auftraggeberdaten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.

Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeberdaten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44–48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

Weisungsbefugnisse des Auftraggebers

Der Auftragnehmer verarbeitet die Auftraggeberdaten gemäß den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem die Weisung zu dokumentieren und die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.

Der Auftragnehmer gewährleistet, dass er die Auftraggeberdaten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Auftraggeberdaten beim Auftraggeber liegt.

Verantwortlichkeit des Auftraggebers

Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeberdaten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeberdaten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeberdaten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeberdaten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeberdaten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

Anforderungen an Personal

Der Auftragnehmer hat alle Personen, die Auftraggeberdaten verarbeiten, bezüglich der Verarbeitung von Auftraggeberdaten zur Vertraulichkeit zu verpflichten.

Sicherheit der Verarbeitung

Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeberdaten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeberdaten zu gewährleisten.

Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen, insbesondere die näher in Anlage 2 („Technisch-organisatorische Maßnahmen“) zu diesem Vertrag aufgeführten Maßnahmen, während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.

Inanspruchnahme weiterer Auftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeberdaten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 3 („Unterauftragsverarbeiter“). Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeberdaten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeberdaten trifft.

Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.

Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

Unter Einhaltung der Anforderungen der Ziffer dieses Vertrags gelten die Regelungen in dieser Ziffer 7.auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 5.2.2010 zu schließen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Maße mitzuwirken.

Rechte der betroffenen Personen

Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeberdaten, die Empfänger von Auftraggeberdaten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.

Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auftraggeberdaten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeberdaten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeberdaten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.

Mitteilungs- und Unterstützungspflichten des Auftragnehmers

Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeberdaten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.

Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

Datenlöschung

Der Auftragnehmer wird die Auftraggeberdaten nach Beendigung dieses Vertrages löschen, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeberdaten besteht.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeberdaten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

Nachweise und Überprüfungen

Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.

Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.

Zur Durchführung von Inspektionen nach Ziffer 11.2. ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten montags bis freitags von 10:00 bis 18:00 Uhr (unter Ausnahme gesetzlicher Feiertage am Sitz des Auftragnehmers) nach rechtzeitiger Vorankündigung gemäß Ziffer 11.5. auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeberdaten verarbeitet werden.

Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.

Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.

Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11.dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.

Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.

Vertragsdauer und Kündigung

Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

Haftung

Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüsse und -begrenzungen gemäß dem Hauptvertrag. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber den Auftragnehmer von diesen Ansprüchen auf erstes Anfordern frei.

Der Auftraggeber verpflichtet sich, den Auftragnehmer auch von allen etwaigen Geldbußen, die gegen den Auftragnehmer verhängt werden, in dem Umfang auf erstes Anfordern freizustellen, in dem der Auftraggeber Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

Schlussbestimmungen

Das anwendbare Recht bestimmt sich nach dem Hauptvertrag.

Der Gerichtsstandort bestimmt sich nach dem Hauptvertrag.

Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

Dieser Auftragsverarbeitungsvertrag ist ein Teil des Hauptvertrages und wird mit dessen Abschluss wirksam.

Anlage 1: Gegenstand der Auftragsverarbeitung

Zwecke der Auftragsverarbeitung

Personenbezogene Daten des Auftraggebers werden auf Grundlage dieses Auftragsverarbeitungsvertrages zu den folgenden Zwecken verarbeitet:

Software-as-Service-Leistungen (SaaS).

Arten und Kategorien von Daten

Zu den auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten Arten und Kategorien von personenbezogenen Daten gehören:

Bestandsdaten.

Kontaktdaten.

Inhaltsdaten.

Bild- und/ oder Videoaufnahmen.

Vertragsdaten.

Zahlungsdaten und Abrechnungsdaten,

Standortdaten.

Protokolldaten.

Beschäftigtendaten.

Bewerberdaten.

Geschäftsinformationen.

Kategorien der betroffenen Personen

Zu den durch die Verarbeitung von personenbezogenen Daten auf Grundlage dieses Auftragsverarbeitungsvertrages betroffenen Personengruppen gehören:

Webseitenbesucher.

Softwarenutzer.

Interessenten.

Verbraucher.

Geschäftskunden.

Geschäftspartner.

Beschäftigte/ Arbeitnehmer.

Bewerber.

Quellen der verarbeiteten Daten

Die auf Grundlage dieses Auftragsverarbeitungsvertrages verarbeiteten Daten werden aus den im Folgenden genannten Quellen, bzw. im Rahmen genannter Verfahren erhoben oder sonst empfangen:

Erhebung bei betroffenen Personen.

Eingaben, bzw. Angaben des Auftraggebers.

Eingaben, bzw. Angaben des Auftragsverarbeiters.

Erhebung im Rahmen der Nutzung von Software, Applikationen, Webseiten und anderen Onlinediensten.

Erhebung über Schnittstellen zu Diensten anderer Anbieter.

Externe Datenbanken und Datensammlungen.

Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch oder im Auftrag des Auftraggebers.

Anlage 2: Technisch-organisatorische Maßnahmen

Es wird für die konkrete Auftragsverarbeitung und die in ihrem Rahmen verarbeiteten personenbezogenen Daten ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau Gewähr geleistet. Dazu werden insbesondere die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

Organisatorische Maßnahmen

Es sind organisatorische Maßnahmen ergriffen worden, die ein angemessenes Datenschutzniveau und dessen Aufrechterhaltung gewährleisten.

Der Auftragsverarbeiter hat ein angemessenes Datenschutzmanagementsystem, bzw. ein Datenschutzkonzept implementiert und gewährleistet dessen Umsetzung.

Eine geeignete Organisationsstruktur für die Datensicherheit und Datenschutz ist vorhanden und die Informationssicherheit ist integriert in unternehmensweite Prozesse und Verfahren integriert.

Es sind interne Sicherheitsricht- bzw. -leitlinien definiert, die unternehmensintern gegenüber Mittarbeitern als verbindliche Regeln kommuniziert werden.

Die Entwicklung des Standes der Technik und sowie der Entwicklungen, Bedrohungen und Sicherheitsmaßnahmen werden fortlaufend beobachtet und in geeigneter Art und Weise auf das eigene Sicherheitskonzept abgeleitet.

Es besteht ein Konzept, das die Wahrung der Betroffenenrechte durch den Auftraggeber gewährleistet (insbesondere im Hinblick auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche). Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.

Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Gefährdungen und Verletzungen des Schutzes personenbezogener Daten gewährleistet. Zu dem Konzept gehört die Unterrichtung der Mitarbeiter über die Informationspflichten gegenüber dem Auftraggeber, Einrichtung von Umsetzungsverfahren und die Benennung zuständiger Personen sowie regelmäßige Kontrolle und Evaluierung der ergriffenen Maßnahmen.

Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt.

Eingesetzte Software und Hardware wird stets auf dem aktuell verfügbaren Stand gehalten und Softwareaktualisierungen werden ohne Verzug innerhalb einer angesichts des Risikogrades und eines eventuellen Prüfnotwendigkeit angemessenen Frist ausgeführt. Es wird keine Software und Hardware eingesetzt, die von den Anbietern im Hinblick auf Belange des Datenschutzes- und Datensicherheit nicht mehr aktualisiert wird (z. B. abgelaufene Betriebssysteme).

Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen.

Es wird ein „papierloses Büro“ geführt, d. h. Unterlagen werden grundsätzlich nur digital gespeichert und nur in Ausnahmefällen in Papierform aufbewahrt.

Unterlagen im Papierformat werden nur dann aufbewahrt, wenn keine im Hinblick auf die Auftragsverarbeitung, ihrem Zweck und den Interessen der von den Inhalten der Unterlagen betroffenen Personen adäquate digitale Kopie vorliegt oder eine Aufbewahrung mit dem Auftraggeber vereinbart wurde oder gesetzlich erforderlich ist.

Es liegt ein den Datenschutzanforderungen der Auftragsverarbeitung und dem Stand der Technik entsprechendes Lösch- und Entsorgungskonzept vor. Die physische Vernichtung von Dokumenten und Datenträgern erfolgt datenschutzgerecht und entsprechend den gesetzlichen Vorgaben, Branchenstandards und dem Stand der Technik entsprechenden Industrienormen (z. B. nach DIN 66399). Mitarbeiter wurden über gesetzliche Voraussetzungen, Löschfristen und soweit zuständig, über Vorgaben für die Datenvernichtung oder Gerätevernichtung durch Dienstleister unterrichtet.

Zutrittskontrolle

Es sind Maßnahmen zur physischen Zutrittskontrolle ergriffen worden, die es Unbefugten verwehren, sich den Systemen, Datenverarbeitungsanlagen oder Verfahren physisch zu nähern, mit denen personenbezogene Daten verarbeitet werden.

Es werden, bis auf die Arbeitsplatzrechner und mobile Geräte, keine Datenverarbeitungsanlagen in den eigenen Geschäftsräumlichkeiten unterhalten. Die Daten des Auftraggebers werden bei externen Server-Anbietern unter Beachtung der Vorgaben für Auftragsverarbeitung gespeichert.

Der Zutritt zu Datenverarbeitungsanlagen ist zusätzlich gesichert und nur befugten Mitarbeitern möglich.

Fenster, Schächte und ähnliche Zugangsmöglichkeiten, die eine potentielle Zutrittsmöglichkeit bieten könnten (z. B. Fenster im Erdgeschoss) sind gegen den unberechtigten Zutritt gesichert.

Der Zutritt ist durch ein elektronisches Schließsystem mit Sicherheitsschlössern gesichert.

Unterlagen (Akten, Dokumente, etc.) werden sicher, z. B. in Aktenschränken oder sonstigen angemessen gesicherten Containern aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert.

Datenträger werden sicher aufbewahrt und angemessen vor Zugriff durch unbefugte Personen gesichert.

Zugangskontrolle

Es sind Maßnahmen zur elektronischen Zugangskontrolle ergriffen worden, die gewährleisten, dass ein Zugang (d. h. bereits die Möglichkeit der Nutzung, Verwendung oder Beobachtung) durch Unbefugte zu Systemen, Datenverarbeitungsanlagen oder Verfahren verhindert wird.

Ein Passwortkonzept legt fest, dass Passwörter eine dem Stand der Technik und den Anforderungen an Sicherheit entsprechende Mindestlänge und Komplexität haben müssen.

Sämtliche Datenverarbeitungsanlagen sind passwortgeschützt.

Passwörter werden grundsätzlich nicht im Klartext gespeichert und nur gehashed oder verschlüsselt übertragen.

Es wird eine Passwort-Management-Software eingesetzt.

Fehlversuche beim Login auf betriebsinterne Systeme werden auf eine angemessene Anzahl beschränkt (z.B. Sperrung von Logindaten).

Es wird auf dem aktuellen Stand gehaltene Anti-Viren-Software eingesetzt.

Einsatz von Hardware-Firewall(s).

Einsatz von Software-Firewall(s).

Backups werden verschlüsselt gespeichert.

Interne Zugriffskontrolle und Eingabekontrolle (Berechtigungen für Benutzerrechte auf Zugang zu und Änderung von Daten)

Es sind Maßnahmen zur Zugriffskontrolle ergriffen worden, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ferner sind Maßnahmen zur Eingabekontrolle ergriffen worden, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert, entfernt oder sonst verarbeitet worden sind.

Ein Rechte- und Rollenkonzept (Berechtigungskonzept) sorgt dafür, dass der Zugriff auf personenbezogenen Daten nur für einen nach Erforderlichkeitsmaßstäben ausgewählten Personenkreis und nur in dem erforderlichen Umfang möglich ist.

Das Rechte- und Rollenkonzept (Berechtigungskonzept) wird regelmäßig, innerhalb einer angemessenen zeitlichen Frequenz sowie wenn ein Anlass es erfordert (z. B. Verstöße gegen die Zugriffsbeschränkungen), evaluiert und bei Bedarf aktualisiert.

Die Zugriffe auf einzelne Dateien des Auftraggebers werden protokolliert.

Die Eingabe, Veränderung und Löschung einzelner Daten des Auftraggebers wird protokolliert.

Anmeldungen in den Datenverarbeitungsanlagen, bzw. Verarbeitungssystemen werden protokolliert.

Die Protokoll-, bzw. Logdateien werden vor Veränderung sowie vor Verlust und gegen unberechtigten Zugriff geschützt.

Die Tätigkeiten der Administratoren werden im Rahmen rechtlich zulässiger Möglichkeiten und im Rahmen technisch vertretbaren Aufwandes angemessen überwacht und protokolliert.

Es wird sichergestellt, dass nachvollziehbar ist, welche Beschäftigten oder Beauftragten auf welche Daten wann Zugriff hatten (z.B. durch Protokollierung der Softwarenutzung oder Rückschluss aus den Zugriffszeiten und dem Berechtigungskonzept).

Die im Rahmen des Auftrags verarbeiteten personenbezogenen Daten werden beim E-Mail-Versand auf Weisung des Auftraggebers ende-zu-ende-verschlüsselt übertragen.

Weitergabekontrolle

Es sind Maßnahmen zur Weitergabekontrolle ergriffen worden, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Die im Rahmen des Auftrags verarbeiteten personenbezogenen Daten werden, vorbehaltlich anderweitiger Weisungen des Auftraggebers, ende-zu-ende-verschlüsselt übertragen.

Die Übermittlung und Verarbeitung von personenbezogenen Daten des Auftraggebers über Onlineangebote (Webseiten, Apps, etc.), erfolgt geschützt mittels einer TLS oder einer gleichwertig sicheren Verschlüsselung.

Dateien werden vor der Übermittlung an Cloudspeicherdienste verschlüsselt.

Auftragskontrolle, Zweckbindung und Trennungskontrolle

Es sind Maßnahmen zur Auftragskontrolle ergriffen worden, die sicherstellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Die Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten des Auftraggebers getrennt verarbeitet werden und keine Vermengung, Verschnitt oder sonstige dem Auftrag widersprechende gemeinsame Verarbeitung dieser Daten erfolgt.

Sorgfältige Auswahl von Unterauftragsverarbeitern und sonstigen Dienstleistern.

Die Einhaltung von Weisungen des Auftraggebers und des zulässigen Rahmens der Verarbeitung der personenbezogenen Daten durch Mitarbeiter und Beauftragte wird in angemessenen Abständen überprüft.

Die für die Verarbeitung der personenbezogenen Daten des Auftraggebers geltenden Löschfristen werden innerhalb des Löschkonzepts des Auftragsverarbeiters, sofern erforderlich gesondert, dokumentiert.

Erforderliche Auswertungen und Analysen der Verarbeitung der personenbezogenen Daten des Auftraggebers werden, soweit möglich und zumutbar, anonymisiert verarbeitet (d. h. ohne jeglichen Personenbezug) oder zumindest entsprechend Art. 4 Nr. 5 DSGVO pseudonymisiert verarbeitet (d. h. in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können wobei diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden).

Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsverarbeiters physisch getrennt verarbeitetet.

Die personenbezogenen Daten des Auftraggebers werden von Daten anderer Verarbeitungsverfahren des Auftragsverarbeiters logisch getrennt verarbeitetet und vor unberechtigtem Zugriff oder Verbindung oder Verschneidung mit anderen Daten geschützt (z.B. in unterschiedlichen Datenbanken oder durch angemessene Attribute).

Produktiv- und Testdaten werden streng getrennt voneinander in unterschiedlichen Systemen gespeichert. Die Produktivsysteme werden getrennt und unabhängig von den Entwicklungs- und Testsystemen betrieben.

Sicherung der Integrität und Verfügbarkeit von Daten sowie der Belastbarkeit von Verarbeitungssystemen

Es sind Maßnahmen ergriffen worden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und in Notfällen zügig wiederhergestellt werden können.

Es werden ausfallsichere Serversysteme und Dienste eingesetzt, die doppelt, bzw. mehrfach ausgelegt sind.

Die Verfügbarkeit der Datenverarbeitungssysteme wird permanent, insbesondere auf Verfügbarkeit, Fehler sowie Sicherheitsvorfälle überwacht und kontrolliert.

Die personenbezogenen Daten werden bei externen Hosting-Anbietern gespeichert. Die Hosting-Anbieter werden sorgfältig ausgewählt und erfüllen die Vorgaben an den Stand der Technik, im Hinblick den Schutz vor Schäden durch Brand, Feuchtigkeit, Stromausfälle, Katastrophen, unerlaubte Zugriffe sowie an Datensicherung und Patchmanagement, als auch an die Gebäudesicherung.

Die Verarbeitung von personenbezogenen Daten erfolgt auf Datenverarbeitungssystemen, die einem regelmäßigen und dokumentierten Patch-Management unterliegen, d. h. insbesondere regelmäßig aktualisiert werden.

Die zur Verarbeitung eingesetzten Serversysteme und Dienste werden in angemessenen Abständen Belastbarkeitstests und Hardwaretests unterzogen.

Die zur Verarbeitung eingesetzten Serversysteme verfügen über einen Schutz gegen Denial of Service (DoS) Angriffe.

Die zur Verarbeitung eingesetzten Serversysteme verfügen über eine unterbrechungsfreie Stromversorgung (USV), die gegen Ausfälle angemessen gesichert ist und ein geregeltes Herunterfahren in Notfällen ohne Datenverlust sicherstellt.

Videoüberwachung am Serverstandort.

Einbruchs- und Kontaktmelder am Serverstandort.

Die zur Verarbeitung eingesetzten Serversysteme verfügen über einen angemessenen Brandschutz (Feuer- und Rauchmeldeanlagen sowie entsprechende Feuerlöschvorrichtungen oder Feuerlöschgeräte).

Es werden Serversysteme eingesetzt, die über einen Schutz vor Feuchtigkeitsschaden (z. B. Feuchtigkeitsmelder) verfügen.

Es werden Serversysteme und Dienste eingesetzt, die ein Backupsystem an anderen Orten, auf dem die aktuellen Daten vorgehalten werden und so ein lauffähiges System auch im Katastrophenfall zur Verfügung stellen, bereithalten.

Die Datensätze des Auftraggebers werden systemseitig vor versehentlicher Änderung oder Löschung geschützt (z. B. durch Zugriffsbeschränkungen, Sicherheitsabfragen und Backups).

Es werden Serversysteme und Dienste eingesetzt, die über ein angemessenes, zuverlässiges und kontrolliertes Backup- & Wiederherstellungskonzept verfügen.

Anlage 3: Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter im Rahmen der Verarbeitung von Daten für den Auftraggeber ein:

Firma, Anschrift

Art der Verarbeitung

Zweck

Art der Daten

Kategorien der betroffenen Personen

Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, Luxemburg

E-Mail-Versand, Hosting

Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit; Informationstechnische Infrastruktur (Betrieb und Bereitstellung von Informationssystemen und technischen Geräten (Computer, Server etc.).); Sicherheitsmaßnahmen.

Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, Einwilligungsstatus); Inhaltsdaten (z.B. Eingaben in Onlineformularen).

Nutzer der Website, Kunden; Interessenten

Google Ireland Limited
Google LLC 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Bereitstellung von Karten- und Standortdiensten, damit sie sich besser zurechtfinden und orientieren können. Karten anzeigen, Routen berechnen und Standortinformationen anzeigen. IP-Adressen,Standortdaten
Interessierte Parteien und Kunden der Software

GatewayAPI

Buchwaldsgade 50

5000 Odense C.

Denmark

SMS-Verkehr SMS ETA-Benachrichtigung und andere Warnungen Telefonnummern Software-Kunden
SendGrid Twilio
375 Beale Street, 3rd Floor,
San Francisco.
CA 94105, USA

E-Mail-Übertragung Statusbenachrichtigungen
E-Mail-Adresse

Software-Kunden
Stripe PaymentsEurope Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Zahlungsdaten

Erbringung vertraglicher Leistungen und Kundenservice.

Bestandsdaten (z.B. Namen, Adressen); Zahlungsdaten (z.B. Bankverbindungen, Rechnungen, Zahlungshistorie); Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie); Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten); Meta-, Kommunikations- und Verfahrensdaten (z. B. IP-Adressen, Zeitangaben, Identifikationsnummern, Einwilligungsstatus).

Nutzer der Website, Kunden; Interessenten