Datenschutzvereinbarung

für das Online-ERP/CRM-System BWsystem, die Online Vereinsverwaltung BWverein und das Cloud-Content-Management-System BWcms zwischen der BWmedien GmbH, Halmacker 30, Haus i. Wald, 94481 Grafenau, DEUTSCHLAND (Auftragnehmer) und dem Mieter (Auftraggeber)

 

§ 1 Inhalt der Vereinbarung
Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Datenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags.

 

§ 2 Definitionen
(1) Hauptvertrag im Sinne dieses Vertrages ist der Vertrag zwischen dem Auftragnehmer und dem Auftraggeber betreffend die Nutzung des Online-ERP/CRM-System BWsystem oder der Online-Vereinsverwaltung BWverein oder des Cloud-Content-Management-System BWcms.
(2) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

 

§ 3 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („verantwortliche Stelle“ im Sinne des § 3 Abs. 7 BDSG).
(2) Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen.
(3) Die Inhalte dieser Vereinbarung gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 

§ 4 Pflichten des Auftragnehmers
(1) Der Auftragnehmer hält die gesetzlich vorgeschriebenen datenschutzrechtlichen Vorschriften ein und wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes (§ 9 BDSG) entsprechen.
(2) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß § 5 Bundesdatenschutzgesetz (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
(3) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers.
(4) Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Aus-schussmaterial übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.

 

§ 5 Pflichten des Auftraggebers
(1) Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.
(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(3) Die Pflicht zur Führung des öffentlichen Verfahrensverzeichnisses (Jedermannverzeichnis) gem. § 4g Abs. 2 S. 2 BDSG liegt beim Auftraggeber.
(4) Dem Auftraggeber obliegen die aus § 42a BDSG resultierenden Informationspflichten.
(5) Der Auftraggeber legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder Löschung der gespeicherten Daten nach Beendigung des Auftrages vertraglich oder durch Weisung fest.
(6) Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
(7) Erteilt der Auftraggeber Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

 

§ 6 Datenspeicherung
(1) Der Auftragnehmer hat die Möglichkeit, auf dem für ihn vom Auftraggeber eingerichteten virtuellen Datenserver Daten abzulegen, auf die er im Zusammenhang mit der Nutzung der überlassenen Anwendungssoftware zugreifen kann. Diese Daten werden dem Auftragnehmer vom Auftraggeber übermittelt.
(2) Wenn sich der Auftraggeber in das System des Auftragnehmers einloggt, werden Nutzungsdaten wie die IP-Adresse des Auftraggebers sowie die Dauer der Nutzung vom Auftragnehmer gespeichert. Diese gespeicherten Daten können auch vom Auftraggeber im Rahmen der Nutzung des Systems eingesehen werden. Die Speicherung erfolgt, um einen Missbrauch der Zugangsdaten durch Dritte zu verhindern.
(3) Auf Anordnung der zuständigen Stellen darf der Auftragnehmer im Einzelfall Auskunft über Nutzungsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.
(4) Die vom Auftraggeber übermittelten Daten werden auf einem Server in der Bundesrepublik Deutschland gespeichert.

 

§ 7 Verarbeitung personenbezogener Daten
(1) Verarbeitet der Auftraggeber im Rahmen des Hautvertrages personenbezogene Daten, so ist er für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.
(2) Personenbezogenen Daten, die erforderlich sind, um die Inanspruchnahme der vom Auftragnehmer vertraglich geschuldeten Leistung zu ermöglichen und abzurechnen, werden vom Auftragnehmer zur Vertragsabwicklung verwendet. Unter Nutzungsdaten fallen insbesondere die Merkmale zur Identifikation des Auftraggebers, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Auftraggeber in Anspruch genommenen Dienste des Auftragnehmers (Nutzungsdaten). Nutzungsdaten für Zwecke der Abrechnung (sog. Abrechnungsdaten) darf der Auftragnehmer an andere Anbieter oder Dritte übermitteln, soweit dies für Zwecke der Abrechnung mit dem Auftraggeber erforderlich ist.
(3) Nutzungsdaten gemäß § 7 Abs. 2 werden vom Auftragnehmer darüber hinaus zum Zwecke der Marktforschung oder zur bedarfsgerechten Gestaltung des Angebotes zur Erstellung von Nutzungsprofilen anonymisiert verwendet.
(4) Im Übrigen wird der Auftragnehmer die vom Kunden übermittelten Daten nur im Rahmen des vertraglich Vereinbarten und gesetzlich Zulässigen verarbeiten. Sofern er der Ansicht ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt, wird er den Auftraggeber hierauf unverzüglich hinweisen.
(5) Der Auftragnehmer bietet dem Auftraggeber die Übermittlung von verschlüsselten Daten an Dritte an. Ab dem Zeitpunkt der Verschlüsselung hat der Auftragnehmer keine Zugriffsmöglichkeit mehr auf die vom Auftraggeber übermittelten und auf dem Server des Auftragnehmers gespeicherten Daten.

 

§ 8 Anfragen Betroffener an den Auftraggeber
Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen, vorausgesetzt, der Auftraggeber hat den Auftragnehmer hierzu schriftlich aufgefordert und der Auftraggeber erstattet dem Auftragnehmer die durch diese Unterstützung entstandenen Kosten.

 

§ 9 Subunternehmer
(1) Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungspflichten verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt (Subunternehmer).
(2) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages.

 

§ 10 Schriftformklausel, Rechtswahl
(1) Änderungen und Ergänzungen dieses Vertrags und ihrer eventuellen Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Es gilt das Recht der Bundesrepublik Deutschland.

 

Stand: Juni 2015

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Website erklären Sie sich damit einverstanden, dass wir Cookies setzen.