ALLGEMEINE GESCHÄFTSBEDINGUNGEN DER HOSPITALITY DIGITAL GMBH FÜR DAS TISCH-RESERVIERUNGS-TOOL

Dieses Tisch-Reservierungs-Tool (nachfolgend „TRT“) wird von der Hospitality Digital GmbH, Metro-Straße 1, 40235 Düsseldorf („ H.d“) betrieben.

1. Anwendungsbereich

1.1 H.d erbringt die Dienste und weitere Leistungen ausschließlich auf Grundlage der nachfolgenden Vertragsbedingungen (nachfolgend „ AGB“).

1.2 Diese AGB gelten für die Nutzung des TRT, das Ihnen (nachfolgend „ Gast“) über die Website von teilnehmenden Restaurants oder ähnlichen Einrichtungen (nachfolgend „Restaurants“) bereitgestellt wird. Das TRT ermöglicht es dem Gast, einen Tisch in dem von ihm ausgewählten Restaurant zu reservieren (nachfolgend „ Dienste“).

2. Gegenstand und Verfügbarkeit der Dienste

2.1 Gegenstand der Dienste ist die Vermittlung einer Tischreservierung sowie von weiteren Restaurantdienstleistungen, die dem Gast unmittelbar vom Restaurant bereitgestellt werden. Sämtliche sich aus der Reservierung oder den weiteren angebotenen Restaurantdienstleistungen ergebenden Pflichten bestehen unmittelbar und ausschließlich im Verhältnis zwischen dem Gast und dem Restaurant. Ein über die Vermittlung der Tischreservierung hinaus gehendes Vertragsverhältnis zwischen Gast und H.d besteht nicht.

2.2 H.d gibt die Tischreservierung des Gastes als Erklärungsbote an das vom Gast ausgewählte Restaurant weiter. Der Gast trägt die Verantwortung dafür, dass die vom Gast angegebenen Daten zutreffend sind, insbesondere die Kontaktdaten des Gastes sowie die Einzelheiten zur Reservierung (Datum, Uhrzeit, Anzahl der Gäste).

2.3 Die Erbringung der Dienste durch H.d für den Gast erfolgt kostenlos. H.d sichert dem Gast aus diesem Grund keine ununterbrochene Verfügbarkeit der Dienste zu.

3. Bestätigung der Reservierung, Änderungen und Stornierungen

3.1 Die Tischreservierung des Gastes ist erst dann für das Restaurant verbindlich, sobald das Restaurant eine Bestätigung der Reservierung an die vom Gast angegebene E-Mail-Adresse gesendet hat. Die Wirksamkeit der Bestätigung bleibt bei Angabe einer falschen E-Mail-Adresse unberührt. Kurz vor dem Termin, zu dem Sie reserviert haben, erhalten Sie von H.d eine Erinnerungs-SMS oder Erinnerungs-E-Mail gesendet.

3.2 Die Reservierung durch den Gast kann gegebenenfalls weiteren Bedingungen unterliegen, die vom Restaurant bestimmt werden und zusätzlich zu diesen AGB gelten. Es obliegt dem Gast, diese weiteren Bedingungen des Restaurants zur Kenntnis zu nehmen.

3.3 Stornierungen durch den Gast sind – soweit das Restaurant keinen Mindestzeitraum für eine Stornierung vorsieht – jederzeit durch Mitteilung an die vom Restaurant angegebenen Kontaktdaten möglich. Dem Gast ist bekannt, dass das Restaurant bei Stornierung einer bestätigten Reservierung gegebenenfalls eine Stornierungsgebühr verlangen kann. Diese wird ausschließlich vom Restaurant in Rechnung gestellt, ohne jegliche Beteiligung von H.d.

3.4 Einzelheiten zur Stornierung oder Änderungen der Reservierung muss der Gast unmittelbar mit dem Restaurant als seinem unmittelbaren Vertragspartner für die Reservierung erörtern. Sollten Sie zu dem Zeitpunkt für den Sie einen Tisch reserviert haben, nicht im Restaurant sein, erhalten Sie ggf. eine Erinnerungs-SMS oder E-Mail. In dieser SMS/E-Mail werden Sie aufgefordert, sich zurückzumelden oder bis zu einer bestimmten Uhrzeit die Reservierung wahrzunehmen; andernfalls kann Ihre Reservierung storniert werden.

3.5 H.d ist berechtigt, eine Reservierung des Gastes in bestimmten Fällen zu stornieren und/oder die Nutzung des Dienstes durch den Gast aus wichtigem Grund einzuschränken oder zu verhindern, sofern tatsächliche Anhaltspunkte für eine missbräuchliche Nutzung der Dienste durch den Gast vorliegen. Eine Stornierung kommt insbesondere in Betracht, falls der Gast in der Vergangenheit eine Reservierung ohne vorherige Absage nicht wahrgenommen hat oder im Falle unzulässiger Doppelreservierungen.

4. Gewährleistung und Haftung

4.1 Sämtliche Informationen des Restaurants zur Verfügbarkeit (und gegebenenfalls weitere Informationen wie Preise) werden ausschließlich vom Restaurant zur Verfügung gestellt. Das Restaurant trägt die alleinige Verantwortung für die Richtigkeit und Aktualität der zur Verfügung gestellten Informationen. H.d überprüft die vom Restaurant zur Verfügung gestellten Informationen nicht und übernimmt keine Gewährleistung oder Haftung dafür, dass diese Informationen zutreffen.

4.2 H.d haftet nicht für das Zustandekommen des Vertrages zwischen Restaurant und Gast und ferner nicht für Schäden, die dem Gast im Zusammenhang mit der Erbringung der vom Restaurant geschuldeten Leistungen entstehen. H.d wird lediglich als Vermittler tätig. Bei Unklarheiten bzw. Rückfragen zu seiner Reservierung muss sich der Gast daher direkt an das Restaurant wenden.

4.3 H.d garantiert keine Verfügbarkeit oder ununterbrochene Erreichbarkeit der Dienste. Daher übernimmt H.d über den gesetzlichen Mindestumfang hinaus keine Verantwortung im Falle der Nichtverfügbarkeit der Dienste oder für Schäden, die daraus entstehen können.

4.4 Des Weiteren haftet H.d, gleich aus welchem Rechtsgrund nicht für Schäden des Gastes, es sei denn diese beruhen

(a) auf der schuldhaften Verletzung wesentlicher Vertragspflichten. Dies sind solche Verpflichtungen, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Gast vertrauen darf. In diesem Fall ist die Haftung von H.d auf solche Schäden beschränkt, deren Eintritt H.d nach den bei Vertragsschluss bekannten Umständen typischerweise voraussehen konnte.

(b) auf grober Fahrlässigkeit oder Vorsatz von H.d;

(c) auf einer Verletzung von Leben, Körper oder der Gesundheut oder auf einer Verletzung des Produkthaftungsgesetzes oder sonstig gesetzlich zwingender Haftungstatbestände.

4.5 Gewährleistungs- und Schadensersatzansprüche verjähren spätestens ein Jahr nach dem Zeitpunkt, zu dem der Gast vom schädigenden Ereignis Kenntnis erlangt hat. Dies gilt nicht für Ansprüche aus unerlaubter Handlung.

4.6 Der Gast stellt sicher, dass (i) die von Ihm angegebenen Buchungsdaten zutreffen, (ii) er seine sich gegenüber dem Restaurant möglicherweise ergebenden Pflichten erfüllt und (iii) er für Schäden, die aus einer missbräuchlichen Nutzung der Dienste entstehen, aufkommt.

5. Geistiges Eigentum

5.1 Sämtliche Eigentums- und Nutzungsrechte am TRT stehen H.d zu. Dem Gast werden am TRT nur solche Nutzungsrechte eingeräumt, die für die Nutzung des TRT zwingend erforderlich sind.

5.2 Unter Berücksichtigung von Ziffer 5.1 verpflichtet sich der Gast, das TRT nicht in unzulässiger Art und Weise zu nutzen, zu manipulieren oder die Rechte des geistigen Eigentums von H.d am TRT zu verletzen.

6. Datenschutz

6.1 H.d erhebt, verarbeitet und nutzt im Rahmen dieses Vertrags personenbezogene Daten des Gastes grundsätzlich nur zur Erbringung der Dienste, sofern eine Einwilligung vorliegt oder sofern eine Rechtsvorschrift die Erhebung, Verarbeitung und Nutzung gestattet.

6.2 Eine Übermittlung der Daten an das Restaurant erfolgt in dem Umfang, der für die Durchführung der Reservierung erforderlich ist.

6.3 Einzelheiten und Hinweise zum Datenschutz können Sie der Datenschutzerklärung von H.d entnehmen.

7. Sonstiges

7.1 H.d behält sich das Recht vor, diese AGB jederzeit mit Wirkung für die Zukunft anzupassen. Es steht dem Gast frei, die geänderte Fassung der AGB bei einer zukünftigen Reservierung zu akzeptieren. Akzeptiert der Gast die geänderten AGB nicht, ist eine Nutzung der Dienste allerdings nicht möglich.

7.2 Diese AGB und alle Ansprüche und Rechte aus oder im Zusammenhang mit den AGB unterliegen ausschließlich deutschem Recht unter Ausschluss des Kollisionsrechts und sind nach Maßgabe deutschen Rechts auszulegen und durchzusetzen. Die Anwendung des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG) ist ausgeschlossen.

7.3 Erfüllungsort ist Düsseldorf. Als Gerichtsstand wird, soweit gesetzlich zulässig, Düsseldorf vereinbart. Anderenfalls gilt der gesetzliche Gerichtsstand.

7.4 Unter dem folgenden Link kann die Streitbeilegungsplattform der Europäischen Kommission erreicht werden: https://ec.europa.eu/consumers/odr/main/index.cfm?event=main.home2.show&lng=DE H.d nimmt nicht an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teil und ist hierzu auch nicht verpflichtet.

7.5 Sollte eine Bestimmung dieser AGB ganz oder teilweise nichtig, unwirksam, undurchführbar oder nicht durchsetzbar („Fehlerhafte Bestimmung“) sein oder werden, so werden die Wirksamkeit und die Durchsetzbarkeit der übrigen Bestimmungen dieser AGB davon nicht berührt. Die Parteien verpflichten sich vielmehr bereits jetzt, anstelle der Fehlerhaften Bestimmung eine solche zu vereinbaren, die im Rahmen der rechtlichen Möglichkeiten dem am nächsten kommt, was die Parteien nach dem Sinn und Zweck dieser AGB vereinbart hätten, wenn sie die Fehlerhaftigkeit der Bestimmung erkannt hätten.

Stand: Mai 2018/AG




AUFTRAGSVERARBEITUNG

Mit Bestätigung der obigen Allgemeinen Geschäftsbedingungen wird zwischen Auftraggeber („Verantwortlicher“), und H.d („Auftragsverarbeiter“), gemeinsam auch bezeichnet als „Parteien“, einzeln als „Partei“, zugleich nachfolgende Vereinbarung zur Datenverarbeitung („AV“) geschlossen.

Präambel

Im Rahmen seiner geschäftlichen Tätigkeit und entsprechend der obigen Allgemeinen Geschäftsbedingungen erhält der Auftragsverarbeiter von dem Verantwortlichen personenbezogene Daten, für die dieser verantwortlich ist. Die Parteien vereinbaren die Regelungen in dieser AV, um den datenschutzrechtlichen Verpflichtungen der Parteiengemäß dem europäischen Datenschutzrecht, insbesondere der Europäischen-Datenschutz-Grundverordnung (Art. 28 DSGVO) zu genügen.

1. Definitionen

1.1 Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (nachfolgend „Daten“).

1.2 Datenverarbeitung im Auftrag ist die Erhebung, Verarbeitung oder Nutzung von Daten durch den Auftragsverarbeiter im Auftrage des Verantwortlichen.

2. Gegenstand und Inhalt des Auftrages

2.1 Gegenstand und Dauer des Auftrages

Die Einzelheiten und die Dauer des Auftrages ergeben sich aus obigen Allgemeinen Geschäftsbedingungen.

2.2 Art der Daten

Die Art der Daten sind in den Allgemeinen Geschäftsbedingungen sowie in den Datenschutzerklärungen näher beschrieben.

2.3 Zweck der Erhebung, Verarbeitung oder Nutzung der Daten

Der Zweck der Erhebung, Verarbeitung oder Nutzung der Daten in den Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen näher beschrieben.

2.4 Art und Umfang der Erhebung, Verarbeitung oder Nutzung der Daten

Art und Umfang der Erhebung, Verarbeitung oder Nutzung der Daten ist den Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen näher beschrieben.

2.5 Kategorie der Betroffenen

(a) eigene Daten des Auftraggebers

(b) Kunden

2.6 Technische und organisatorische Maßnahmen

(a) Die vom Auftragsverarbeiter zu implementierenden technischen und organisatorischen Maßnahmen werden im Annex (siehe unten) zu diesem AV geregelt. Der Auftragsverarbeiter wird diese Maßnahmen regelmäßig auf eigene Kosten an den aktuellen Stand der Technik anpassen, soweit hierdurch das vereinbarte Schutzniveau nicht gesenkt wird und den Verantwortlichen hierüber unverzüglich informieren.

(b) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen vor Aufnahme der Verarbeitungstätigkeiten im Rahmen dieses Vertrags zu ermöglichen, die Einhaltung der technischen und organisatorischen Maßnahmen auch vor Ort zu überprüfen. Das Auditrecht des Verantwortlichen nach Ziffer 2.10 bleibt hiervon unberührt.

(c) Der Auftragsverarbeiter stellt sicher, dass die im Rahmen des AV eingesetzten Datenverarbeitungssysteme den Standards von „privacy by design“ und „privacy by defaut“ nach dem jeweils aktuellen Stand der Technik entsprechen.

2.7 Berichtigung, Löschung und Sperrung von Daten, Recht auf Datenübertragbarkeit und Widerspruchsrecht

(a) Die Rechte der durch den Datenumgang beim Auftragsverarbeiter Betroffenen Personen, insbesondere auf Berichtigung, Löschung und Sperrung, auf Datenübertragbarkeit und Widerspruch werden gegenüber dem Verantwortlichen geltend gemacht. Er ist allein verantwortlich für die Wahrung dieser Rechte.

(b) Der Auftragsverarbeiter ist verpflichtet, im Rahmen seiner Tätigkeit für den Verantwortlichen an ihn gerichtete Ersuchen Betroffener Personen zur sachgerechten Bearbeitung unverzüglich an den Verantwortlichen weiterzuleiten. Sofern Verantwortlicher und Auftragsverarbeiter gemeinschaftlich nach außen als Verantwortliche auftreten, ist der Auftragsverarbeiter berechtigt, dieses Ersuchen selbstständig zu beantworten.

(c) Der Auftragsverarbeiter ist ferner verpflichtet, den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung der oben genannten Rechte Betroffenen Personen nachzukommen.

(d) Der Auftragsverarbeiter hat nach Weisung des Verantwortlichen Daten unverzüglich, spätestens aber innerhalb einer Frist von fünf (5) Tagen zu berichtigen, zu sperren und/oder zu löschen und den Auftragsverarbeiter hierüber in dieser Frist zu informieren.

2.8 Pflichten des Auftragsverarbeiters

(a) Der Auftragsverarbeiter darf Daten nur im Rahmen des Auftrages und der dokumentierten Weisungen des Verantwortlichen erheben, verarbeiten und nutzen.

(b) Der Auftragsverarbeiter hat die Einhaltung der technischen und organisatorischen Maßnahmen i.S.v. Ziffer 2.6 dieses AV in regelmäßigen Abständen zu kontrollieren und zu dokumentieren und auf Verlangen vorzulegen.

(c) Beim Auftragsverarbeiter ist als Kontaktperson für Datenschutz der Datenschutzbeauftragte benannt. Dieser ist unter privacy@horeca.digital zu erreichen. Sofern erforderlich benennt der Auftragsverarbeiter darüber hinaus einen Vertreter im Einklang mit den Vorgaben nach Art. 27 DSGVO.

(d) Der Auftragsverarbeiter ist verantwortlich für die Wahrung der Vertraulichkeit. Alle Personen beim Auftragsverarbeiter, die befugt sind, auf die Daten des Verantwortlichen zuzugreifen, müssen zur Vertraulichkeit verpflichtet werden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und müssen über die sich aus diesem AV ergebenden besonderen Datenschutzpflichten sowie die bestehenden Weisungen und Zweckbindungen belehrt werden. Der Auftragsverarbeiter wird diese Verpflichtungen schriftlich dokumentieren und auf Verlangen des Verantwortlichen vorlegen.

2.9 Begründung von Unterauftragsverhältnissen

(a) Die Begründung von Unterauftragsverhältnissen ist gestattet. Der Auftragsverarbeiter informiert vorab den Verantwortlichen über entsprechende Änderung. Der Verantwortliche hat ein Recht zum Einspruch.

(b) Der Auftragsverarbeiter hat im Falle einer Beauftragung von anderen Auftragsverarbeitern vertraglich sicherzustellen, dass die nach diesem AV vereinbarten Verpflichtungen des Auftragsverarbeiters auch entsprechend für den anderen Auftragsverarbeiter gelten.

(c) Der Auftragsverarbeiter hat vorab und regelmäßig während der Dauer des Unterauftragsverhältnisses die erforderlichen technischen und organisatorischen Maßnahmen der anderen Auftragsverarbeiter zum Schutz der Daten zu kontrollieren, die dieser getroffen hat. Die Weiterleitung von Daten ist erst zulässig, wenn der andere Auftragsverarbeiter die erforderlichen technischen und organisatorischen Maßnahmen zumindest entsprechend den Vorgaben dieses AV implementiert hat.

(d) Der Auftragsverarbeiter haftet in vollem Umfang für die von ihm beauftragten Unterauftragnehmer.

2.10 Auditrecht des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der anwendbaren Datenschutzvorschriften und des AV während der üblichen Geschäftszeiten zu überprüfen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen innerhalb einer angemessenen Frist alle Auskünfte zu erteilen, die zur Durchführung der Kontrolle vernünftigerweise erforderlich sind. Soweit nach Ansicht des Verantwortlichen ein Audit vor Ort beim Auftragsverarbeiter erforderlich ist, sichert der Auftragsverarbeiter zu, dass der Verantwortliche für die Durchführung des Audits Zugang zu den Büroräumen des Auftragsverarbeiters und eine Einsichtnahme vor Ort in die gespeicherten Daten und die Datenverarbeitungsprogramme erhält. Der Verantwortliche ist berechtigt, die Prüfung durch einen im Einzelfall zu benennenden Dritten (Prüfer) durchführen zu lassen. Der Verantwortliche hat die Durchführung eines solchen Audits mit einer Frist von mindestens zwanzig (20) Werktagen im Voraus schriftlich anzukündigen. Die Kosten für die Durchführung des Audits sowie die anfallenden Kosten beim Auftragsverarbeiter zu marktüblichen Tagessätzen trägt der Verantwortliche.

2.11 Mitteilungen bei Verstößen des Auftragsverarbeiters

(a) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von achtundvierzig (48) Stunden nach entsprechender Entdeckung alle Fälle, in denen durch den Auftragsverarbeiter oder die bei ihm beschäftigten Personen oder Unterauftragnehmer Verstöße gegen die Vorschriften zum Schutz von Daten des Verantwortlichen oder gegen die in diesem AV getroffenen Festlegungen vorgefallen sind.

(b) Dem Verantwortlichen sind alle Vorfälle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Erlangung von Daten durch Dritte unabhängig von der Verursachung mitzuteilen. Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene Personen zu ergreifen. Soweit den Verantwortlichen Benachrichtigungspflichten treffen, hat der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung dieser Pflichten zu unterstützen.

2.12 Weisungen durch den Verantwortlichen

(a) Die Verarbeitung von Daten des Verantwortlichen durch den Auftragsverarbeiter erfolgt ausschließlich im Rahmen des AV und der speziellen vom Auftragsverarbeiter dokumentierten Einzelweisungen durch den Verantwortlichen.

(b) Der Auftragsverarbeiter hat (Einzel-)Weisungen über Art, Umfang und Verfahren der Datenverarbeitung unverzüglich zu befolgen, oder, falls anwendbar, innerhalb der durch den Verantwortlichen gesetzten Frist.

(c) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung nach Meinung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine verantwortliche Person beim Verantwortlichen bestätigt oder geändert wird.

2.13 Löschung nach Beendigung des Auftrages

Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche Daten, die er für den Verantwortlichen verarbeitet hat, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung durch den Verantwortlichen datenschutzgerecht zu vernichten bzw. nach dem Stand der Technik sicher zu löschen. Ein Zurückbehaltungsrecht wird hinsichtlich der Unterlagen, Daten, Verarbeitungs- und Nutzungsergebnisse und der zugehörigen Datenträger ausgeschlossen, sofern nicht das Recht der Europäischen Union oder eines EU Mitgliedsstaates eine Speicherung der Daten verlangt.

3. Weitere Pflichten des Auftragsverarbeiters

3.1 Der Auftragsverarbeiter verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate ohne Wissen und ohne vorherige schriftliche Zustimmung des Verantwortlichen dürfen nicht erstellt werden, sofern dies nicht nach den in dem AV beauftragten Leistungen geschuldet ist. Der Auftragsverarbeiter sichert zu, dass die von ihm für den Verantwortlichen verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Eine Übermittlung von Daten des Verantwortlichen durch den Auftragsverarbeiter an Dritte erfolgt nicht ohne schriftliche Zustimmung des Verantwortlichen.

3.2 Der Auftragsverarbeiter wird den Verantwortlichen in angemessenem Umfang bei der Verteidigung gegen Ansprüche unterstützen, die auf einer angeblichen oder tatsächlichen Verletzung datenschutzrechtlicher Anforderungen beruhen. Der Verantwortliche wird seinerseits Beschwerden von Betroffenen Personen im Rahmen der datenschutzrechtlichen Verantwortung des Verantwortlichen in angemessener Form nachgehen und Beschwerden von Betroffenen Personen bearbeiten.

3.3 Der Auftragsverarbeiter erkennt an, dass Auskünfte an Betroffene Personen aufgrund eines Auskunftsanspruchs ausschließlich über den Verantwortlichen bzw. einen vom Verantwortlichen Bevollmächtigten erteilt werden. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen die hierzu erforderlichen Informationen rechtzeitig zur Verfügung zu stellen und den Verantwortlichen zu unterstützen. Sofern der Auftragsverarbeiter selbst auch als Verantwortlicher nach außen auftritt, kann dieser Anfragen auch entsprechend selbst beantworten und den Verantwortlichen entsprechend hierüber informieren.

3.4 Der Auftragsverarbeiter hat den Verantwortlichen bei der Erstellung erforderlicher Verfahrensverzeichnisse zu unterstützen, soweit anwendbar.

3.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Ausführung von Datenschutz-Folgenabschätzungen, wenn eine Art der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben wird.

3.6 Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen das Ergebnis von Prüfungen der Datenschutzaufsichtsbehörden unverzüglich bekannt zu geben, soweit diese mit diesem AV in Zusammenhang stehen. Der Auftragsverarbeiter wird den Verantwortlichen über Beanstandungen der Datenschutzaufsichtsbehörden informieren, die sich auf den Verantwortungsbereich des Auftragsverarbeiters beziehen und wird festgestellte Beanstandungen beheben, soweit gesetzlich erforderlich.

4. Haftung

4.1 Für die Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen Personen ist der Verantwortliche verantwortlich.

4.2 Der Auftragsverarbeiter ist abweichend von Ziffer 4.1 verantwortlich für Ansprüche Betroffener aufgrund von Verstößen gegen die anwendbaren gesetzlichen Bestimmungen oder die Bestimmungen der AV.

4.3 Gegenüber dem Verantwortlichen haftet der Auftragsverarbeiter im Rahmen der gesetzlich möglichen Haftungsausschlüssen und –beschränkungen lediglich für Vorsatz und grobe Fahrlässigkeit.

5. Schlussbestimmungen

5.1 Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten in der Verarbeitung der Daten durch den Auftragsverarbeiter feststellt.

5.2 Diese AV kann unter denselben Bedingungen wie die obigen Allgemeinen Geschäftsbedingungen abgeändert und gekündigt werden.

5.3 Die Unwirksamkeit einer oder mehrerer Bestimmungen dieses AV beeinträchtigt die Wirksamkeit der AV im Übrigen nicht. Im Fall der Unwirksamkeit einer oder mehrerer Bestimmungen dieses AV werden die Parteien eine der unwirksamen Regelung wirtschaftlich möglichst nahe kommende, rechtswirksame Ersatzregelung treffen. Entsprechendes gilt im Fall einer Regelungslücke.

5.4 Die AV unterliegt demselben Recht wie obige Allgemeine Geschäftsbedingungen.

5.5 Im Falle von Widersprüchen zwischen der AV und anderen Verträgen zwischen den Parteien gehen die Bestimmungen dieser AV vor.

Stand: 2018/ AG




Technische und organisatorische Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen implementiert der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein, soweit angemessen:

• die Pseudonymisierung und Verschlüsselung der Daten;

• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

• die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unbeschadet des Vorangehenden werden die folgenden spezifischen Maßnahmen ergriffen:

1. Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen die Daten verarbeitet werden:

• Festlegung des zutrittsberechtigten Personenkreises und entsprechende Dokumentation;

• Elektronische Zutrittskontrolle;

• Ausstellung von Zutritts-IDs;

• Einführung von Richtlinien für externe Individuen;

• Alarmvorrichtung oder Sicherheitsdienst außerhalb der Arbeitszeiten;

• Aufteilung von Liegenschaften in verschiedene Sicherheitszonen;

• Einführung von Richtlinien für den Umgang mit Schlüssel(karten);

• Sicherheitstüren (elektronischer Türöffner, ID-Lesegerät, CCTV);

• Einführung von Maßnahmen für vor-Ort-Sicherheit (z.B. Einbruchmeldung/Benachrichtigung).

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

• Festlegung des Personenkreises, der Zugang zu Datenverarbeitungsanlagen hat;

• Einführung von Richtlinien für externe Individuen;

• Passwortschutz für Personal Computer.

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:

• Einführung von beschränkten Zugriffsberechtigungen bezogen auf die jeweiligen Daten und Funktionen;

• Verpflichtung zur Identifizierung gegenüber Datenverarbeitungsanlagen (z.B. durch ID und Authentifizierung);

• Einführung von Richtlinien über Zugriffs- und Nutzerrollen;

• Auswertung von Protokollen im Falle eines schädigenden Ereignisses.

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass die Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung der Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Verschlüsselung

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem die Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind.

• Protokollierung von Dateneingaben.

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können.

• Dokumentation der unterschiedlichen Kompetenzen und Verpflichtungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter;

• Formale Beauftragung;

• Kontrolle der Arbeitsergebnisse

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass die Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Umsetzung eines Plans für regelmäßige Backups;

• Sichere Speicherung der Daten-Backups in feuer- und wasserfesten Sicherheitsschränken;

• Einführung und regelmäßige Kontrolle einer Notstromanlage und einer Überspannungsschutzanlage;

• Einführung eines Notfallplans;

• Protokoll über die Einführung eines Krisen- und/oder Notfallmanagements.

8. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Trennung der Daten der jeweiligen Kunden des Auftragsverarbeiters.

Stand: Mai 2018/ AG

Imprint