Allgemeine Geschäftsbedingungen (AGB) für die Nutzung von envivo

der

envivo.select GmbH

Marktplatz 25

85570 Markt Schwaben

Deutschland

1. Geltungsbereich

Diese allgemeinen Geschäftsbedingungen gelten für alle Verträge zwischen der envivo.select GmbH (im Folgenden: Auftragnehmer) und dem Auftraggeber über die Nutzung der onlinebasierten Software envivo. Abweichende AGB des Auftraggebers werden vom Auftragnehmer – vorbehaltlich einer ausdrücklichen Zustimmung – nicht anerkannt.

Das Angebot richtet sich ausschließlich an Unternehmen.

Der Auftragnehmer schließt keine Verträge mit Verbrauchern bzw. Privatpersonen. Alle Preise verstehen sich vorbehaltlich abweichender Bestimmungen als Nettopreise zzgl. der gesetzlichen Mehrwertsteuer. Ein Widerrufsrecht wird nicht gewährt.

2. Leistungen und Vertragsschluss

Der Auftragnehmer bietet dem Auftraggeber die Software envivo zur entgeltpflichtigen Nutzung über das Internet an. Die innerhalb von envivo bereitgestellten Inhalte werden dabei fortlaufend weiterentwickelt. Umfang und Art der Weiterentwicklung orientieren sich am gesetzlich notwendigen Rahmen und liegen im Ermessen des Auftragnehmers. Ein Anspruch auf bestimmte Funktionen besteht nicht.

Um die Leistungen von envivo in Anspruch nehmen zu können, muss der Kunde zunächst ein Kundenkonto anlegen (Vertragsschluss). Im Rahmen der Anmeldung hat der Auftraggeber die abgefragten Angaben wahrheitsgemäß zu beantworten und ein für ihn geeignetes Paket auszuwählen.

Nach erfolgreicher Anmeldung kann der Auftraggeber die Software im Rahmen des von ihm gebuchten Pakets nutzen.

Der Auftragnehmer ist berechtigt, die Zusammenarbeit zum Zwecke der Eigenwerbung in angemessener Weise unter Benutzung des Logos des Auftraggebers öffentlich darzustellen und mit der Geschäftsbeziehung zum Auftraggeber zu werben.

3. Preise

Die Nutzung von envivo wird über eine feste monatliche, quartalsweise oder jährliche Pauschale abgegolten. Für die Erbringung darüberhinausgehender Dienstleistungen (aufwandsbezogene Leistungen) wird nach Zeitaufwand abgerechnet. Im Übrigen sind Preise und Zahlungsbedingungen dem Angebot zu entnehmen und richten sich nach dem jeweils gebuchten Paket.

4. Zahlungsbedingungen

Auf die Verträge zwischen Auftragnehmer und Auftraggeber finden folgende Zahlungsbedingungen Anwendung:

Entgelte für Dauerschuldverhältnisse mit periodisch wiederkehrenden Zahlungen (insb. die Pauschalen im Sinne von Ziffer 3) sind je nach ausgewähltem Paket monatlich bzw. jährlich im Voraus bis zum 1. Werktag des beginnenden Monats / Quartals / Jahres und bei Neukunden am Tag des Vertragsschlusses fällig. Fällige und bezahlte Entgelte für nicht vollständig genutzte oder angefangene Monate (z. B. aufgrund von Kündigung) werden nicht erstattet; gesetzlich zwingende Rückerstattungsansprüche – insb. aufgrund von zwingender Haftung, Rücktritt, Anfechtung oder Mängelgewährleistung – bleiben unberührt. Entgelte für aufwandsbezogene Leistungen im Sinne der Ziffer 3 werden nach Ablauf des Kalendermonats, in dem die Leistungen erbracht wurden, fällig.

Die Zahlung erfolgt via Kreditkarte (VISA, Mastercard) oder per Paypal. Bei Kreditkartenzahlungen wird die vom Kunden hinterlegte Kreditkarte unmittelbar nach Eintritt der Fälligkeit im Sinne des vorangegangenen Absatzes mit dem vereinbarten Entgelt belastet.

Schlägt eine Zahlungsart fehl, wird das Kundenkonto gesperrt, es sei denn, der Kunde macht begründete Einwände oder Zurückbehaltungsrechte gegen die Forderung(en) geltend. Die Sperre wird aufgehoben, sobald das geschuldete Entgelt beglichen oder eine Stundung vereinbart wurde. Die Sperrung lässt die Vertragslaufzeit unberührt und entbindet den Kunden nicht von seiner Zahlungspflicht.

Doppelzahlungen oder sonstige überzahlte Beträge werden dem Rechnungskonto des Kunden gutgeschrieben und mit der nächsten fälligen Abrechnung verrechnet. Sofern es zu dieser Abrechnung nicht kommt (z. B. bei Kündigung) oder die nächste Abrechnung mehr als 6 Wochen in der Zukunft liegt (z. B. bei Jahreszahlungen), kann der Kunde die Rückzahlung innerhalb von 6 Wochen verlangen.

Rückzahlungen erfolgen grundsätzlich über die gleiche Zahlungsart wie die betreffende(n) Zahlung(en) (z. B. Gutschrift auf das Kreditkarten-, PayPal- oder Bankkonto). Sollte die ursprüngliche Zahlungsart nicht mehr zur Verfügung stehen (z.B., weil das Bankkonto aufgelöst wurde), obliegt es dem Kunden, dies rechtzeitig anzuzeigen.

Die Mehrkosten (z. B. Rückbuchungsgebühren) einer fehlgeschlagenen Zahlung werden dem Kunden in Rechnung gestellt, es sei denn, er hat diese nicht zu vertreten; dem Kunden steht es frei zu beweisen, dass kein oder ein geringerer Schaden entstanden ist.

Rechnungen und sonstige Mitteilungen im Sinne dieser Ziffer werden dem Kunden per E-Mail übermittelt. Rechnungen werden als PDF-Dokument formatiert.

Der Auftragnehmer ist berechtigt, fällige Forderungen gegen den Kunden aus diesem Vertragsverhältnis an Dritte abzutreten.

5. Laufzeit und Kündigung

Vorbehaltlich abweichender Bestimmungen richtet sich die Laufzeit des Vertrags nach dem vom Kunden gewählten Zahlungsturnus. Die Laufzeit für Verträge mit Jahreszahlung beträgt daher ein Jahr (Jahrespaket); die Laufzeit für Verträge mit Monatszahlung beträgt einen Monat (Monatspaket). Jahrespakete können mit einer Kündigungsfrist von einem Monat zum Ende der Laufzeit gekündigt werden. Monatspakete können bis zum letzten Tag des betreffenden Monats gekündigt werden.

Kündigungen können schriftlich oder in Textform (z. B. per E-Mail, Kontaktformular oder Brief) erfolgen. Wird der Vertrag nicht fristgerecht gekündigt, verlängert er sich automatisch um die ursprünglich gebuchte Laufzeit. Die Laufzeit beginnt mit der Freischaltung des envivo-Kundenkontos.

Das Recht zur außerordentlichen fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Für den Auftragnehmer liegt ein zur außerordentlichen Kündigung dieses Dienstvertrags berechtigender wichtiger Grund insbesondere darin, dass der Auftraggeber eine erforderliche Mitwirkungshandlung zur Erfüllung dieses Dienstvertrags nicht binnen einer vom Auftragnehmer bestimmten angemessenen Frist ausgeführt hat, ein Paket bucht, welches für sein Unternehmen nicht zugelassen ist oder die Software für mehrere Unternehmen benutzt, ohne einen entsprechenden Tarif gebucht zu haben. Ein Grund zur außerordentlichen fristlosen Kündigung liegt ferner vor, wenn der Auftraggeber mit der Bezahlung einer fälligen Rate oder eines Teils hiervon mindestens 7 Werktage im Verzug ist.

6. Haftung

Der Auftragnehmer haftet aus jedem Rechtsgrund uneingeschränkt bei Vorsatz oder grober Fahrlässigkeit, bei vorsätzlicher oder fahrlässiger Verletzung des Lebens, des Körpers oder der Gesundheit, aufgrund eines Garantieversprechens, soweit diesbezüglich nichts Anderes geregelt ist oder aufgrund zwingender Haftung.

Verletzt der Auftragnehmer fahrlässig eine wesentliche Vertragspflicht, ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden, maximal jedoch 50.000 EUR, begrenzt, sofern nicht gemäß vorstehendem Absatz unbeschränkt gehaftet wird. Wesentliche Vertragspflichten sind Pflichten, die der Vertrag dem Auftragnehmer nach seinem Inhalt zur Erreichung des Vertragszwecks auferlegt, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf.

Im Übrigen ist eine Haftung des Auftragnehmers ausgeschlossen.

Vorstehende Haftungsregelungen gelten auch im Hinblick auf die Haftung des Auftragnehmers für seine Erfüllungsgehilfen und gesetzlichen Vertreter.

Der Auftraggeber stellt den Auftragnehmer von jeglichen Ansprüchen Dritter – einschließlich der Kosten für die Rechtsverteidigung in ihrer gesetzlichen Höhe – frei, die gegen den Auftragnehmer aufgrund von rechts- oder vertragswidrigen Handlungen des Auftraggebers geltend gemacht werden.

7. Datenschutz und Datensicherheit

Beide Parteien werden die jeweils anwendbaren insbesondere die in Deutschland gültigen datenschutzrechtlichen Bestimmungen beachten und ihre im Zusammenhang mit dem Vertrag eingesetzten Beschäftigten auf das Datengeheimnis nach § 5 BDSG verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind.

Erhebt, verarbeitet oder nutzt Kunde selbst oder durch den Auftragnehmer personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insb. datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes den Auftragnehmer von Ansprüchen Dritter frei.

8. Schlussbestimmungen

Für die Verträge zwischen dem Auftragnehmer und dem Auftraggeber gilt das Recht der Bundesrepublik Deutschland.

Sofern der Auftraggeber keinen allgemeinen Gerichtsstand in Deutschland hat, vereinbaren die Parteien München als Gerichtstand für sämtliche Streitigkeiten, die aus dem vorliegenden Vertragsverhältnis resultieren. Ausschließliche Gerichtsstände bleiben unberührt.

Der Auftragnehmer ist berechtigt, diese AGB aus sachlich gerechtfertigten Gründen (z. B. Änderungen in der Rechtsprechung, Gesetzeslage, Marktgegebenheiten oder Unternehmensstrategie) und unter Einhaltung einer angemessenen Frist zu ändern. Bestandskunden werden hierüber spätestens zwei Wochen vor Inkrafttreten der Änderung per E-Mail benachrichtigt. Sofern der Bestandskunde nicht innerhalb der in der Änderungsmitteilung gesetzten Frist widerspricht, gilt seine Zustimmung zur Änderung als erteilt. Die Benachrichtigung über die beabsichtigte Änderung dieser AGB wird auf die Frist und die Folgen des Widerspruchs oder seines Ausbleibens hinweisen.

VERTRAG ÜBER AUFTRAGSVERARBEITUNG IM SINNE VON ART. 28 ABS. 3 DSGVO

ZWISCHEN

- im Folgenden: Auftraggeber

UND

Envivo.select GmbH

Marktplatz 25

85570 Markt Schwaben

- im Folgenden: Auftragsnehmer -

1. Allgemeine Bestimmungen und Vertragsgegenstand

1.1

Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch den Auftragnehmer (Art. 28 DSGVO). Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Auftraggeber. Die Auftragsdetails entnehmen Sie der Anlage 1.

1.2

Die Verarbeitung der vertragsgegenständlichen personenbezogenen Daten außerhalb der Europäischen Union ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.

1.3

Der Auftragnehmer, kann die vom Auftraggeber zur Verfügung gestellten und im Rahmen seiner Leistungserbringung zusätzlich gewonnenen Daten für rein statistische Zwecke aggregieren und daraus Statistiken ohne Nennung des Auftraggebers und in eigenem Namen veröffentlichen. Dies beschränkt sich auf ausschließlich anonymisierte, aggregierte Daten ohne jeglichen Personenbezug.

2. Vertragslaufzeit und Kündigung

2.1

Die Laufzeit des vorliegenden Vertrags richtet sich nach der Laufzeit des Hauptvertrags. Findet nach Beendigung des Hauptvertrags weiterhin eine Auftragsverarbeitung statt, gilt dieser Vertrag für die betreffenden Verarbeitungsvorgänge fort. Eine ordentliche, vom Hauptvertrag unabhängige Kündigung des vorliegenden Vertrags ist unzulässig. Das Recht zur außerordentlichen fristlosen Kündigung aus wichtigem Grund bleibt unberührt..

3. Weisungen des Auftraggebers

3.1

Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung gegenüber dem Auftragnehmer zu. Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit der Auftragnehmer substantiiert anzweifelt, ist der Auftragnehmer berechtigt, deren Ausführung vorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigt oder ändert. Besteht die Möglichkeit, dass der Auftragnehmer durch das Befolgen der Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis ausgesetzt werden.

3.2

Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z. B. per E-Mail) zu erteilen. Mündliche Weisung sind in begründeten Einzelfällen zulässig und werden vom Auftraggeber unverzüglich schriftlich oder in einem elektronischen Format bestätigt. In der Bestätigung ist ausdrücklich zu begründen, warum keine schriftliche Weisung erfolgen konnte. Der Auftragnehmer hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren.

3.3

Der Auftraggeber benennt auf Verlangen des Auftragnehmers eine oder mehrere weisungsberechtigte Personen. Personelle Änderungen sind dem Auftragnehmer unverzüglich mitzuteilen.

4. Kontrollbefugnisse des Auftraggebers

4.1

Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig im erforderlichen Umfang zu kontrollieren. Der Auftraggeber hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und den Betrieb des Auftragnehmers nicht mehr als erforderlich beeinträchtigen.

4.2

Die Ergebnisse der Kontrollen und Weisungen sind vom Auftraggeber in geeigneter Weise zu protokollieren.

5. Allgemeine Pflichten des Auftragnehmers

5.1

Die Verarbeitung der vertragsgegenständlichen Daten durch den Auftragnehmer erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung ist nur aufgrund zwingender europäischer oder mitgliedsstaatlicher Rechtsvorschriften zulässig (z. B. im Falle von Ermittlungen durch Strafverfolgungs- oder Staatsschutzbehörden). Ist eine Verarbeitung aufgrund zwingenden Rechts erforderlich, teilt der Auftragnehmer dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

5.2

Der Auftragnehmer hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggeber überlassenen personenbezogenen Daten erhalten.

5.3

Im Fall der Wartung, Fernwartung und/oder IT-Fehleranalyse ist der Zugriff auf Daten des Auftraggebers nach Möglichkeit zu vermeiden. Ist ein Datenzugriff nicht vermeidbar, muss der Auftraggeber den Datenzugriff auf das Minimum beschränken.

6. Technische und organisatorische Maßnahmen

6.1

Der Auftragnehmer hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben von Art. 32 DSGVO ausgewählt. Der Auftragnehmer wird die technischen und organisatorischen Maßnahmen bei Bedarf und / oder anlassbezogen überprüfen und anpassen.

6.2

Die technischen und organisatorischen Maßnahmen sind auf der folgenden Webseite dokumentiert office.envivo.io/security

6.3

Soweit Leistungen im Bereich Wartung, Fernwartung und/ oder IT- Fehleranalyse erbracht werden, gelten ergänzend folgende Regelungen:

6.4

Die Mitarbeiter des Auftragnehmers verwenden angemessene Identifizierungs- und Verschlüsselungsverfahren. Vor Durchführung der Arbeiten werden sich der Auftraggeber und der Auftragnehmer über etwa notwendige Datensicherungsmaßnahmen verständigen.

6.5

Alle Leistungen werden vom Auftragnehmer dokumentiert und protokolliert.

6.6

Wirkdaten (Produktivdaten, z. B. Daten des Auftraggebers, Netzdaten zur Erbringung des Telekommunikationsdienstes des Auftraggebers) dürfen nur auf ausdrückliches Verlangen des Auftraggebers und nur zu Fehleranalysezwecken verwendet werden. Diese Daten dürfen ausschließlich auf dem bereitgestellten Equipment des Auftraggebers verwendet werden oder auf Equipment des Auftragnehmers, das zuvor vom Auftraggeber für diesen Zweck freigegeben wurde. Wirkdaten dürfen nicht ohne ausdrückliche Einwilligung des Auftraggebers in Textform auf mobile Speichermedien (PDAs, USB-Speichersticks oder ähnliche Gerate) kopiert werden.

7. Unterstützungspflichten des Auftragnehmers

7.1

Der Auftragnehmer wird den Auftraggeber gem. Art. 28 Abs. 3 lit. e DSGVO bei dessen Pflichten zur Wahrung der Betroffenenrechte aus Kapitel III, Art. 12 – 22 DSGVO, unterstützen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten. Der Auftragnehmer wird den Auftraggeber ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32 – 36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstützungspflichten bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der Informationen, die dem Auftragnehmer zur Verfügung stehen.

8. Einsatz von Unterauftragsverarbeitern (Subunternehmer)

8.1

Der Auftragnehmer ist zum Einsatz von Unterauftragsverarbeitern (Subunternehmern) berechtigt. Über bestehende Unterbeauftragungsverhältnisse informiert der Auftragnehmer über folgende Webseite: office.envivo.io/security

8.2

Beabsichtigt der Auftragnehmer den Einsatz weiterer Subunternehmer, wird er dies dem Auftraggeber rechtzeitig - spätestens jedoch zwei Wochen - vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Auftraggeber hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des / der Subunternehmer zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des / der Subunternehmer(s) als genehmigt. Im Falle eines Widerspruchs dürfen die betroffenen Subunternehmer nicht eingesetzt werden. Widersprüche sind nur zulässig, wenn der Auftraggeber begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragnehmers die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und / oder sonstige berechtigte Interessen des Auftraggebers entgegenstehen; die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen.

8.3

Subunternehmer werden vom Auftragnehmer unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Sämtliche Verträge zwischen Auftragsverarbeiter und Unterauftragsverarbeiter (Subunternehmerverträge) müssen den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Nebenleistungen, welche der Auftragnehmer zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen, die die Vertraulichkeit und / oder Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Der Auftragnehmer wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards (insbesondere durch entsprechende Vertraulichkeitsvereinbarungen) sicherstellen.

8.4

Sämtliche Verträge zwischen dem Auftragnehmer und dem Unterauftragsverarbeiter (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen.

8.5

Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.

8.6

Wirkdaten (Produktivdaten, z. B. Daten des Auftraggebers, Netzdaten zur Erbringung des Telekommunikationsdienstes des Auftraggebers) dürfen nur auf ausdrückliches Verlangen des Auftraggebers und nur zu Fehleranalysezwecken verwendet werden. Diese Daten dürfen ausschließlich auf dem bereitgestellten Equipment des Auftraggebers verwendet werden oder auf Equipment des Auftragnehmers, das zuvor vom Auftraggeber für diesen Zweck freigegeben wurde. Wirkdaten dürfen nicht ohne ausdrückliche Einwilligung des Auftraggebers in Textform auf mobile Speichermedien (PDAs, USB-Speichersticks oder ähnliche Gerate) kopiert werden.

9. Mitteilungspflichten des Auftragnehmers

9.1

Verstöße gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Auftragnehmer selbst, einer bei ihm angestellten Person, einem Unterauftragsverarbeiter oder einer sonstigen Person, die er zur Erfüllung seiner vertraglichen Pflichten eingesetzt hat, begangen wurde.

9.2

Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter den Auftragnehmer um Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Löschung, wird der Auftragnehmer die Anfrage unverzüglich an den Auftraggeber weiterleiten; in keinem Fall wird der Auftragnehmer dem Ersuchen des Betroffenen ohne Weisung / Zustimmung des Auftraggebers nachkommen.

9.3

Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von der auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat der Auftragnehmer den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.

10. Vertragsbeendigung, Löschung und Rückgabe der Daten

10.1

Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung dieses Vertrags hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine rechtliche oder vertragliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z. B. gesetzliche Aufbewahrungsfristen).

11. Datengeheimnis und Vertraulichkeit

11.1

Der Auftragnehmer ist unbefristet und über das Ende dieses Vertrages hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln. Der Auftragnehmer verpflichtet sich, seine Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit beim Auftragnehmer aufnehmen.

12. Haftung

12.1

Der Auftragnehmer haftet gegenüber dem Auftraggeber im Innenverhältnis nicht, wenn die haftungsauslösende Datenverarbeitung / Maßnahme in Folge einer Weisung des Auftraggebers durchgeführt wurde. Das gleiche gilt für Maßnahmen, die mit dem Auftraggeber abgestimmt wurden (z. B. TOMs nach Art. 32 DSGVO). Als Abstimmung gilt es auch, wenn eine Regelung in diesem Vertrag auf Verlangen des Auftraggebers eingefügt wurde.

12.2

Der Auftraggeber hat dafür zu sorgen, dass die originäre Erhebung der im Auftrag verarbeiteten Daten rechtmäßig erfolgt. Insbesondere hat er die ggf. erforderlichen Einwilligungen vollständig und korrekt einzuholen. Sofern der Auftragnehmer im Außenverhältnis wegen eines Verstoßes gegen diese Pflicht in Anspruch genommen wird, haftet der Auftraggeber ihr gegenüber im Innenverhältnis und stellt sie vom ggf. entstandenen Schaden frei.

12.3

Im Übrigen bleiben die gesetzlichen Haftungsregelungen (insb. Art. 82 DSGVO) unberührt.

13. Schlussbestimmungen

13.1

Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.

13.2

Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.

13.3

Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

Anlage 1 - Auftragsdetails

1.
Der vorliegende Vertrag umfasst (ggf. im Zusammenhang mit dem Hauptvertrag) folgende Leistungen: Bereitstellung eines cloudbasierten Systems (envivo) als Software as a Service (SaaS)-Lösung.
2.
Im Rahmen der vertraglichen Leistungserbringung werden regelmäßig folgende Datenarten verarbeitet:
2.1
Stammdaten wie Name und Anschrift
2.2
Kontaktdaten (Telefon, E-Mail)
2.3
Kundendaten
2.4
Rechnungsdaten
2.5
Bestelldaten
2.6
Zahlungsdaten
3
Bei dem Kreis der von der Datenverarbeitung betroffenen Personen handelt es sich um:
3.1
Ansprechpartner / Unternehmensvertreter
3.2
Beschäftigte
3.3
Kunden
3.4
Potenzielle Kunden