Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen für Conference by chidoo der chidoo GbR

Stand: Mai 2020

1 Allgemeines

Folgende allgemeinen Geschäftsbedingungen (AGB) sind Bestandteil eines jeden Vertrages zwischen der chidoo GbR mit Firmensitz in 50670 Köln, Nikolaus-Groß-Strasse 9 (Auftragnehmer), und ihrem Kunden (Auftraggeber).

Vertragliche Leistungen und Lieferungen dem Auftragnehmers, die zwischen dem Auftraggeber und Drittanbietern entstehen, unterliegen zusätzlich den Bedingungen der Drittanbieter.Abweichende AGB des Auftraggebers gelten nicht, es sei denn, der Auftragnehmer hat der Gültigkeit ausdrücklich schriftlich zugestimmt. Die Wirksamkeit dieser AGB wird nicht ausgeschlossen, selbst wenn der Auftragnehmer in Kenntnis der abweichenden AGB des Auftraggebers Lieferungen oder Leistungen erbringt. Sollte der Auftragnehmer mit dem Autraggeber einen Vertragsgegenstand vereinbaren, der einen Bezug zu einem anderen Land als Deutschland aufweist, ist der Auftraggeber verpflichtet, die zutreffenden rechtlichen Bestimmungen dieses Landes zusätzlich zu beachten. Dieses gilt auch, falls der Auftraggeber auf seinem Webspace oder Server Software oder Scripte einsetzt, für welche er zur Lizenzierung mit dem Lizenzgeber die Anwendbarkeit des Rechts eines anderen Landes vereinbart hat. Auf der Webseite des Auftragnehmers veröffentlichte Lieferungen und Leistungen sind als Angebotsaufforderungen zu verstehen und sind unverbindlich. der Auftragnehmer kann die Preise jederzeit ändern, wenn hierfür entsprechende Gründe (z.B. Gebührenänderung der Domainregistrierungsstellen, Änderung Mehrwertsteuersatz) vorliegen.

2 Widerrufrecht

  1. Dem Auftraggeber steht ein 14-tägiges Widerrufrecht zu, sofern dieser Verbraucher im Sinne von § 13 BGB ist. Der Auftraggeber kann seine Vertragserklärung innerhalb von 14 Tagen ohne Angabe von Gründen schriftlich per Briefpost oder Fax widerrufen. Die Frist beginnt mit Erhalt dieser Widerruferklärung in Textform, jedoch nicht vor Vertragsschluss und auch nicht vor Erfüllung unserer Informationspflichten gem. Art. 246 § 2 in Verbindung mit § 1 Abs. 1 und 2 EGBGB sowie unseren Pflichten gemäß § 312g Abs. 1 Satz 1 BGB in Verbindung mit Art. 246 §3 EGBGB. Zur Wahrung der Frist genügt die rechtzeitige Absendung des Widerrufs. Der Widerruf ist zu richten an: chidoo GbR, Nikolaus-Groß-Strasse 9, 50670 Köln. Im Falle eines wirksamen Widerrufs sind die beiderseits empfangenen Leistungen zurückzugewähren und ggf. gezogene Nutzungen herauszugeben. Dies kann dazu führen, dass vertragliche Zahlungsverpflichtungen für den Zeitraum bis zum Widerruf gleichwohl erfüllt werden müssen. Dies betrifft u.a. angefallene Domaingebühren.
  2. Digitale Inhalte und Leistungen Das Widerrufrecht erlischt vorzeitig, wenn der Vertrag auf ausdrücklichen Wunsch des Auftraggebers von beiden Seiten vollständig erfüllt ist, bevor ein Widerrufrecht ausgeübt wurde. (§312d Abs. 3 BGB)

3 Domainregistrierung, -kündigung, Providerwechsel

  1. Bei der Registrierung und Verwaltung von Domainnamen wird der Auftragnehmer zwischen dem Autraggeber und der jeweiligen Registrierungsstelle (z.B. DENIC eG) lediglich als Vermittler tätig. Jede Registrierungsstelle hat zur Vergabe von Domainnamen eigene Registrierungsbestimmungen und -richtlinien für die Domainregistrierung, welche der Auftragnehmer dem Auftraggeber auf Wunsch zusendet und die im Internet bei der jeweiligen Registrierungsstelle eingesehen werden können. Diese Registrierungsbestimmungen und –richtlinien sind zusätzlich Vertragsbestandteil der zwischen dem Auftragnehmer und dem Auftraggeber abgeschlossenen Verträge.
  2. Für die Domainregistrierung ist der Auftraggeber verpflichtet, die richtigen und vollständigen Daten des Domaininhabers (Owner-c) und administrativen Ansprechpartners (Admin-c) anzugeben. Unabhängig von den Registrierungsbedingungen und –richtlinien umfasst dies den vollständigen Namen, ladungsfähige Anschrift (kein Postfach), E–Mailadresse und Telefonnummer. Bei Änderungen dieser Daten hat der Auftraggeber dieses unverzüglich dem Auftragnehmers per Briefpost, Fax oder E–Mail mitzuteilen.
  3. Nach Vertragsabschluss wird der Auftragnehmer die Registrierung der gewünschten Domain bei der zuständigen Registrierungsstelle einleiten. Der Auftragnehmer behält sich das Recht vor, die Domain erst nach erfolgter Zahlung der vereinbarten Registrierungsgebühren zu aktivieren. Auf die Zuteilung der gewünschten Domain durch die jeweilige Registrierungsstelle hat der Auftragnehmer keinen Einfluss. Es wird seitens des Auftragnehmers keine Gewähr übernommen, das die gewünschten Domains zugeteilt werden, frei von Rechten Dritter sind und/ oder auf Dauer Bestand haben. Die Informationen der Domainabfrage von chidoo GbR bezüglich Domainverfügbarkeit erfolgt durch Angaben Dritter und bezieht sich nur auf den Abfragezeitpunkt. Erst mit erfolgreicher Registrierung der Domain auf den Namen des Auftraggebers gilt die gewünschte Domain als zugeteilt.
  4. Der Auftraggeber hat vor Beantragung der gewünschten Domain sicherzustellen, dass diese keine Rechte Dritter verletzt oder gegen geltendes Recht verstößt. Bei Vertragsabschluss sichert der Auftraggeber zu, dieses geprüft und keine Rechtsverletzung festgestellt zu haben.
  5. Bei den Registrierungsstellen wird der Auftraggeber als Domaininhaber (Owner-c) und administrativer Ansprechpartner (Admin-c) eingetragen.
  6. Der gewünschte Domainname kann nach erfolgter Registrierung bei der Registrierungsstelle nicht geändert werden. Ist der gewünschte Domainname bereits anderweitig vergeben, kann der Auftraggeber einen anderen Domainnamen wählen. Dieses gilt auch bei einem Providerwechsel, sofern der bisherige Provider der Domainübertragung (KK-Antrag) nicht zustimmt. Kündigt der Auftraggeber einzelne Domains oder werden Domains durch Entscheidungen in einem Domainrechtstreit gekündigt, besteht durch den Auftraggeber keinen Anspruch auf eine unentgeltliche Ersatzdomain.
  7. Bei Kündigungen von Domains erfolgt keine (anteilige) Erstattung der bereits gezahlten Domaingebühren. Es gelten die Kündigungsfristen des Auftragnehmers von 8 Wochen, bzw. 30 Tagen zum Ende der Laufzeit.
  8. Zur Kündigung des Vertrags ist in jedem Fall eine ausdrückliche Kündigung erforderlich. Alle Domainangelegenheiten (Domainkündigung, Domaininhaberwechsel, Providerwechsel) bedürfen der Schriftform per Brief oder Fax. Sollte chidoo GbR dem Providerwechsel (KK–Antrag) des neuen Providers nicht stattgeben können, weil der KK–Antrag durch den Auftraggeber oder den neuen Provider zu spät eingeleitet wurde oder notwendige Voraussetzungen für die Zustimmung nicht erfüllt sein (z.B. fehlende oder falsche Angabe des DENIC-Mitglieds), ist der Auftragnehmer ausdrücklich dazu berechtigt, die gekündigte Domain zum Kündigungstermin bei der zuständigen Registrierungsstelle zu löschen. Der Auftragnehmer behält sich das Recht vor, erst nach Begleichung aller offenen Forderungen des Auftraggebers einem KK–Antrag statt zu geben.
  9. Sollte der Auftraggeber auf Grund gerichtlicher Entscheidungen die Rechte an einer für Ihn registrierten Domain verlieren oder bei der Registrierungsstelle für die Domain ein Disput-Antrag gestellt werden, ist der Auftraggeber verpflichtet, dieses chidoo GbR unverzüglich mitzuteilen.
  10. Der Auftragnehmer ist jederzeit berechtigt, technisch bedingte Updates den Domainnamen betreffend, durchzuführen. Hierzu gehören unter anderem der Wechsel zu einem anderen Registrar oder Update der Nameserver-Einträge.

4 Pflichten des Auftraggebers

  1. Dem Auftraggeber ist es ausdrücklich untersagt, politisch extremistische oder religiös fanatische Inhalte, sowie Inhalte, die nicht mit der freiheitlichen demokratischen Grundordnung der Bundesrepublik Deutschland im Einklang stehen, bereitzustellen. Erotische und pornographische Inhalte sind nicht erlaubt.
  2. Der Auftraggeber ist verpflichtet, die strafrechtlichen Bestimmungen, sowie urheber-, wettbewerbs- und kennzeichnungsrechtliche Regelungen und die Einhaltung privatrechtlicher Vorschriften zu beachten.
  3. Der Auftraggeber hat dafür Sorge zu tragen, dass kein übermäßiges Datentransfervolumen bei der Nutzung der Server von chidoo GbR entsteht, welches zu einer Beeinträchtigung des regulären Serverbetriebes führt. Ein übermäßiges Datentransfervolumen (z.B. durch unsachgemäße oder ungezielte Datenverbreitung) ist anzunehmen, wenn das monatliche Datentransfervolumen die mittlere Auslastung unverhältnismässig und signifikant übersteigt.
  4. Bei Uberschreitung des gebuchten Datentransfer- und Speicherplatzvolumen verpflichtet sich der Auftraggeber, die entstandenen Kosten gemäß gültiger Preisliste nach erfolgter Rechnungsstellung zu begleichen.
  5. Der Auftraggeber ist verpflichtet Zugangsdaten zum internen Kundenbereich und zum Webspace oder ihm zugeteilten Managementbereich seines Produktes vertraulich zu behandeln.
  6. Die Zugangsdaten erhält der Auftraggeber in der Regel nach Auftragsbestätigung per E-Mail. Sollte der Auftraggeber nach diesem Zeitraum keine Zugangsdaten erhalten haben, ist dieser verpflichtet, sich bei chidoo GbR den Grund für die Verzögerung einzuholen. Von einer Verzögerung bleibt das Vertragsverhältnis unberührt.
  7. Der Auftraggeber hat jede Änderung seiner Kontaktdaten (Name, Firma, Rechtsform, Anschrift, E–Mailadresse) unverzüglich schriftlich per Briefpost, Fax oder E–Mail mitzuteilen.

5 Pflichtverletzung des Auftraggebers

Verstößt der Auftraggeber gegen eine unter Abschnitt genannten Pflichten, ist er zur Unterlassung, zum Schadenersatz gegenüber dem Auftragnehmer, sowie zur Freistellung des Auftragnehmers von Schadenersatzansprüchen Dritter, die durch diesen Verstoß verursacht wurden, verpflichtet. Hierzu gehören auch anfallende Kosten für eine notwendige Rechtsverfolgung. Sonstige Rechte des Auftragnehmers (z.B. Accountsperre, außerordentliche Kündigung)bleiben unberührt.

6 Verfügbarkeit

Der Auftragnehmer garantiert dem Auftraggeber eine 99%–ige Verfügbarkeit der Leitungen im Jahr. Für betriebsbedingte Wartungsarbeiten kann monatlich 1% der Betriebszeit aufgewendet werden. Für technische oder sonstige Störungen, auf die der Auftragnehmer keinen Einfluss hat, wie Störung der Infrastruktur durch nationale oder internationale Netzbetreiber oder solche, die durch Kundenfehler hervorgerufen werden, ist die Haftung durch den Auftragnehmer ausgeschlossen.

7 Elektronische Kommunikation

  1. Dem Auftraggeber ist bekannt, dass unverschlüsselte elektronische Kommunikation grundsätzlich nicht vertraulich ist. Er übernimmt daher bei Nutzung dieser das Risiko des Abhörens von Daten durch unbefugte Dritte.
  2. Sämtliche Kommunikation des Auftragnehmers mit dem Auftraggeber erfolgt auf elektronischem Wege per E–Mail oder per Post. Der Auftraggeber hat dafür Sorge zu tragen, dass dieser Mitteilungen vom Auftragnehmer erhalten kann. Sollte eine Mitteilung des Auftragnehmers wegen einer vom Auftragnehmer nicht zu vertretenen Ursache (z.B. externer Spamfilter) vom Auftraggeber nicht zur Kenntnis genommen werden können, ist dies nicht zum Nachteil von chidoo GbR auszulegen. Die Mitteilungen gelten beim Verlassen des chidoo GbR Mailservers als zugestellt.

8 Datensicherung

Der Auftraggeber ist für die Sicherung seiner Daten selbst verantwortlich. Seitens des Auftragnehmers wird eine Sicherung der Datenbankdaten und der Webspacedaten wöchentlich durchgeführt. Einen Rechtsanspruch des Auftraggebers auf Rücksicherung dieser Daten durch den Auftragnehmer bei Verlust oder Beschädigung besteht nicht.

9 AntiVirus-/AntiSpam-Sorftware

Der Auftragnehmer stattet im Regelfall die Server mit entsprechender AntiVirus-/AntiSpamSoftware aus. Hierbei werden schadhafte oder unerwünschte (Werbe–) E–Mails als solche gekennzeichnet. Es wird darauf hingewiesen, dass durch den Einsatz der AntiVirus/AntiSpamSoftware eine erwünschte E–Mail in Einzelfällen geblockt oder gelöscht werden kann, bzw. vereinzelt subjektiv als Spam empfundene E–Mails als solche nicht erkannt und zugestellt werden.

10 Zahlungsweise, Fälligkeit, Prüfungspflicht

  1. Alle Lieferungen und Leistungen werden gemäß geschlossenem Vertrag zwischen dem Auftragnehmer und dem Auftraggeber abgerechnet. Die Berechnung erfolgt wie im Vertrag vereinbart.
  2. Die Rechnungen werden vom Auftragnehmer per E-Mail an den Auftraggeber zugestellt. Alle ausgestellten Rechnungen sind sofort fällig. Bei Teilnahme am Lastschriftverfahren hat der Auftraggeber für eine ausreichende Deckung des Bankkontos Sorge zu tragen und Änderungen der Bankverbindung unverzüglich mitzuteilen. Im Falle von nicht eingelösten oder zurückgegebenen Lastschriften wird dem Auftraggeber eine Bearbeitungsgebühr gemäß Preisliste je nicht eingelöster Lastschrift berechnet. Bei Zahlungsverzug werden Mahngebühren fällig und es erfolgt eine erneute Fristsetzungen. Ist nach Ablauf der Frist wiederholt kein Zahlungseingang festzustellen, wird mit Zustellung der zweiten Mahnung eine letzte Zahlungsfrist gesetzt und die gesamten Lieferungen und Leistungen durch chidoo GbR bis zur endgültigen Begleichung aller offenen Forderung eingestellt. Nach Feststellung des Zahlungseingangs werden die gesperrten Lieferungen und Leistungen unverzüglich wieder bereitgestellt. Anfallende Mahn- und Bearbeitungsgebühren werden gemäß gültiger Preisliste abgerechnet.
  3. Der Auftraggeber hat die Rechnungen regelmäßig zu prüfen. Einwände gegen die Rechnung hat der Auftraggeber unverzüglich, spätestens jedoch 4 Wochen nach Erhalt der Rechnung gegenüber dem Auftragnehmer geltend zu machen. Die Zahlungspflicht des Auftraggebers bleibt hiervon unberührt, bei berechtigten Einwänden erhält der Auftraggeber vom Auftragnehmer eine entsprechende Gutschrift erstattet.

11 Sperrung

  1. Nach vorheriger Anmahnung ist der Auftragnehmer unter Fristsetzung berechtigt, die Lieferungen und Leistungen zu sperren, sollte die Frist fruchtlos verstreichen. Während der Zeit der Sperrung bleibt der Auftraggeber weiterhin verpflichtet die Vergütung zu erbringen, da die gespeicherten Daten des Auftraggebers weiterhin vom Auftragnehmer vorgehalten werden. Bei Gefahr in Verzug kann eine vorherige Anmahnung unterbleiben. Zur Sperrung berechtigt insbesondere a) ein Verstoß gegen Punkt „Pflichten-des-Kunden“ b) Zahlungsverzug c) der Verdacht des rechtwidrigen Inhalts des Datenmaterials oder die Behauptung einer Verletzung von Rechten Dritter d) die Ubermittlung nicht angeforderter kommerzieller E–Mails (Spam) – die übermittlung nicht angeforderter E–Mails in Form von Massensendungen auch ohne Werbezwecke (Junk) e) Nutzung von Software, z.B. Scripte, welche den geregelten Betriebsablauf stören oder zur Störung geeignet sind Bis durch den Auftraggeber die Rechtmäßigkeit der Inhalte dargelegt oder gegebenenfalls bewiesen ist, wird die Sperrung aufrechterhalten, um die Haftung von chidoo GbR zu vermeiden. Das Gleiche gilt bei Ermittlungen der Staatsanwaltschaft.
  2. Für die Sperre wird eine Aufwandspauschale von EUR 100.- zzgl. gesetzliche MwSt berechnet.
  3. Der Auftragnehmer ist berechtigt, im Rahmen einer normalen Störung den Zugang ohne Ankündigung vorübergehend oder dauerhaft zu sperren.

12 Vertragsabschluß, -laufzeit und -kündigung

  1. Ein Vertrag wird, soweit nicht anders vereinbart, auf unbestimmte Zeit geschlossen.
  2. Vertragsabschlüsse und Kündigungen bedürfen der Schriftform und haben per Briefpost oder Fax zu erfolgen. Verträge mit Dritten (z.B. Domainregistrierungsstellen) werden durch ordentliche oder außerordentliche Kündigungen nicht berührt.
  3. Ein Vertrag ist, soweit nicht anders vereinbart, mit einer Frist von 8 Wochen zum 1. des Folgemonats kündbar.
  4. Der Auftragnehmer ist jederzeit berechtigt, den Vertrag sowie Verträge mit Dritten, insbesondere im Zusammenhang mit dem Vertrag abgeschlossene Domainverträge mit Providern, ohne Einhaltung einer Frist zu kündigen, wenn ein wichtiger Grund vorliegt. Als wichtiger Grund gilt insbesondere a) Verstoß gegen Punkt „Pflichten-des-Kunden“ b) Zahlungsverzug, wenn der Auftraggeber mit der Entrichtung der Vergütung oder eines nicht unerheblichen Teils hiervon im Verzug ist und der Auftraggeber dieses verschuldet hat c) bei schuldhaft falsch gemachten Angaben, welche den Vertrag zwischen dem Auftraggeber und dem Auftragnehmer, sowie zu Drittanbietern betreffen, die im Zusammenhang mit Lieferungen und Leistungen des Auftragnehmers entstehen d) bei Verwendung der Infrastruktur, um rechtswidrige Inhalte bereitzuhalten, auch wenn diese noch nicht verbreitet wurden

12.1 Geordnete Ubergabe

  1. Grundsätzlich hat der Auftraggeber ein Anrecht auf eine Kopie der servergespeicherten Daten zum Zeitpunkt der Vertragsbeendigung.
  2. Die Daten umfassen E-Maildaten, sowie den Datenbestand der Website inklusive Datenbankabbild.
  3. Bei Vertragsbeendigung findet eine geordnete Übergabe der Daten statt. Der Auftragnehmer händigt dem Auftraggeber die Daten auf einem mit dem Auftraggeber abgestimmten Datenträger aus.
  4. Der Auftragnehmer behält sich das Recht vor, die Daten einzubehalten, bis eine geordnete Ubergabe möglich ist.
  5. Eine geordnete Ubergabe ist dann nicht möglich, wenn Abschnitt „Sperrung“ oder „Vertragsabschluß,–laufzeit-und…“, Absatz „Die-chidoo-GbR“ zum Tragen kommt.

13 Haftung, Schadenersatzansprüche

Die Haftung und Schadenersatzansprüche sind auf den Auftragswert beschränkt. Eine Haftung für anfängliche Mängel einer Sache, die dem Auftraggeber zur Nutzung überlassen wird, ist ausgeschlossen. Eine Haftung für die Zuteilung eines Domainnamens ist ausgeschlossen. Eine Haftung für Missbräuche, die aus der unberechtigten Verwendung der Zugangsdaten des Auftraggebers resultieren, ist ausgeschlossen. Der Auftragnehmer haftet nur für entstandene Schäden, die durch den Auftragnehmer grob fahrlässig oder vorsätzliche verursacht wurden.

14 Datenschutz

14.1 Art und Zweck der Verarbeitung von Daten

Der Auftragnehmer speichert die Daten des Auftraggebers in maschinenlesbarer Form, um diese für Aufgaben, welche sich aus dem Vertrag ergeben, maschinell zu verarbeiten. Soweit der Auftragnehmer sich Dritter bei der Erbringung der Lieferungen und Leistungen bedient, ist der Auftragnehmer berechtigt, die gespeicherten Kundendaten zu übermitteln, sofern diese für die Sicherstellung des Betriebes erforderlich sind, z.B. Domainregistrierung.

Das Einverständnis zur Speicherung und Weitergabe der Daten an Dritte zur Vertragsabwicklung kann jederzeit schriftlich durch den Auftragnehmer widerrufen werden. Der schriftliche Widerruf ist zu senden an: chidoo GbR, Nikolaus-Groß-Strasse 9, D 50670 Köln

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

14.2 Art der Daten

14.2.1 Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten:

Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Vertragsabrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

14.2.2 Kategorien betroffener Personen

Kunden, Interessenten, Abonnenten, Beschäftigte, Lieferanten, Handelsvertreter, Ansprechpartner

14.3 Technisch-organisatorische Maßnahmen

  1. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
  2. Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
  3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

14.4 Berichtigung, Einschränkung und Löschung von Daten

  1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
  2. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

14.5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragnehmer wird [Herr Nils Doormann: 0221 – 630 60 743, nils.doormann@chidoo.de] oder [Herr Thorsten Schiller: 0221 – 630 60 742] benannt.
  2. Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  3. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1].
  4. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
  5. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
  6. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
  7. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
  8. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

14.6 Unterauftragsverhältnisse

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
  2. Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
  3. Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO: • DENIC eG, Kaiserstraße 75 – 77, 60329 Frankfurt am Main, Deutschland • Host Europe GmbH, Hansestr. 111, 51149 Köln, Deutschland • domainfactory GmbH, Oskar-Messter-Str. 33, 85737 Ismaning, Deutschland

14.7 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
  2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
  3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
  4. Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

14.8 Mitteilung bei Verstößen des Auftragnehmers

  1. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a. a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
  2. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

14.9 Weisungsbefugnis des Auftraggebers

  1. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
  2. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

14.10 Löschung und Rückgabe von personenbezogenen Daten

  1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

15 Bonitätsprüfung

Der Auftraggeber erklärt sich damit einverstanden, dass der Auftragnehmer bei der für den Auftraggeber zuständigen Schufa (Schutzgesellschaft für allg. Kreditsicherung mbH), bzw. einer entsprechenden anderen Wirtschaftsauskunftei Auskünfte einholt. Auf Anfrage des Auftraggebers wird der Auftragnehmer die Anschrift der betreffenden Unternehmen mitteilen, die auch dem Auftraggeber diese Auskünfte erteilt.

16 Änderung der AGB

Der Auftragnehmer ist jederzeit berechtigt diese AGB zu ändern oder zu ergänzen. Sollte der Auftraggeber einer Änderung innerhalb einer Frist von vier Wochen nach Bekanntgabe nicht widersprechen, so wird die geänderte AGB für das bestehende Vertragsverhältnis wirksam. Widerspricht der Auftraggeber innerhalb der gesetzten Frist, so hat der Auftragnehmer das Recht, den Vertrag zu dem Zeitpunkt zu Kündigen, zu dem die geänderte AGB gelten soll.

17 Schlussbestimmung

  1. Erfüllungsort ist 50670 Köln. Ausschließlicher Gerichtsstand für alle Ansprüche aus und auf Grund dieses Vertrages, einschließlich sämtlicher sich ergebender Streitigkeiten zwischen den Parteien über das Zustandekommen, Abwicklung oder Beendigung des Vertrages ist 50670 Köln, sofern der Auftraggeber Vollkaufmann im Sinne des Handelsgesetzbuch ist. Auf diesem Vertrag findet ausschließlich das Recht der Bundesrepublik Deutschland Anwendung, das UN-Kaufrecht wird ausgeschlossen.
  2. Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, berührt dies nicht die Wirksamkeit der restlichen Bestimmungen. Der Auftraggeber und der Auftragnehmer verpflichten sich, diese unwirksame Bestimmung durch eine solche zu ersetzen, die dem ursprünglich Gewollten am nächsten steht. Dieses gilt ebenfalls für den Fall der Unvollständigkeit der Bestimmungen.
  3. Von diesen Vertragsbestimmungen abweichende Vertragsvereinbarungen bedürfen der Schriftform. Anlage – Technisch-organisatorische Maßnahmen

18 Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  1. Zutrittskontrolle und Zugangskontrolle Zugangs- und Zutrittskontrolle wird gemäß den Richtlinien des DataDock Rechenzentrums in Straßbourg/ Frankreich geregelt. Nähere Informationen unter: https://www.plusserver.com/standorte-und-rechenzentren
  2. Zugriffskontrolle Auf Daten des Auftragnehmers kann ausschliesslich authorisiertes und authentifiziertes Personal rollenspezifisch Zugriff nehmen.

19 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verfahren zur Regelmäßigen Überprüfung, bewertung und Evaluierung sind in der Datenschutzrichtlinie von chidoo dargestellt.