Bedingungen und AVV zur SaaS Nutzung

Anbieter:

(nachfolgend auch: „DC“ oder „Auftragnehmer“)

Digital Control GmbH & Co. KG

Kaistraße 16a

40221 Düsseldorf

Dieser Vertrag und die Auftragsdatenverarbeitungsvereinbarung wird zwischen DC und der Person oder dem Unternehmen geschlossen, die oder das Software as a Service Produkte (SaaS) von DC nutzt („Kunde“). Dieser Vertrag tritt in Kraft zu dem Zeitpunkt, an dem der Kunde eine Schaltfläche anklickt, um sein Einverständnis mit den Bedingungen dieses Vertrages anzuzeigen, wenn der Kunde ein Bestellformular oder ein ähnliches Formular bzw Login von DC ausfüllt, in dem auf diesen Vertrag Bezug genommen wird oder das in sonstiger Weise diesen Vertrag beinhaltet, oder mit der Nutzung des Dienstes durch den Kunden, je nachdem, was zuerst eintritt.

Wenn dieser Vertrag im Namen eines Unternehmens abgeschlossen wird, gilt dieses Unternehmen als Kunde und die für das Unternehmen handelnde Person erklärt, dass sie befugt ist, dieses Unternehmen durch diesen Vertrag zu binden.

DC und der Kunde werden nachfolgend auch „Vertragspartei“ oder die „Vertragsparteien“ genannt.

1 Präambel

Digital Control betreibt eine Software für Prozesse in der Mediaplanung und im Digitalmarketing. Digital Control stellt seinen Kunden für sein Kampagnenmanagement eine Plattform sowie diese Software cloudbasiert „as a Service“ zur Verfügung.

Im Kern handelt es sich dabei um den Zugriff und die Nutzung einer Campaign Management Plattform mit den Produkten Media Desk, Intelligence Qube, Campaign Planner und Finance Desk.

2 Definitionen

Die von DC „as a Service“ bereit gestellte Campaign Management Plattform wird nachfolgend „DC-Plattform“ genannt.

Die auf der DC-Plattform as a Service zur Verfügung gestellten Produkte „Media Desk“, „Intelligence Qube“, „Campaign Planner“ und „Finance Desk“, werden nachfolgend „DC-Produkte“ genannt.

„DC-Services”. bezeichnet zusammenfassend die DC-Plattform sowie DC-Services, die DC über ihre Webseiten und Anwendungen (einschließlich sämtlicher optionaler Applikationen und Anwendungen), als Cloud-Dienst („as-a-Service) anbietet und die unter den in diesem Vertrag genannten Voraussetzungen abrufbar sind.

„Endnutzer“ können Mitarbeiter des Kunden selbst oder Mitarbeiter von Dienstleistern des Kunden oder Mitarbeiter von eigenen Kunden der Kunden sein.

„Endnutzeraccounts“ sind die individuell für die Endnutzer eingerichteten Accounts auf der DC-Plattform um die DC-Produkte nutzen zu können.

„Kundendaten“ sind die Daten, die der Kunde oder die Endnutzer auf die DC-Plattform hochladen kann, einschließlich der im Rahmen der Nutzung der DC-Produkte für den Kunden auf der DC-Plattform bereitgestellten Ergebnisse.

3 DC-Services

3.1 Zugriffs- und Nutzungsrechte

DC räumt dem Kunden ein nicht ausschließliches, nicht unterlizenzierbares, nicht übertragbares und auf die Zwecke dieses Vertrages beschränktes Recht ein, dass seine Endnutzer während der Laufzeit dieses Vertrages auf die DC-Plattform zugreifen und dort die DC-Produkte nach näherer Maßgabe dieses Vertrages nutzen dürfen. Die Nutzung ist auf die Anzahl der vereinbarten Endnutzeraccounts beschränkt.

Das Recht an sämtlichen Arbeitsergebnissen, die DC im Zusammenhang mit der Erbringung von Zusätzlichen Vertragsleistungen erzielt, verbleibt bei DC. Der Kunde erhält das einfache, räumlich unbeschränkte und nicht übertragbare Recht, die vertraglich vereinbarten Zusätzlichen Vertragsleistungen und Arbeitsergebnisse zweckentsprechend während der Laufzeit des Vertrages zu nutzen. Abweichende oder darüber hinaus gehende Nutzung und/oder Einräumung von Rechten an Zusätzlichen Vertragsleistungen sowie Arbeitsergebnissen bedürfen einer gesonderten Vereinbarung.

3.2 Bereitstellung der DC-Services

Die DC-Services sind ausschließlich per Internet Browser erreichbar und nutzbar. DC hält dafür die notwendige technische Infrastruktur bereit. Über kompatible Browser und Browserversion informiert DC den Kunden von Zeit zu Zeit, in der Regel ist die jeweils aktuelle Browserversion zu nutzen. Zum Zeitpunkt des Vertragsschlusses werden Browser mit Webkit oder Gecko Engine unterstützt (z.B. Chrome). DC beabsichtigt, die Funktionsfähigkeit für möglichst viele weitere Browser sicherzustellen und aufrechtzuerhalten.

3.3 Bereitstellung der Endnutzeraccounts

Die Nutzung der DC-Services setzt voraus, dass für den jeweiligen, vom Kunden zu benennenden Endnutzer ein Endnutzeraccount auf Einzelnutzungsbasis angelegt wird. Der Kunde wird für jeden Account eine eindeutige, personenbezogene E-Mail Adresse definieren, die dann zum Login in den jeweiligen Account dient. Um Zugriff auf den Endnutzeraccount zu erhalten, erhält der Endnutzer eine E-Mail mit einem Passwort. Der Kunde trägt Sorge dafür, dass die Endnutzer vollständige und aktuelle Informationen über sich selbst angeben und ist dafür verantwortlich sicherzustellen, dass Zugangsdaten vertraulich und sicher bleiben. Dem Kunden ist bewusst, dass durch Falschnutzung oder böswillige Fremdnutzung des Systems erheblicher finanzieller Schaden verursacht werden kann.

3.4 Verwaltung von Accounts und Verantwortung

Der Kunde erkennt an, dass er die administrative Kontrolle darüber behält, wem er den Zugriff auf die DC Services einschließlich der gespeicherten Daten gewährt. Der Kunde ist dafür verantwortlich, die Sicherheit von Accounts und Passwörtern der Endnutzer zu gewährleisten. Ferner hat er alle rechtlich vorgeschriebenen Einwilligungen und Erlaubnisse von Endnutzern zur Erhebung und Verarbeitung personenbezogener Daten durch die DC Services eingeholt.

3.5 Umgang mit den DC-Services; Pflichten des Kunden

Der Kunde wird

Endnutzeraccounts und deren Logins immer nur von den einzelnen für den jeweiligen Endnutzeraccount benannten Endnutzer verwenden lassen (mit der Ausnahme, dass Endnutzeraccounts neuen Endnutzern als Ersatz für Personen neu zugewiesen werden dürfen, die die DC-Services aus beliebigem Grund dauerhaft nicht mehr nutzen. Soweit in diesem Vertrag nicht abweichend vereinbart, ist ein Teilen von Logins über verschiedene Personen ist nicht gestattet. Der Kunde ist damit einverstanden, dass in diesem Rahmen IP Adressen erfasst werden und weitere Technologien zur Überprüfung der Einhaltung dieser Vorgaben zum Einsatz kommen;
DC-Services nicht vermieten, unterlizenzieren, weiterverkaufen, abtreten, übertragen, verbreiten, die Nutzung im Time-Sharing gewähren oder in ähnlicher Weise verwerten;
die DC-Services nicht mittels Reverse Engineering untersuchen, kopieren, modifizieren, anpassen, hacken oder in sonstiger Weise versuchen, unberechtigten Zugriff auf die DC-Services oder die mit diesen verbundenen Systemen oder Netzwerke zu erhalten;
nicht auf die DC-Services, die Dokumentation oder vertrauliche Informationen von DC zugreifen, um ein Konkurrenzprodukt oder einen Konkurrenzdienst aufzubauen;
dafür Sorge tragen, dass seine Endnutzer nicht in folgender Weise auf die DC-Services zugreifen oder sie nutzen:
zur Versendung oder Speicherung von rechtsverletzendem, obszönem, bedrohlichem oder in sonstiger Weise rechtswidrigem Material, darunter auch Material, das das informationelle Selbstbestimmungsrecht Dritter verletzt;
unter Verstoß gegen anwendbare Gesetze;
zur wissentlichen oder vorsätzlichen Versendung oder Speicherung von Material, das Software-Viren, Würmer, Trojaner oder sonstige schädliche Computercodes, -dateien oder -skripte enthält;
in einer Weise, die die Integrität oder Leistungsfähigkeit der DC-Services (oder der darin enthaltenen Daten) verletzt.
3.6 Verantwortlichkeit zur Einhaltung von Vorschriften

Der Kunde ist für die Nutzung der DC-Services durch seine Endnutzer und für die Einhaltung dieses Vertrages durch die Endnutzer verantwortlich. Für die Richtigkeit, Qualität, Rechtmäßigkeit, Zuverlässigkeit und Angemessenheit aller Kundendaten, die in den Systemen des Auftragnehmers gespeichert werden, ist ebenfalls allein der Kunde verantwortlich.

Der Kunde wird DC unverzüglich verständigen, wenn er Kenntnis von einer unbefugten Verwendung oder einem unberechtigten Zugriff auf den Account des Kunden oder die DC-Software erhält.

3.7 Untersagte Nutzung

Folgende Handlungen sind dem Kunden untersagt:

Zugriff auf, Manipulation oder Nutzung nicht-öffentlicher Bereiche der DC-Services und der Websites, auf die Computersysteme von DC oder auf die technischen Trägersysteme von DCs Anbietern;
das Prüfen, Abfragen oder Testen der Schwachstellen eines Systems oder Netzwerks oder das Verletzen oder Umgehen von Sicherheits- oder Authentifizierungsmaßnahmen;
Zugriffe auf oder Durchsuchen der DC-Services mit anderen Mitteln als DCs öffentlich unterstützten Schnittstellen (z. B. „Scraping“);
versuchte Störung oder Überlastung der Infrastruktur von DC durch absichtlich unangemessene Anfragen oder Belastungen der Ressourcen (z. B. durch die Verwendung von „Bots“ oder anderen automatisierten Systemen, um Anfragen an die Server von DC zu senden, die über das Maß dessen hinausgehen, was ein menschlicher Nutzer im gleichen Zeitraum senden könnte); oder
Stören oder Unterbrechen des Zugriffs von Nutzern, Hosts oder Netzwerken, insbesondere durch das Versenden von Viren, Overloading, Flooding, Spamming, Mail-Bombing der DC Services und der Websites oder durch Skripten der Erstellung von Nutzerinhalten auf eine Art und Weise, die in die DC Services und die Websites eingreift oder eine unangemessene Belastung für die DC Services und die Websites darstellt.
3.8 Freistellung, Zugangsbeschränkung

Der Kunde stellt DC von jeglicher Inanspruchnahme durch Dritte im Zusammenhang mit einer Verletzung der Pflichten aus dieser Ziffer 3 einschließlich der durch die Inanspruchnahme ausgelösten Kosten frei.

Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die Verpflichtungen aus Ziffer 3 sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen DC auf Unterlassen der vollständigen oder teilweisen Darbietung der auf der DC Plattform abgelegten Inhalte über das Internet, ist DC berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Kunden die Anbindung dieser Inhalte an das Internet ganz oder teilweise mit sofortiger Wirkung vorübergehend oder dauerhaft einzustellen oder anderweitig zu sperren, wenn der Kunde solche Inhalte nicht innerhalb einer Frist von 24 Stunden nach Erhalt einer entsprechenden Aufforderung selbst sperrt. Im Falle (i) eines erheblichen Verstoßes gegen die vorgenannten Verpflichtungen, (ii) besonderer Eilbedürftigkeit oder Gefahr im Verzug, (iii) einer nicht offensichtlich rechtswidrigen behördlichen Anordnung oder einer gerichtlichen Entscheidung sowie (iv) im Falle einer gesetzlichen Verpflichtung kann DC die Anbindung dieser Inhalte auch ohne Vorankündigung einstellen oder anderweitig sperren; in diesem Fall wird DC den Kunden über diese Maßnahme unverzüglich informieren.

4 Updates

Updates der bestehenden Funktionen im Rahmen des definierten Leistungsumfangs sind während der Vertragslaufzeit inbegriffen. Im Rahmen der Wartung werden die DC-Services an marktübliche technische Änderungen angepasst, bemüht sich jedoch, grundlegende und umfassende Änderungen, die jeweils eine Neuerstellung der DC-Services oder Teilen hiervon erforderlich machen, zu vermeiden.

Da DC die Leistungen zudem im Wesentlichen sämtlichen Kunden als sogenannte Software-as-a-Service Leistungen einheitlich zur Verfügung stellt, unterliegen die mit dem Kunden vereinbarten DC-Services einem einseitigen Änderungsrecht von DC, sofern solche Änderung zur Korrektur von Fehlern, zur Aktualisierung und Vervollständigung, zur programmtechnischen Optimierung, zur besseren Handhabung oder aus lizenzrechtlichen Gründen erforderlich sind. Führt eine solche Änderung zu einer nicht nur unerheblichen Herabwertung der dem Kunden zustehenden Leistungen, so kann der Kunde wahlweise eine Reduzierung der Vergütung entsprechend der Herabwertung verlangen oder den Vertrag ohne Einhaltung einer Frist kündigen. Das Kündigungsrecht kann innerhalb einer Frist von acht Wochen ab Eintritt der Änderung ausgeübt werden.

5 Weitere Leistungen

Über den vertraglich vereinbarten Funktionsumfang der DC-Services hinausgehende Kundenwünsche können nach einer Machbarkeitsprüfung über gesonderte Kostenvoranschläge beauftragt werden. Die Abrechnung dieser Entwicklungsleistungen erfolgt nach Zeit, Material und Aufwand.

6 Support

Für die Kommunikation des Kunden mit dem technischen Servicedesk von DC wird auf Anfrage des Kunden und nur gegen entsprechende Vergütung ein Ticketsystem bereitgestellt, das per E-Mail erreichbar ist. Anfallende Probleme werden im Ticketsystem aufgenommen und die Problemlösung hierüber gesteuert und dokumentiert.

Der Kontakt des Supports wird mit einer Empfangsbestätigung quittiert. Die darauffolgende Rückmeldung beinhaltet (soweit zu diesem Zeitpunkt möglich) eine Information zur Dauer der Problembehebung.

7 Datenschutz

DC und der Kunde sichern zu, alle gesetzlich anzuwendenden Datenschutzbestimmungen sowie sämtliche behördlichen Vorgaben zu beachten und einzuhalten. Soweit DC im Rahmen der DC-Services als Auftragsverarbeiter des Kunden handelt, werden Vertragsparteien eine Auftragsverarbeitungsvereinbarung abschließen.

Der Kunde ist für die datenschutzrechtliche Zulässigkeit der Übermittlung von Kundendaten, einschließlich der personenbezogenen Daten seiner Endnutzer verantwortlich. Der Kunde hat sicherzustellen, dass er zur Übermittlung der betreffenden Kundendaten an DC berechtigt ist, so dass DC und seine Dienstleister die Kundendaten in Übereinstimmung mit diesem Vertrag im Auftrag des Kunden rechtmäßig verwenden, verarbeiten und übermitteln dürfen.

8 Zugriff auf Daten durch DC

Der Kunde stellt DC sämtliche Daten zur Verfügung, die für DC zur Erfüllung der vertraglichen Verpflichtungen erforderlich sind. Der Kunde räumt DC hiermit das Recht ein, diese Daten zu hosten, zu kopieren, darauf zuzugreifen, sie zu verarbeiten, zu übermitteln und anzuzeigen, um

die DC-Services aufrechtzuerhalten, bereitzustellen und zu verbessern und diesen Vertrag zu erfüllen;
technische Probleme oder Sicherheitsprobleme zu verhindern oder zu bewältigen und Support-Anfragen zu klären;
zu untersuchen, ob der Kunde oder ein Endnutzer gegen diesen Vertrag oder gesetzliche Vorschriften verstoßen hat.

9 Gewährleistung

DC weist darauf hin, dass es nach dem derzeitigen Stand der Technik nicht möglich ist, Hard- und Software so zu erstellen, dass sie in allen Anwendungskombinationen fehlerfrei arbeitet oder gegen jedwede Manipulation durch Dritte geschützt werden kann. DC gewährleistet daher nicht, dass von DC eingesetzte oder bereitgestellte Hard- und Software den Anforderungen des Kunden genügt, für bestimmte Anwendungen geeignet ist, und ferner, dass diese absturz-, fehler- und frei von Schadsoftware sind.

Der Kunde wird aufgetretene Mängel und Fehler DC unmittelbar nach ihrer Feststellung in schriftlicher oder in Textform nachvollziehbar mitzuteilen.

Soweit die vertragsgemäße Nutzung der DC Services infolge eines Mangels, der der mietvertraglichen Mängelhaftung unterliegt, aufgehoben ist, ist der Kunde für die Zeit, in der die Nutzung aufgehoben ist, von der Entrichtung der Vergütung für die beeinträchtigte Leistung befreit. Für die Zeit, während der die Tauglichkeit zum vertragsgemäßen Betrieb gemindert ist, hat der Kunde nur ein angemessen herab gesetztes Entgelt zu entrichten.

Soweit die von DC erbrachten Leistungen der werkvertraglichen Mängelhaftung unterliegen, steht das Wahlrecht über die Nacherfüllung DC zu. Ist DC zur Mängelbeseitigung oder zur fehlerfreien Erneuerung nicht in der Lage, wird DC dem Kunden Umgehungsmöglichkeiten (Workarounds) aufzeigen. Soweit diese dem Kunden zumutbar sind, gelten sie als Nacherfüllung.

10 Haftungsbeschränkung

DC haftet, gleich aus welchem Rechtsgrund, nur nach Maßgabe der nachstehenden Regelungen.

10.1 DC haftet bei Vorsatz und grober Fahrlässigkeit nach den gesetzlichen Vorschriften.

10.2 Bei leichter Fahrlässigkeit haftet DC nur bei Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht, und auf deren Einhaltung der Kunde regelmäßig vertrauen darf (Kardinalpflicht). In diesen Fällen haftet DC lediglich in Höhe des vorhersehbaren, vertragstypischen Schadens. Eine Haftung für mittelbare und / oder Folgeschäden sowie für reine Vermögensschäden, wie z.B. entgangenen Gewinn, ausgebliebene Einsparungen oder Nutzungsausfall ist ausgeschlossen. Die Haftung ist im Falle leichter Fahrlässigkeit der Höhe nach begrenzt auf die in den 12 Monaten vor dem Schadensfall gezahlte Nettovergütung pro Schadensfall. In Fällen leichter Fahrlässigkeit ist die Haftung für alle übrigen Schäden, insbesondere mittelbare Schäden ausgeschlossen.

10.3 Die vorstehende Beschränkungen gelten nicht bei einer Verletzung von Leben, Körper oder Gesundheit, sowie bei einer Haftung nach dem Produkthaftungsgesetz.

10.4 Für den Verlust von Daten und/oder Programmen haftet DC insoweit nicht, als der Schaden darauf beruht, dass es der Kunde unterlassen hat, ihm obliegende ordnungsgemäße Datensicherungen durchzuführen und dadurch sicherzustellen, dass verloren gegangene Daten mit vertretbarem Aufwand wiederhergestellt werden können.

10.5 DC haftet nicht für Unterbrechungen, Störungen, Ausfälle oder sonstige schadensverursachende Ereignisse, die außerhalb des Einflussbereichs von DC liegen und die DC nicht zu vertreten hat (z.B. Hacker-Angriffe / sonstige Cyber-Risiken/Attacken).

10.6 Jegliche verschuldensunabhängige Haftung von DC für anfängliche Mängel aufgrund von § 536a BGB ist ausgeschlossen. Für solche anfänglichen Mängel, haftet DC daher nur, wenn und soweit DC sie zu vertreten hat.

10.7 Soweit die Haftung von DC ausgeschlossen oder beschränkt ist, gilt dies auch für die Haftung der Arbeitnehmer, sonstigen Mitarbeiter, Vertreter und Erfüllungsgehilfen von DC.

11 Rechte Dritter / Freistellung / Sonderkündigung

11.1 DC stellt den Kunden auf eigene Kosten von allen Ansprüchen Dritter aufgrund Verletzung oder widerrechtlicher Nutzung geistiger Eigentumsrechte dieses Dritten durch die DC-Services frei. Dies gilt nicht, soweit ein solcher Anspruch auf einer schuldhaften Pflichtverletzung des Kunden gegenüber DC aus diesem Vertrag beruht. Der Kunde wird DC unverzüglich über die geltend gemachten Ansprüche Dritter informieren. Informiert er DC nicht unverzüglich über die geltend gemachten Ansprüche, erlischt dieser Freistellungsanspruch.

11.2 Im Falle eines Freistellungsanspruchs aufgrund von Schutzrechtsverletzungen im Sinne von Ziffer 12.1 darf DC nach eigener Wahl und auf eigene Kosten hinsichtlich der betroffenen Leistung (a) nach vorheriger Absprache mit dem Kunden Änderungen vornehmen, die unter Wahrung der Interessen des Kunden gewährleisten, dass eine Schutzrechtsverletzung nicht mehr vorliegt, oder (b) für den Kunden die erforderlichen Nutzungsrechte erwerben.

11.3 Sofern die vorstehend unter (a) und (b) dargestellten Maßnahmen nicht oder nur mit unverhältnismäßigem Aufwand umgesetzt werden können, kann DC den betroffenen Teil des Vertrages außerordentlich und ohne Einhaltung einer Kündigungsfrist kündigen. Sofern der verbleibende Teil der vertraglichen Leistungen für den Kunden nicht mehr sinnvoll ist, kann der Kunde den Vertrag seinerseits innerhalb von zwei Wochen nach Erhalt der Kündigung von DC außerordentlich und mit sofortiger Wirkung kündigen.

12 Verfügbarkeiten, Wartungsfenster

DC trägt dafür Sorge, dass die DC Services im Wesentlichen in Übereinstimmung mit dem definierten Funktionsumfang bereitgestellt werden

DC gewährleistet eine Mindestverfügbarkeit der DC-Services von ca. 98% pro Kalendermonat, wobei Unterschreitungen möglich und üblich sind. Im Falle eines Ausfalls der Verfügbarkeit, die in der Sphäre des Auftragnehmers liegt, wird der Auftragnehmer unverzüglich alles wirtschaftlich Vertretbare unternehmen, um die Verfügbarkeit wiederherzustellen.

Wartungsfenster, das Aufspielen von Patches, Updates oder Upgrades und Upgrades der Hardwareinfrastruktur werden, je nach Möglichkeit, mit dem Kunden abgestimmt und werden bei der Berechnung der Verfügbarkeit nicht mitgerechnet.

13 Vergütung und Laufzeit

13.1 Vergütung

Die Vergütung sind in dem jeweiligen Bestellformular angegeben und richten sich nach der Anzahl der Endnutzer und der Version des erworbenen Dienstes. Der Kunde zahlt alle Gebühren bei Fälligkeit und ist für die Angabe vollständiger und richtiger Abrechnungsinformationen verantwortlich. Werden diese Gebühren per Kreditkarte oder auf anderem elektronischem Wege bezahlt, bevollmächtigt der Kunde DC, diese Gebühren unter Anwendung des vom Kunden gewählten Zahlungsmittels in Rechnung zu stellen. DC behält sich das Recht zur Sperrung des Accounts des Kunden sowie aller sonstigen ihm verfügbaren Rechte für den Fall vor, dass der Kunde mit der Zahlung der Vergütung in Verzug kommt.

13.2 Laufzeit und Verlängerung

Der Kunde vereinbart, dass sein Abonnement sich jährlich oder monatlich je nach Abonnement des Kunden automatisch verlängern. Der Kunde muss vor dem Verlängerungsdatum kündigen, um eine Abrechnung der Abonnementsgebühren für den nächsten Zeitraum zu vermeiden. DC behält sich das Recht vor, die Gesamtzahl von Endnutzern in regelmäßigen Abständen zu ermitteln und für den Fall, dass die Anzahl der Endnutzer höher ist als im laufenden Abonnement des Kunden vorgesehen, dem Kunden die jeweilige Stufe anteilig für die verbleibende Zeit des Abonnements in Rechnung zu stellen.

13.3 Änderungen der Vergütung

DC behält sich das Recht vor, die Gebührensätze und/oder die Struktur der abrechnungsfähigen Beträge für den Dienst jederzeit zu ändern. DC wird den Kunden über Änderungen der Vergütung spätestens sechs Wochen vor Inkrafttreten der Änderungen in Textform informieren. Sofern der Kunde innerhalb von vier Wochen nach Zugang einer Mitteilung über eine Preiserhöhung mindestens in Textform widerspricht, hat DC das Wahlrecht, den Vertrag zu unveränderten Konditionen fortzuführen oder aber den Vertrag unter Einhaltung einer Kündigungsfrist von drei Monaten zu kündigen.

14 Kündigung

14.1 Kündigung

Der Vertrag kann vom Kunden unter Einhaltung einer dreimonatigen Kündigungsfrist zum Ende der jeweiligen Vertragslaufzeit schriftlich gekündigt werden. DC kann den Vertrag mit einer Frist von drei Monaten jederzeit kündigen.

14.2 Kündigung aus wichtigem Grund

Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt davon unberührt. Ein wichtiger Grund liegt für DC insbesondere vor, wenn der Kunde

– mit der Zahlung der Vergütung mit einem Betrag in Höhe von insgesamt zwei monatlichen Vergütungen bzw. eines nicht unerheblichen Teils der monatlichen Vergütung in Verzug gerät;

– schuldhaft gegen eine wesentliche Vertragspflicht verstößt, und der Kunde trotz Abmahnung innerhalb angemessener Frist nicht Abhilfe schafft;

– in eine wirtschaftliche Situation gerät bzw. eine wesentliche Vermögensverschlechterung des Kunden eintritt, die es wahrscheinlich macht, dass der Kunde seinen vertraglichen Pflichten nicht mehr nachkommen kann;

– gegen gesetzliche Verbote, insbesondere die Verletzung urheber-, wettbewerbs-, namens- oder datenschutzrechtliche Bestimmungen, verstößt;

– schwerwiegend oder wiederholt gegen seine Verpflichtungen aus Ziffer 3.6, Ziffer 3.7, Ziffer 3.8 oder gegen sonstige, die IT-Sicherheit oder Rechte Dritter schützende Vorgaben aus diesem Vertrag verstößt; oder

– nationalsozialistische, rassistische, radikale, oder illegale Inhalte veröffentlicht.

DC ist zudem zur fristlosen Kündigung berechtigt, wenn über das Vermögen des Kunden ein Antrag auf Eröffnung des Insolvenzverfahrens oder eines vergleichbaren Verfahrens gestellt und nicht innerhalb von zwei Monaten nach Antragstellung vom Insolvenzgericht zurückgewiesen oder zurückgenommen worden ist bzw. wenn die Eröffnung des Insolvenzverfahrens mangels Masse abgelehnt wurde.

15 Vertraulichkeit

Jede der Vertragsparteien verpflichtet sich, den Inhalt dieses Vertrages und die von der jeweiligen anderen Vertragspartei und/oder einem mit diesem im Sinne von §§ 15 ff. AktG verbundenen Unternehmen im Zusammenhang mit diesem Vertrag mündlich, schriftlich oder in sonstiger Weise offenbarten oder zur Kenntnis gelangten, nicht allgemein und/oder öffentlich und/oder der empfangenden Partei bereits bekannten Informationen, Unterlagen und Dokumente („Vertrauliche Informationen“) während und nach Beendigung dieses Vertrages geheim zu halten. Die empfangende Vertragspartei verpflichtet sich außerdem, die Vertraulichen Informationen ausschließlich für die Zwecke dieses Vertrages zu verwenden und die Vertraulichen Informationen weder direkt noch indirekt Dritten zu offenbaren und nur solchen Angestellten, (externen) Mitarbeitern und Beratern zugänglich zu machen, welche die Vertraulichen Informationen für den Zweck dieses Vertrages zwingend benötigen und ihrerseits entsprechend zur Vertraulichkeit verpflichtet sind. Mit der empfangenden Vertragspartei im Sinne von § 15 ff. AktG verbundene Unternehmen gelten nicht als Dritte im Sinne des vorstehenden Satzes, sofern diese Unternehmen selbst gegenüber der empfangenden Vertragspartei entsprechend zur Vertraulichkeit verpflichtet sind und ihre Angestellten, (externen) Mitarbeiter und Berater ebenfalls entsprechend zur Vertraulichkeit verpflichtet haben. Sämtliche Rechte an den Vertraulichen Informationen verbleiben bei der jeweiligen offenbarenden Vertragspartei.

16 Allgemeine Bestimmungen

Nebenabreden zu diesem Vertrag sind nicht getroffen. Vertragsänderungen bedürfen der Schriftform. Dies gilt auch für Vereinbarungen über die Aufhebung des vereinbarten Schriftformerfordernisses.

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

Erfüllungsort ist der Sitz von DC. Gerichtsstand für alle Streitigkeiten zwischen den Vertragsparteien aus und in Zusammenhang mit dem vorliegenden Vertragsverhältnis ist Düsseldorf. DC ist darüber hinaus berechtigt, den Kunden an seinem jeweiligen Sitz zu verklagen.

Sollte eine Bestimmung des Vertrages unwirksam sein oder werden oder sollte der Vertrag eine ausfüllungsbedürftige Lücke enthalten, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Vertragsparteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am ehesten entspricht. Gleiches gilt im Falle einer Vertragslücke.

VERTRAG ÜBER DIE VERARBEITUNG VON DATEN IM AUFTRAG

Auftragsverarbeitungsvertrag nach Art. 28 Datenschutz-Grundverordnung (DSGVO)
und § 62 Bundesdatenschutzgesetz (BDSG)

Zwischen dem Kunden / (Verantwortlicher)

und

Digital Control GmbH & Co. KG
Kaistraße 16a
40221 Düsseldorf

– Auftragnehmer / Auftragsverarbeiter –

1 Allgemeines
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Kunden i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten. Er findet Anwendung auf alle
Tätigkeiten, bei denen Mitarbeiter des Auftragsverarbeiters oder durch den Auftragsverarbeiter beauftragte weitere Auftragsverarbeiter mit personenbezogenen Daten des Verantwortlichen in Berührung kommen können.

Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.

2 Gegenstand des Auftrags
Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die
Kategorien betroffener Personen sind in „Anlage 1 – Gegenstand des Auftrags“ zu diesem Vertrag festgelegt.

3 Rechte und Pflichten des Kunden

3.1
Der Kunde ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Der Kunde bleibt für die Verarbeitung personenbezogener Daten, die in seinem Auftrag erfolgt, allein verantwortlich. Der Auftragnehmer wird diese Daten daher nur auf Weisung des Kunden verarbeiten, sofern er nicht nach den gesetzlichen Vorschriften zu einer anderweitigen Verarbeitung verpflichtet ist.

3.2
Der Kunde ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Kunden unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.

3.3
Der Kunde hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen müssen in Textform (z. B. E-Mail) erfolgen.

3.4
Der Kunde gewährleistet, dass aus den für ihn zu erhebenden oder von ihm übermittelten Daten nicht unmittelbar die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso übermittelt er keine Daten über strafrechtliche Verurteilungen oder Straftaten, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person.3.5

Der Kunde kann weisungsberechtigte Personen benennen. Sofern weisungsberechtigte Personen benannt werden sollen, werden diese im Anhang benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Kunden ändern, wird der Kunde dies dem Auftragnehmer in Textform mitteilen.

3.6
Der Kunde informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt. Im Falle der irrtümlichen Übermittlung von Daten wird der Kunde den Auftragnehmer unverzüglich informieren und ihn und mögliche Unterauftragnehmer auf seine Kosten dabei unterstützen die entsprechenden Informationen aus den Systemen zu entfernen.

3.7
Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO
oder einer sonstigen, für den Kunden geltenden gesetzlichen Meldepflicht besteht, ist der Kunde für deren Einhaltung verantwortlich.

4.6
Der Auftragnehmer kann dem Kunden die Person(en) benennen, die zum Empfang von Weisungen des Kunden berechtigt sind. Sofern weisungsempfangsberechtigte Personen benannt werden sollen, werden diese im Anhang benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen beim Auftragnehmer ändern, wird der Auftragnehmer dies dem Kunden in Textform mitteilen.

5 Datenschutzbeauftragte

5.1
Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Datenschutzbeauftragte des Kunden ist zur Erteilung, der Datenschutzbeauftragte des Auftragnehmers zum Empfang von Weisungen berechtigt.

5.2
Die Pflicht zur Benennung eines Datenschutzbeauftragten kann im Ermessen des Auftragnehmers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Kunden gewährleisten.

5.3
Der Datenschutzbeauftragte wird von der jeweiligen Partei in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden und die Einhaltung der datenschutzrechtlichen Vorschriften überwachen. Die Parteien können den Datenschutzbeauftragten der jeweils anderen Partei zu allen Fragen bei der Verarbeitung von personenbezogenen Daten gemäß diesem Vertrag zu Rate ziehen.

6 Meldepflichten des Auftragnehmers

6.1
Der Auftragnehmer ist verpflichtet, dem Kunden jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Kunden, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Kunden verarbeitet.

6.2
Ferner wird der Auftragnehmer den Kunden unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Kunden erbringt, betreffen kann.

6.3
Dem Auftragnehmer ist bekannt, dass für den Kunden eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Kunden bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Kunden insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragnehmers an den Kunden muss insbesondere folgende Informationen beinhalten:

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

7 Mitwirkungspflichten des Auftragnehmers

7.1
Der Auftragnehmer unterstützt den Kunden bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSGVO. Wendet ein Betroffener sich an den Auftragnehmer, leitet dieser den Antrag des Betroffenen unverzüglich an den Kunden weiter. Ohne eine Weisung des Kunden wird der Auftragnehmer Betroffenenanträge nicht selbst beantworten. Außerdem unterstützen die Parteien sich unter Berücksichtigung der Art der Auftragsverarbeitung und der ihnen zur Verfügung stehenden Informationen bei der Einhaltung ihrer gesetzlichen Pflichten zum Datenschutz. Namentlich gilt dies für die Pflicht, die Sicherheit der Verarbeitung zu gewährleisten, Verletzungen des Datenschutzes an die Aufsichtsbehörde zu melden sowie die Betroffenen davon zu benachrichtigen, eine Datenschutz-Folgeabschätzung durchzuführen, die Aufsichtsbehörde zu konsultieren und ein Verzeichnis der Tätigkeiten bei der Auftragsverarbeitung zu erstellen.

7.2
Der Auftragnehmer unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32–36 DSGVO genannten Pflichten.

8 Kontrollbefugnisse

8.1
Der Kunde hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Kunden durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren. Der Auftragnehmer ist dem Kunden gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.

8.2
Der Kunde kann eine Einsichtnahme in die vom Auftragnehmer für den Kunden verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.

8.3
Der Kunde kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Kunde wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören.

8.4
Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Kunden i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Kunden zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Kunde ist über entsprechende geplante Maßnahmen vom Auftragnehmer zu informieren.

8.5
Der Auftragnehmer kann gegen einen beauftragten Prüfer, der mit ihm in Wettbewerb steht, Einspruch erheben. Vor der Überprüfung hat sich der Kunde bzw. Prüfer zur Vertraulichkeit zu verpflichten. Der Nachweis von Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann auch durch Testate oder Berichte einer unabhängigen Stelle
(bspw. Wirtschaftsprüfer oder Datenschutzauditor) erbracht werden. Das gleiche gilt für
genehmigte oder sonst geeignete Zertifizierungen durch eine unabhängige Stelle.

9 Unterauftragsverhältnisse

9.1
Der Auftragnehmer ist berechtigt, weitere Unterauftragnehmer hinzuzuziehen oder die
in Anspruch genommenen Unterauftragnehmer durch andere Unterauftragnehmer zu ersetzen. Der Auftragnehmer informiert den Kunden jedoch vorab über die beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung. Dadurch erhält der Kunde die Möglichkeit, gegen beabsichtigte Änderung Einspruch zu erheben. Sowohl die Information (z. B. durch Zusendung einer per E-Mail) als auch der Einspruch bedürfen der Textform. Erhebt der Kunde ohne wichtigen Grund Einspruch gegen die Änderung, ist der Auftragnehmer mit einer Frist von sechs Wochen zur vorzeitigen Kündigung sowohl dieses Vertrages als auch eines möglicherweise bestehenden Hauptvertrages berechtigt.

9.2
Der Auftragnehmer wird alle Unterauftragsverhältnisse zu diesem Vertrag angeben. Soweit ein Unterauftragnehmer die Daten in einem Drittland verarbeitet, ist dies zu vermerken. Insoweit stimmt der Kunde der Datenübermittlung in das Drittland zu.

9.3
Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der
Beauftragung zu prüfen, dass dieser die zwischen Kunde und Auftragnehmer getroffenen Vereinbarungen einhalten kann.

9.4
Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht.

9.5
Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 4 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Kunden erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste.

10 Vertraulichkeitsverpflichtung

10.1
Der Auftragnehmer ist bei der Verarbeitung von Daten für den Kunden zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Kunden obliegen. Der Kunde ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.

10.2
Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit verpflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Kunden informiert hat.

11 Wahrung von Betroffenenrechten

11.1
Der Kunde ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Kunden bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Kunden erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.

11.2
Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – durch den Kunden erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Kunden treffen. Der Auftragnehmer wird den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.

12 Geheimhaltungspflichten

12.1
Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.

12.2
Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die
öffentlich bekannt sind.

13 Vergütung

13.1
Der Auftragnehmer erbringt die Umsetzung der durch einen möglicherweise bestehenden Hauptvertrag oder Auftrag festgelegten Weisungen und sorgt für die Einhaltung der allgemeinen und technischen und organisatorischen Maßnahmen, ohne dem Kunden dafür Kosten nach diesem Vertrag zu berechnen.

13.2
Dagegen fallen die Kosten für die Umsetzung von Einzelweisungen und sonstiger Verlangen dem Kunden zur Last. Dies gilt insbesondere für die Unterstützung bei der Beantwortung von Betroffenenanträgen und bei der Einhaltung sonstiger Pflichten, die dem Kunden obliegen, für die Rückgabe und Vernichtung von Daten, soweit diese über eine
Löschung im System des Auftragnehmers hinausgeht, für die Zurverfügungstellung von Informationen, soweit diese nicht überwiegend im Interesse des Auftragnehmers liegt, und für das Ermöglichen und Beitragen zu Prüfungen einschließlich Inspektionen. Ebenso fallen die Kosten für Maßnahmen, deren Erforderlichkeit eine Partei schuldhaft verursacht hat, dieser Partei zur Last. Ein Mitverschulden der jeweils anderen Partei ist jedoch zu berücksichtigen.

13.3
Auf Verlangen wird der Auftragnehmer dem Kunden vorab eine Kostenschätzung geben. Zu den Kosten gehört auch eine angemessene Vergütung des Arbeitsaufwands.

14 Technische und organisatorische Maßnahmen zur Datensicherheit

14.1
Der Auftragnehmer verpflichtet sich gegenüber dem Kunden zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden
Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

14.2
Der Kunde erkennt diese Maßnahmen als nach dem Stand der Technik ausreichend an. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Kunden abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Kunden umgesetzt werden. Der Kunde kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.

14.3
Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Kunden informieren.

15 Haftung
Art. 82 DSGVO findet Anwendung.

16 Dauer des Auftrags

16.1
Die Dauer des Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages, sofern dieser definiert wurde. Andernfalls gilt: Der Vertrag beginnt mit Unterzeichnung und wird auf unbestimmte Zeit geschlossen. Er ist mit einer Frist von drei Monaten zum Quartalsende kündbar.

16.2
Der Kunde kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Kunden nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Kunden oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.

17 Schlussbestimmungen

17.1
Sollte das Eigentum des Kunden beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Kunden unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

17.2
Änderungen und Ergänzungen dieser Anlage zum Datenschutz und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format erfolgen kann und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung der Bedingungen aus dieser Anlage zum Datenschutz handelt. Für die Regelungen zu Subunternehmern bleibt in jedem Fall Schriftform erforderlich im Hinblick auf Art. 28 Abs. 2 Satz 1 DS-GVO.

17.3
Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit dieser Anlage zum Datenschutz im Übrigen nicht.

17.4
Es gilt deutsches Recht.

18 Anlage 1 – Gegenstand des Auftrags

18.1 Gegenstand und Zweck der Verarbeitung
Der Auftrag des Kunden an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:
Digital Control betreibt eine Software für Prozesse in der Mediaplanung und im Digitalmarketing. Digital Control stellt seinen Kunden für sein Kampagnenmanagement eine Plattform sowie diese Software cloudbasiert „as a Service“ zur Verfügung.
Im Kern handelt es sich dabei um den Zugriff und die Nutzung einer Campaign Management Plattform wie im Hauptvertrag beschrieben.

18.2 Art(en) der personenbezogenen Daten
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
Namen, E-Mail Adressen, Passwörter, Geburtsdaten, IP Adressen

18.3 Kategorien betroffener Person
Kreis der von der Datenverarbeitung betroffenen Personen:
Kunden der DC