Home FAQ Support Über uns Preise

Auftragsverarbeitungsvertrag

Bedingungen über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DSGVO


Dieser Auftragsverarbeitungsvertrag ("AVV") gilt zwischen der Danzr UG (haftungsbeschränkt) ("Auftragnehmer") und der Partei, die in dem jeweiligen Bestellformular als Kunde angegeben ist ("Auftraggeber"). Dieser AVV tritt am letzten Datum in Kraft, an dem die Parteien ein Bestellformular unter Einbeziehung dieser Bedingungen abschließen (das "Datum des Inkrafttretens"). Auftraggeber und Auftragnehmer werden nachfolgend jeder auch als "Partei" und gemeinsam als "Parteien" bezeichnet.

Zur besseren Lesbarkeit wird in diesem AVV das generische Maskulinum verwendet. Die verwendeten Personenbezeichnungen beziehen sich auf alle Geschlechter.

Danzr kann diese Vereinbarung von Zeit zu Zeit überarbeiten, indem es die geänderte Version auf seiner Website veröffentlicht. Indem der Kunde nach dem Datum des Inkrafttretens von Änderungen an dieser Vereinbarung weiterhin auf den Dienst zugreift oder ihn nutzt, erklärt er sich mit der überarbeiteten Version der Vereinbarung einverstanden.

Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich Tanzschulen-Verwaltung gemäß dem Vertrag welcher zwischen Auftraggeber und Auftragnehmer über das Bestellformular zustande kommt (im Folgenden "Hauptvertrag"). Teil der Durchführung des Hauptvertrages ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung ("DSGVO").


§ 1 Gegenstand und Umfang der Beauftragung

  1. Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten") erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO verarbeitet.
  2. Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt ausschließlich in der in Anlage 1 spezifizierten Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Anlage 2 zu diesem AVV dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
  3. Dem Auftragnehmer ist eine abweichende oder über die Festlegungen in den Anlagen 1 und 2 hinausgehende Verarbeitung von Auftraggeberdaten untersagt. Dies gilt auch für die Verwendung anonymisierter Daten.
  4. Die Verarbeitung der Auftraggeberdaten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind.
  5. Die Bestimmungen dieses AVVs finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

§ 2 Weisungsbefugnisse des Auftraggebers

  1. Der Auftragnehmer verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Auftraggebers i. S. v. Art. 28 DSGVO (Auftragsverarbeitung), dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
  2. Weisungen werden vom Auftraggeber grundsätzlich schriftlich erteilt. Die weisungs- und empfangsberechtigten Personen ergeben sich aus Anlage 3. Bei einem Wechsel oder einer längerfristigen Verhinderung der in Anlage 3 benannten Personen ist der anderen Partei unverzüglich der Nachfolger bzw. Vertreter zu benennen. Der Auftragnehmer wird dem Auftraggeber einen Wechsel der Person des Weisungsberechtigten frühzeitig anzeigen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt.
  3. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

§ 3 Schutzmaßnahmen des Auftragnehmers

  1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
  2. Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses AVVs betraut werden (im Folgenden "Mitarbeiter" genannt), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.
  3. Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
  4. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

§ 4 Informations- und Unterstützungspflichten des Auftragnehmers

  1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 48 Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldungen gemäß § 4 Abs. 1 S. 1 enthalten jeweils zumindest die in Art. 33 Abs. 3 DSGVO genannten Angaben.
  2. Der Auftragnehmer wird den Auftraggeber im Falle des § 4 Abs. 1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.
  3. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß § 7 Abs. 1 dieses AVVs erforderlich sind. Ferner wird der Auftragnehmer dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung stellen.

§ 5 Sonstige Verpflichtungen des Auftragnehmers

  1. Der Auftragnehmer ist verpflichtet ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.
  2. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu unterstützen.
  3. Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als "Verantwortlichem" im Sinne der DSGVO liegt.

§ 6 Subunternehmerverhältnisse

  1. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen nicht zur Begründung von Unterauftragsverhältnissen mit Subunternehmern ("Subunternehmerverhältnis") befugt. Ausnahmen sind nur nach vorheriger ausdrücklicher schriftlicher Zustimmung des Auftraggebers im Einzelfall zulässig. In diesem Fall hat der Auftragnehmer dafür Sorge zu tragen, dass die in diesem AVV vereinbarten Regelungen auch gegenüber den von ihm beauftragten Subunternehmen gelten, wobei dem Auftraggeber gegenüber dem Subunternehmer sämtliche Kontrollrechte gemäß § 7 dieses AVVs einzuräumen sind. Subunternehmerverhältnisse zu Dritten außerhalb des Europäischen Wirtschaftsraumes sind nicht gestattet.
  2. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Serverleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

§ 7 Kontrollrechte

  1. Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses AVVs, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß § 3 Abs. 3 dieses AVVs, zu überzeugen. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
  2. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.
  3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

§ 8 Rechte Betroffener

  1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 10 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftragnehmer nicht selbst über die entsprechenden Informationen verfügt.
  2. Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DSGVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von 10 Werktagen zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.
  3. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.

§ 9 Laufzeit und Kündigung

  1. Die Laufzeit dieses AVVs entspricht der Laufzeit des Hauptvertrages. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend. Im Zweifel gilt eine Kündigung des Hauptvertrages auch als Kündigung dieses AVVs und eine Kündigung dieser AVVs als Kündigung des Hauptvertrages.
  2. Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses AVVs aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer seinen Pflichten aus diesem AVV nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer zunächst eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann. Nach fruchtlosem Ablauf dieser Frist steht dem Auftraggeber sodann das Recht zur außerordentlichen Kündigung zu.

§ 10 Löschung und Rückgabe nach Vertragsende

  1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrages oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragsnehmer für eine Dauer von 180 Tagen aufzubewahren und auf Verlangen an den Auftragsgeber herauszugeben.
  2. Der Auftragnehmer wird dem Auftraggeber die Löschung schriftlich bestätigen, wenn der Auftrageber dies wünscht. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren; § 7 Abs. 2 dieses AVVs gilt hierfür entsprechend.
  3. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrages hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

§ 11 Haftung

  1. Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem AVV oder dem Hauptvertrag bleibt hiervon unberührt.
  2. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. § 11 Abs. 2 S. 1 gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

§ 12 Schlussbestimmungen

  1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
  2. Änderungen und Ergänzungen dieses AVVs bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  3. Die Regelungen dieses AVVs gehen im Zweifel den Regelungen des Hauptvertrages vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.
  4. Diese Vereinbarung unterliegt deutschem Recht.

Anlagen


Anlage 1. Konkretisierung von Art, Umfang und Zweck der Datenverarbeitung

Die Daten werden auf folgende Art und Umfang verarbeitet:

  • Sammlung und Aufzeichnung von Kunden- und Mitarbeiterdaten (nachfolgend "Mitgliederdaten") der Tanzschulen.
  • Verarbeitung von persönlichen Mitgliederdaten der Tanzschulen, einschließlich, aber nicht beschränkt auf: Namen, Kontaktinformationen, Kursteilnahmehistorie, Zahlungshistorie und andere relevante Informationen.
  • Organisation und Strukturierung der gesammelten Daten in einem Customer Relationship Management (CRM)-System.
  • Speicherung der Mitgliederdaten auf sicheren Servern.
  • Anpassung oder Änderung der Mitgliederdaten basierend auf Aktualisierungen oder neuen Informationen, die von den Tanzschulen bzw. deren Inhabern bereitgestellt werden.
  • Abrufen und Konsultieren der Mitgliederdaten bei Bedarf.
  • Nutzung der Mitgliederdaten zur Verbesserung des CRM-Systems und zur Erbringung von Dienstleistungen für die Tanzschulen.

Der zugrundeliegende Zweck der Verarbeitung ist in der Leistungsbeschreibung des Hauptvertrages geregelt.


Anlage 2. Beschreibung der Datenarten und der Kategorien betroffener Personen

Verarbeitet werden Daten, die der Auftraggeber für die Tanzschulen-Verwaltung zur Verfügung stellt, namentlich Personendaten (Name, Adresse, E-Mail). Davon betroffen sind alle Personen, welche in der Tanzschule beschäftigt oder angemeldet sind, beispielsweise Kursmitglieder, Kursleiter und ähnliche Angestellte, sowie die Tanzschule führen, namentlich der oder die Tanzschulen-Inhaber.


Anlage 3. Weisungs- und empfangsberechtige Personen

Weisungs- und empfangsberechtigt sind alle Personen, die bei Danzr beschäftigt sind, und von Danzr mit der Bearbeitung und der Erfüllung dieses AVVs betraut werden.

Rechtliches

Impressum

Datenschutz

AGB

Cookie-Einstellungen

Wichtige Links

Kontakt

FAQ

Support

Copyright 2024 © Danzr UG (haftungsbeschränkt). All rights reserved