Nutzungsbedingungen
Unsere Nutzungsbedingungen
1. Anwendungsbereich
1.1 Diese Bedingungen (in weiterer Folge „Nutzungsbedingungen“) regeln die Nutzung der Webseite, der Browser Extension und den Service von NetzBeweis, abrufbar unter: www.netzbeweis.com (.de, .at., .ch) (in weiterer Folge „NetzBeweis“). Die Nutzungsbedingungen gelten zwischen der NetzBeweis GmbH als Betreiberin von NetzBeweis (in weiterer Folge „NetzBeweis GmbH“ oder „uns“) und den Nutzer:innen der Webseite (in weiterer Folge „Nutzer“).
1.2 Darüber hinaus bildet die in diesen Nutzungsbedingungen enthaltene Auftragsverarbeitervereinbarung (ab Punkt 7 inkl der Anhänge) einen integralen Bestandteil dieser Bedingungen. Im Sinne der Auftragsverarbeitervereinbarung ist die NetzBeweis GmbH Auftragsverarbeiter iSd DSGVO und der Nutzer ist Verantwortlicher.
1.3 Mit Anklicken der Checkbox vor Nutzung von NetzBeweis oder Herunterladen der Browser Extension akzeptiert der Nutzer diese Nutzungsbedingungen.
1.4 Die im Zeitpunkt der Nutzung von NetzBeweis geltenden Nutzungsbedingungen werden für die jeweilige Nutzung abgeschlossen. Es kommt zu keiner Registrierung, und es kommt kein dauerhaftes Vertragsverhältnis zustande, außer im Einzelnen wurde abweichendes vereinbart.
2. NetzBeweis
2.1 NetzBeweis funktioniert, indem Sie den relevanten Link, und Ihre E-Mailadresse angeben, oder über die Browser Extension einloggen. Wir erstellen einen Screenshot der Seite, der in einem Bericht festgehalten wird. Der Bericht wird durch uns elektronisch signiert, wodurch der Abrufzeitpunkt angezeigt wird, und dass der Inhalt nicht verändert wurde. Sie haben eine Woche Zeit, den Report herunterzuladen und zu sichern. Danach kann eine Verfügbarkeit nicht garantiert werden. Spätestens nach einem Monat wird jedenfalls der Report gelöscht, Sie können den Report aber auch sofort unter „Report löschen“ wieder löschen.
2.2 Das NetzBeweis Webformular kann ausschließlich öffentliche Webseiten sichern, keine Interaktion mit diesen Seiten ist möglich, hierfür ist die NetzBeweis Browser Extension erforderlich. Detaillierte Informationen zu den Funktionen finden Sie auf unserer Webseite.
2.3 Die Browser Extension sichert die Webseite, wie sie angezeigt wird. Animationen oder sonstige bewegte Bilder können nicht gesichert werden. Aus technischen Gründen kann die Funktion der NetzBeweis Extension nicht für jede beliebige Seite garantiert werden, da unter Umständen programmiertechnische Anpassungen vorgenommen werden müssen.
2.4 Bei technischen Änderungen durch Webseitenbetreiber, insbesondere Social Media, kann es zu Sicherungsfehlern kommen. Bitte schicken Sie uns in diesen Fällen eine E-Mail an info@netzbeweis.com damit die Funktionalität wiederhergestellt werden kann. Für weitere Details zu NetzBeweis beachten Sie bitte die FAQ auf der Webseite www.netzbeweis.com.
2.5 Die Nutzung von NetzBeweis und die Erstellung eines Reports über das Web Formular ist für den Nutzer kostenlos, wenn dieser Betroffener ist, und für eigene Zwecke diesen Report erstellt. Die Nutzung der NetzBeweis Browser Extension ist kostenpflichtig. Eine allfällige Beauftragung eines Anwalts ist kostenpflichtig und basiert auf dem mit diesem abgeschlossenen Vertrag.
2.6 Für Unternehmer (zB Anwälte) und andere Personen, die für Dritte diesen Report erstellen wollen, ist diese Erstellung kostenpflichtig. Hierfür muss eine gesonderte Nutzungsvereinbarung abgeschlossen werden.
2.7 In Hinblick auf technische oder wirtschaftliche Entwicklungen des Internets, gesetzliche Vorschriften oder Anforderungen oder auf Weiterentwicklungen oder Verbesserungen eigener oder dritter Produkte sind wir jederzeit berechtigt, das Service zu ändern.
2.8 Wir sind jederzeit berechtigt, NetzBeweis oder Teile davon – auch ohne Vorankündigung – vorübergehend oder dauerhaft einzustellen.
2.9 Wir sind darüber hinaus jederzeit berechtigt, die Anzahl der Reports, die pro Nutzer erstellt werden können, zu beschränken, wenn der Nutzer nicht eine separate Flat Fee Vereinbarung abgeschlossen hat.
3. Pflichten des Nutzers
3.1 Der Nutzer ist berechtigt, NetzBeweis ausschließlich zur Verfolgung eigener Rechtsansprüche zu nutzen. Eine kommerzielle Nutzung bedarf einer separaten Vereinbarung mit uns.
3.2 Eine Nutzung für Dritte, kommerzielle Zwecke, oder Zwecke, die gegen geltende Rechtsvorschriften, diese Nutzungsbedingungen oder die guten Sitten widersprechen sind unzulässig.
3.3 Der Nutzer ist verantwortlich dafür sicherzustellen, dass er die erforderlichen Rechte hat, die jeweiligen Beweise zu sichern.
3.4 Der Nutzer ist nicht berechtigt, die Schutzmaßnahmen von NetzBeweis zu umgehen, dies zu versuchen, NetzBeweise zu ändern, fälschen, verfälschen oder anderweitig zu manipulieren, oder auf andere Weise den Eindruck zu erwecken, ein inkorrekter Inhalt wurde durch NetzBeweis gesichert. In diesem Fall muss der Nutzer NetzBeweis zusätzlich zu Punkt 3.4 auch Schäden an der Reputation ersetzen. NetzBeweis behält sich vor, Dritten, die aus einem derart gefälschten Beweis potenziell benachteiligt sind, sowie Gerichten, Behörden und Strafverfolgungsbehörden, alle Informationen zu dem Nutzer und der relevanten Beweissicherung zu übergeben.
3.5 Der Nutzer hält NetzBeweis bei Ansprüchen Dritter auf Grund seiner Missachtung dieser Nutzungsbedingungen schad- und klaglos.
4. Nutzungs- und Urheberrechte
4.1 Wir sind im Verhältnis zum Nutzer und Dritten alleinige Rechteinhaber der Inhalte der Webseite, der Browser Extension und des Service dahinter. Dies beinhaltet insbesondere, aber nicht ausschließlich, die Rechte zur Vervielfältigung, Verbreitung, Veröffentlichung, Zugänglichmachung und Bearbeitung.
4.2 Die NetzBeweis GmbH gewährt dem Nutzer das nicht ausschließliche, nicht übertragbare Recht, NetzBeweis im in diesen Nutzungsbedingungen oder einem allfälligen gesonderten Vertrag beschriebenen Umfang für die Dauer des jeweiligen Vertrags zu nutzen. Die Möglichkeit des Nutzers, Dritten die Möglichkeit einzuräumen, NetzBeweis zu nutzen (zB Mandanten, die selbst Beweise sichern), kann im Einzelfall gesondert vereinbart werden.
4.3 Für Softwarekomponenten Dritter gelten die jeweiligen Lizenzbedingungen, die einen integralen Bestandteil dieser Vereinbarungen bilden. Diese finden sich in der jeweilig aktuellen Version im Infobereich der Extension.
4.4 Die Nutzung von NetzBeweis ist ausschließlich zu den in diesen Nutzungsbedingungen genannten Zwecken zulässig.
5. Verfügbarkeit & Gewährleistung
5.1 Eine Eignung von NetzBeweis für einen bestimmten Zweck oder Kompatibilität mit der technischen Umgebung des Nutzers kann nicht gewährleistet werden. Es kann nicht gewährleistet werden, dass NetzBeweis den Erwartungen des Nutzers entspricht.
5.2 Bei Änderungen auf den zu sichernden Webseiten kann es zu Fehlern bei den NetzBeweisen kommen. Beachten Sie auch die Informationen zu den Funktionen von NetzBeweis unter Punkt 2 und in unseren FAQ.
5.3 NetzBeweis macht keine Rechtsberatung oder rechtliche Beurteilung des Inhalts des Reports. Ob der NetzBeweis Report für Ihren konkreten Fall als Beweismittel geeignet ist, kann nicht garantiert werden und sollte von einem Anwalt überprüft werden.
5.4 Der Nutzer muss darüber hinaus überprüfen, ob der Report alle für ihn relevanten Inhalte enthält.
5.5 Wir leisten keine Gewähr für eine gewisse Verfügbarkeit von NetzBeweis. Ausfallszeiten durch Wartungen, Softwareupdates und aufgrund von Umständen (wie etwa technische Probleme Dritter, höhere Gewalt), die nicht im Einflussbereich von uns liegen und daher von uns auch nicht zu vertreten sind und durch die von uns angebotenen Services über das Internet nicht erreichbar sind, können nicht ausgeschlossen werden.
5.6 Wir sind berechtigt, NetzBeweis, zur Gänze oder teilweise stillzulegen, falls dessen Sicherheit oder die Sicherheit von Nutzern gefährdet ist. Dieses Recht besteht auch, falls der Weiterbetrieb des Service oder Teile des Service uns wirtschaftlich nicht zumutbar ist.
6. Rechtswahl & Sonstiges
6.1 Sämtliche im Zusammenhang mit der Nutzung von NetzBeweis entstehende Rechtsstreitigkeiten unterliegen ausschließlich österreichischem materiellem Recht mit Ausnahme der Verweisungsnormen des internationalen Privatrechtes (zB IPRG, Rom I VO).
6.2 Ist der Vertragspartner Verbraucher, so führt die Rechtswahl nicht dazu, dass dem Verbraucher der durch die zwingenden Bestimmungen des Rechts des Staates, in dem er seinen gewöhnlichen Aufenthalt hat, gewährte Schutz entzogen wird.
6.3 Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
7. Datenschutz & Vertrag über eine Auftragsverarbeitung gem Art 28 DSGVO
7.1 Wir verarbeiten personenbezogene Daten der Nutzer auf Grund der geltenden datenschutzrechtlichen Bestimmungen, insbesondere das DSG und die DSGVO. Details finden Sie in unserer Datenschutzerklärung.
8. Geltungsbereich, Definitionen
8.1 Dieser Vertrag regelt die Rechte und Pflichten von Verantwortlichem (der Nutzer) und Auftragsverarbeiter (NetzBeweis GmbH) (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten.
8.2 Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragsverarbeiters oder durch ihn beauftragte Unter-Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten.
8.3 In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutz-Grundverordnung (Verordnung [EU] 2016/679 – DSGVO) zu verstehen.
9. Gegenstand der Vereinbarung
9.1 Gegenstand dieser Vereinbarung ist die Zurverfügungstellung von NetzBeweis (Web oder Extension) und Erstellung von NetzBeweis Reports durch den Auftragsverarbeiter.
9.2 Die Verarbeitung beruht auf den zwischen den Parteien bestehenden Nutzungsbedingungen.
Verarbeitungsgegenstand
9.3 Die Vereinbarung betrifft die Verarbeitung der folgenden Kategorien personenbezogener Daten durch den Auftragsverarbeiter:
- Name und E-Mail des Verantwortlichen,
- Link der gesicherten Webseite,
- Inhalt der Webseite bzw des NetzBeweis Reports,
- Datum und Uhrzeit an dem der Report erstellt wurde,
- Kommentare auf dem Report,
- Sprache des Plugins und Reports,
- Vom Verantwortlichen verwendete Drittanbietertools und Skripte, mit denen NetzBeweise manipuliert werden könnten.
9.4 Die folgenden Kategorien von Personen sind von der Datenverarbeitung betroffen:
- Personen die auf der gesicherten Webseite vorkommen,
- Mitarbeiter des Verantwortlichen,
- Sonstige Nutzer von NetzBeweis.
Verarbeitungszweck
9.5 Personenbezogene Daten werden für folgende Zwecke durch den Auftragsverarbeiter verarbeitet: Beweissicherung von Webseiten, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Ort der Verarbeitung
9.6 Der Auftragsverarbeiter führt die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU/des EWR durch.
Dauer
9.7 Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit dieser Nutzungsbedingungen. Daten werden für die Dauer dieses Vertragsverhältnisses verarbeitet, wenn nicht an anderer Stelle abweichendes vereinbart wurde (zB www.netzbeweis.com/datenschutz).
10. Pflichten des Auftragsverarbeiters
10.1 Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
10.2 Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich aufgrund von Weisungen des Verantwortlichen und des gegenständlichen Vertrages zu verarbeiten und dabei sämtliche Datenschutzvorschriften einzuhalten.
10.3 Sofern der Auftragsverarbeiter eine Weisung des Verantwortlichen als rechtswidrig erachtet, hat er den Verantwortlichen hierüber umgehend schriftlich zu informieren.
10.4 Der Auftragsverarbeiter setzt alle gem Art 32 DSGVO vorgesehenen geeigneten technischen und organisatorischen Maßnahmen im Sinne der Sicherheit der Datenverarbeitung.
10.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen hinsichtlich der Wahrung ihrer Rechte. Sofern ein solcher Antrag an den Auftragsverarbeiter gerichtet wird, leitet dieser ihn umgehend an den Verantwortlichen weiter.
10.6 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der ihn gem Art 32 bis 36 DSGVO treffenden Pflichten, wovon insbesondere, jedoch nicht ausschließlich, die Setzung von Sicherheitsmaßnahmen, die Meldung von Datenschutzverletzungen sowie die Erstellung einer Datenschutz-Folgenabschätzung umfasst ist.
10.7 Nach Beendigung der Verarbeitung sowie auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter die ihm vorliegenden personenbezogenen Daten zu löschen. Wenn der Verantwortliche dies verlangt, sind die personenbezogenen Daten an ihn zurückzugeben.
10.8 Der Auftragsverarbeiter verpflichtet sich dazu, den Verantwortlichen über sämtliche Details zu informieren, welche benötigt werden, um die Einhaltung der gem Art 28 DSGVO bestehenden Pflichten nachzuweisen. Zudem verpflichtet sich der Auftragsverarbeiter dazu, den Verantwortlichen bei den von ihm vorzunehmenden Prüfungen zu unterstützen und ihm angemessene Einsichtnahme zu gewähren.
10.9 Der Auftragsverarbeiter hat ein Verzeichnis über alle Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten gem Art 30 Abs 2 DSGVO zu führen.
10.10 Der Auftragsverarbeiter verpflichtet sich, bei Vorliegen der Bedingungen gem Art 37 DSGVO eine fachkundige und zuverlässige Person als Datenschutzbeauftragten zu bestellen.
10.11 Der Auftragsverarbeiter ist zur vertraulichen Behandlung der ihm gegenüber offengelegten bzw ihm übermittelten oder sonst zur Verfügung gestellten personenbezogenen Daten und Informationen verpflichtet. Ebenso sind die erlangten Kenntnisse der Verarbeitungsergebnisse von dieser Pflicht zur Vertraulichkeit umfasst.
10.12 Der Auftragsverarbeiter hat sämtliche ihm zurechenbare Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, zur Vertraulichkeit zu verpflichten, sofern diese nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- bzw Verschwiegenheitspflicht besteht auch nach Beendigung der Tätigkeit für den Auftragsverarbeiter fort.
10.13 Der Auftragsverarbeiter hat alle mit der Verarbeitung personenbezogener Daten beauftragten Personen zu verpflichten, diese Daten nur aufgrund von Anordnungen zu übermitteln, sofern eine derartige Verpflichtung nicht schon kraft Gesetzes besteht. Zudem hat der Auftragsverarbeiter seine Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
10.14 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Verantwortlichen angewiesen, es sei denn, der Auftragsverarbeiter ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Der Auftragsverarbeiter verwendet darüber hinaus die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
10.15 Der Auftragsverarbeiter stellt dem Verantwortlichen bei Bedarf alle erforderlichen Informationen, insbesondere erstellte Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung.
10.16 Wird der Verantwortliche durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragsverarbeiter den Verantwortlichen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
10.17 Auskünfte an Dritte oder den Betroffenen wird der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Verantwortlichen erteilen, außer ihn trifft eine gesetzliche oder rechtliche Verpflichtung. Direkt an ihn gerichtete Anfragen leitet er unverzüglich an den Verantwortlichen weiter.
10.18 Der Verantwortliche ist berechtigt, nach mindestens 7-tägiger Vorankündigung und in Bezug auf die Verarbeitungstätigkeiten die dieser Vereinbarung zugrunde liegen, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragsverarbeiter in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu den Geschäftszeiten des Auftragsverarbeiters, zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragsverarbeiter soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragsverarbeiter ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
11. Pflichten des Verantwortlichen
11.1 Der Verantwortliche ist für die rechtmäßige Erhebung und Verarbeitung der Betroffenendaten verantwortlich sowie der rechtmäßigen Übermittlung an den Auftragsverarbeiter und hält den Auftragsverarbeiter diesbezüglich vollumfänglich schad- und klaglos.
12. Technische und organisatorische Maßnahmen
12.1 Die in der Anlage 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragsverarbeiter geschuldete Minimum.
12.2 Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus setzen.
12.3 Der Verantwortliche ist über die jeweils gesetzten Maßnahmen vor Beginn der Verarbeitungstätigkeit des Auftragsverarbeiters zu informieren.
12.4 Den Auftragsverarbeiter trifft die Pflicht, in regelmäßigen Abständen zu prüfen, ob durch geeignete technische und organisatorische Maßnahmen des Auftragsverarbeiters ein angemessenes Datenschutzniveau gewährleistet ist.
12.5 Der Auftragsverarbeiter ist dazu verpflichtet, den Verantwortlichen bei der Errichtung geeigneter technischer und organisatorischer Maßnahmen zu unterstützen.
12.6 Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragsverarbeiter unverzüglich umzusetzen. Änderungen sind dem Verantwortlichen unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
12.7 Soweit die getroffenen Sicherheitsmaßnahmen den vom Verantwortlichen mitgeteilten Anforderungen nicht oder nicht mehr genügen, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich.
12.8 Kopien oder Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
12.9 Datenträger, die vom Verantwortlichen stammen bzw. für den Verantwortlichen genutzt werden, werden besonders gekennzeichnet. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
13. Regelungen zur Berichtigung, Löschung und Sperrung von Daten
13.1 Im Rahmen des Auftrags verarbeitete Daten wird der Auftragsverarbeiter nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Verantwortlichen berichtigen, löschen oder sperren.
13.2 Den entsprechenden Weisungen des Verantwortlichen wird der Auftragsverarbeiter jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
14. Sub-Auftragsverarbeiter
14.1 Der Sub-Auftragsverarbeiter wird ausschließlich aufgrund des zwischen ihm und dem Auftragsverarbeiter gem Art 28 Abs 4 DSGVO abzuschließenden Vertrages tätig.
14.2 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für den Fall, dass der Sub-Auftragsverarbeiter die ihm obliegenden Datenschutzpflichten nicht wahrnimmt.
14.3 Sub-Auftragsverarbeiter werden vertraglich mindestens Datenschutzpflichten auferlegt, die den in diesem Vertrag vereinbarten gleichwertig sind.
14.4 Der Auftragsverarbeiter wählt den Sub-Auftragsverarbeiter unter besonderer Berücksichtigung der Eignung der vom Sub-Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
14.5 Zurzeit sind die Hetzner Online GmbH, Guntzenhausen (www.hetzner.com) und Hutchison Drei Austria GmbH, Wien (www.drei.at) als Sub-Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten betraut. Der Auftragsverarbeiter kann nach eigenem Ermessen weitere Sub-Auftragsverarbeiter heranziehen, solange diese den Bedingungen dieser Auftragsverarbeitervereinbarung entsprechen. Der Auftragsverarbeiter wird dem Verantwortlichen diese auf Verlangen mitteilen.
14.6 Sub-Auftragsverarbeiter-Verhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragsverarbeiters, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.
15. Mitteilungspflichten
15.1 Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich mit.
16. Weisungen
16.1 Der Verantwortliche hat hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht.
16.2 Der Auftragsverarbeiter wird den Verantwortlichen darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen geändert wird.
16.3 Der Auftragsverarbeiter hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.
17. Beendigung des Auftrags
17.1 Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter die im Auftrag verarbeiteten Daten nach Wahl des Verantwortlichen entweder zu vernichten oder an den Verantwortlichen zu übergeben und sodann zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.
17.2 Der Auftragsverarbeiter ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Sub-Auftragsverarbeitern herbeizuführen.
17.3 Der Auftragsverarbeiter hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Verantwortlichen auf Verlangen vorzulegen.
17.4 Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Verantwortlichen bei Vertragsende übergeben.
17.5 Der Auftragsverarbeiter ist berechtigt, Daten aufzubewahren, wenn er gesetzlich oder behördlich dazu verpflichtet ist.
18. Vergütung
18.1 Der Auftragsverarbeiter hat das Recht, Leistungen in Zusammenhang mit dieser Vereinbarung zu einem angemessenen Stundensatz gesondert zu verrechnen.
19. Vertraulichkeit
19.1 Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
20. Sonstiges
20.1 Sollte Eigentum des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu verständigen.
20.2 Für Nebenabreden zur Auftragsverarbeitervereinbarung ist die Schriftform erforderlich. Dies gilt auch für die Abbedingung der Schriftform.
ANLAGE 1 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Der Auftragsverarbeiter hat insbesondere folgende technische und organisatorische Maßnahmen umzusetzen:
- Informationen und IT-Systeme sollen so verfügbar sein, dass davon abhängige Prozesse ohne wesentliche Beeinträchtigung betrieben und notfalls kurzfristig wiederaufgenommen werden können;
- Die Störungsfreiheit von IT-Systemen und die Integrität von Daten sind nach Möglichkeit jederzeit zu gewährleisten;
- Vertrauliche Informationen müssen stets vor unbefugtem Zugriff geschützt sein;
- Kontrolle des Zutritts zu Datenverarbeitungsanlagen zB durch geregelte Schlüsselverwaltung, Sicherheitstüren oder Sicherheitspersonal;
- Kontrolle des Zugangs zu Datenverarbeitungssystemen zB durch Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern, Virtual Private Network (VPN) oder Protokollierung von Benutzeranmeldungen;
- Kontrolle des Zugriffs auf Daten innerhalb des Systems zB durch Standard-Berechtigungsprofile auf „need to know“ Basis, Netzsegmentierung, Teilzugriffsberechtigungen oder Protokollierung von Zugriffen;
- Pseudonymisierung von personenbezogenen Daten;
- Klassifizierung von Daten als geheim, vertraulich, intern oder öffentlich;
- Schutzvorkehrungen zur Verhinderung der Zerstörung oder des Verlusts von personenbezogenen Daten zB durch Verwahrung in Tresor oder Sicherheitsschräken, Speichernetzwerke, Software- und Hardwareschutz;
- Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen bei Datenübertragungen zB durch Verschlüsselung, Virtual Private Networks (VPN), ISDN Wall, Content Filter für ein- und ausgehende Daten oder elektronische Signatur sowie verschließbare Transportbehälter;
- Überprüfung, ob und durch wen personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder gelöscht worden sind zB durch Protokollierung, Verwendung von elektronischen Signaturen, Regelung der Zugriffsberechtigungen;
- Trennung von Datenverarbeitungen zu unterschiedlichen Zwecken zB durch die Verwendung getrennter Datenbanken, Mandantentrennung, Trennung von Kundenservern;
- Aktuelle Verarbeitungsübersicht bzw. Verfahrensverzeichnisse sind vorhanden;
- Soweit gesetzlich gefordert, werden Verfahren vor ihrer Inbetriebnahme auf Basis vordefinierter Risikokriterien und –stufen identifiziert und den Schutzmaßnahmen gegenübergestellt. Die so getroffenen datenschutzrechtlichen Bewertungen fließen in die Umsetzung der Maßnahmen ein und werden dokumentiert;
- Mitarbeiter werden regelmäßig in Fragen des Datenschutzes und der Datensicherheit geschult und sensibilisiert.