Ergänzende Bedingungen zur Auftragsverarbeitung nach Art. 28 DSGVO


zwischen

dem Kunden

- nachfolgend Auftraggeber bzw. Verantwortlicher -

und

Lombego Systems GmbH
Kaufstr. 2-4
99423 Weimar
Deutschland

- nachfolgend Auftragnehmer bzw. Auftragsverarbeiter -

1. Gegenstand und Dauer der Auftragsverarbeitung

Gegenstand und Dauer der Auftragsverarbeitung richten sich nach den Regelungen des jeweils zugrundeliegenden Auftrages. Bestehen zwischen Auftraggeber und Auftragnehmer mehrere Aufträge, so gilt diese Vereinbarung für alle diese Aufträge und zwar jeweils für die Dauer des Bestehens des jeweiligen Auftrages.

2. Umfang, Art und Zweck der Auftragsverarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen

Umfang, Art und Zweck der Auftragsverarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen sind in Anlage 1 beschrieben.

Die für den Betrieb des Konferenz-Management-Systems Converia verwendeten Datenverarbeitungsanlagen befinden sich in einem Rechenzentrum in Deutschland. Der Auftragnehmer ist berechtigt, die Datenverarbeitung bezüglich einzelner Komponenten, die nicht die unmittelbare Entgegennahme von Veranstaltungsinformationen betreffen, ins Ausland zu verlagern. Dies gilt insbesondere bei der Bestellung von Produkten, bei denen auf den Einsatz von Unterauftragnehmern hingewiesen wird, die ihren Sitz im Ausland haben. Eine Datenverarbeitung im Ausland ist damit, sofern vom Auftraggeber entsprechend beauftragt, zulässig. Eine Verlagerung der Datenverarbeitung in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ist nur zulässig, wenn die in den Art. 44 ff. DSGVO hierfür festgelegten Voraussetzungen eingehalten werden.

3. Technische und organisatorische Maßnahmen

Der Auftragnehmer wird diejenigen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO treffen, die im Rahmen dieser Auftragsverarbeitung erforderlich sind, um die Ausführung der datenschutzrechtlichen Vorschriften zu gewährleisten. Bezüglich der technischen und organisatorischen Maßnahmen, die im Rahmen dieses Vertragsverhältnisses als verbindlich festgelegt werden, wird auf Anlage 2 verwiesen.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer darf daher von den mit dem Auftraggeber vereinbarten Maßnahmen abweichen und diese durch alternative adäquate Maßnahmen ersetzen, sofern dabei das Schutzniveau der ursprünglich vereinbarten Maßnahmen nicht unterschritten wird.

4. Pflichten des Auftraggebers gegenüber betroffenen Personen

Für die Erfüllung der gesetzlichen Pflichten gegenüber betroffenen Personen, d.h. die Pflicht zur Umsetzung der gesetzlich festgelegten Informations- und Mitteilungspflichten sowie die Pflicht zur Beantwortung und Umsetzung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte (nachfolgend zusammenfassend: „Pflichten gegenüber betroffenen Personen“) einschließlich der Prüfung der Rechtmäßigkeit in diesem Zusammenhang ist allein der Auftraggeber verantwortlich. Neben den durch den Auftraggeber zu erfüllenden Informations- und Mitteilungspflichten hat der Auftraggeber insbesondere die Pflicht zur Beantwortung und Umsetzung der Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch sowie zur Beantwortung und Umsetzung der Rechte im Zusammenhang mit automatisierten Einzelfallentscheidungen einschließlich Profiling.

Der Auftragnehmer unterstützt den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seinen Pflichten gegenüber betroffenen Personen nachzukommen. Die Verpflichtung des Auftragnehmers zur Unterstützung des Auftraggebers besteht dabei nur in demjenigen Umfang, in dem die Erfüllung der Pflichten des Auftraggebers gegenüber betroffenen Personen dem Auftraggeber aufgrund der konkreten Ausgestaltung der Auftragsverarbeitung selbst nicht möglich ist bzw. ihm die hierfür notwendigen Informationen nicht zur Verfügung stehen. Dies bedeutet insbesondere, dass der Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen vorrangig die Informationen bzw. Instrumentarien nutzen muss, die ihm der Auftragnehmer insbesondere in der Konferenz-Management-Software Converia zur Verfügung stellt.

Der Auftragnehmer unterstützt den Auftraggeber zudem nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seinen vorgenannten Pflichten gegenüber betroffenen Personen innerhalb der Frist von einem Monat ab Eingang des Antrages einer betroffenen Person nachzukommen, sofern nicht nach der geltenden Rechtslage Gründe für die Verlängerung dieser Frist vorliegen.

Sofern im Rahmen eines Antrages einer betroffenen Person eine Feststellung der Identität der betroffenen Person, ggf. unter Anforderung zusätzlicher Informationen, erforderlich ist, so ist hierfür der Auftraggeber verantwortlich.

Sollte sich eine betroffene Person mit einem Anliegen bezüglich der Pflichten des Auftraggebers gegenüber betroffenen Personen unmittelbar an den Auftragnehmer wenden, so wird der Auftragnehmer dieses Anliegen an den Auftraggeber weiterleiten, der dann bezüglich des weiteren Vorgehens entscheidet. Sollte es im Einzelfall erforderlich sein, dass die Erfüllung der Pflichten gegenüber betroffenen Personen unmittelbar durch den Auftragnehmer erfolgt, so ist der Auftragnehmer in diesem Zusammenhang nur zum Tätigwerden verpflichtet, wenn er hierzu eine dokumentierte Weisung im Sinne von Ziffer 9 dieser Vereinbarung vom Auftraggeber erhalten hat.

Auskünfte an Dritte (z.B. Polizei, Staatsanwaltschaft, Gerichte, Aufsichtsbehörden oder sonstige Behörden), die sich auf personenbezogene Daten beziehen, für die der Auftraggeber der Verantwortliche im Sinne der DSGVO ist, wird der Auftragnehmer nur beantworten, wenn er hierzu eine dokumentierte Weisung des Auftraggebers erhält oder wenn er selbst zur Erteilung der betreffenden Auskunft rechtlich verpflichtet ist (z.B. bei Verpflichtung zur Zeugenaussage und Nichtbestehen eines Zeugnisverweigerungsrechts).

Der Auftragnehmer informiert den Auftraggeber unverzüglich über den Inhalt und den Umfang der Auskunft, damit der Auftraggeber seiner Informationspflicht gegenüber den Betroffenen nachkommen kann.

Die bei der Unterstützung des Auftraggebers anfallenden Aufwände werden entsprechen Ziffer 12 dieser Vereinbarung vergütet.

5. Pflichten des Auftragnehmers

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.

Gemäß den vorgenannten Bestimmungen hat der Auftragnehmer insbesondere einen Beauftragten für den Datenschutz bestellt (Art. 37-39 DSGVO).

Kontaktdaten des Datenschutzbeauftragten

Herr Benjamin Ißleib
Lombego Systems GmbH
Kaufstr. 2-4
99423 Weimar
Deutschland
Tel: +49 3643 8118070
Email: datenschutz@lombego.de

Der Auftragnehmer setzt bei der Auftragsverarbeitung zudem ausschließlich Personen ein, die schriftlich auf das Datengeheimnis bzw. entsprechend den Vorschriften der DSGVO zur Vertraulichkeit verpflichtet wurden. Bezüglich der Pflicht des Auftraggebers zur Durchführung einer eventuell erforderlichen Datenschutz-Folgenabschätzung sowie der in diesem Zusammenhang eventuell erforderlichen Pflicht zur Konsultation der Aufsichtsbehörde (Art. 35, 36 DSGVO) unterstützt der Auftragnehmer den Auftraggeber im erforderlichen Umfang bei der Zusammenstellung der in diesem Zusammenhang erforderlichen Informationen, sofern und soweit dem Auftraggeber die relevanten Informationen nicht bereits zur Verfügung stehen, z.B. aufgrund seiner Zugriffsmöglichkeit auf die Konferenz-Management-Software Converia. Die Pflicht des Auftragnehmers zur Unterstützung des Auftraggebers im vorgenannten Sinne besteht frühestens drei Monate vor Inkrafttreten der DSGVO am 25.05.2018, d.h. frühestens ab dem 25.02.2018.

Die bei der Unterstützung des Auftraggebers anfallenden Aufwände werden entsprechen Ziffer 12 dieser Vereinbarung vergütet.

6. Unterauftragsverhältnisse (weitere Auftragnehmer)

„Weitere Auftragnehmer“ im Sinne der DSGVO werden nachfolgend als „Unterauftragnehmer“ bezeichnet.

6.1 Der Auftraggeber erteilt dem Auftragnehmer hiermit (sofern er ihm nicht bereits eine vorherige gesonderte schriftliche Genehmigung erteilt hat, z.B. im Rahmen der Bestellung eines Produktes, bei welcher ausdrücklich auf den Einsatz eines Unterauftragnehmers hingewiesen wurde), eine allgemeine Genehmigung zum Einsatz von Unterauftragnehmern, wenn

  • der Auftragnehmer den Auftraggeber über den beabsichtigten Einsatz des Unterauftragnehmers vorab schriftlich, in einem elektronischen Format oder in Textform informiert und
  • der Auftragnehmer dem Unterauftragnehmer im Wege einer vertraglichen Vereinbarung, die schriftlich oder in einem elektronischen Format erfolgt, Datenschutzpflichten auferlegt, die den Datenschutzpflichten dieser Vereinbarung entsprechen.

Die Pflicht zur Information des Auftraggebers gilt auch bei jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern.

Der Auftraggeber hat das Recht, in begründeten Fällen gegen den Einsatz oder beabsichtige Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern Einspruch zu erheben, wenn hinreichend begründeter Anlass zur Annahme besteht, dass der neue Unterauftragnehmer den Schutz der personenbezogenen Daten des Auftraggebers nicht sicherstellen kann. Der Einspruch des Auftraggebers gegen den Einsatz eines Unterauftragnehmers muss innerhalb einer Frist von einem Monat, beginnend ab dem Ende des Monats, in welchem die Information dem Auftragnehmer zugegangen ist, erfolgen. Nach Ablauf dieser Frist ist der Einspruch ausgeschlossen.

Erhebt der Auftraggeber Einspruch gegen den Einsatz eines Unterauftragnehmers, so erhält der Auftragnehmer ein Sonderkündigungsrecht bezüglich des betroffenen Teils der Dienstleistung. Das Sonderkündigungsrecht muss mit einer Frist von einem Monat, beginnend ab dem Ende des Monats, in welchem der Einspruch zugegangen ist, ausgeübt werden. Bei Ausübung des Sonderkündigungsrechts endet das Vertragsverhältnis bezüglich des betroffenen Teils der Dienstleistung innerhalb von drei Monaten, beginnend ab dem Ende des Monats in welchem das Sonderkündigungsrecht ausgeübt wurde. Der Auftragnehmer haftet nicht für Kosten, Aufwand oder Schäden, die durch eine solche Kündigung entstehen (insbesondere nicht für Migrationskosten), es sei denn es liegt ein begründeter Fall im Sinne dieser Ziffer 6.1 vor.

6.2 Der Auftraggeber hat das Recht, bei Vertragsabschluss sowie im Rahmen von Kontrollen nach Ziffer 7 dieser Vereinbarung beim Auftraggeber jeweils eine aktuelle Aufstellung der derzeit im Einsatz befindlichen Unterauftragnehmer anzufordern. Eine aktuelle Auflistung der Unterauftragnehmer ist in Anlage 1 aufgeführt.

6.3 Als Unterauftragnehmer im Rahmen dieses konkreten Vertrages zur Auftragsverarbeitung gelten nur Dritte, die die vertraglich vereinbarte Hauptleistung ganz oder teilweise erbringen oder an deren Erfüllung mitwirken. Nicht als Unterauftragnehmer gelten dagegen Dritte, auf die der Auftragnehmer als Nebenleistung zur Unterstützung bei der Auftragsdurchführung zurückgreift, die Leistungen erbringen, die aufgrund einer gesetzlichen Vorschrift zulässig sind oder die Leistungen direkt gegenüber dem Auftraggeber erbringen und daher mit dem Auftraggeber in einem direkten Vertragsverhältnis stehen (z.B. Banken einschließlich Acquirer, d.h. die Banken des Veranstalters, die Zahlungen von Kunden mittels Kreditkarte abrechnen, Auskunfteien, Telekommunikationsdienstleister, Postdienstleister, Transportdienstleister, Reinigungskräfte oder Datenträgerentsorgungsunternehmen). Der Auftragnehmer wird jedoch auch mit diesen Dritten angemessene vertragliche Regelungen zur Gewährleistung von Datenschutz und Datensicherheit treffen sowie Kontrollmaßnahmen ergreifen, sofern dies gesetzlich erforderlich ist (insb. dann, wenn die entsprechenden Nebenleistungen im Verhältnis zwischen Auftragnehmer und Drittem eine Auftragsverarbeitung darstellen).

6.4 Der Auftragnehmer wird eventuell von ihm eingesetzte Unterauftragnehmer entsprechend den Bestimmungen der jeweils geltenden Rechtslage kontrollieren. Ein direktes Kontrollrecht des Auftraggebers gegenüber eventuell vom Auftragnehmer eingesetzten Unterauftragnehmern besteht nicht.

7. Kontrollrecht des Auftraggebers

Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen sowie der Einhaltung der gesetzlichen Pflichten im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer zu überzeugen. Er ist zudem berechtigt, diese Kontrollen auch durch Dritte vornehmen zu lassen.

Der Auftragnehmer ist zur Duldung und Mitwirkung bei den Kontrollen verpflichtet. Ein Termin zur Durchführung der Kontrollen ist rechtzeitig im Voraus zwischen Auftraggeber und Auftragnehmer abzustimmen.

Die bei der Unterstützung des Auftraggebers anfallenden Aufwände werden entsprechen Ziffer 12 dieser Vereinbarung vergütet.

8. Pflicht des Auftragnehmers zur Mitteilung von Verstößen

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn ihm im Rahmen der Auftragsverarbeitung Datenschutzverletzungen bekannt werden, die Meldepflichten gegenüber der Aufsichtsbehörde sowie eine Pflicht zur Benachrichtigung der betroffenen Personen auslösen könnten. Dies gilt unabhängig davon, ob die jeweilige Datenschutzverletzung auf einem Verstoß des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Vorschriften oder die im Auftrag getroffenen Festlegungen beruht oder auf hiervon unabhängigen Umständen (wie beispielsweise dem Angriff Dritter oder höherer Gewalt). Es gelten die Art. 33 und 34 DSGVO.

Für die Erfüllung eventueller Melde- und Informationspflichten im vorstehenden Sinne ist der Auftraggeber verantwortlich. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen im erforderlichen Umfang bei der Erfüllung dieser Pflichten. Die Unterstützungsleistung des Auftragnehmers ist in diesen Fällen beschränkt auf die Zurverfügungstellung derjenigen Informationen, die der Auftraggeber zur Erfüllung seiner Pflichten unbedingt benötigt, die ihm aber selbst nicht bekannt sind oder auf die er selbst keinen Zugriff hat (z.B. durch Zugriff auf die Konferenz-Management-Software Converia).

9. Umfang der Weisungsbefugnisse des Auftraggebers

Der Auftraggeber ist dafür verantwortlich, dass die Auftragsverarbeitung entsprechend der geltenden Rechtslage rechtmäßig durchgeführt wird und die Rechte der betroffenen Personen gewahrt werden. Entsprechend ist er dafür verantwortlich, dem Auftragnehmer die Rahmenbedingungen hierfür vorzugeben. Die Rahmenbedingungen werden konkret in dieser Vereinbarung und den zugrundeliegenden Aufträgen vorgegeben. Der Auftragnehmer und die ihm unterstellten Personen dürfen die personenbezogenen Daten des Auftraggebers nur in diesem Rahmen sowie darüber hinausgehend nur auf dokumentierte Weisung des Auftraggebers verarbeiten. Eine Verarbeitung außerhalb einer dokumentierten Weisung ist nur zulässig, wenn der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist.

Die Erteilung von Weisungen hat in Schriftform oder per E-Mail, bevorzugt über das Support-Portal des Auftragnehmers unter https://support.converia.de, zu erfolgen.

Die Weisungsbefugnisse des Auftraggebers sind beschränkt auf die Erfüllung datenschutzrechtlicher Pflichten, die durch die jeweils geltende datenschutzrechtliche Rechtslage wie in den Bestimmungen dieser Vereinbarung ausgestaltet begründet werden, und bestehen nur im Rahmen der vom Auftragnehmer angebotenen Dienstleistungen und den in diesem Rahmen angebotenen Varianten bzw. Modalitäten. Zur Erfüllung darüber hinausgehender Weisungen ist der Auftragnehmer nicht verpflichtet. Dies gilt auch dann, wenn sich eine Weisung auf das Treffen bestimmter technischer und organisatorischer Maßnahmen bezieht. Derartige Anpassungen bedürfen regelmäßig einer einvernehmlichen Regelung zwischen Auftraggeber und Auftragnehmer im Wege einer Erweiterung des Auftrages und mit Regelung einer entsprechenden Vergütung.

Im übrigen bleibt dem Auftraggeber immer die Möglichkeit, dem Auftragnehmer die Weisung zu erteilen, eine bestimmte Dienstleistung binnen einer nach den Umständen des Einzelfalls angemessenen Frist einzustellen. Die Laufzeit des Auftrages sowie die Pflicht des Auftraggebers zur Vergütung bleibt hiervon unberührt. Der Auftrag bleibt bezogen auf die betroffene Dienstleistung bestehen, bis er wegen Zeitablaufs, einer ordentlichen Kündigung oder eines gegebenenfalls bestehenden außerordentlichen Kündigungsrechts oder Sonderkündigungsrechts beendet wird.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung der geltenden datenschutzrechtlichen Rechtslage widerspricht.

10. Beendigung der Auftragsverarbeitung

Auf Verlangen des Auftraggebers, spätestens jedoch nach der Beendigung der Auftragsverarbeitung, d.h. nach Abschluss der Erbringung der Verarbeitungsleistung, wird der Auftragnehmer alle personenbezogenen Daten auf dokumentierte Weisung des Auftraggebers entweder löschen oder an den Auftraggeber herausgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung des Auftragnehmers zur Speicherung der personenbezogenen Daten besteht (für den Auftragnehmer geltende gesetzliche Aufbewahrungspflichten).

Sofern in dem zugrundeliegenden Auftrag hierzu keine anderweitige Regelung getroffen wird und der Auftraggeber dem Auftragnehmer hierzu keine separate dokumentierte Weisung erteilt, gilt folgendes: Die Veranstaltungsdaten werden bei Einzelveranstaltungen drei Monate nach der Veranstaltung deaktiviert und 12 Monate nach der Veranstaltung aus der Converia Datenbank gelöscht. Bei fortlaufendem Auftrag (z.B. Converia Rahmenvertrag) hat der Nutzer selbst die Möglichkeit die Daten nach einer Veranstaltung zu deaktivieren bzw. aus der Converia Datenbank zu löschen. Daher obliegt die Pflicht zur Löschung der Daten dem Auftraggeber. Vor der Löschung stehen die Daten dem Auftraggeber zur Ansicht, zur Auswertung und zum gesicherten Download zur Verfügung. Da mit Vertragsbeendigung die Zugänge des Auftraggebers zur Converia Software deaktiviert werden, obliegt es dem Auftraggeber, sich diejenigen Daten, die er noch benötigt, rechtzeitig zuvor selbständig herunter zu laden.

11. Haftung

Die Haftung des Auftragnehmers gegenüber dem Auftraggeber für Schadensersatzansprüche aus der Verletzung datenschutzrechtlicher Pflichten richtet sich nach den folgenden Bestimmungen. Eine Verletzung datenschutzrechtlicher Pflichten des Auftragnehmers liegt vor, wenn er für ihn geltende gesetzliche Pflichten aus datenschutzrechtlichen Vorschriften verletzt, wie sie in den Vorschriften dieser Vereinbarung sowie datenschutzrechtlich rechtmäßigen und nach dieser Vereinbarung zulässigen dokumentierten Weisungen des Auftraggebers ausgestaltet sind.

Sind Auftraggeber und Auftragnehmer aufgrund einer gesamtschuldnerischen Haftung nach den Vorschriften der DSGVO oder einer sonstigen datenschutzrechtlichen Rechtsvorschrift, die auch für den Auftragnehmer gilt, einer betroffenen Person oder einer sonstigen Person zum Schadensersatz verpflichtet, so gilt für den Ausgleich im Innenverhältnis zwischen Auftraggeber und Auftragnehmer folgendes: Der Auftragnehmer haftet dem Grunde nach nur für eine Verletzung datenschutzrechtlicher Pflichten wie sie in dieser Vereinbarung definiert ist. Er haftet zudem nur für vorsätzliche oder grob fahrlässige Pflichtverletzungen, es sei denn es handelt sich um Schadensersatzansprüche aus der Verletzung des Lebens, des Körpers, der Gesundheit oder Schadensersatzansprüche aus der Verletzung datenschutzrechtlicher Pflichten, die in unmittelbarem Zusammenhang mit der Erfüllung wesentlicher Vertragspflichten (Kardinalpflichten) stehen. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung zur Erreichung des Vertragszwecks zwingend erforderlich ist. Die Haftung bei der Verletzung datenschutzrechtlicher Pflichten im Zusammenhang mit Kardinalpflichten ist beschränkt auf den Ersatz des vorhersehbaren und typischen Schadens. Es besteht insbesondere auch keine Pflicht zum Ersatz vergeblicher Aufwendungen oder entgangenen Gewinns betroffener oder anderer Personen. Ebenso besteht keine Pflicht zum Ersatz von Folgeschäden betroffener oder anderer Personen, außer für vorsätzliche oder grob fahrlässige Pflichtverletzungen. Eine weitergehende Haftung des Auftragnehmers besteht nicht. Die Vorschriften des Produkthaftungsgesetzes bleiben, soweit dieses im Einzelfall Anwendung findet, unberührt. Die Beweislast für das Vorliegen der Voraussetzungen dieses Absatzes, insbesondere für das Vorliegen einer Verletzung datenschutzrechtlicher Pflichten durch den Auftragnehmer wie vorstehend definiert sowie das Vertretenmüssen des Auftragnehmers wie vorstehend definiert trägt der Auftraggeber.

Für Schäden, die dem Auftraggeber selbst durch eine Verletzung datenschutzrechtlicher Pflichten des Auftragnehmers entstanden sind und die nicht im Zusammenhang mit Schäden betroffener oder sonstiger Personen stehen, besteht eine Haftung dem Grunde nach nur dann, wenn eine Verletzung datenschutzrechtlicher Pflichten vorliegt wie sie in dieser Vereinbarung definiert ist, und wenn es sich um eine Verletzung datenschutzrechtlicher Pflichten handelt, die in unmittelbarem Zusammenhang mit der Erfüllung wesentlicher Vertragspflichten (Kardinalpflichten) steht. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung zur Erreichung des Vertragszwecks zwingend erforderlich ist. Dem Umfang und der Höhe nach richtet sich die Haftung des Auftragnehmers in diesen Fällen nach den Bestimmungen des Auftrages. Ebenso richtet sich auch die Haftung des Auftragnehmers für Schäden aus sonstigen Pflichtverletzungen nach den Bestimmungen des Auftrages.

12. Vergütung

Sollte bei der Erfüllung von Verpflichtungen aus dieser Vereinbarung beim Auftragnehmer ein über die vertraglich vereinbarte Hauptleistung und das reguläre Tagesgeschäft hinausgehender Aufwand entstehen, insbesondere im Rahmen der Ziffern 4, 5, 7, 8 und 9 dieser Vereinbarung, so werden sich Auftraggeber und Auftragnehmer in diesem Zusammenhang über eine angemessene und anhand des tatsächlichen Aufwands bemessene zusätzlich zu entrichtende Vergütung verständigen. Der Auftragnehmer wird in diesem Zusammenhang eine dokumentierte Weisung des Auftraggebers ausführen, wenn er vom Auftraggeber eine Zusage hinsichtlich der Vergütung für den jeweiligen Einzelfall erhalten hat. Entsteht bei der Ausübung eines Kontrollrechts im Sinne von Ziffer 7 ein erheblicher Mehraufwand, erfolgt die Mitwirkung des Auftragnehmers erst nach der Zusage des Auftraggebers hinsichtlich einer Vergütung.

13. Schlussbestimmungen

Sollten einzelne Bestimmungen dieser Vereinbarung unvollständig, unwirksam oder undurchführbar sein, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. In diesem Fall ist die unvollständige, unwirksame oder undurchführbare Bestimmung durch eine Regelung zu ersetzen, die dem entspricht, was die Parteien gewollt hätten, wenn sie die Unvollständigkeit, Unwirksamkeit oder Undurchführbarkeit gekannt hätten.

Ältere zwischen den Parteien bestehende Vereinbarungen zur Auftragsdatenverarbeitung bzw. Auftragsverarbeitung werden durch diese Vereinbarung vollständig ersetzt. Datenschutzrelevante Regelungen in anderen Vertragsbestandteilen (z.B. AGB), gehen dieser Vereinbarung nur dann vor, wenn sie die Regelungen dieser Vereinbarung weiter ausführen. Verändern sie den Kerngehalt der Bestimmungen dieser Vereinbarung oder bleiben sie hinter dem hier vereinbarten Datenschutzniveau zurück, so werden sie von dieser Vereinbarung verdrängt.

Es gilt deutsches Recht. Gerichtsstand ist Weimar.

Abweichungen von dieser Vereinbarung bedürfen der Schriftform.