Allgemeine Geschäftsbedingungen Auftragsverarbeitung (AGB AV)

Allgemeine Geschäftsbedingungen Auftragsverarbeitung (AGB AV)

I. Allgemeines

1. Diese Allgemeinen Geschäftsbedingungen Auftragsverarbeitung (AGB AV) gelten für die Vertragsbeziehungen zwischen den Vertragsparteien (nachfolgen „Vertragsparteien“) der Tracking3.io (nachfolgend „Tracking3.io“) und dem Vertragspartner (nachfolgend „Vertragspartner“) im unternehmerischen Bereich und werden durch die ausdrückliche Bezugnahme in den AGB der Tracking3.io in den Vertrag (nachfolgend „Hauptvertrag“) einbezogen.
2. Diese AGB AV konkretisieren die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus den im Hauptvertrag beschriebenen Leistungen ergeben. Sie finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte der Tracking3.io oder durch den Tracking3.io Beauftragte gemäß objektiver Kriterien eine Auftragsverarbeitung gemäß Art. 28 DSGVO für den Vertragspartner durchführen und personenbezogene Daten (nachfolgend auch „Daten“ genannt) des Vertragspartners verarbeiten. Sie gelten ergänzend und nachrangig zu den Allgemeinen Geschäftsbedingungen der Tracking3.io.

II. Gegenstand, Art und Zweck und Dauer

1. Gegenstand, Zweck und Dauer der Verarbeitung ergeben sich aus dem Hauptvertrag sowie ggf. dessen Anlagen. Die Kategorien der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind jeweils abhängig von der Art und dem Umfang der tatsächlich durchgeführten Auftragsverarbeitung und werden durch den Vertragspartner bestimmt.
2. Die Bestimmungen dieser AGB AV gelten für die Dauer der tatsächlichen datenschutzrelevanten Leistungserbringung gemäß des Hauptvertrags, sofern sich aus den Bestimmungen dieser AGB AV nicht darüberhinausgehende Verpflichtungen ergeben.

III. Umgang und Weisung

1. Die Tracking3.io verarbeitet personenbezogene Daten ausschließlich auf Weisung des Vertragspartners. Dies umfasst Tätigkeiten, die im Hauptvertrag und dessen Anlagen vereinbart sind. Der Vertragspartner ist dabei für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit aller Verarbeitungen i.S.v. Art. 4 Nr. 7 DSGVO allein verantwortlich.
2. Die Weisungen werden anfänglich durch den Hauptvertrag sowie ggf. dessen Anlagen festgelegt und können vom Vertragspartner danach schriftlich (Textform nach § 126 lit. b BGB) geändert, ergänzt oder ersetzt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
3. Werden auf diese Weise Weisungen erteilt, aus denen sich ein vorher nicht vereinbarter Mehraufwand für die Tracking3.io ergibt, so ist diese nach vorheriger schriftlicher Zustimmung des Vertragspartners zur Anpassung der im Hauptvertrag vereinbarten Vergütung berechtigt. In diesem Falle wird die Tracking3.io den Vertragspartner rechtzeitig über den Umfang des voraussichtlichen Mehraufwands in Kenntnis setzen und ist bis zu dessen Bestätigung der Kostenübernahme berechtigt, die Umsetzung der erteilten Weisung auszusetzen.

IV. Pflichten der Tracking3.io

1. Die Tracking3.io verarbeitet personenbezogene Daten nur im Rahmen des Auftrags und auf Weisung des Vertragspartners, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 lit. a DSGVO vor. Die Tracking3.io informiert den Vertragspartner unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt und darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Vertragspartner bestätigt oder abgeändert wurde.
2. Die Tracking3.io sichert zu, dass die Verarbeitung grundsätzlich innerhalb der EU bzw. des EWR erfolgt. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Vertragspartners und unter den in Kapitel V der DSGVO enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
3. Die Tracking3.io sichert zu, dass die zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den für sie maßgeblichen Bestimmungen dieses Vertrags vertraut gemacht, fortlaufend angemessen angeleitet und überwacht sowie regelmäßig geschult werden und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Vertraulichkeit verpflichtet sind.
4. Die Tracking3.io ist aufgrund der Unternehmensgröße nicht verpflichtet, eine/n Datenschutzbeauftragte/n zu benennen. Dennoch lassen wir uns extern fachkundig zum Thema Datenschutz beraten. Fragen zum Datenschutz können Sie an die in der Anlage zu diesen AGB AV angegebenen Kontaktdaten richten.
5. Die Tracking3.io gestaltet die eigene innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und weist dem Vertragspartner die Einhaltung der niedergelegten datenschutzrechtlichen Pflichten mit geeigneten Mitteln nach.
6. Die Tracking3.io trifft geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Vertragspartners, die den Anforderungen von Art. 32 DSGVO genügen und die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Diese finden Sie unter diesem Link https://www.tracking3.io/de/rechtliches/tom. Weiterhin setzt die Tracking3.io ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen ein.
7. Die von der Tracking3.io getroffenen technischen und organisatorischen Maßnahmen werden dem Vertragspartner auf Anfrage zur Verfügung gestellt. Der Vertragspartner trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Anpassung der Sicherheitsmaßnahmen, insbesondere an den technischen Fortschritt, bleibt der Tracking3.io vorbehalten, wobei sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
8. Die Tracking3.io unterstützt, soweit vereinbart, den Vertragspartner im Rahmen ihrer Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.
9. Die Tracking3.io unterrichtet den Vertragspartner unverzüglich, wenn ihr Verletzungen des Schutzes personenbezogener Daten des Vertragspartners bekannt werden, trifft die erforderlichen Sofortmaßnahmen zur Reduktion möglicher Folgen für die Rechte und Freiheiten der betroffenen Personen und spricht sich unverzüglich mit dem Vertragspartner ab.
10. Im Falle einer Inanspruchnahme des Vertragspartners durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich die Tracking3.io den Vertragspartner bei der Abwehr des Anspruches im Rahmen ihrer Möglichkeiten zu unterstützen, sofern die Ansprüche der betroffenen Person die durchgeführte Auftragsverarbeitung der Tracking3.io berühren.
11. Die Tracking3.io vernichtet oder übergibt dem Vertragspartner nach dessen Aufforderung, spätestens aber mit Beendigung des Hauptvertrags sämtliche in ihren Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedsstaaten eine Verpflichtung zur Speicherung dieser Daten besteht.
12. Die Tracking3.io erklärt sich damit einverstanden, dass der Vertragspartner nach Terminvereinbarung mit angemessener Vorlaufzeit, ohne Störung des Betriebsablaufs und nach Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Vertragspartner und der eingerichteten technischen und organisatorischen Maßnahmen berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Informationssicherheit sowie der vertraglichen Vereinbarungen auf Kosten des Vertragspartners selbst oder durch beauftragte Dritte – auch vor Ort – zu kontrollieren. Sollte der durch den Vertragspartner beauftragte Dritte in einem Wettbewerbsverhältnis zur Tracking3.io stehen, hat diese gegen diesen ein Einspruchsrecht.
13. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Vertragspartners eine Inspektion vornehmen, gilt grundsätzlich der vorstehende Absatz entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

V. Mitwirkungspflichten des Vertragspartners

1. Der Vertragspartner hat die Tracking3.io unverzüglich und vollständig zu informieren, wenn er im Rahmen der Leistungserbringung durch die Tracking3.io Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
2. Der Vertragspartner trägt die Verantwortung für die Sicherheit der Verarbeitung gem. Art. 32 DSGVO für alle in seinen Einflussbereich fallenden Datenverarbeitungssysteme. Dies bedeutet insbesondere, dass der Vertragspartner für eine angemessene Absicherung der durch ihn betriebenen oder von ihm beauftragten analogen sowie elektronischen Datenverarbeitungssysteme gegenüber dem Einfluss Unbefugter selbst verantwortlich. Dies beinhaltet insbesondere die Veranlassung dem Stand der Technik entsprechender technischer und organisatorischer Maßnahmen, die die Sicherheit der Verarbeitung, insbesondere die Integrität und Vertraulichkeit jeglicher Daten des Vertragspartners, sicherstellen.
3. Im Falle einer Inanspruchnahme des Vertragspartners durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt Ziff. 4.8 entsprechend.
4. Der Vertragspartner nennt der Tracking3.io einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

VI. Anfragen betroffener Personen

1. Wendet sich eine betroffene Person mit Forderungen zur Wahrnehmung ihrer Rechte gem. Kap. III DSGVO an die Tracking3.io, wird diese die betroffene Person unverzüglich an den Vertragspartner verweisen, sofern eine Zuordnung zum Vertragspartner nach Angaben der betroffenen Person möglich ist.
2. Die Tracking3.io wird den Vertragspartner im Rahmen ihrer Möglichkeiten und auf Weisung bei der Bearbeitung von Betroffenenanfragen unterstützen, sofern die von ihr durchgeführten Verarbeitungen von der Betroffenenanfrage berührt sind. Der Tracking3.io entstehende Aufwände sind dabei gemäß den Vereinbarungen bzgl. der Vergütung im Hauptvertrag zu vergüten.
3. Die Tracking3.io haftet nicht, wenn das Ersuchen der betroffenen Person vom Vertragspartner nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

VII. Unterauftragsverhältnisse bzw. Subunternehmer

1. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht der Tracking3.io, auch in diesen Fällen die Beachtung von Datenschutz und Informationssicherheit sicherzustellen, bleibt unberührt.
2. Im Rahmen der Auftragsausführung gestattet der Vertragspartner der Tracking3.io grundsätzlich, weitere Auftragsverarbeiter zur Durchführung von (Teil-)Leistungen heranzuziehen, einzusetzen, auszutauschen oder nicht mehr zu beauftragen. Die Tracking3.io wird mit den Subunternehmen im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.
3. Die Tracking3.io informiert den Vertragspartner über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung weiterer oder die Ersetzung bestehender Subunternehmer, wodurch der Vertragspartner die Möglichkeit erhält, gegen derartige Änderungen binnen 14 Tagen nach Zugang der Information Einspruch zu erheben. Der Vertragspartner wird die Genehmigung derartiger Änderungen nicht ohne wichtigen Grund verweigern. In diesem Zusammenhang gelten die derzeit in der Anlage zu diesen AGB AV aufgeführten Subunternehmen als vom Vertragspartner genehmigt.

VIII. Informationspflichten, Schriftformklausel, Rechtswahl

1. Sollte Eigentum des Vertragspartners beim der Tracking3.io durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Tracking3.io den Vertragspartner unverzüglich zu verständigen.
2. Änderungen und Ergänzungen dieser AGB AV und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen der Tracking3.io – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
3. Bei etwaigen Widersprüchen gehen Regelungen dieser AGB AV den Regelungen des Hauptvertrages vor. Im Übrigen gelten sie ergänzend und nachrangig zu den Allgemeinen Geschäftsbedingungen der Tracking3.io. Sollten einzelne Teile dieser AGB AV unwirksam sein, so berührt dies die Wirksamkeit der AGB AV im Übrigen nicht.

Anlage zu den AGB AV

I. Gegenstand und Dauer der Verarbeitung

1. Gegenstand der Verarbeitung sind die im Hauptvertrag vereinbarten Leistungen der Tracking3.io.
2. Die Verarbeitung wird während der gesamten Laufzeit des Hauptvertrags durchgeführt und verlängert sich mit jeder Verlängerung des Hauptvertrags. Ist der Hauptvertrag auf unbegrenzte Zeit geschlossen, so wird die Verarbeitung ebenfalls auf unbestimmte Zeit bis zur Kündigung des Hauptvertrags ausgeführt.

II. Art und Zweck der Verarbeitung

1. Die Zwecke der Verarbeitung sind:
   • sofern Kundenserviceleistungen vereinbart sind:
     • Hilfestellung/Beratung bei Installation, Bedienung, Störungen oder Problemen der Software.
2. Die Art der Verarbeitung richtet sich nach der vereinbarten Leistung gem. dem Hauptvertrag.

III. Art der personenbezogenen Daten

• Personenstammdaten
• Kommunikationsdaten (z.B. Telefon, E-Mail)
• Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)

IV. Kategorien betroffener Personen

• Kunden
• Interessenten
• Beschäftigte
• Ansprechpartner

V. beauftragte Unterauftragnehmer