VERTRAG ZUR AUFTRAGSVERARBEITUNG

zwischen



dem Vertragspartner des „Contest Managers“


- nachfolgend „Auftraggeber “ genannt -



und



JK Effects, Inhaber Julian Krauser

Mandichostraße 2

86504 Merching


- nachfolgend „Auftragnehmer “ genannt -



- Auftraggeber und Auftragnehmer nachfolgend gemeinsam als „die Parteien“ oder „die Vertragspartner“ bezeichnet -


über die Verarbeitung von Daten durch den Auftragnehmer im Auftrag des Auftraggebers als Verantwortlichen im Sinne des Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)




INHALTSVERZEICHNIS

§ 1 Leistungen des Auftragnehmers

§ 2 Art der personenbezogenen Daten; Kategorien betroffener Personen

§ 3 Beginn und Dauer der Vereinbarung

§ 4 Pflichten des Auftraggebers

§ 5 Pflichten des Auftragnehmers; Weisungsrechte

§ 6 Auskunftserteilung; Berichtigung, Einschränkung und Löschung von Daten

§ 7 Schutzmaßnahmen des Auftragnehmers (technisch-organisatorische Maßnahmen); Maßnahmen vor Beginn der Verarbeitung

§ 8 Qualitätssicherung und hiermit im Zusammenhang stehende Pflichten des Auftragnehmers

§ 9 Informationspflichten des Auftragnehmers

§ 10 Weitere Pflichten des Auftragnehmers

§ 11 Unterauftragsverhältnisse

§ 12 Nachweismöglichkeiten; Kontrollrechte des Auftraggebers

§ 13 Vergütung

§ 14 Löschung/Vernichtung und Rückgabe von personenbezogenen Daten; Fortgeltung der Vertraulichkeit; Ausschluss von Zurückbehaltungsrechten

§ 15 Schlussbestimmungen

§ 16 Anlagen


Vorbemerkung

Der Auftragnehmer wird im Rahmen der vorliegenden Vereinbarung beauftragt, personenbezogene Daten (nachfolgend auch nur als „Daten“ bezeichnet) für den Auftraggeber zu verarbeiten. Die Verarbeitung gemäß dieser Vereinbarung erbringt der Auftragnehmer ausschließlich im Auftrag des Auftraggebers und nicht zu eigenen Zwecken (Art. 28 DSGVO).

Dieser Auftragsverarbeitungsvertrag findet Anwendung auf alle Tätigkeiten, die mit dem zwischen den Vertragsparteien bestehenden Hauptvertrag zum „Contest Manager“ (im Folgenden: Hauptvertrag) in Zusammenhang stehen und bei denen der Auftragnehmer, seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden. Zur Konkretisierung der hierbei bestehenden beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Vertragsparteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gegen im Zweifel den Regelungen des zwischen den Vertragsparteien bestehenden Hauptvertrages vor.

Sämtliche Begriffsbestimmungen dieser Vereinbarung sind im Sinne der Verordnung EU/2016/679 (Datenschutz-Grundverordnung; kurz: DSGVO) zu verstehen und auszulegen.

§ 1 Leistungen des Auftragnehmers

1.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten gemäß der Leistungsbeschreibungen nach Anlage 1 zu diesem Vertrag. Aus der Anlage 1 ergeben sich neben dem Gegenstand der Verarbeitung auch die Art und der Zweck der Verarbeitung.

1.2 Die Erbringung der vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

§ 2 Art der personenbezogenen Daten; Kategorien betroffener Personen

2.1 Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die in ebenfalls in Anlage 1 näher spezifizierten Arten der personenbezogenen Daten. Diese Daten umfassen die in Anlage 1 aufgeführten sowie die als solche gekennzeichneten besonderen Kategorien personenbezogener Daten.

2.2 Die Kategorien der von der Datenverarbeitung betroffenen Personen sind ebenfalls in Anlage 1 dargestellt.

§ 3 Beginn und Dauer der Vereinbarung

3.1 Diese Vereinbarung tritt mit Beginn des Hauptvertrags in Kraft. Sie wird auf unbestimmte Zeit geschlossen und kann von beiden Parteien durch Erklärung in Textform (§ 126 b BGB) mit einer Frist von 4 Wochen gekündigt werden.

3.2 Das Kündigungsrecht aus wichtigem Grund (§ 314 BGB) bleibt unberührt. Ein wichtiger Grund zur Kündigung dieser Vereinbarung liegt insbesondere vor, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder Kontrollrechte des Auftraggebers vertragswidrig verweigert werden. Insbesondere die Nichteinhaltung einer aus Art. 28 DSGVO abgeleiteten Pflicht stellt einen schweren Verstoß dar.

§ 4 Pflichten des Auftraggebers

4.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Ihm obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.

4.2 Der Auftraggeber wird dem Auftragnehmer alle für die gemäß vorstehendem § 1 genannten Leistungen, erforderlichen Informationen, Unterlagen, Betriebsvereinbarungen, etc. rechtzeitig und umfassend zur Verfügung stellen. Im Rahmen dieser Mitwirkungspflicht ist der Auftraggeber außerdem verpflichtet, den Auftragnehmer rechtzeitig über alle Änderungen tatsächlicher oder rechtlicher Art betreffend das Auftragsverhältnis unverzüglich zu informieren.

4.3 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. daten- schutzrechtlicher Bestimmungen feststellt.

4.4 Der Auftraggeber hat dem Auftragnehmer einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen zu benennen.

4.5 Der Auftraggeber ist verpflichtet, alle im Rahmen des Auftragsvertragsverhältnisses erlangten Kenntnisse von internen Angelegenheiten des Auftragsnehmers, insbesondere betreffend dessen Geschäftsgeheimnisse und Datensicherheitsmaßnahmen vertraulich zu behandeln und vor Dritten geheim zu halten; diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Der Auftraggeber wird seine Mitarbeiter und Erfüllungsgehilfen zur Beachtung der Geheimhaltungsverpflichtungen aus dieser Vereinbarung verpflichten.

4.6 Der Auftragnehmer verpflichtet sich, die für den Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen, insbesondere das Sozialgeheimnis.

§ 5 Pflichten des Auftragnehmers; Weisungsrechte

5.1 Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten von betroffenen Personen nur im Rahmen dieses Auftrags und der dokumentierten Weisungen des Auftraggebers – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 S. 2 lit. a) DSGVO vor. Liegt ein Ausnahmefall nach Art. 28 Abs. 3 S. 2 lit. a) DS-GVO vor, teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Darüber hinaus ist es dem Auftragnehmer und jeder ihm bei der Datenverarbeitung unterstellten Person untersagt, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen.

5.2 Der Auftragnehmer sichert hinsichtlich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

5.3 Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form, in dokumentierter elektronischer Form oder mündlich durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung); mündliche Weisungen hat Auftraggeber unverzüglich in Schriftform oder einer dokumentierten elektronischen Form zu bestätigen. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

5.4 Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

5.5 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche oder sonstige gesetzliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder inhaltlich geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

5.6 Alle Weisungen sind durch beide Vertragsparteien für ihre Geltungsdauer und anschließend für drei volle Kalenderjahre, beginnend mit dem Schluss des Kalenderjahres, in dem die Weisung nicht mehr besteht, aufzubewahren.

§ 6 Auskunftserteilung; Berichtigung, Einschränkung und Löschung von Daten

6.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken sowie die Auskunft an den Betroffenen oder Dritte erteilen. Soweit eine betroffene Person oder ein Dritter sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und dessen Weisung abwarten; der Auftragnehmer wird insoweit keine selbständigen Entscheidungen treffen. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung, soweit vereinbart.

6.2 Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

§ 7 Schutzmaßnahmen des Auftragnehmers (technisch-organisatorische Maßnahmen); Maßnahmen vor Beginn der Verarbeitung

7.1 Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

7.2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat die Sicherheit gemäß Art. 28 Abs. 3 S. 2 lit. c), 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.

7.3 Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers. Die technischen und organisatorischen Maßnahmen, die nach diesem Verfahren Grundlage des Auftrages sind, sind dieser Vereinbarung als Anlage 2 beigefügt; dem Auftraggeber sind die technischen und organisatorischen Maßnahmen damit bekannt. Er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Soweit Daten in einer Privatwohnung verarbeitet werden, sind die Maßnahmen nach dieser Vereinbarung, insbesondere die Schutzmaßnahmen, Maßnahmen zur Qualitätssicherung und die Kontrollrechte auch in diesem Fall durch den Auftragnehmer sicherzustellen

7.4 Der Auftragnehmer hat bei gegebenem Anlass eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d) DSGVO).

7.5 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, Maßnahmen adäquat fortzuentwickeln und umzusetzen. Dabei darf das vertraglich vereinbarte Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§ 8 Qualitätssicherung und hiermit im Zusammenhang stehende Pflichten des Auftragnehmers

8.1 Der Auftragnehmer ist verpflichtet, neben den Regelungen dieses Auftrags die gesetzlichen Pflichten gemäß Art. 28 bis 33 DSGVO einzuhalten.

8.2 Im Sinne der nach vorstehendem Absatz 1 genannten Verpflichtung gewährleistet der Auftragnehmer insbesondere Folgendes:

8.2.1 Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DSGVO enthält. Das Verzeichnis ist dem Auftraggeber auf dessen Anforderung zur Verfügung zu stellen.

8.2.2 Der Auftragnehmer gewährleistet die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b), 29, 32 Abs. 4 DSGVO. Er gewährleistet, dass es mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf den Datenschutz und die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden; der Auftragnehmer wird mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

8.2.3 Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c), 32 DS-GVO (§ 7 dieser Vereinbarung in Verbindung mit Anlage 3).

8.2.4 Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

8.2.5 Der Auftragnehmer gewährleistet die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

8.2.6 Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

§ 9 Informationspflichten des Auftragnehmers

9.1 Der Auftragnehmer ist verpflichtet, Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch ihn selbst, bei ihm im Rahmen des Auftrags beschäftigte Personen oder Dritte dem Auftraggeber unverzüglich in Schriftform oder elektronisch dokumentierter Form zu melden und dem Auftraggeber auf dessen Anforderung Auskünfte zu erteilen; dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde sowie im Hinblick auf Melde- oder Benachrichtigungspflichten des Auftraggebers nach Art. 33 und 34 DSGVO. Der Auftragnehmer trifft darüber hinaus unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.

9.2 Daneben trifft den Auftragnehmer die Verpflichtung zur unverzüglichen Information des Auftraggebers, sofern die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.

§ 10 Weitere Pflichten des Auftragnehmers

Der Auftragnehmer hat den Auftraggeber, soweit möglich, bei der Einhaltung der in Kapitel III der DSGVO (Art. 12 bis 23 DSGVO) sowie in den Art. 32 bis 36 der DSGVO genannten Pflichten in angemessener Weise zu unterstützen. Der Auftragnehmer hat im notwendigen Umfang mitzuwirken und die erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzugeben.

§ 11 Unterauftragsverhältnisse

11.1 Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von Unterauftragsverhältnissen mit Unterauftragnehmern befugt. Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgfältig nach deren Eignung und Zuverlässigkeit insbesondere hinsichtlich der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO auszuwählen.

11.2 Der Vertrag zwischen dem Auftragnehmer und den Unterauftragnehmer muss den Formerfordernissen der Art. 28 Abs. 4, Abs. 9 DSGVO genügen.

11.3 Der Auftragnehmer hat bei Einschaltung von Unterauftragnehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten. Sofern eine Einbeziehung von Unterauftragnehmern in einem Drittland (außerhalb der EU/des EWR) erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Unterauftragnehmer ein angemessenes Datenschutzniveau gewährleistet ist. Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Unterauftragnehmern nachweisen.

11.4 Die Weitergabe von personenbezogenen Daten an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

11.5 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstverhältnisse zu verstehen, die sich unmittelbar auf die Erbringung der vereinbarungsgemäß geschuldeten Hauptleistung beziehen. Nicht hierzu gehören reine Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen (ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt), Post-/Transportdienstleistungen, Reinigungsleistungen und/oder Bewachungsleistungen in Anspruch nimmt. Wartungs- und Prüfleistungen, die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen stellen im Zweifel zustimmungspflichtige Unterauftragsverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.

§ 12 Nachweismöglichkeiten; Kontrollrechte des Auftraggebers

Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten auf jedes Anfordern mit geeigneten Mitteln nach. Der Nachweis kann insbesondere durch die Durchführung eines (Selbst-)Audits erbracht werden.

§ 13 Vergütung

Für die wechselseitigen Leistungen nach dieser Vereinbarung wird keine gesonderte Vergütung geschuldet.

§ 14 Löschung/Vernichtung und Rückgabe von personenbezogenen Daten; Fortgeltung der Vertraulichkeit; Ausschluss von Zurückbehaltungsrechten

14.1 Es dürfen keinerlei Kopien oder Duplikate der Daten ohne Wissen und Einverständnis des Auftraggebers erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

14.2 Nach Abschluss der vertraglich vereinbarten Arbeiten, spätestens mit Beendigung des Hauptvertrages oder dieser Vereinbarung oder jederzeit nach Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche ihm überlassenen, in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse, Datenbestände und Datenträger sowie Test- und Ausschussmaterialien, die im Zusammenhang mit dem Auftragsverhältnis stehen, entweder nach vorheriger Zustimmung datenschutzgerecht zu löschen/vernichten oder dem Auftraggeber auszuhändigen sowie etwaig bestehende Kopien datenschutzgerecht zu löschen/vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen datenschutzgerechten Löschung/Vernichtung noch vorhandener Daten zu führen. Das Protokoll der Vernichtung/Löschung ist dem Auftraggeber auf Anforderung vorzulegen.

14.3 Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung/Vernichtung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.

14.4 Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 15 Haftung; Beschränkung der Haftung

15.1 Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

15.2 Im Falle der Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche, insbesondere nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruchs im Rahmen seiner Möglichkeiten zu unterstützen. Selbiges gilt für den Fall, dass der Auftragnehmer durch eine betroffene Person in Anspruch genommen wird.

15.3 Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

§ 16 Schlussbestimmungen

16.1 Dieser Vertrag sowie Änderungen und/oder Ergänzungen dieses Vertrages bedürfen den Formerfordernissen nach Art. 28 Abs. 9 DSGVO (Schriftform oder ein elektronisches Surrogat im Sinne des Art. 28 Abs. 9 DSGVO). Diese Formvorgaben sind auch für den Verzicht auf das Formerfordernis nach dieser Ziffer erforderlich.

16.2 Nebenabreden zu dieser Vereinbarung bestehen nicht, soweit auf sie im Rahmen dieser Vereinbarung nicht ausdrücklich Bezug genommen ist. Die Regelungen dieser Vereinbarung nebst ihren Anlagen, die als solche wesentliche Bestandteile des Vertrages sind, treten an die Stelle etwaiger aller früheren oder gegenwärtigen diesbezüglichen Vereinbarungen und gehen diesen insoweit abschließend vor, soweit nicht ausdrücklich Abweichendes geregelt ist.

16.3 Die Unwirksamkeit einer der vorstehenden Bestimmungen berührt die Gültigkeit der übrigen Bestimmungen nicht. Sollte sich eine Bestimmung als unwirksam erweisen, wird diese durch eine neue ersetzt, die dem wirtschaftlich Gewollten am nächsten kommt.

16.4 Auf das Vertragsverhältnis findet deutsches materielles Recht Anwendung. Bei Verbrauchern, die den Vertrag nicht zu beruflichen oder gewerblichen Zwecken abschließen, gilt diese Rechtswahl nur insoweit, als nicht der gewährte Schutz durch zwingende Bestimmungen des Rechts des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, entzogen wird.

16.5 Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist Gerichtsstand für alle Streitigkeiten aus diesem Vertrag das an dem Geschäftssitz von JK Effects zuständige Gericht, sofern nicht ein ausschließlicher Gerichtsstand gegeben ist. JK Effects ist jedoch auch berechtigt, den Kaufmann an seinem Wohn- oder Geschäftssitzgericht zu verklagen. Die Zuständigkeit aufgrund eines ausschließlichen Gerichtsstands bleibt hiervon unberührt.

Anlagen:

Anlage 1: Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen

Anlage 2: Schutzmaßnahmen des Auftragnehmers (technische und organisatorische Maßnahmen des Auftragnehmers)