AGB - Datenschutz
Allgemeine Geschäftsbedingungen für die datenschutzrechtliche Betreuung durch die DMG
Präambel
Der Auftragnehmer wird für den Auftrag-geber die Dienstleistung des externen Da-tenschutzbeauftragten erbringen. Dem Vertrag liegen die Vorgaben der EU-Verordnung 2016/679 - Datenschutz-Grundverordnung (DSGVO) zugrunde, die seit dem 25.05.2018 gilt.
I. Datenschutzbeauftragter
1. Pflichten des Auftraggebers
Der Auftraggeber trägt Sorge dafür, dass er die ihm nach der DSGVO zugewiesenen Aufgaben und Pflichten einhält. Der Auftragnehmer ist ausschließlich hinsichtlich seiner vertraglichen und gesetzlichen Pflichten verantwortlich für die Einhaltung von Anforderungen, die sich aus der DSGVO für den Auftraggeber ergeben.
Dem Auftraggeber ist bekannt, dass der Auftragnehmer bei komplexen daten-schutzrechtlichen Fragestellungen keine Auskünfte erteilen darf, soweit durch eine entsprechende Auskunft ein Verstoß gegen das Rechtsdienstleistungsgesetz (RDG) vorliegen würde. Der Auftragnehmer wird dem Auftraggeber unverzüglich mitteilen, wenn eine Anfrage des Auftrag-gebers oder ein Sachverhalt eine Prüfung durch einen Rechtsanwalt erforderlich macht.
Der Auftraggeber stellt sicher, dass der Auftragnehmer ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Hierfür wird der Auftraggeber auch innerhalb seiner Organisation Maßnahmen treffen, die sicherstellen, dass Beschäftigte entsprechend frühzeitig eine Einbindung des Auftragnehmers als Datenschutzbeauftragten bewirken.
Der Auftraggeber hat dem Auftragnehmer einen zentralen Ansprechpartner für den Datenschutz zu benennen. Der Auftraggeber kann entscheiden, ob Anfragen an den Datenschutzbeauftragten ausschließlich über den zentralen Ansprechpartner zum Datenschutz zu erfolgen haben oder ob jeder Beschäftigte oder eine bestimmte Personengruppe, sich an den Auftragnehmer wenden kann. Soweit ein Beschäftigter des Auftraggebers eine Frage zum Schutz seiner eigenen personenbezogenen Daten bei einer Verarbeitung durch den Auftraggeber hat, kann er sich unbeachtet der vorherigen Ausführungen an den Auftragnehmer als Datenschutzbeauftragten wenden.
Der Auftraggeber wird dem Auftragnehmer alle für die vollständige Bearbeitung der Anfrage erforderlichen Tatsachen und Umstände mitteilen. Sollten Informationen fehlen, wird der Auftragnehmer den Auftraggeber darauf hinweisen, da eine zügige Bearbeitung der Anfrage sonst nicht möglich ist.
Der Auftraggeber wird den Auftragnehmer insbesondere über jede neu geplante Ein-richtung oder Änderung von Verfahren, mit denen personenbezogene Daten verarbeitet werden, im Voraus informieren, damit eine Überwachung der Einhaltung der Vorgaben der DSGVO und anderer Datenschutzvorschriften durch den Datenschutzbeauftragten erfolgen kann.
Der Auftraggeber ist nach Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde für den Datenschutz mitzuteilen. Dazu gehören in jedem Fall die Anschrift, ggf. eine Angabe des Ansprechpartners, die Telefonnummer und eine E-Mail-Adresse. Der Auftragnehmer wird dem Auftraggeber geeignete Informationen zur Verfügung stellen.
Der Auftraggeber ist ferner nach Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktda-ten des Auftragnehmers zu veröffentlichen. Der Auftragnehmer ist insoweit mit einer Veröffentlichung seiner Anschrift und der E-Mail-Adresse (dsb@dmg-ag.com) auf Internetseiten des Auftraggebers einverstanden.
Der Auftraggeber soll bei der Veröffentli-chung der E-Mail-Adresse auf seinen Internetseiten nach Möglichkeit Maßnahmen treffen, die die Verwendung der E-Mail-Adresse des Auftragnehmers für die Erhebung von E-Mail-Adressen zum Versand unverlangter Werbung („Spam“) erschweren.
Der monatliche Beitrag ist von der Anzahl der am 1.1. jeden Jahres im Unternehmen beschäftigten Mitarbeiter abhängig. Auszubildende und Teilzeitkräfte werden wie eine volle Stelle gezählt. Der Auftraggeber teilt dem Auftragnehmer preisrelevante Veränderungen unverzüglich mit.
2. Pflichten des Auftragnehmers
Der Auftragnehmer erfüllt die Aufgaben des Datenschutzbeauftragten nach den Grundsätzen der gewissenhaften Berufsausführung. Art und Umfang der Durchführung der Aufgaben liegen im pflichtgemäßen Ermessen des Auftragnehmers. Der Auftragnehmer bestimmt - unter Berücksichtigung der berechtigten Interessen des Auftraggebers – über seinen Arbeitsort und seine Arbeitszeit eigenverantwortlich.
Der Auftragnehmer trägt Sorge dafür, dass er zu üblichen Bürozeiten per E-Mail oder telefonisch erreichbar ist und Anfragen abhängig von Art und Umfang der Anfrage zeitnah bearbeitet werden.
Der Auftragnehmer sorgt selbst für den Erwerb und Erhalt des für Datenschutzbeauftragte erforderlichen Fachwissens.
3. Vertraulichkeit
Der Auftragnehmer wird alle Informationen, die er im Zusammenhang mit seiner Tätigkeit für den Auftraggeber erhält, vertraulich behandeln. Der Auftragnehmer darf diese Informationen nur für Zwecke der Erfüllung seiner Aufgaben als Daten-schutzbeauftragter nutzen. Dem Auftragnehmer ist es untersagt, die Informationen ganz oder teilweise zu anderen Zwecken zu nutzen oder die Informationen Dritten zugänglich zu machen.
Die Verpflichtung zur Vertraulichkeit gilt nicht bzw. nicht mehr, wenn
- die Information allgemein bekannt ist oder nach Kenntnisnahme von der Information durch den Auftragnehmer allgemein bekannt wird;
- der Auftragnehmer die Information rechtmäßig von einem Dritten ohne Verletzung einer Vertraulichkeitspflicht erlangt hat;
- der Auftragnehmer zu der Weitergabe vorab ausdrücklich vom Auftraggeber ermächtigt worden ist;
- oder der Auftragnehmer aufgrund einer Rechtsvorschrift oder behördlichen Anordnung zur Weitergabe verpflichtet ist. In diesem Fall hat der Auftragnehmer den Auftraggeber über die beabsichtigte Weitergabe vorab zu informieren und die gesetzlich zulässigen und erforderlichen Vorkehrungen zu treffen, um den Umfang der Weitergabe so gering wie möglich zu halten.
Der Auftragnehmer ist verpflichtet, Beschäftigte und weitere Erfüllungsgehilfen des Auftragnehmers im gleichen Umfang zur Verschwiegenheit zu verpflichten.
Soweit für die Beantwortung von Auskünften die Mitwirkung externer Personen erforderlich oder geboten ist, darf der Auftragnehmer mit Zustimmung des Auftraggebers Informationen an fachkundige Personen übermitteln. Der Auftragnehmer trägt Sorge dafür, dass die betreffenden Empfänger der Informationen diese vertraulich behandeln und nur für die Zwecke verarbeiten und nutzen, für die sie die Daten erhalten haben.
4. Datenschutz und Informationssicherheit
Der Auftragnehmer trägt Sorge dafür, dass er alle Informationen, die er im Zusammenhang mit seiner Tätigkeit für den Auftraggeber erlangt, in einer dem Stand der Technik entsprechenden Weise vor dem unbefugten Zugriff durch Dritte schützt.
Der Auftraggeber wird darauf hingewiesen, dass bei einer elektronischen Kommunikation über das Internet nie ganz ausgeschlossen werden kann, dass eine unbefugte Kenntnisnahme von Inhalten der Kommunikation durch Dritte stattfindet. Der Auftragnehmer bietet die verschlüsselte Kommunikation per E-Mail auf Basis von PGP/OpenPGP oder S/MIME an. Der für die Kommunikation erforderliche öffentliche Schlüssel wird auf Anfrage übermittelt.
5. Haftungsbeschränkung
Der Auftragnehmer hat eine Berufshaftpflichtversicherung mit einer Deckungssumme von 500.000,00 € pro Einzelfall abgeschlossen. Der Auftragnehmer ist verpflichtet, die Versicherung mindestens in dieser Höhe für die Dauer dieses Vertragsverhältnisses aufrechtzuerhalten. Der Auftraggeber kann jederzeit einen entsprechenden Nachweis vom Auftragnehmer verlangen.
Der Auftragnehmer haftet bei Vorsatz oder grober Fahrlässigkeit für alle vom Auftragnehmer verursachten Schäden unbeschränkt.
Bei leichter Fahrlässigkeit haftet der Auftragnehmer im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.
Im Übrigen haftet der Auftragnehmer nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens, maximal jedoch auf den in Absatz 1 genannten Betrag der Deckungssumme, beschränkt.
Soweit die Haftung des Auftragnehmers nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen des Auftragnehmers.
II. Zusätzliche Leistungen
Sämtliche Zusatzleistungen können im Kundeportal und per E-Mail (dsb@dmg-ag.com) gebucht werden.
1. Ad-hoc-Beratung
Es besteht die Möglichkeit, ausschließlich eine Ad-hoc-Beratung vorzunehmen. Bestandteil dieser Beratung ist die Überprüfung der Datenschutzerklärung auf der Homepage des Auftraggebers und die Erarbeitung einer rechtskonformen Darstellung.
Für die Ad-hoc-Beratung wird ein einmaliger Betrag in Höhe von 249,00 € netto zzgl. der jeweils geltenden Umsatzsteuer erhoben.
2. Bestandsaufnahme
Es besteht die Möglichkeit die Ersteinrichtung anstatt über eine Fernabfrage auch durch eine Bestandsaufnahme vor Ort durchzuführen.
Zweck der Bestandsaufnahme ist es, dass der Auftragnehmer sich einen Überblick über die beim Auftraggeber durchgeführten Verarbeitungen und die zur Datensicherheit getroffenen technischen und organisatorischen Maßnahmen verschaffen kann.
Der Auftraggeber wird dem Auftragnehmer alle hierfür erforderlichen Informationen zur Verfügung stellen und Zugang zu Räumlichkeiten und Verarbeitungsverfahren ermöglichen. Der Auftraggeber wird dem Auftragnehmer ferner bei Bedarf Ansprechpartner zur Verfügung stellen, die über Zweck, Art und Umfang der jeweiligen Verarbeitungen von personenbezogenen Daten sowie über Geschäftsprozesse Auskunft erteilen können.
Der Auftragnehmer wird dem Auftraggeber über die Ergebnisse der Bestandsaufnahme Bericht erstatten. Art und Umfang der Berichterstattung liegen im Ermessen des Auftragnehmers.
Mit Übersendung des Berichtes „Bestandsaufnahme“ gilt die Bestandsaufnahme als abgeschlossen.
Mit Abschluss der Berichterstattung „Bestandsaufnahme“ erfolgt die Rechnungsstellung. Die fällige Vergütung ist binnen 10 Tagen nach Zugang der Rechnung auf das vom Auftragnehmer angegebene Konto zu zahlen.
Für die erstmalige Bestandsaufnahme wird ein einmaliger Betrag in Höhe von 599,00 € netto zzgl. der jeweils geltenden Umsatzsteuer erhoben.
Die Reisekosten für die Bestandaufnahme werden gegen Nachweis der tatsächlichen Fahrkilometer vom Auftraggeber erstattet. Sie werden mit 1,00 € je Fahrkilometer (einfache Strecke Auftragnehmer Auftraggeber) berechnet.
3. Mitarbeiterschulung vor Ort
Es besteht die Möglichkeit, Mitarbeiterschulungen vor Ort durch den Auftragnehmer durchzuführen.
Für die erstmalige Mitarbeiterschulung wird ein einmaliger Betrag in Höhe von 399,00 € netto zzgl. der jeweils geltenden Umsatzsteuer erhoben.
Die Reisekosten für die Mitarbeiterschulung werden gegen Nachweis der tatsächlichen Fahrkilometer vom Auftraggeber erstattet. Sie werden mit 1,00 € je Fahrkilometer (einfache Strecke Auftragnehmer Auftraggeber) berechnet.
Nach der Mitarbeiterschulung erfolgt die Rechnungsstellung. Die fällige Vergütung ist binnen 10 Tagen nach Zugang der Rechnung auf das vom Auftragnehmer angegebene Konto zu zahlen.
III. Schlussbestimmungen
Das Vertragsverhältnis zwischen den Parteien unterliegt dem Recht der Bundesrepublik Deutschland.
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem ursprünglich verfolgten Zweck so nahe wie möglich kommt.
Gerichtsstand ist der Sitz der DMG.