Vertrag über die Verarbeitung von personenbezogenen Daten

im Sinne des Art. 28 Abs. 3 der europäischen Datenschutz-Grundverordnung 2016/679 “DSGVO”

(Stand 23. September 2022)

zwischen

{FIRMA}
{ADRESSE1}
{ADRESSE2}
{PLZ} {ORT}
{LAND}

nachfolgend Auftraggeber (Verantwortlicher) genannt

und

melzer.media Inh. Christian Melzer
Am Erlenwald 3
09128 Chemnitz
Deutschland

nachfolgend Auftragnehmer (Auftragsverarbeiter) genannt

Präambel

Dieser Vertrag konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich bei der Erbringung der beauftragten Dienstleistung ergeben. Er findet Anwendung auf alle Tätigkeiten, die mit der Dienstleistung in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer beauftragte weitere Auftragsverarbeiter auftragsgegenständliche personenbezogene Daten („Daten“) im Auftrag des Auftraggebers im Sinne der Art. 4 Nr. 2 und 28 DSGVO verarbeiten („Auftragsverarbeitung“).

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

1. Gegenstand, Dauer, Art und Zweck der Auftragsverarbeitung sowie die Art der Daten und die Kategorien betroffener Personen ergeben sich aus dem Hauptvertrag / Soweit sich diese Spezifizierungen aus dem Hauptvertrag nicht ergeben oder ein solcher nicht besteht, sind diese Angaben in Nr. I der Anlage 1 zu diesem Vertrag aufgenommen. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen bedürfen der Schriftform oder eines dokumentierten elektronischen Formats.
2. Die in diesem Vertrag und einem bestehenden Hauptvertrag vereinbarten Dienstleistungen werden ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung von Dienstleistungen oder von Teilarbeiten dazu in ein Drittland („Verlagerung“) bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Europäischen Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln). Alle zu Beginn der Verarbeitung auf Basis dieser Grundsätze bereits vorgenommenen Verlagerungen (aktuelle Liste) sind unter https://melzer.media/terms/processors zu finden.
3. Die Laufzeit und Kündigungsmöglichkeit dieses Vertrages richtet sich nach dem Besteht kein Hauptvertrag oder enthält dieser keine Laufzeitbestimmung, kann dieser Vertrag mit einer Frist von drei Monaten zum Ende eines Kalendermonats gekündigt werden, sofern sich nicht aus den Bestimmungen dieses Vertrages oder seiner Anlagen etwas anderes ergibt.

2. Rechte und Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet Daten von betroffenen Personen ausschließlich im Rahmen der getroffenen Vereinbarungen und der dokumentierten Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlung von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 3 Satz 2 lit. a DSGVO).
2. Im Hinblick auf die vom Auftraggeber erteilten Weisungen besteht seitens des Auftragnehmers keine materiell-rechtliche Prüfpflicht. Vorbehaltlich des 28 Abs. 3 Satz 2 lit. a DSGVO informiert der Auftragnehmer den Auftraggeber jedoch unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. In diesem Fall ist der Auftragnehmer berechtigt, die Durchführung der vereinbarten Tätigkeit so lange auszusetzen, bis der Auftraggeber über das weitere Vorgehen entschieden und den Auftragnehmer hierüber in einem dokumentierten elektronischen Format informiert hat. Etwaig hierdurch entstehende Mehraufwände des Auftragnehmers trägt der Auftraggeber. Der Auftraggeber trägt die alleinige Verantwortung für die von ihm getroffene Entscheidung. Hält der Auftraggeber an der erteilten Weisung fest und verlangt deren Umsetzung dem Auftragnehmer aus dessen Sicht weiterhin ein rechtswidriges Handeln ab, ist der Auftragnehmer berechtigt, die entsprechende Verarbeitung von der Stellung einer Sicherheit durch den Auftraggeber (z.B. Bürgschaft) abhängig zu machen oder eine Entscheidung der zuständigen Aufsichtsbehörde einzuholen oder die Verarbeitung nicht durchzuführen.
3. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der Daten die Vertraulichkeit zu wahren und insbesondere alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu Diese Verpflichtung besteht auch nach Abschluss der Verarbeitung bzw. nach Beendigung des Vertrages fort. Der Auftragnehmer sichert insoweit zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
4. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapital III der DSGVO genannten Rechte der betroffenen Person nachzukommen (Art. 28 3 lit. e DSGVO).
5. Der Auftragnehmer unterstützt den Auftraggeber in angemessener Weise bei der Einhaltung der in den 32 bis 36 DSGVO genannten Pflichten.
6. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über Störungen, Verstöße und Verletzungen datenschutzrechtlicher Bestimmungen oder der Vereinbarungen dieses Vertrages durch bei ihm beschäftigte Personen oder von ihm beteiligte Der Auftragnehmer kann in diesem Fall einstweilig und nach eigenem Ermessen in seinem Verantwortungsbereich angemessene Maßnahmen zum Schutz der Daten des Auftraggebers und zur Minderung möglicher nachteiliger Folgen treffen. Der Auftragnehmer informiert den Auftraggeber über etwaige von ihm getroffenen Maßnahmen möglichst zeitnah. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Auftraggeber erforderlichenfalls bei dessen Pflichten nach Art. 33 und 34 DSGVO (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Für seine Unterstützung kann der Auftragnehmer eine angemessene Vergütung und die Erstattung von Aufwendungen verlangen.
7. Der Auftragnehmer wird dem Auftraggeber auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in 28 DSGVO für die Auftragsverarbeitung niedergelegten Pflichten zur Verfügung stellen und – grundsätzlich nach vorheriger Terminvereinbarung – Überprüfungen und Inspektionen, die vom Auftraggeber oder einem anderen, von diesem beauftragten Prüfer, durchgeführt werden, ermöglichen und zu ihnen beitragen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Ergänzend hierzu gelten die Ziffern 3.2 und 5.3 dieses Vertrages. Das Recht des Auftraggebers zur Inspektion bzw. Überprüfung darf grundsätzlich nur einmal pro Kalenderjahr wahrgenommen werden. Nach der Überprüfung stellt der Auftraggeber dem Auftragnehmer den vollständigen Bericht der Überprüfung zur Verfügung. Dieser Bericht darf vom Auftragnehmer auch an seine Unterauftragnehmer weitergeleitet werden. Für seine Unterstützung bei der Überprüfung kann der Auftragnehmer eine angemessene Vergütung und die Erstattung von Aufwendungen verlangen.
8. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisungen zu Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der Daten befugten Personen vor der Verarbeitung zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO) und diese Vertraulichkeits- bzw. Verschwiegenheitspflicht auch nach Beendigung des mit der zur Verarbeitung der Daten befugten Person geschlossenen Vertrages bzw. der Auftragsverarbeitung fortbesteht.
9. Der Auftragnehmer nennt dem Auftraggeber einen Ansprechpartner für im Rahmen dieses Vertrages anfallende Datenschutzfragen und als konkreten Weisungsempfänger auf Seiten des Dieser (und der konkrete Weisungsberechtigte des Auftraggebers) ist in Nr. II der Anlage 1 zu diesem Vertrag zu nennen. Bei einem Wechsel oder einer längerfristigen Verhinderung einer der genannten Personen ist dem anderen Vertragspartner unverzüglich in Schriftform oder einem dokumentierten elektronischen Format ein Nachfolger bzw. Vertreter mitzuteilen.

Weisungen sind für ihre Geltungsdauer und anschließend noch für drei weitere, volle Kalenderjahre aufzubewahren.

1. Der Auftragnehmer hat Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung
2. Nach der Beendigung der Auftragsverarbeitung sind – sofern technisch möglich - sämtliche beim Auftragnehmer vorhandenen oder an Subunternehmen gelangte Daten, Datenträger, Unterlagen und sonstige Materialen sowie insbesondere alle Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers und gegen Vergütung des damit verbundenen Aufwands herauszugeben oder datenschutzgerecht zu löschen zu vernichten. Sollte die Herausgabe elektronisch gespeicherter Daten gewünscht sein, werden diese in einem marktüblichen Format online zur Verfügung gestellt oder auf einem Datenträger übersendet. Dabei trägt der Auftraggeber das Übermittlungs- bzw. Versandrisiko.
3. Ein(e) Datenschutzbeauftragte(r) ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung zum Zeitpunkt des Vertragsschlusses nicht vorliegt.

3. Rechte und Pflichten des Auftraggebers

1. Für die Beurteilung der Rechtmäßigkeit der Verarbeitung gemäß 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich.
2. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von ihm beauftragten Prüfer erforderlich sein, werden diese grundsätzlich zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorankündigung von wenigstens 28 Tagen durchgeführt. Im Falle einer Schutzverletzung i.S.d. Art. 4 Nr. 12 DSGVO und bei schwerwiegenden Vertragsverstößen können Inspektionen auch mit kürzerer Ankündigungsfrist durchgeführt werden. Der Auftragnehmer darf diese von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Für seine Unterstützung bei der Überprüfung kann der Auftragnehmer eine angemessene Vergütung und die Erstattung von Aufwendungen verlangen.
3. Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten datenschutzrechtlicher Bestimmungen feststellt.
4. Der Auftraggeber nennt dem Auftragnehmer einen Ansprechpartner für im Rahmen dieses Vertrages anfallende Datenschutzfragen und als konkreten Weisungsberechtigten des Dieser (und der konkrete Weisungsempfänger auf Seiten des Auftragnehmers) ist in Nr. II der Anlage 1 zu diesem Vertrag zu nennen. Bei einem Wechsel oder einer längerfristigen Verhinderung einer der genannten Personen ist dem anderen Vertragspartner unverzüglich in Schriftform oder einem dokumentierten elektronischen Format ein Nachfolger bzw. Vertreter mitzuteilen.
5. Weisungen werden anfänglich durch den Hauptvertrag diesen Vertrag festgelegt. Spätere Weisungen sind grundsätzlich schriftlich oder in einem dokumentierten elektronischen Format an die vom Auftragnehmer bezeichnete Stelle (vgl. Nr. II der Anlage 1 zu diesem Vertrag) zu erteilen. Mündliche Weisungen sind für ihre Gültigkeit unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Tätigkeiten des Auftragnehmers aufgrund von Weisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind vom Auftraggeber nach Aufwand zu vergüten. Weisungen sind für ihre Geltungsdauer und drei weitere Jahre, beginnend mit dem Ablauf des Kalenderjahres, in dem die Geltung der Weisung endet, aufzubewahren.
6. Sollte der Auftragnehmer oder dessen Subunternehmer auf Grund der Umsetzung einer Weisung des Auftraggebers oder einer Entscheidung gemäß Ziffer 2 dieses Vertrages von einem Dritten mit der Behauptung in Anspruch genommen werden, dass ihm wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen ein materieller oder immaterieller Schaden entstanden ist, oder eine Aufsichtsbehörde infolgedessen eine Geldbuße gegen den Auftragnehmer oder dessen Subunternehmer verhängen oder androhen, stellt der Auftraggeber den in Anspruch Genommenen vollumfänglich von einer solchen Inanspruchnahme bzw. der Geldbuße frei. Der Freistellungsanspruch umfasst dabei auch die angemessenen Kosten der Rechtsverteidigung. Entsprechendes gilt, wenn eine Inanspruchnahme auf eine Verletzung der vertraglichen oder gesetzlichen Pflichten durch den Auftraggeber zurückzuführen ist.
7. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Anfragen betroffener Personen

1. Der Auftraggeber ist für die Wahrung der nach Kapitel III der DSGVO vorgesehenen Betroffenenrechte Der Auftragnehmer wird den Auftraggeber im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner diesbezüglichen Verpflichtungen unterstützen. Der Auftragnehmer kann für diese Unterstützung eine angemessene Vergütung und die Erstattung von Aufwendungen verlangen.
2. Wendet sich eine betroffene Person mit einer Aufforderung zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen den Antrag der betroffenen Person an den Auftraggeber weiterleiten, sofern eine Zuordnung an den Auftraggeber auf Basis der Angaben der betroffenen Person möglich ist.

5. Technische und organisatorische Maßnahmen

1. Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Der Auftragnehmer wird geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz- Grundverordnung, insbesondere deren 32 DSGVO genügen. Diese technischen und organisatorischen Maßnahmen („TOM“) sind unter https://melzer.media/terms/toms einsehbar. Sie beinhalten eine detaillierte Darstellung aller zum ermittelten Risiko passenden und unter Berücksichtigung der Schutzziele und der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer implementierten Maßnahmen. Der Auftragnehmer hat dabei insbesondere solche Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese TOMs bekannt. Er trägt die alleinige Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemessenes Schutzniveau bieten, und wird den Auftragnehmer von allen Ansprüchen Dritter freistellen, die daraus resultieren oder damit zusammenhängen, dass diese TOMs nicht ausreichend sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
2. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Die Maßnahmen beim Auftragnehmer oder einem beauftragten Subunternehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten sowie gesetzlich vorgesehenen Standards nicht unterschreiten.
3. Der Auftragnehmer hat ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

6. Garantien, Nachweise

1. Der Auftragnehmer weist dem Auftraggeber auf Anfrage nach, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der Europäischen Datenschutz-Grundverordnung und diesem Vertrag erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 1 DSGVO).

7. Subunternehmer (weitere Auftragsverarbeiter)

1. Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers bedarf grundsätzlich entweder der gesonderten Zustimmung des Auftraggebers im Einzelfall oder der allgemeinen Genehmigung (Art. 28 2 DSGVO). Der Auftragnehmer muss in jedem Falle dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem implementierten technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung nicht als Subunternehmerverhältnis im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Hierzu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice (wenn kein Zugriff auf Daten des Auftraggebers erfolgen kann), Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Die Einbindung von Entsorgungsunternehmen ist jedoch anzeigepflichtig, wenn der Kern der Beauftragung die Entsorgung von Dokumenten/Datenträgern welche Daten des Auftraggebers enthalten, beinhaltet. Der Auftragnehmer wird jedoch auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen treffen und erforderliche Kontrollmaßnahmen ergreifen, um den Schutz und die Sicherheit der Daten des Auftraggebers zu gewährleisten.
3. Bei Beauftragung von Subunternehmern hat der Auftragnehmer vertraglich sicherzustellen, dass die zwischen ihm und dem Auftraggeber vereinbarten Regelungen auch gegenüber Subunternehmern
4. Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt
5. Der Auftraggeber genehmigt allgemein, dass der Auftragnehmer weitere andere Subunternehmer einbindet. Der Auftragnehmer hat den Auftraggeber aber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung eines Subunternehmers zu informieren, indem er dies nach seiner Wahl entweder dem vom Auftraggeber nach Ziffer 3.4 dieses Vertrages benannten Ansprechpartner mitteilt oder eine Liste mit allen jeweils eingesetzten, weggefallenen und neu hinzukommenden Subunternehmern veröffentlicht. Der Auftraggeber kann gegen derartige Änderungen innerhalb einer Frist von sieben Tagen Einspruch erheben. Liegt ein wichtiger datenschutzrechtlicher Grund für den Einspruch vor und die Parteien erzielen keine einvernehmliche Lösung über das weitere Vorgehen, steht dem Auftraggeber ein fristloses Sonderkündigungsrecht hinsichtlich der gesamten Auftragsverarbeitung zu. Erfolgt innerhalb der Frist kein Einspruch durch den Auftraggeber, gilt die Zustimmung zur Änderung als erteilt.
6. Für den Auftragnehmer sind bereits bei Abschluss dieses Vertrages die unter https://melzer.media/terms/processors (Aktuelle Liste) zu diesem Vertrag bezeichneten Subunternehmer mit der Verarbeitung von Daten in dem dort genannten Umfang beschäftigt. Zu diesen weist der Auftragnehmer auf Anfrage nach, dass die in dieser Ziffer 7 genannten Voraussetzungen für die Beauftragung dieser Subunternehmer eingehalten worden Der Auftraggeber erklärt sich der Auftraggeber mit der Beauftragung der in der Anlage genannten Subunternehmer einverstanden.

8. Haftung und Schadensersatz

Die Vertragsparteien haften entsprechend den einschlägigen gesetzlichen Bestimmungen, gegenüber betroffenen Personen insbesondere gemäß Art. 82 DSGVO.

9. Schlussbestimmungen

1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen und Beteiligten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegen.
2. Mündliche Nebenabreden zu diesem Vertrag zu den mit diesem Vertrag geregelten Gegenständen wurden nicht getroffen. Gegebenenfalls bestehende, frühere mündliche Absprachen werden mit Zustandekommen dieses Vertrages aufgehoben.
3. Änderungen und Ergänzungen dieses Vertrages und aller seiner Bestandteile bedürfen einer schriftlichen Vereinbarung, die auch in einem dokumentierten elektronischen Format erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
4. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages und seiner Anlagen den Regelungen des gegebenenfalls bestehenden Hauptvertrages vor; die Anlagen dieses Vertrages gehen dem Vertrag
5. Sollten einzelne Bestimmungen dieses Vertrages oder seiner Anlagen ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so ist die Wirksamkeit der übrigen Regelungen hiervon nicht betroffen. In diesem Falle werden die Parteien einvernehmlich eine neue Regelung oder Ergänzung der bestehenden Regelung vereinbaren, die die unwirksame oder undurchführbare Regelung in einer Art und Weise ersetzt bzw. ergänzt, die der ursprünglich von den Parteien bei Abfassung dieses Vertrages und seiner Anlagen beabsichtigten Regelung am nächsten kommt, hätten sie denn die Unwirksamkeit oder Undurchführbarkeit bedacht. Dies gilt auch für Regelungslücken.
6. Dieser Vertrag und seine Anlagen unterliegen dem Recht der Bundesrepublik Deutschland unter Ausschluss der Regelungen des internationalen Privatrechts. Der ausschließliche Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers.

	Auftraggeber	Auftragnehmer
Datum	{DATUM}	{DATUM}
Firma	{FIRMA}	melzer.media Inh. Christian Melzer
Name	{VORNAME} {NAME}, {POSITION}	Christian Melzer, GF
Unterschrift

Anlage 1

Vertrag über die Verarbeitung von personenbezogenen Daten im Sinne des Art. 28 Abs. 3 der europäischen Datenschutz-Grundverordnung 2016/679 “DSGVO”

Stand 23. September 2022

Zu Ziffer 1 - Umfang, Art und Zweck der Auftragsverarbeitung, Art der personenbezogenen Daten und Kreis der betroffenen Personen:

Gegenstand des Auftrags:

Der Auftragnehmer stellt ein Online Tool zur Verfügung, mit dem beim Auftraggeber Auftragsdaten aus verschiedenen Systemen importieren und mittels Website-Plugin gegenüber seinen Kunden visualisieren kann. (Lieferterminabfrage)

Umfang, Art und Zweck der Auftragsverarbeitung (beauftragte Leistungen):
(entsprechend der Definition von Art. 4 Nr. 2 DSGVO)

Der Auftragnehmer übernimmt das Hosting, die Wartung und den Support für die o.a. Online-Tools. Hierbei ist eine Zugriffsmöglichkeit auf personenbezogene Daten der Betroffenen nicht ausgeschlossen, soweit solche von den Nutzern in die Online-Tools eingegeben oder importiert werden. Überdies stellt der Auftraggeber dem Auftragnehmer personenbezogene Daten zur Einrichtung der Nutzerkonten zur Verfügung

Datenarten, die verarbeitet werden:
(entsprechend der Definition von Art. 4 Nr. 1, 9, 13, 14 und 15 DSGVO)

• Personenstammdaten (z.B. Anrede, Name, Vorname, Adresse, Titel, Funktion)
• Kommunikationsdaten (Telefon, E-Mail)
• Vertragsstammdaten (z.B. Vertragsbeziehungen, Produkt- und Vertragsinteresse)
• Kundenhistorie (z.B. Käufe, Angebote, Anfragen, Kaufverhalten)
• Vertragsstamm-, Vertragsabrechnungs- und Zahlungsdaten
• Planungs- und Steuerungsdaten
• Technische Protokolldaten (z.B. Login, IP, Zeitstempel)
• Daten, die Nutzer in Nachrichten, Freitextfeldern oder als Inhalt von Dateien von sich aus übermitteln.

Kreis der von der Datenverarbeitung betroffenen Personen:
(entsprechend der Definition von Art. 4 Nr. 1 DSGVO)

• Kunden des Auftraggebers
• Kunden von Kunden des Auftraggebers
• Beschäftigte des Auftraggebers
• Beschäftigte von Kunden des Auftraggebers
• Ansprechpartner von Lieferanten des Auftraggebers
• Ansprechpartner von Lieferanten von Kunden des Auftraggebers
• Interessenten des Auftraggebers
• Interessenten von Kunden des Auftraggebers

Zu Ziffer 9 und Ziffer 3.4 - Weisungsbefugnis

Weisungsberechtigte Personen des Auftraggebers sind:

{VORNAME} {NAME}, {EMAIL}

Weisungsempfänger beim Auftragnehmer sind:

Christian Melzer, [email protected]

Für Weisung zu nutzende Kommunikationskanäle:

E-Mail