{"id":7848,"date":"2021-10-20T15:03:46","date_gmt":"2021-10-20T13:03:46","guid":{"rendered":"https:\/\/www.pickware.com\/?page_id=7848"},"modified":"2023-02-13T10:26:14","modified_gmt":"2023-02-13T09:26:14","slug":"avv","status":"publish","type":"page","link":"https:\/\/www.pickware.com\/de\/avv","title":{"rendered":"Pickware AVV"},"content":{"rendered":"\n
<\/div>\n\n\n\n
\n
\n
\n
\n
<\/div>\n

Auftragsverarbeitungsvertrag<\/h1>\n
<\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n\n
<\/div>\n\n\n\n
\n
\n
\n
\n \n\n

zwischen dem
Shopbetreiber<\/p>\n\n\n\n

\u2013 nachfolgend \u201eAuftraggeber\u201c<\/strong> genannt \u2013<\/p>\n\n\n\n

und der<\/p>\n\n\n\n

Pickware GmbH
Goebelstra\u00dfe 21
64293 Darmstadt<\/p>\n\n\n\n

\u2013 nachfolgend \u201eAuftragnehmer\u201c <\/strong>genannt \u2013<\/p>\n\n\n\n

wird ein Vertrag \u00fcber die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gem\u00e4\u00df Art. 28 DSGVO folgenden Inhalts geschlossen:<\/p>\n\n\n\n

Vertragsgegenstand<\/h4>\n\n\n\n

Im Rahmen der Leistungserbringung nach dem \u00fcber den Pickware Account abgeschlossenen Mietvertrag \u00fcber die Software Pickware Cloud (nachfolgend \u201eHauptvertrag\u201c<\/strong> genannt) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, f\u00fcr die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend \u201eAuftraggeber-Daten\u201c<\/strong> genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchf\u00fchrung des Hauptvertrags.<\/p>\n\n\n\n

Gegenstand der Verarbeitung personenbezogener Daten im Auftrag sind Stammdaten, Kontaktdaten, Personal- und Identifikationsnummern, Kundenverhaltensdaten (Nutzungsdaten und Verbindungsdaten), Vertragsdaten, Benutzerkennungen und andere auf die Nutzung eines Onlineshops und Kassensystems bezogene personenbezogene Daten. Zweck der Datenverarbeitung ist die Erf\u00fcllung der Pflichten von Pickware aus dem Hauptvertrag im Zusammenhang mit der Bereitstellung und dem Betrieb des Pickware Cloud. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrages.<\/p>\n\n\n\n

Umfang der Beauftragung<\/h4>\n\n\n\n

Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.<\/p>\n\n\n\n

Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt in der Art, dem Umfang und zu dem Zweck wie im Hauptvertrag samt Anlagen spezifiziert; die Verarbeitung betrifft die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.<\/p>\n\n\n\n

Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr m\u00f6glich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Ma\u00dfgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin \u00fcberein, dass anonymisierte bzw. nach obiger Ma\u00dfgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.\n<\/p>\n\n\n\n

Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zul\u00e4ssigen f\u00fcr eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.<\/p>\n\n\n\n

Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grunds\u00e4tzlich innerhalb der Europ\u00e4ischen Union oder in einem anderen Vertragsstaat des Abkommens \u00fcber den Europ\u00e4ischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch au\u00dferhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab \u00fcber den Ort der Datenverarbeitung mindestens in Textform informiert und die Voraussetzungen der Art. 44 – 48 DSGVO erf\u00fcllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.<\/p>\n\n\n\n

Weisungsbefugnisse des Auftraggebers<\/h4>\n\n\n\n

Der Auftragnehmer verarbeitet die Auftraggeber-Daten gem\u00e4\u00df den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen \u00f6ffentlichen Interesses verbietet.<\/p>\n\n\n\n

Die Weisungen des Auftraggebers sind grunds\u00e4tzlich abschlie\u00dfend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zus\u00e4tzliche Anforderungen aufstellen, bed\u00fcrfen einer vorherigen Zustimmung des Auftragnehmers. Die Zustimmung des Auftragnehmers ist mindestens in Textform einzuholen.<\/p>\n\n\n\n

Der Auftragnehmer gew\u00e4hrleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verst\u00f6\u00dft oder in sonstiger Weise rechtswidrig ist, ist er nach einer entsprechenden unverz\u00fcglichen Mitteilung an den Auftraggeber berechtigt, die Ausf\u00fchrung der Weisung bis zu einer Best\u00e4tigung der Weisung durch den Auftraggeber auszusetzen. Die Mitteilung erfolgt mindestens in Textform. Die Parteien stimmen darin \u00fcberein, dass die alleinige Verantwortung f\u00fcr die weisungsgem\u00e4\u00dfe Verarbeitung der Auftraggeber-Daten beim Auftraggeber liegt.<\/p>\n\n\n\n

Verantwortlichkeit des Auftraggebers<\/h4>\n\n\n\n

Der Auftraggeber ist f\u00fcr die Rechtm\u00e4\u00dfigkeit der Verarbeitung der Auftraggeber-Daten sowie f\u00fcr die Wahrung der Rechte der Betroffenen im Verh\u00e4ltnis der Parteien zueinander verantwortlich. Der Auftragnehmer unterst\u00fctzt den Auftraggeber bei der Gew\u00e4hrleistung der Einhaltung der Bestimmungen \u00fcber die Rechte der betroffenen Person.<\/p>\n\n\n\n

Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verf\u00fcgung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.<\/p>\n\n\n\n

Ist der Auftragnehmer gegen\u00fcber einer staatlichen Stelle oder einer Person verpflichtet, Ausk\u00fcnfte \u00fcber die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Ausk\u00fcnfte bzw. der Erf\u00fcllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterst\u00fctzen.<\/p>\n\n\n\n

Anforderungen an Personal<\/h4>\n\n\n\n

Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bez\u00fcglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.<\/p>\n\n\n\n

Sicherheit der Verarbeitung<\/h4>\n\n\n\n

Der Auftragnehmer wird gem\u00e4\u00df Art. 32 DSGVO, geeignete technische und organisatorische Ma\u00dfnahmen ergreifen, die unter Ber\u00fccksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f\u00fcr die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau f\u00fcr die Auftraggeber-Daten zu gew\u00e4hrleisten (Anlage 2<\/strong>).<\/p>\n\n\n\n

Dem Auftragnehmer ist es gestattet, technische und organisatorische Ma\u00dfnahmen w\u00e4hrend der Laufzeit des Vertrages zu \u00e4ndern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen gen\u00fcgen.<\/p>\n\n\n\n

Inanspruchnahme weiterer Auftragsverarbeiter<\/h4>\n\n\n\n

Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 1<\/strong>. Von dieser allgemeinen Genehmigung sind auch Vertragsverh\u00e4ltnisse mit Dienstleistern, die die Pr\u00fcfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, umfasst, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.<\/p>\n\n\n\n

Der Auftragnehmer wird den Auftraggeber \u00fcber beabsichtigte \u00c4nderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter mindestens in Textform informieren. Dem Auftraggeber steht das Recht zu, gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters Einspruch zu erheben, wenn dieser keinen ausreichenden Schutz der zu verarbeitenden Daten gew\u00e4hrleisten kann. Im Falle eines Einspruchs ist der Auftragnehmer berechtigt, den Hauptvertrag einschlie\u00dflich dieses Vertrages mit einer Frist von 14 Tagen ab dem Zeitpunkt der K\u00fcndigung zu k\u00fcndigen.<\/p>\n\n\n\n

Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen \u00fcberein, dass diese Anforderung erf\u00fcllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind. Erf\u00fcllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragnehmer gegen\u00fcber dem Verantwortlichen f\u00fcr die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.<\/p>\n\n\n\n

Unter Einhaltung der Anforderungen der Ziffer 2.5 dieses Vertrags gelten die Regelungen in dieser Ziffer 7 auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird. Der Auftraggeber bevollm\u00e4chtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln f\u00fcr die \u00dcbermittlung personenbezogener Daten an Auftragsverarbeiter in Drittl\u00e4ndern vom 5.2.2010 zu schlie\u00dfen. Der Auftraggeber erkl\u00e4rt sich bereit, an der Erf\u00fcllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Ma\u00dfe mitzuwirken.<\/p>\n\n\n\n

Rechte der betroffenen Personen<\/h4>\n\n\n\n

Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren dabei unterst\u00fctzen, seiner Pflicht zur Beantwortung von Antr\u00e4gen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen. <\/p>\n\n\n\n

Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegen\u00fcber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah und mindestens in Textform an den Auftraggeber weiterleiten.<\/p>\n\n\n\n

Der Auftragnehmer wird dem Auftraggeber Informationen \u00fcber die gespeicherten Auftraggeber-Daten, die Empf\u00e4nger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgem\u00e4\u00df weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.<\/p>\n\n\n\n

Der Auftragnehmer wird es dem Auftraggeber erm\u00f6glichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufw\u00e4nde und Kosten, Auftraggeber-Daten zu berichtigen, zu l\u00f6schen oder ihre weitere Verarbeitung einzuschr\u00e4nken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschr\u00e4nkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unm\u00f6glich ist..<\/p>\n\n\n\n

Soweit die betroffene Person gegen\u00fcber dem Auftraggeber ein Recht auf Daten\u00fcbertragbarkeit bez\u00fcglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufw\u00e4nde und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem g\u00e4ngigen und maschinenlesbaren Format unterst\u00fctzen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.<\/p>\n\n\n\n

Mitteilungs- und Unterst\u00fctzungspflichten des Auftragnehmers<\/h4>\n\n\n\n

Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 32-36 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah \u00fcber etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erf\u00fcllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufw\u00e4nde und Kosten unterst\u00fctzen.<\/p>\n\n\n\n

Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufw\u00e4nde und Kosten bei etwa vom Auftraggeber durchzuf\u00fchrenden Datenschutz-Folgenabsch\u00e4tzungen und sich gegebenenfalls anschlie\u00dfenden Konsultationen der Aufsichtsbeh\u00f6rden nach Art. 35, 36 DSGVO unterst\u00fctzen.<\/p>\n\n\n\n

Datenl\u00f6schung<\/h4>\n\n\n\n

Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages nach Wahl des Verantwortlichen l\u00f6schen oder zur\u00fcckgeben sowie bestehende Kopien vernichten, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht. In Absprache zwischen den Parteien speichert der Auftragnehmer die Daten weiter; die datenschutzrechtliche Verantwortlichkeit tr\u00e4gt der Auftragnehmer. <\/p>\n\n\n\n

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgem\u00e4\u00dfen Verarbeitung von Auftraggeber-Daten dienen, d\u00fcrfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.<\/p>\n\n\n\n

Nachweise und \u00dcberpr\u00fcfungen<\/h4>\n\n\n\n

Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verf\u00fcgung stellen. <\/p>\n\n\n\n

Der Auftraggeber ist berechtigt, den Auftragnehmer bez\u00fcglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Ma\u00dfnahmen, zu \u00fcberpr\u00fcfen; einschlie\u00dflich durch Inspektionen. Der Auftragnehmer wird die Inspektionen erm\u00f6glichen und zu ihnen beitragen.<\/p>\n\n\n\n

Zur Durchf\u00fchrung von Inspektionen nach Ziffer 11.2 ist der Auftraggeber berechtigt, im Rahmen der \u00fcblichen Gesch\u00e4ftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorank\u00fcndigung gem\u00e4\u00df Ziffer 11.5 auf eigene Kosten, ohne St\u00f6rung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Gesch\u00e4ftsgeheimnissen des Auftragnehmers die Gesch\u00e4ftsr\u00e4ume des Auftragnehmers zu betreten, in denen Auftraggeber-Daten verarbeitet werden.<\/p>\n\n\n\n

Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Ber\u00fccksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Gesch\u00e4fte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen versto\u00dfen w\u00fcrde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen \u00fcber andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualit\u00e4tspr\u00fcfungs- und Vertrags-Managementberichten sowie zu s\u00e4mtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant f\u00fcr die vereinbarten \u00dcberpr\u00fcfungszwecke sind, zu erhalten.<\/p>\n\n\n\n

Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) \u00fcber alle mit der Durchf\u00fchrung der \u00dcberpr\u00fcfung zusammenh\u00e4ngenden Umst\u00e4nde zu informieren. Der Auftraggeber darf eine \u00dcberpr\u00fcfung pro Kalenderjahr durchf\u00fchren. Weitere \u00dcberpr\u00fcfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.<\/p>\n\n\n\n

Beauftragt der Auftraggeber einen Dritten mit der Durchf\u00fchrung der \u00dcberpr\u00fcfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11 dieses Vertrags gegen\u00fcber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverz\u00fcglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen. <\/p>\n\n\n\n

Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabh\u00e4ngigen Instanz (z.B. Wirtschaftspr\u00fcfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualit\u00e4tsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit \u2013 z.B. nach BSI-Grundschutz \u2013 (\u201ePr\u00fcfungsbericht\u201c) erbracht werden, wenn der Pr\u00fcfungsbericht es dem Auftraggeber in angemessener Weise erm\u00f6glicht, sich von der Einhaltung der Vertragspflichten zu \u00fcberzeugen.<\/p>\n\n\n\n

Vertragsdauer und K\u00fcndigung<\/h4>\n\n\n\n

Die Laufzeit und K\u00fcndigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und K\u00fcndigung des Hauptvertrags. Eine K\u00fcndigung des Hauptvertrags bewirkt automatisch auch eine K\u00fcndigung dieses Vertrags. Eine isolierte K\u00fcndigung dieses Vertrags ist ausgeschlossen.<\/p>\n\n\n\n

Haftung<\/h4>\n\n\n\n

Der Auftragnehmer haftet nur f\u00fcr Vorsatz und grobe Fahrl\u00e4ssigkeit. Diese Haftungsbeschr\u00e4nkung gilt auch f\u00fcr seine Erf\u00fcllungs- und Verrichtungsgehilfen. F\u00fcr leichte Fahrl\u00e4ssigkeit haftet der Auftragnehmer nur, bei der Verletzung vertragswesentlicher Pflichten. Wesentliche Vertragspflichten sind solche, deren Erf\u00fcllung zur Erreichung des Ziels des Vertrages notwendig ist. Hiervon ausgenommen sind Schadensersatzanspr\u00fcche aus der Verletzung des Lebens, des K\u00f6rpers oder der Gesundheit.<\/p>\n\n\n\n

Soweit Dritte Anspr\u00fcche gegen den Auftragnehmer geltend machen, die ihre Ursache in einem schuldhaften Versto\u00df des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber den Auftragnehmer von diesen Anspr\u00fcchen auf erstes Anfordern frei.<\/p>\n\n\n\n

Der Auftraggeber verpflichtet sich, den Auftragnehmer auch von allen etwaigen Geldbu\u00dfen, die gegen den Auftragnehmer verh\u00e4ngt werden, in dem Umfang auf erstes Anfordern freizustellen, in dem der Auftraggeber Anteil an der Verantwortung f\u00fcr den durch die Geldbu\u00dfe sanktionierten Versto\u00df tr\u00e4gt.<\/p>\n\n\n\n

Schlussbestimmungen<\/h4>\n\n\n\n

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine L\u00fccke enthalten, so bleiben die \u00fcbrigen Bestimmungen hiervon unber\u00fchrt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zul\u00e4ssige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am n\u00e4chsten kommt und dabei den Anforderungen des Art. 28 DSGVO gen\u00fcgt.<\/p>\n\n\n\n

Im Fall von Widerspr\u00fcchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.<\/p>\n\n\n\n

Anlagen: <\/h2>\n\n\n\n

Anlage 1: Sub-Auftragnehmer
Anlage 2: TOMs<\/p>\n\n\n\n

Anlage 1: Sub-Auftragnehmer<\/h2>\n\n\n\n

Firma, Anschrift: <\/strong>fiskaly GmbH Stutterheimstra\u00dfe 16\u201318\/2\/20e A\u20111150 Wien
Art der Verarbeitung:<\/strong> Fiskalisierungsdienst
Zweck:<\/strong> Erf\u00fcllung der Kassensicherungsverordnung
Kategorien der betroffenen Personen:<\/strong> Besch\u00e4ftigte, Kunden, Interessenten, Lieferanten und Dienstleister

Firma, Anschrift: <\/strong><\/strong>Functional Software, Inc. 45 Fremont Street San Francisco, CA 94105
Art der Verarbeitung:<\/strong> <\/strong>Application Monitoring and Error Tracking Software
Zweck:<\/strong> <\/strong>Monitoring
Kategorien der betroffenen Personen:<\/strong> <\/strong>Besch\u00e4ftigte, Kunden, Interessenten, Lieferanten und Dienstleister

Firma, Anschrift: <\/strong><\/strong>Google Ireland Limited Gordon House, 4 Barrow St Dublin, D04 E5W5
Art der Verarbeitung:<\/strong> <\/strong>Cloud-Dienst
Zweck:<\/strong> <\/strong>Infrastruktur- und Plattform
Kategorien der betroffenen Personen:<\/strong> <\/strong>Besch\u00e4ftigte, Kunden, Interessenten, Lieferanten und Dienstleister<\/p>\n\n\n\n

Firma, Anschrift: <\/strong><\/strong>Twilio Inc. 375 Beale Street San Francisco, CA 94105
Art der Verarbeitung:<\/strong> <\/strong>Kommunikationsplattform
Zweck:<\/strong> <\/strong>Mailversand
Kategorien der betroffenen Personen:<\/strong> <\/strong>Besch\u00e4ftigte, Kunden, Interessenten, Lieferanten und Dienstleister <\/p>\n\n\n\n

Firma, Anschrift: <\/strong><\/strong>Cloudflare Inc. 101 Townsend St San Francisco, CA 94107
Art der Verarbeitung:<\/strong> <\/strong>Content Delivery Network
Zweck:<\/strong> <\/strong>Betrieb eines Reverse-Proxy
Kategorien der betroffenen Personen:<\/strong> <\/strong>Besch\u00e4ftigte, Kunden, Interessenten, Lieferanten und Dienstleister <\/p>\n\n\n\n

Firma, Anschrift: <\/strong><\/strong>Salesforce.com Germany GmbH Erika-Mann-Str. 31 80636 M\u00fcnchen
Art der Verarbeitung:<\/strong> <\/strong>Hosting-Dienst „heroku“
Zweck:<\/strong> <\/strong>Erf\u00fcllung der Kassensicherungs- verordnung
Kategorien der betroffenen Personen:<\/strong> <\/strong>Besch\u00e4ftigte, Kunden, Interessenten, Lieferanten und Dienstleister <\/p>\n\n\n\n

Firma, Anschrift:<\/strong> <\/strong>Stripe Payments Europe, Ltd. The One Building, Lower Grand Canal St Dublin 2, Ireland
Art der Verarbeitung:<\/strong> <\/strong>Abwicklung Abonnementgeb\u00fchren
Zweck:<\/strong> <\/strong>Infrastruktur und Plattform
Kategorien der betroffenen Personen:<\/strong> <\/strong>Besch\u00e4ftigte, Kunden, Interessenten<\/p>\n\n\n\n

Anlage 2: TOMs<\/h2>\n\n\n\n

Technisch-organisatorische Ma\u00dfnahmen<\/h2>\n\n\n\n

Vertraulichkeit<\/strong><\/p>\n\n\n\n

Zutrittskontrolle: Biometrische Zugangssperren, Schl\u00fcsselliste, Manuelles Schlie\u00dfsystem, Empfang\/Pf\u00f6rtner, Sicherheitsschl\u00f6sser, Protokoll der Besucher, T\u00fcren mit Knauf Au\u00dfenseite, Besucher in Begleitung durch Mitarbeiter, Klingelanlage mit Kamera, Sorgfalt bei Auswahl der Reinigungsdienste, Video\u00fcberwachung der Eing\u00e4nge;
Zugangskontrolle: Login mit Benutzername und Passwort, Verwalten von Benutzerberechtigungen, Firewall, Erstellen von Benutzerprofilen, Verschl\u00fcsselung von Datentr\u00e4gern, Richtlinien f\u00fcr sichere Passw\u00f6rter, Automatische Desktopsperre, Richtlinien f\u00fcr das L\u00f6schen von Daten, Verschl\u00fcsselung von Notebooks, Allg. Richtlinien bzgl. Datenschutz, Verwendung von digitalen Passworttresoren, Vorgabe zur manuellen Desktopsperre, Vorgabe zur automatischen Desktopsperre;
Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Ver\u00e4ndern oder Entfernen innerhalb des Systems, Einsatz von Berechtigungskonzepten, Minimale Anzahl von Administratoren, Verwaltung der Benutzerrechte durch Administratoren, Protokollierung von Zugriffen auf Anwendungen \u00fcber einen Passwort-Manager, Aktenschredder (mind. Stufe 3, cross cut);
Trennungskontrolle: Trennung von Produktiv- und Testumgebung, Steuerung \u00fcber Berechtigungskonzept, Physikalische Trennung, Festlegung von Datenbankrechten, Mandantenf\u00e4higkeit relevanter Anwendungen;
Pseudonymisierung: Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (m\u00f6gl. verschl\u00fcsselt); Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen L\u00f6schfrist m\u00f6glichst zu anonymisieren \/ pseudonymisieren;<\/p>\n\n\n\n

Integrit\u00e4t<\/strong><\/p>\n\n\n\n

Weitergabekontrolle: Email-Verschl\u00fcsselung, Dokumentation der Datenempf\u00e4nger, Protokollierung der Zugriffe und Abrufe, \u00dcbersicht regelm\u00e4\u00dfiger Abruf- und \u00dcbermittlungsverfahren, Bereitstellung \u00fcber verschl\u00fcsselte Verbindungen \u00fcber HTTPS, Weitergabe in anonymisierter oder pseudonymisierter Form, Nutzung von Signaturverfahren, \u00dcbergabe mit Protokoll;
Eingabekontrolle: Technische Protokollierung der Eingabe, \u00c4nderung und L\u00f6schung von Daten, \u00dcbersicht, mit welchem Programmen welche Daten eingegeben, ge\u00e4ndert oder gel\u00f6scht werden k\u00f6nnen, Manuelle oder automatisierte Kontrolle der Protokolle, Nachvollziehbarkeit von Eingabe, \u00c4nderung und L\u00f6schung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen), Sichere Transportbeh\u00e4lter, Vergabe von Rechten zur Eingabe, \u00c4nderung und L\u00f6schung von Daten auf Basis eines Berechtigungskonzepts, Bereitstellung \u00fcber verschl\u00fcsselte Verbindungen \u00fcber HTTPS, Klare Zust\u00e4ndigkeiten f\u00fcr L\u00f6schungen, Nutzung von Signaturverfahren;<\/p>\n\n\n\n

Verfu\u0308gbarkeit und Belastbarkeit<\/strong><\/p>\n\n\n\n

Verfu\u0308gbarkeitskontrolle: Feuer- und Rauchmeldeanlagen, Backup- und Recovery-Konzept, Feuerl\u00f6scher, Kontrolle des Sicherungsvorgangs, Schutzsteckdosenleisten, Regelm\u00e4\u00dfige Tests zur Datenwiederherstellung, Festplattensicherung bzw. Cloud-Backups, Aufbewahrung der Sicherungsmedien an einem sicheren Ort, Alarmmeldung bei unberechtigtem, Zutritt zum Serverraum, Existenz eines Notfallplans;<\/p>\n\n\n\n

Verfahren zur regelm\u00e4\u00dfigen \u00dcberpru\u0308fung, Bewertung und Evaluierung<\/strong><\/p>\n\n\n\n

Datenschutz-Management, einschlie\u00dflich regelm\u00e4\u00dfiger Mitarbeiter-Schulungen;
Datenschutzfreundliche Voreinstellungen;
Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Auftraggebers. <\/p>\n\n\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n\n

<\/div>\n\n\n

<\/p>","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"_stopmodifiedupdate":false,"_modified_date":"","footnotes":""},"class_list":["post-7848","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/pages\/7848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/comments?post=7848"}],"version-history":[{"count":48,"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/pages\/7848\/revisions"}],"predecessor-version":[{"id":22565,"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/pages\/7848\/revisions\/22565"}],"wp:attachment":[{"href":"https:\/\/www.pickware.com\/de\/wp-json\/wp\/v2\/media?parent=7848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}