AGB 2

Allgemeine Geschäftsbedingungen der Hospitality Digital GmbH (Internetdienste)

Hospitality Digital GmbH, Metrostraße 1, 40235 Düsseldorf („H.d“) bietet Unternehmen der Hotel- und Gastronomiebranche („Auftraggeber“) kostenlose Dienstleistungen an, die ausschließlich über das Internet erbracht werden und im Näheren weiter beschrieben werden als die „Dienste“. Manche Dienste sind nur zugänglich, wenn sich der Auftraggeber registriert hat.

1. Anwendungsbereich

1.1 H.d erbringt die Dienste und weitere Leistungen ausschließlich auf Grundlage der nachfolgenden Vertragsbedingungen („AGB“).

1.2 Abweichende Bedingungen des Auftraggebers gelten auch dann nicht, wenn H.d diese nicht ausdrücklich zurückweist und/oder trotz Kenntnis der entgegenstehenden und/oder abweichenden Bedingungen des Auftraggebers Dienste und/oder Leistungen ohne Vorbehalt erbringt.

2. Umfang der Dienste

2.1 Die Dienste umfassen die folgenden Leistungen der H.d während der Laufzeit des Vertrags:

(a) H.d überlässt dem Auftraggeber Speicherplatz zur Nutzung auf Systemen der H.d, auf den der Auftraggeber über das Internet zugreifen kann („Speicherplatz“), siehe Ziffer 4.

(b) H.d räumt dem Auftraggeber über das Internet den Zugriff auf eine Software ein, die es dem Auftraggeber ermöglicht, einfache Webseiten mit festgelegten Layouts zu erstellen und auf dem Speicherplatz zu speichern, den Speicherplatz zu verwalten und/oder Dritten zugänglich zu machen („Software“), siehe Ziffer 5.

(c) H.d bietet dem Auftraggeber eine Sub-Domain unter dem Domainnamen „eatbu.com“ der H.d nach dem Muster xyz.eatbu.com an, die der Auftraggeber im Rahmen der Verfügbarkeit auswählen kann und die mit dem Speicherplatz verbunden wird („Sub-Domain“), siehe Ziffer 6.

2.2 H.d kann dem Auftraggeber weitere Leistungen anbieten, deren Umfang jeweils mit dem Auftraggeber abgestimmt wird und zu den Bedingungen dieser AGB erbracht werden.

2.3 H.d kann die Dienste und weiteren Leistungen an den Stand der Technik und technische Entwicklungen oder Notwendigkeiten anpassen, soweit dies für den Auftraggeber zumutbar ist. H.d kann die Dienste und weiteren Dienste ferner unter Einhaltung einer angemessenen Frist einstellen. H.d informiert den Auftraggeber über die Einstellung der Dienste rechtzeitig.

3. Pflichten des Auftraggebers

3.1 Der Auftraggeber ist verpflichtet, die bei Vertragsschluss angegebenen Geschäfts- und Kontaktdaten während der Vertragslaufzeit stets aktuell zu halten und H.d jede Änderung unverzüglich mitzuteilen. Der Auftraggeber trägt ferner Sorge dafür, dass die H.d mitgeteilte E-Mail-Adresse regelmäßig abgerufen wird, um vertragsrelevante Informationen zu erhalten.

3.2 Zugangsdaten, die der Auftraggeber von H.d erhält, wird der Auftraggeber vor dem Zugriff unberechtigter Dritter schützen. Der Auftraggeber informiert H.d unverzüglich, sollte der Auftraggeber den begründeten Verdacht oder Kenntnis über einen möglichen Missbrauch der überlassenen Zugangsdaten haben.

3.3 Dem Auftraggeber ist bewusst, dass seine Webseite möglicherweise mit H.d in Verbindung gebracht wird. Der Auftraggeber wird daher alle erforderlichen Handlungen vornehmen, um das Angebot des Auftraggebers von dem Angebot von H.d oder Dritten inhaltlich zu trennen.

3.4 Erhält der Auftraggeber Kenntnis davon, dass er durch seine Nutzung der Dienste oder weiteren Leistungen eine Rechtsverletzung begeht, ist der Auftraggeber verpflichtet, die Rechtsverletzung sofort einzustellen, einschließlich des Löschens der rechtsverletzenden Inhalte.

4. Besondere Bestimmungen Speicherplatz

4.1 Der Speicherplatz wird dem Auftraggeber kostenlos zur Verfügung gestellt. Eine bestimmte Verfügbarkeit des Speicherplatzes kann H.d daher nicht zusichern. Ferner wird der Speicherplatz während notwendiger Wartungsarbeiten nicht verfügbar sein. H.d bemüht sich, die Beeinträchtigung durch Wartungsarbeiten gering zu halten. Die weiteren Leistungsspezifikationen des Speicherplatzes stellt H.d dem Auftraggeber vor Vertragsschluss zur Verfügung.

4.2 Der Auftraggeber verpflichtet sich dazu und versichert, sämtliche Dateien, einschließlich HTML- und anderen Dokumenten, Texten, Bildern, Grafiken, Schriften, Videos etc („Inhalte“) ausschließlich im Einklang mit geltendem Recht auf dem Speicherplatz und/oder durch die Software zu speichern, zu veröffentlichen und/oder zugänglich zu machen, insbesondere wird der Auftraggeber ausschließlich Inhalte auf dem Speicherplatz und/oder durch die Software speichern, für die der Auftraggeber die notwendigen Rechte, einschließlich urheberrechtliche Nutzungs- und Verwertungsrechte besitzt, und die nicht die Persönlichkeitsrechte Dritter verletzen. Ferner wird der Auftraggeber keine Inhalte mit sittenwidrigen, insbesondere pornographischen, rassistischen oder diskriminierenden Inhalten auf dem Speicherplatz und/oder durch die Software speichern, veröffentlichen und/oder zugänglich machen. Inhalte, die unter Missachtung dieser Ziffer 4 auf dem Speicherplatz und/oder durch die Software gespeichert werden und H.d durch Behörden, Gerichte, Rechteinhaber oder andere Dritte hierüber informiert wurde oder sonst Kenntnis erlangt hat, darf H.d löschen.

4.3 Der Auftraggeber räumt H.d an sämtlichen Inhalten, die der Auftraggeber auf dem Speicherplatz und/oder durch die Software speichert, veröffentlicht und/oder öffentlich zugänglich macht, die notwendigen Rechte ein, insbesondere um die Inhalte zu speichern, technisch anzupassen, öffentlich zur Verfügung zu stellen sowie zu vervielfältigen. H.d hat nur Zugriff auf die Inhalte des Auftraggebers auf dem Speicherplatz, soweit dies technisch zur Bereitstellung und/oder Veröffentlichung der Inhalte notwendig ist sowie zu den vertraglich eingeräumten Befugnissen.

4.4 Der Auftraggeber darf ferner auf dem Speicherplatz und/oder durch die Software keine automatisierten Abläufe, Skripte, Software oder sonstige Daten und/oder Inhalte und/oder Handlungen jeglicher Art ausführen oder ausführen lassen, die die Systeme, Netze und/oder andere Hard- oder Software bzw. Netzwerkkomponenten von H.d und/oder Dritten mehr als nur unwesentlich beeinträchtigen. Wenn H.d von einer solchen Beeinträchtigung Kenntnis erlangt, ist H.d berechtigt, diese Beeinträchtigung zu beenden und/oder zu unterbinden.

4.5 Der Auftraggeber wird tagesaktuelle Datensicherungen durchführen, um die Inhalte des Speicherplatzes ohne weitere Kosten wiederherstellen zu können.

4.6 Der Auftraggeber darf ausschließlich Webseiten auf dem Speicherplatz öffentlich zugänglich machen, die mit der Software erstellt wurden.

5. Besondere Bestimmungen Software

5.1 Der Auftraggeber erhält Zugriff auf die Software ausschließlich für die Erstellung einer eigenen Webseite für den Auftraggeber sowie die Verwaltung des eigenen Speicherplatzes. H.d stellt den Zugriff am Übergabepunkt zum öffentlichen Netz zur Verfügung.

5.2 Ein Zugriff auf die oder Nutzung der Software durch den Auftraggeber für Dritte oder andere Zwecke ist nicht gestattet. Insbesondere erhält der Auftraggeber nicht das Recht, die Software zu vervielfältigen, Dritten zur Verfügung zu stellen oder zugänglich zu machen, die Software zu disassemblieren oder sonst zu ändern.

6. Besondere Bestimmungen Sub-Domain

6.1 Der Auftraggeber wird bei der Registrierung der Sub-Domain bei H.d zwingend die Vorgaben der Internet Corporation for Assigned Names and Numbers („ICANN“) als Vergabestelle für .com-Domains entsprechend einhalten. Der Auftraggeber kann maximal drei Sub-Domains bei H.d registrieren.

6.2 Der Auftraggeber verpflichtet sich dazu und versichert, die Sub-Domain ausschließlich im Einklang mit geltendem Recht zu wählen, insbesondere wird der Auftraggeber ausschließlich eine Bezeichnung für die Sub-Domain wählen, für die der Auftraggeber die notwendigen Rechte, einschließlich Marken- und/oder Namensrechte besitzt. Ferner wird der Auftraggeber keine Domainnamen für die Sub-Domain registrieren, die gegen die guten Sitten verstoßen oder sittenwidrig sind. Sub-Domains, die unter Missachtung dieser Ziffer 6.2 gewählt werden und H.d durch Behörden, Gerichte, Rechteinhaber oder andere Dritte hierüber informiert wurde oder sonst Kenntnis erlangt hat, darf H.d löschen.

7. Besondere Bestimmungen weitere Leistungen

7.1 Der Auftraggeber kann abweichend von Ziffer 2.1(c) einen eigenen Domainnamen registrieren bzw. einen bereits registrierten Domainnamen verwenden und diesen mit dem Speicherplatz verbinden. Für die Registrierung wird H.d den Auftraggeber an einen externen Dienstleister weiterleiten. Der Vertrag über die Registrierung eines solchen eigenen Domainnamens wird zwischen dem Auftraggeber und externen Dienstleister geschlossen. H.d ist weder Vertragspartner noch sonst Partei dieses Vertrages.

7.2 Für die Verbindung eines eigenen Domainnamens mit dem Speicherplatz wird H.d den Auftraggeber technisch unterstützen.

8. Vertragsschluss, Laufzeit, Kündigung

8.1 Der Vertrag kommt durch Annahme des Angebots des Auftraggebers auf Abschluss eines Vertrags über die Dienste und weiteren Leistungen durch H.d zustande. Die Annahme erfolgt in der Regel durch Beginn der Leistungserbringung durch H.d.

8.2 Der Vertrag wird auf unbestimmte Zeit geschlossen und kann durch den Kunden jederzeit, von H.d mit einer Frist von zwei (2) Wochen gekündigt werden.

8.3 Kündigungen von H.d müssen schriftlich oder per E-Mail erfolgen. Der Auftraggeber kündigt in der Regel, indem er in der Software die entsprechende Option zur Löschung seiner Inhalte auswählt und bestätigt.

8.4 Das Recht der Parteien zur fristlosen Kündigung des Vertrages aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftraggeber gegen eine Verpflichtung aus den Ziffern 3, 4, 5, 6, 10.2 und 10.3 verstößt.

8.5 Nach Beendigung des Vertrags, gleich aus welchem Grund, wird H.d sämtliche im Rahmen der Vertragsbeziehung durch den Auftraggeber auf dem Speicherplatz gespeicherten Daten sowie die Sub-Domain innerhalb von dreißig (30) Tagen löschen, sofern der Auftraggeber die Löschung nicht über die Software selbst vornimmt.

9. Gewährleistung und Haftung, Freistellung

9.1 Für die Dienste und Leistungen, die H.d dem Auftraggeber kostenlos zur Verfügung stellt, ersetzt H.d dem Auftraggeber ausschließlich den Schaden, der dem Auftraggeber aufgrund von arglistig verschwiegenen Mängeln entstanden ist. Eine darüber hinausgehende Haftung der H.d für Rechts- und/oder Sachmängel besteht für kostenlos zur Verfügung gestellte Dienste und Leistungen nicht.

9.2 H.d, ihre Erfüllungsgehilfen oder gesetzlichen Vertreter haften für die Dienste und Leistungen, die H.d dem Auftraggeber kostenlos zur Verfügung stellt, nur in Fällen vorsätzlicher Handlungen, grober Fahrlässigkeit oder bei schuldhafter Verletzung des Lebens, des Körpers oder der Gesundheit sowie für arglistig verschwiegene Mängel, wobei die Haftung von H.d im Fall von Datenverlust auf den Wiederherstellungsaufwand beschränkt ist, der bei täglicher Datensicherung entstanden wäre. Die Haftung nach dem Produkthaftungsgesetz und dem Mindestlohngesetz bleibt hiervon unberührt.

9.3 Für die Inhalte sowie die Bezeichnung der Sub-Domain ist ausschließlich der Auftraggeber verantwortlich. Der Auftraggeber stellt daher H.d, ihre Erfüllungsgehilfen und gesetzlichen Vertreter sowie die mit H.d verbundenen Unternehmen gem. § 15 AktG auf erste Anforderung von sämtlichen Ansprüchen Dritter frei, die diese aufgrund oder in Zusammenhang mit den Diensten und/oder weiteren Leistungen gegenüber H.d, ihren Erfüllungsgehilfen, gesetzlichen Vertretern und/oder mit H.d verbundenen Unternehmen geltend machen. Dies gilt insbesondere für Marken-, Urheber, Datenschutz- und Wettbewerbsverletzungen. Diese Freistellung umfasst auch die notwendigen Rechtsverfolgungskosten einschließlich der Kosten für Schiedsverfahren.

10. Datenschutz, Geheimhaltung

10.1 H.d ist verantwortlich für die Verarbeitung der vom Auftraggeber erhobenen personenbezogenen Daten. H.d verarbeitet die personenbezogenen Daten ausschließlich zur Durchführung dieses Vertrages, etwa zur Kontaktaufnahme und zur Bereitstellung der Leistungen. Ohne die Zurverfügungstellung dieser personenbezogenen Daten ist die Durchführung des Vertrages nicht möglich. Diese Verarbeitung der personenbezogenen Daten erfolgt auf Grundlage des Art. 6 Abs. 1 Satz 1 Buchstabe b) Datenschutzgrundverordnung (DSGVO). Die personenbezogenen Daten des Auftraggebers werden nach Beendigung des Vertrages gelöscht, es sei denn, es stehen gesetzliche Pflichten entgegen, die eine längere Speicherung der personenbezogenen Daten gebieten. In diesem Fall werden die personenbezogenen Daten für die Nutzung zu anderen Zwecken zunächst gesperrt und anschließend gelöscht, sobald die gesetzlich vorgeschriebene Speicherfrist abgelaufen ist. Zu Zwecken der Vertragsdurchführung bedient sich H.d der Unterstützung von Dienstleistern, etwa im Bereich des Hostings, für Wartungs- und weitere Serviceleistungen. Bei diesen Dienstleistern kann es sich um externe Unternehmen sowie um mit H.d gemäß §§ 15 ff. Aktiengesetz verbundene Unternehmen handeln. Durch vertragliche Vereinbarungen mit den Dienstleistern stellt H.d sicher, dass diese personenbezogene Daten entsprechend den Vorgaben der DSGVO verarbeiten. Dies gilt auch, soweit die personenbezogenen Daten außerhalb der EU/des EWR verarbeitet werden sollten. Zur Ausübung der Rechte des Auftraggebers gemäß der DSGVO auf

· Auskunft über die Verarbeitung seiner personenbezogenen Daten sowie auf eine Kopie dieser Daten (Art. 15 DSGVO),

· Berichtigung unrichtiger und Vervollständigung unvollständiger personenbezogener Daten (Art. 16 DSGVO),

· Löschung seiner personenbezogenen Daten und sofern diese öffentlich gemacht wurden, darauf, dass H.d andere Verantwortliche über den Löschantrag informiert (Art. 17 DSGVO),

· Einschränkung der Verarbeitung seiner personenbezogenen Daten (Art. 18 DSGVO),

· Datenübertragbarkeit, so dass ihm seine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format übergeben werden und das Recht darauf, diese Daten einem anderen Verantwortlichen ohne Behinderung durch H.d zu übermitteln (Art. 20 DSGVO) und

· auf Widerspruch gegen die Datenverarbeitung (Art. 21 DSGVO)

kann sich der Auftraggeber jederzeit an den Datenschutzbeauftragten von H.d (privacy@horeca.digital) wenden. Der Auftraggeber hat zudem das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren, soweit der Auftraggeber die Datenverarbeitung als nicht vereinbar mit der DSGVO betrachtet (Art. 77 DSGVO).

10.2 Der Auftraggeber ist gegenüber Dritten allein verantwortlich für die Einhaltung der jeweiligen datenschutzrechtlichen Vorgaben, einschließlich für die Einhaltung bestehender Informationspflichten in Zusammenhang mit der Webseite, die der Auftraggeber mit der Software erstellt hat.

10.3 Die Parteien sind verpflichtet, vertrauliche Informationen bis zum Ablauf von zwei Jahren nach Ende der Vertragslaufzeit Dritten nicht zugänglich zu machen und nicht für andere, dem Vertrag nicht dienenden Zwecke zu verwenden. Als vertraulich gelten alle Informationen über alle dem Kunde zugänglich gemachten technischen Informationen und Know-how sowie sonstige Informationen, die von einer der beiden Parteien als vertraulich gekennzeichnet werden und wirtschaftlichen Wert besitzen.

10.4 Die Geheimhaltungsverpflichtung bezieht sich nicht auf Informationen, die ohne Geheimhaltungsbruch einer Partei der jeweils anderen Partei oder öffentlich bekannt geworden oder bereits bekannt sind, oder die aufgrund gesetzlicher, richterlicher oder behördlicher Anordnung Dritten zugänglich zu machen sind oder im Rahmen eines beabsichtigten Unternehmenskaufs durch zur Verschwiegenheit verpflichtete Dritte in Augenschein genommen werden.

11. Vergütung

11.1 Der Auftraggeber schuldet keine Vergütung für die Erbringung der Dienste durch H.d. Die Dienste werden kostenlos erbracht.

11.2 Die Leistungen Dritter, die etwa im Rahmen der erweiterten Leistungen erbracht werden, bleiben von Ziffer 11.1 unberührt.

12. Sonstige Bestimmungen

12.1 H.d kann einzelne oder alle Leistungen, die H.d im Rahmen dieses Vertrages schuldet, insbesondere die Dienste, durch Unterauftragnehmer erbringen. H.d plant diese Dienste zukünftig durch ihre Tochtergesellschaft Hospitality.systems GmbH zu erbringen.

12.2 H.d kann diese AGB nach vorheriger Ankündigung, einschließlich der beabsichtigten Änderungen, gegenüber dem Auftraggeber ändern. H.d kann Änderungen der AGB nur in einem Umfang vornehmen, dass dies für den Auftraggeber zumutbar ist, die Änderungen nicht die wesentlichen Vertragspflichten betreffen oder der Auftraggeber durch die Änderung insgesamt nicht schlechter gestellt wird. Der Auftraggeber kann einer Änderung der AGB innerhalb von vier (4) Wochen nach Zugang der Mitteilung widersprechen oder den Vertrag ohne Einhaltung einer Frist kündigen. Sofern der Auftraggeber der Änderung der AGB nicht oder nicht fristgemäß widerspricht, gilt seine Zustimmung zur Änderung der AGB als erteilt. Auf die Folgen eines unterbliebenen Widerspruchs und auf das Recht zur fristlosen Kündigung des Vertrages wird H.d den Auftraggeber bei Mitteilungen zu Änderungen der AGB jeweils hinweisen.

12.3 Sollte eine Bestimmung dieses Vertrags ganz oder teilweise nichtig, unwirksam, undurchführbar oder nicht durchsetzbar („Fehlerhafte Bestimmung“) sein oder werden, so werden die Wirksamkeit und die Durchsetzbarkeit der übrigen Bestimmungen dieses Vertrags davon nicht berührt. Die Parteien verpflichten sich vielmehr bereits jetzt, anstelle der Fehlerhaften Bestimmung eine solche zu vereinbaren, die im Rahmen der rechtlichen Möglichkeiten dem am nächsten kommt, was die Parteien nach dem Sinn und Zweck dieses Vertrags vereinbart hätten, wenn sie die Fehlerhaftigkeit der Bestimmung erkannt hätten. Beruht die Fehlerhaftigkeit einer Bestimmung auf einem darin festgelegten Maß der Leistung oder der Zeit (Frist oder Termin), so ist die Bestimmung mit einem dem ursprünglichen Maß am nächsten kommenden rechtlich zulässigen Maß zu vereinbaren. Gleiches gilt für etwaige Regelungslücken in diesem Vertrag. Es ist der ausdrückliche Wille der Parteien, dass diese salvatorische Klausel keine bloße Beweislastumkehr zur Folge hat, sondern § 139 BGB insgesamt abbedungen ist.

12.4 Der Vertrag und alle Ansprüche und Rechte aus oder im Zusammenhang mit dem Vertrag unterliegen ausschließlich deutschem Recht unter Ausschluss des Kollisionsrechts und sind nach Maßgabe deutschen Rechts auszulegen und durchzusetzen. Die Anwendung des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG) ist ausgeschlossen.

12.5 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag, seinem Zustandekommen oder seiner Durchführung ist – soweit rechtlich zulässig – Düsseldorf.

Stand: Mai 2018/ AG


AUFTRAGSVERARBEITUNG

Mit Bestätigung der obigen Allgemeinen Geschäftsbedingungen wird zwischen Auftraggeber („Verantwortlicher“), und H.d („Auftragsverarbeiter“), gemeinsam auch bezeichnet als „Parteien“, einzeln als „Partei“, zugleich nachfolgende Vereinbarung zur Datenverarbeitung („AV“) geschlossen.

Präambel

Im Rahmen seiner geschäftlichen Tätigkeit und entsprechend der obigen Allgemeinen Geschäftsbedingungen erhält der Auftragsverarbeiter von dem Verantwortlichen personenbezogene Daten, für die dieser verantwortlich ist. Die Parteien vereinbaren die Regelungen in dieser AV, um den datenschutzrechtlichen Verpflichtungen der Parteiengemäß dem europäischen Datenschutzrecht, insbesondere der Europäischen-Datenschutz-Grundverordnung (Art. 28 DSGVO) zu genügen.

1. Definitionen

1.1 Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (nachfolgend „Daten“).

1.2 Datenverarbeitung im Auftrag ist die Erhebung, Verarbeitung oder Nutzung von Daten durch den Auftragsverarbeiter im Auftrage des Verantwortlichen.

2. Gegenstand und Inhalt des Auftrages

2.1 Gegenstand und Dauer des Auftrages

Die Einzelheiten und die Dauer des Auftrages ergeben sich aus obigen Allgemeinen Geschäftsbedingungen.

2.2 Art der Daten

Die Art der Daten sind in den Allgemeinen Geschäftsbedingungen sowie in den Datenschutzerklärungen näher beschrieben.

2.3 Zweck der Erhebung, Verarbeitung oder Nutzung der Daten

Der Zweck der Erhebung, Verarbeitung oder Nutzung der Daten in den Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen näher beschrieben.

2.4 Art und Umfang der Erhebung, Verarbeitung oder Nutzung der Daten

Art und Umfang der Erhebung, Verarbeitung oder Nutzung der Daten ist den Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen näher beschrieben.

2.5 Kategorie der Betroffenen

(a) eigene Daten des Auftraggebers

(b) Kunden

2.6 Technische und organisatorische Maßnahmen

(a) Die vom Auftragsverarbeiter zu implementierenden technischen und organisatorischen Maßnahmen werden im Annex (siehe unten) zu diesem AV geregelt. Der Auftragsverarbeiter wird diese Maßnahmen regelmäßig auf eigene Kosten an den aktuellen Stand der Technik anpassen, soweit hierdurch das vereinbarte Schutzniveau nicht gesenkt wird und den Verantwortlichen hierüber unverzüglich informieren.

(b) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen vor Aufnahme der Verarbeitungstätigkeiten im Rahmen dieses Vertrags zu ermöglichen, die Einhaltung der technischen und organisatorischen Maßnahmen auch vor Ort zu überprüfen. Das Auditrecht des Verantwortlichen nach Ziffer 2.10 bleibt hiervon unberührt.

(c) Der Auftragsverarbeiter stellt sicher, dass die im Rahmen des AV eingesetzten Datenverarbeitungssysteme den Standards von „privacy by design“ und „privacy by defaut“ nach dem jeweils aktuellen Stand der Technik entsprechen.

2.7 Berichtigung, Löschung und Sperrung von Daten, Recht auf Datenübertragbarkeit und Widerspruchsrecht

(a) Die Rechte der durch den Datenumgang beim Auftragsverarbeiter Betroffenen Personen, insbesondere auf Berichtigung, Löschung und Sperrung, auf Datenübertragbarkeit und Widerspruch werden gegenüber dem Verantwortlichen geltend gemacht. Er ist allein verantwortlich für die Wahrung dieser Rechte.

(b) Der Auftragsverarbeiter ist verpflichtet, im Rahmen seiner Tätigkeit für den Verantwortlichen an ihn gerichtete Ersuchen Betroffener Personen zur sachgerechten Bearbeitung unverzüglich an den Verantwortlichen weiterzuleiten. Sofern Verantwortlicher und Auftragsverarbeiter gemeinschaftlich nach außen als Verantwortliche auftreten, ist der Auftragsverarbeiter berechtigt, dieses Ersuchen selbstständig zu beantworten.

(c) Der Auftragsverarbeiter ist ferner verpflichtet, den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung der oben genannten Rechte Betroffenen Personen nachzukommen.

(d) Der Auftragsverarbeiter hat nach Weisung des Verantwortlichen Daten unverzüglich, spätestens aber innerhalb einer Frist von fünf (5) Tagen zu berichtigen, zu sperren und/oder zu löschen und den Auftragsverarbeiter hierüber in dieser Frist zu informieren.

2.8 Pflichten des Auftragsverarbeiters

(a) Der Auftragsverarbeiter darf Daten nur im Rahmen des Auftrages und der dokumentierten Weisungen des Verantwortlichen erheben, verarbeiten und nutzen.

(b) Der Auftragsverarbeiter hat die Einhaltung der technischen und organisatorischen Maßnahmen i.S.v. Ziffer 2.6 dieses AV in regelmäßigen Abständen zu kontrollieren und zu dokumentieren und auf Verlangen vorzulegen.

(c) Beim Auftragsverarbeiter ist als Kontaktperson für Datenschutz der Datenschutzbeauftragte benannt. Dieser ist unter privacy@horeca.digital zu erreichen. Sofern erforderlich benennt der Auftragsverarbeiter darüber hinaus einen Vertreter im Einklang mit den Vorgaben nach Art. 27 DSGVO.

(d) Der Auftragsverarbeiter ist verantwortlich für die Wahrung der Vertraulichkeit. Alle Personen beim Auftragsverarbeiter, die befugt sind, auf die Daten des Verantwortlichen zuzugreifen, müssen zur Vertraulichkeit verpflichtet werden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und müssen über die sich aus diesem AV ergebenden besonderen Datenschutzpflichten sowie die bestehenden Weisungen und Zweckbindungen belehrt werden. Der Auftragsverarbeiter wird diese Verpflichtungen schriftlich dokumentieren und auf Verlangen des Verantwortlichen vorlegen.

2.9 Begründung von Unterauftragsverhältnissen

(a) Die Begründung von Unterauftragsverhältnissen ist gestattet. Der Auftragsverarbeiter informiert vorab den Verantwortlichen über entsprechende Änderung. Der Verantwortliche hat ein Recht zum Einspruch.

(b) Der Auftragsverarbeiter hat im Falle einer Beauftragung von anderen Auftragsverarbeitern vertraglich sicherzustellen, dass die nach diesem AV vereinbarten Verpflichtungen des Auftragsverarbeiters auch entsprechend für den anderen Auftragsverarbeiter gelten.

(c) Der Auftragsverarbeiter hat vorab und regelmäßig während der Dauer des Unterauftragsverhältnisses die erforderlichen technischen und organisatorischen Maßnahmen der anderen Auftragsverarbeiter zum Schutz der Daten zu kontrollieren, die dieser getroffen hat. Die Weiterleitung von Daten ist erst zulässig, wenn der andere Auftragsverarbeiter die erforderlichen technischen und organisatorischen Maßnahmen zumindest entsprechend den Vorgaben dieses AV implementiert hat.

(d) Der Auftragsverarbeiter haftet in vollem Umfang für die von ihm beauftragten Unterauftragnehmer.

2.10 Auditrecht des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der anwendbaren Datenschutzvorschriften und des AV während der üblichen Geschäftszeiten zu überprüfen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen innerhalb einer angemessenen Frist alle Auskünfte zu erteilen, die zur Durchführung der Kontrolle vernünftigerweise erforderlich sind. Soweit nach Ansicht des Verantwortlichen ein Audit vor Ort beim Auftragsverarbeiter erforderlich ist, sichert der Auftragsverarbeiter zu, dass der Verantwortliche für die Durchführung des Audits Zugang zu den Büroräumen des Auftragsverarbeiters und eine Einsichtnahme vor Ort in die gespeicherten Daten und die Datenverarbeitungsprogramme erhält. Der Verantwortliche ist berechtigt, die Prüfung durch einen im Einzelfall zu benennenden Dritten (Prüfer) durchführen zu lassen. Der Verantwortliche hat die Durchführung eines solchen Audits mit einer Frist von mindestens zwanzig (20) Werktagen im Voraus schriftlich anzukündigen. Die Kosten für die Durchführung des Audits sowie die anfallenden Kosten beim Auftragsverarbeiter zu marktüblichen Tagessätzen trägt der Verantwortliche.

2.11 Mitteilungen bei Verstößen des Auftragsverarbeiters

(a) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von achtundvierzig (48) Stunden nach entsprechender Entdeckung alle Fälle, in denen durch den Auftragsverarbeiter oder die bei ihm beschäftigten Personen oder Unterauftragnehmer Verstöße gegen die Vorschriften zum Schutz von Daten des Verantwortlichen oder gegen die in diesem AV getroffenen Festlegungen vorgefallen sind.

(b) Dem Verantwortlichen sind alle Vorfälle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Erlangung von Daten durch Dritte unabhängig von der Verursachung mitzuteilen. Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene Personen zu ergreifen. Soweit den Verantwortlichen Benachrichtigungspflichten treffen, hat der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung dieser Pflichten zu unterstützen.

2.12 Weisungen durch den Verantwortlichen

(a) Die Verarbeitung von Daten des Verantwortlichen durch den Auftragsverarbeiter erfolgt ausschließlich im Rahmen des AV und der speziellen vom Auftragsverarbeiter dokumentierten Einzelweisungen durch den Verantwortlichen.

(b) Der Auftragsverarbeiter hat (Einzel-)Weisungen über Art, Umfang und Verfahren der Datenverarbeitung unverzüglich zu befolgen, oder, falls anwendbar, innerhalb der durch den Verantwortlichen gesetzten Frist.

(c) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung nach Meinung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine verantwortliche Person beim Verantwortlichen bestätigt oder geändert wird.

2.13 Löschung nach Beendigung des Auftrages

Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche Daten, die er für den Verantwortlichen verarbeitet hat, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung durch den Verantwortlichen datenschutzgerecht zu vernichten bzw. nach dem Stand der Technik sicher zu löschen. Ein Zurückbehaltungsrecht wird hinsichtlich der Unterlagen, Daten, Verarbeitungs- und Nutzungsergebnisse und der zugehörigen Datenträger ausgeschlossen, sofern nicht das Recht der Europäischen Union oder eines EU Mitgliedsstaates eine Speicherung der Daten verlangt.

3. Weitere Pflichten des Auftragsverarbeiters

3.1 Der Auftragsverarbeiter verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate ohne Wissen und ohne vorherige schriftliche Zustimmung des Verantwortlichen dürfen nicht erstellt werden, sofern dies nicht nach den in dem AV beauftragten Leistungen geschuldet ist. Der Auftragsverarbeiter sichert zu, dass die von ihm für den Verantwortlichen verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Eine Übermittlung von Daten des Verantwortlichen durch den Auftragsverarbeiter an Dritte erfolgt nicht ohne schriftliche Zustimmung des Verantwortlichen.

3.2 Der Auftragsverarbeiter wird den Verantwortlichen in angemessenem Umfang bei der Verteidigung gegen Ansprüche unterstützen, die auf einer angeblichen oder tatsächlichen Verletzung datenschutzrechtlicher Anforderungen beruhen. Der Verantwortliche wird seinerseits Beschwerden von Betroffenen Personen im Rahmen der datenschutzrechtlichen Verantwortung des Verantwortlichen in angemessener Form nachgehen und Beschwerden von Betroffenen Personen bearbeiten.

3.3 Der Auftragsverarbeiter erkennt an, dass Auskünfte an Betroffene Personen aufgrund eines Auskunftsanspruchs ausschließlich über den Verantwortlichen bzw. einen vom Verantwortlichen Bevollmächtigten erteilt werden. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen die hierzu erforderlichen Informationen rechtzeitig zur Verfügung zu stellen und den Verantwortlichen zu unterstützen. Sofern der Auftragsverarbeiter selbst auch als Verantwortlicher nach außen auftritt, kann dieser Anfragen auch entsprechend selbst beantworten und den Verantwortlichen entsprechend hierüber informieren.

3.4 Der Auftragsverarbeiter hat den Verantwortlichen bei der Erstellung erforderlicher Verfahrensverzeichnisse zu unterstützen, soweit anwendbar.

3.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Ausführung von Datenschutz-Folgenabschätzungen, wenn eine Art der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben wird.

3.6 Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen das Ergebnis von Prüfungen der Datenschutzaufsichtsbehörden unverzüglich bekannt zu geben, soweit diese mit diesem AV in Zusammenhang stehen. Der Auftragsverarbeiter wird den Verantwortlichen über Beanstandungen der Datenschutzaufsichtsbehörden informieren, die sich auf den Verantwortungsbereich des Auftragsverarbeiters beziehen und wird festgestellte Beanstandungen beheben, soweit gesetzlich erforderlich.

4. Haftung

4.1 Für die Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen Personen ist der Verantwortliche verantwortlich.

4.2 Der Auftragsverarbeiter ist abweichend von Ziffer 4.1 verantwortlich für Ansprüche Betroffener aufgrund von Verstößen gegen die anwendbaren gesetzlichen Bestimmungen oder die Bestimmungen der AV.

4.3 Gegenüber dem Verantwortlichen haftet der Auftragsverarbeiter im Rahmen der gesetzlich möglichen Haftungsausschlüssen und –beschränkungen lediglich für Vorsatz und grobe Fahrlässigkeit.

5. Schlussbestimmungen

5.1 Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten in der Verarbeitung der Daten durch den Auftragsverarbeiter feststellt.

5.2 Diese AV kann unter denselben Bedingungen wie die obigen Allgemeinen Geschäftsbedingungen abgeändert und gekündigt werden.

5.3 Die Unwirksamkeit einer oder mehrerer Bestimmungen dieses AV beeinträchtigt die Wirksamkeit der AV im Übrigen nicht. Im Fall der Unwirksamkeit einer oder mehrerer Bestimmungen dieses AV werden die Parteien eine der unwirksamen Regelung wirtschaftlich möglichst nahe kommende, rechtswirksame Ersatzregelung treffen. Entsprechendes gilt im Fall einer Regelungslücke.

5.4 Die AV unterliegt demselben Recht wie obige Allgemeine Geschäftsbedingungen.

5.5 Im Falle von Widersprüchen zwischen der AV und anderen Verträgen zwischen den Parteien gehen die Bestimmungen dieser AV vor.

Stand: 2018/ AG


Technische und organisatorische Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen implementiert der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein, soweit angemessen:

• die Pseudonymisierung und Verschlüsselung der Daten;

• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

• die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unbeschadet des Vorangehenden werden die folgenden spezifischen Maßnahmen ergriffen:

1. Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen die Daten verarbeitet werden:

• Festlegung des zutrittsberechtigten Personenkreises und entsprechende Dokumentation;

• Elektronische Zutrittskontrolle;

• Ausstellung von Zutritts-IDs;

• Einführung von Richtlinien für externe Individuen;

• Alarmvorrichtung oder Sicherheitsdienst außerhalb der Arbeitszeiten;

• Aufteilung von Liegenschaften in verschiedene Sicherheitszonen;

• Einführung von Richtlinien für den Umgang mit Schlüssel(karten);

• Sicherheitstüren (elektronischer Türöffner, ID-Lesegerät, CCTV);

• Einführung von Maßnahmen für vor-Ort-Sicherheit (z.B. Einbruchmeldung/Benachrichtigung).

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

• Festlegung des Personenkreises, der Zugang zu Datenverarbeitungsanlagen hat;

• Einführung von Richtlinien für externe Individuen;

• Passwortschutz für Personal Computer.

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:

• Einführung von beschränkten Zugriffsberechtigungen bezogen auf die jeweiligen Daten und Funktionen;

• Verpflichtung zur Identifizierung gegenüber Datenverarbeitungsanlagen (z.B. durch ID und Authentifizierung);

• Einführung von Richtlinien über Zugriffs- und Nutzerrollen;

• Auswertung von Protokollen im Falle eines schädigenden Ereignisses.

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass die Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung der Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Verschlüsselung

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem die Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind.

• Protokollierung von Dateneingaben.

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können.

• Dokumentation der unterschiedlichen Kompetenzen und Verpflichtungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter;

• Formale Beauftragung;

• Kontrolle der Arbeitsergebnisse

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass die Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Umsetzung eines Plans für regelmäßige Backups;

• Sichere Speicherung der Daten-Backups in feuer- und wasserfesten Sicherheitsschränken;

• Einführung und regelmäßige Kontrolle einer Notstromanlage und einer Überspannungsschutzanlage;

• Einführung eines Notfallplans;

• Protokoll über die Einführung eines Krisen- und/oder Notfallmanagements.

8. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Trennung der Daten der jeweiligen Kunden des Auftragsverarbeiters.

Stand: Mai 2018/ AG