Allgemeine Geschäftsbedingungen der DISH Digital Solutions GmbH – DISH WEBSITE

DISH Digital Solutions GmbH, Metro-Straße 1, 40235 Düsseldorf („H.d“) bietet Unternehmen der Hotel- und Gastronomiebranche („Auftraggeber“) Dienstleistungen an, die im Einzelnen nachstehend beschrieben sind („Dienste“).

Ab 01.10.2020 („Stichtag“) erfolgen der Vertrieb und die Abrechnung der Dienste nicht mehr ausschließlich durch H.d, sondern auch durch das Partnerunternehmen am Sitz des Auftraggebers, wie er vom Auftraggeber gegenüber H.d angegeben wurde (siehe Ziffer 3.1 der nachfolgenden Vertragsbedingungen („AGB“)). Das zuständige Partnerunternehmen ist hier bezeichnet (das zuständige Partnerunternehmen nachfolgend „METRO“).

METRO wird hierzu mit Wirkung zum Stichtag für den Erwerb des Rechts auf die Dienste anstelle von H.d auf der Grundlage von Ziffer 14.1 Satz 2 bis 4 dieser AGB unmittelbarer Vertragspartner des Auftraggebers und tritt insoweit anstelle von H.d in den bestehenden Vertrag ein. Für das Vertragsverhältnis zwischen METRO und dem Auftraggeber gelten insbesondere die Ziffern 10., 11., 12.3 bis 12.4, 13.1 und 13.2 und 14. dieser AGB fort. METRO ist demnach ab dem Stichtag berechtigt, vom Auftraggeber die mit H.d vereinbarte Vergütung zu verlangen, soweit der Auftraggeber die Vergütung nicht bereits im Voraus an H.d entrichtet hat. METRO verpflichtet sich im Gegenzug, dafür Sorge zu tragen, dass dem Auftraggeber die vertragsgegenständlichen Dienste durch H.d erbracht werden. METRO stellt den Auftraggeber ferner von allen Vergütungsansprüchen seitens H.d in Bezug auf diese ab dem Stichtag erbrachten Dienste frei.

Der Auftraggeber erwirbt ab dem Stichtag von METRO das Recht, die Dienste von H.d zu beziehen (ähnlich einem digitalen Gutschein). Die tatsächliche Erbringung der Dienste erfolgt weiterhin durch H.d in eigenem Namen. Insoweit behalten diese AGB zwischen dem Auftraggeber und H.d ihre Gültigkeit; die Vergütungspflicht gegenüber H.d entfällt jedoch ab dem Stichtag nach Ziffer 13.3 dieser AGB. Ferner behalten auch die Datenschutzerklärung von H.d und ggf. die geschlossene Vereinbarung zur Auftragsverarbeitung zwischen H.d und dem Auftraggeber unverändert ihre Gültigkeit.

Das Vertragsverhältnis zwischen dem Auftraggeber und H.d endet automatisch, wenn das Vertragsverhältnis zwischen dem Auftraggeber und METRO beendet wird, und umgekehrt. Dies gilt auch im Falle einer Kündigung eines der beiden Vertragsverhältnisse nach Ziffer 10.3, ohne dass es für das jeweils andere Vertragsverhältnis eines Kündigungsgrundes bedarf.

Um die ordnungsgemäße Abrechnung durch METRO zu ermöglichen, verpflichtet sich H.d gegenüber dem Auftraggeber, die für die Vertragserfüllung durch METRO erforderlichen Vertragsdaten gemäß Anlage Vertragsdaten, einschließlich personenbezogenen Daten, an METRO zu übermitteln. Rechtsgrundlage hierfür ist die Erforderlichkeit zur Vertragserfüllung (Artikel 6 Abs. 1 Buchst. b DSGVO) durch METRO.

Für die Inanspruchnahme der Dienste ist weiterhin ein Nutzerkonto auf der DISH-Plattform unter www.dish.co erforderlich. Die Vereinbarung zur Nutzung der DISH-Plattform zwischen dem Auftraggeber und H.d behält hierfür ihre Gültigkeit.

1. Anwendungsbereich

1.1 H.d erbringt die Dienste und weitere Leistungen für „DISH WEBSITE“ ausschließlich auf Grundlage der AGB.

1.2 H.d erbringt die Dienste ausschließlich gegenüber Auftraggebern die keine Verbraucher im Sinne von § 13 BGB sind.

1.3 Abweichende Bedingungen des Auftraggebers gelten auch dann nicht, wenn H.d diese nicht ausdrücklich zurückweist und/oder trotz Kenntnis der entgegenstehenden und/oder abweichenden Bedingungen des Auftraggebers Dienste und/oder Leistungen ohne Vorbehalt erbringt.

2. Umfang der Dienste

2.1 Die Dienste umfassen die folgenden Leistungen der H.d während der Laufzeit des Vertrags:

(a) H.d überlässt dem Auftraggeber Speicherplatz zur Nutzung auf Systemen der H.d, auf den der Auftraggeber über das Internet zugreifen kann („Speicherplatz“), siehe Ziffer 4..

(b) H.d räumt dem Auftraggeber über das Internet den Zugriff auf eine Software ein, die es dem Auftraggeber ermöglicht, einfache Webseiten mit festgelegten Layouts und automatisch generierten Texten zu erstellen und auf dem Speicherplatz zu speichern, den Speicherplatz zu verwalten und/oder Dritten zugänglich zu machen („Software“), siehe Ziffer 5..

(c) Der Funktionsumfang der Software umfasst einen sog. „Claiming Service“, über den es H.d dem Auftraggeber ermöglicht, auf seiner Webseite veröffentlichte Angaben zu seiner lokalen Erreichbarkeit (d.h. insbesondere Angaben zur lokalen und zeitlichen Erreichbarkeit des Auftraggebers (wie z.B. Anschrift und Öffnungszeiten seines Unternehmens)) automatisiert an Drittanbieter zu übermitteln, siehe Ziffer 6..

(d) dem Auftraggeber eine Sub-Domain unter dem Domainnamen „eatbu.com“ der H.d nach dem Muster xyz.eatbu.com an, die der Auftraggeber im Rahmen der Verfügbarkeit auswählen kann und die mit dem Speicherplatz verbunden wird („Sub-Domain“), siehe Ziffer 7..

(e) H.d. kann weitere Leistungen gegenüber dem Auftraggeber erbringen, insbesondere hinsichtlich der Einrichtung und Nutzung der Software („Beratungsleistungen“), siehe im Einzelnen Ziffer 8..

2.2 H.d kann dem Auftraggeber weitere Leistungen im Zusammenhang mit dem Speicherplatz und der Software anbieten, deren Umfang jeweils mit dem Auftraggeber abgestimmt wird und zu den Bedingungen dieser AGB erbracht werden.

2.3 H.d kann die Dienste und weiteren Leistungen an den Stand der Technik und technische Entwicklungen oder Notwendigkeiten anpassen, soweit dies für den Auftraggeber zumutbar ist. H.d kann die Dienste und weiteren Leistungen ferner unter Einhaltung einer angemessenen Frist einstellen. H.d informiert den Auftraggeber über die Einstellung der Dienste rechtzeitig.

2.4 Zur Refinanzierung seiner Kosten für den Service behält sich H.d das Recht vor, auf der erstellten Webseite des Auftraggebers kommerzielle Werbung darzustellen. H.d wird sicherstellen, dass das Ausmaß und Frequenz der werblichen Darstellung dem eigentlichen Zweck der Webseite nicht entgegenstehen. Für die Inhalte der Werbung bleiben die werbetreibenden Unternehmen verantwortlich.

3. Pflichten des Auftraggebers

3.1 Der Auftraggeber ist verpflichtet, die bei Vertragsschluss angegebenen Geschäfts- und Kontaktdaten während der Vertragslaufzeit stets aktuell zu halten und H.d jede Änderung unverzüglich mitzuteilen. Der Auftraggeber trägt ferner Sorge dafür, dass die H.d mitgeteilte Mobilnummer und E-Mail-Adresse regelmäßig abgerufen wird, um vertragsrelevante Informationen zu erhalten.

3.2 Zugangsdaten, die der Auftraggeber von H.d erhält, wird der Auftraggeber vor dem Zugriff unberechtigter Dritter schützen; Dritten darf ferner kein Zugriff auf die Software eingeräumt werden. Der Auftraggeber informiert H.d unverzüglich, sollte der Auftraggeber den begründeten Verdacht oder Kenntnis über einen möglichen Missbrauch der überlassenen Zugangsdaten haben. H.d ist in diesem Fall berechtigt, die Zugangsdaten des Auftraggebers zur Software vorübergehend bis zur Ausräumung des Missbrauchsverdachts zu sperren. Sollte ein tatsächlicher Missbrauchsfall vorliegen, ist H.d berechtigt, die Zugangsdaten dauerhaft zu sperren und dem Auftraggeber andere Zugangsdaten zuzuweisen.

3.3 Dem Auftraggeber ist bewusst, dass seine Webseite möglicherweise mit H.d in Verbindung gebracht wird. Der Auftraggeber wird daher alle erforderlichen Handlungen vornehmen, um das Angebot des Auftraggebers von dem Angebot von H.d oder Dritten inhaltlich zu trennen.

3.4 Erhält der Auftraggeber Kenntnis davon, dass er durch seine Nutzung der Dienste oder weiteren Leistungen eine Rechtsverletzung begeht, ist der Auftraggeber verpflichtet, die Rechtsverletzung sofort einzustellen, einschließlich des Löschens der rechtsverletzenden Inhalte.

4. Besondere Bestimmungen Speicherplatz

4.1 Der Speicherplatz wird dem Auftraggeber kostenlos zur Verfügung gestellt. Eine bestimmte Verfügbarkeit des Speicherplatzes kann H.d daher nicht zusichern. Ferner wird der Speicherplatz während notwendiger Wartungsarbeiten nicht verfügbar sein. H.d bemüht sich, die Beeinträchtigung durch Wartungsarbeiten gering zu halten. Die weiteren Leistungsspezifikationen des Speicherplatzes stellt H.d dem Auftraggeber vor Vertragsschluss zur Verfügung.

4.2 Der Auftraggeber verpflichtet sich dazu und versichert, sämtliche Dateien, einschließlich HTML- und anderen Dokumenten, Texten, Bildern, Grafiken, Schriften, Videos etc. („Inhalte“) ausschließlich im Einklang mit geltendem Recht auf dem Speicherplatz und/oder durch die Software zu speichern, zu veröffentlichen und/oder zugänglich zu machen, insbesondere wird der Auftraggeber ausschließlich Inhalte auf dem Speicherplatz und/oder durch die Software speichern, für die der Auftraggeber die notwendigen Rechte, einschließlich urheberrechtliche Nutzungs- und Verwertungsrechte besitzt, und die nicht die Persönlichkeitsrechte Dritter verletzen. Ferner wird der Auftraggeber keine Inhalte mit sittenwidrigen, insbesondere pornographischen, rassistischen oder diskriminierenden Inhalten auf dem Speicherplatz und/oder durch die Software speichern, veröffentlichen und/oder zugänglich machen. Inhalte, die unter Missachtung dieser Ziffer 4 auf dem Speicherplatz und/oder durch die Software gespeichert werden und H.d durch Behörden, Gerichte, Rechteinhaber oder andere Dritte hierüber informiert wurde oder sonst Kenntnis erlangt hat, darf H.d löschen.

4.3 Der Auftraggeber räumt H.d an sämtlichen Inhalten, die der Auftraggeber auf dem Speicherplatz und/oder durch die Software speichert, veröffentlicht und/oder öffentlich zugänglich macht, die notwendigen Rechte ein, insbesondere um die Inhalte zu speichern, technisch anzupassen, öffentlich zur Verfügung zu stellen sowie zu vervielfältigen. H.d hat nur Zugriff auf die Inhalte des Auftraggebers auf dem Speicherplatz, soweit dies technisch zur Bereitstellung und/oder Veröffentlichung der Inhalte notwendig ist sowie zu den vertraglich eingeräumten Befugnissen.

4.4 Der Auftraggeber darf ferner auf dem Speicherplatz und/oder durch die Software keine automatisierten Abläufe, Skripte, Software oder sonstige Daten und/oder Inhalte und/oder Handlungen jeglicher Art ausführen oder ausführen lassen, die die Systeme, Netze und/oder andere Hard- oder Software bzw. Netzwerkkomponenten von H.d und/oder Dritten mehr als nur unwesentlich beeinträchtigen. Wenn H.d von einer solchen Beeinträchtigung Kenntnis erlangt, ist H.d berechtigt, diese Beeinträchtigung zu beenden und/oder zu unterbinden.

4.5 Der Auftraggeber wird tagesaktuelle Datensicherungen durchführen, um die Inhalte des Speicherplatzes ohne weitere Kosten wiederherstellen zu können.

4.6 Der Auftraggeber darf ausschließlich Webseiten auf dem Speicherplatz öffentlich zugänglich machen, die mit der Software erstellt wurden.

5. Besondere Bestimmungen Software

5.1 Der Auftraggeber erhält Zugriff auf die Software ausschließlich für die Erstellung einer eigenen Webseite für den Auftraggeber sowie die Verwaltung des eigenen Speicherplatzes. H.d stellt den Zugriff am Übergabepunkt zum öffentlichen Netz zur Verfügung.

5.2 Ein Zugriff auf die oder Nutzung der Software durch den Auftraggeber für Dritte oder andere Zwecke ist nicht gestattet. Insbesondere erhält der Auftraggeber nicht das Recht, die Software zu vervielfältigen, Dritten zur Verfügung zu stellen oder zugänglich zu machen, die Software zu disassemblieren oder sonst zu ändern.

6. Besondere Bestimmungen Claiming Service

6.1 H.d ermöglicht dem Auftraggeber, Angaben zu seiner lokalen Erreichbarkeit (wie Anschrift und Öffnungszeiten) mittels der Software auf der von dem Auftraggeber erstellten Webseite zu veröffentlichen und gleichzeitig an Drittanbieter zur Veröffentlichung auf von diesen betriebenen Online-Plattformen zu übermitteln.

6.2 H.d ist zur Erbringung des Claiming Service gegenüber dem Auftraggeber bis auf Widerruf verpflichtet; dies gilt jedenfalls hinsichtlich der automatischen Übermittlung der vom Auftraggeber zu diesem Zweck mittels der Software eingegebenen Inhalte an Google My Business.

6.3 Die Übermittlung dieser Daten an weitere Drittanbieter stellt eine optionale Leistung der H.d im Rahmen des Claiming Service dar, über deren Inanspruchnahme der Auftraggeber frei entscheiden kann. Entscheidet sich der Auftraggeber, diese in Anspruch zu nehmen, erteilt er hiermit gleichzeitig seine Einwilligung in die Übermittlung dieser Daten an die von ihm jeweils ausgewählten Drittanbieter.

6.4 H.d ist berechtigt, den „Claiming Service“ jederzeit nach freiem Ermessen zu beenden (etwa im Falle einer Einstellung der Leistungsangebote der Drittanbieter). H.d wird bei einer solchen Entscheidung die berechtigten Interessen des Kunden angemessen berücksichtigen.

7. Besondere Bestimmungen Sub-Domain

7.1 Der Auftraggeber wird bei der Registrierung der Sub-Domain bei H.d zwingend die Vorgaben der Internet Corporation for Assigned Names and Numbers („ICANN“) als Vergabestelle für .com-Domains entsprechend einhalten. Der Auftraggeber kann maximal drei Sub-Domains bei H.d registrieren.

7.2 Der Auftraggeber verpflichtet sich dazu und versichert, die Sub-Domain ausschließlich im Einklang mit geltendem Recht zu wählen, insbesondere wird der Auftraggeber ausschließlich eine Bezeichnung für die Sub-Domain wählen, für die der Auftraggeber die notwendigen Rechte, einschließlich Marken- und/oder Namensrechte besitzt. Ferner wird der Auftraggeber keine Domainnamen für die Sub-Domain registrieren, die gegen die guten Sitten verstoßen oder sittenwidrig sind. Sub-Domains, die unter Missachtung dieser Ziffer 6.2 gewählt werden und H.d durch Behörden, Gerichte, Rechteinhaber oder andere Dritte hierüber informiert wurde oder sonst Kenntnis erlangt hat, darf H.d löschen.

8. Besondere Bestimmungen für Beratungsleistungen

8.1 H.d. kann dem Auftraggeber Beratungsleistungen anbieten, insbesondere zur Einrichtung der Software zur bestmöglichen langfristigen Nutzung der Software (etwa dahingehend, welche ergänzenden Features genutzt werden können) und dazu, wie die Software idealerweise mit dem Geschäftsbetrieb des Auftraggebers interagieren kann. Beratungsleistungen können ferner die Empfehlung weiterer Dienste und Softwarelösungen beinhalten, die die Software ergänzen können.

8.2 Beratungsleistungen können von Partnerunternehmen von H.d. erbracht werden. Die Anlage zu diesen AGB enthält eine Übersicht, aus der hervorgeht, welches Partnerunternehmen die Beratungsleistungen am Sitz des Auftraggebers erbringt. Indem der Auftraggeber diese AGB akzeptiert, erklärt er sich damit einverstanden, dass die Beratungsleistungen vom Partnerunternehmen an seinem Sitz erbracht werden können.

8.3 Damit das Partnerunternehmen die Beratungsleistungen erbringen kann, erhält es von H.d. personenbezogene sowie weitere Daten des Auftraggebers, die zur Erbringung der Beratungsleistungen erforderlich sind.

8.4 H.d. sichert dem Auftraggeber keine bestimmte Qualität oder Verfügbarkeit der Beratungsleistungen zu.

9. Besondere Bestimmungen weitere Leistungen

9.1 Der Auftraggeber kann abweichend von Ziffer 2.1(c) einen eigenen Domainnamen registrieren bzw. einen bereits registrierten Domainnamen verwenden und diesen mit dem Speicherplatz verbinden. Für die Registrierung wird H.d den Auftraggeber an einen externen Dienstleister weiterleiten. Der Vertrag über die Registrierung eines solchen eigenen Domainnamens wird zwischen dem Auftraggeber und externen Dienstleister geschlossen. H.d ist weder Vertragspartner noch sonst Partei dieses Vertrages.

9.2 Für die Verbindung eines eigenen Domainnamens mit dem Speicherplatz wird H.d den Auftraggeber technisch unterstützen.

10. Vertragsschluss, Laufzeit, Kündigung

10.1 Der Vertrag kommt durch Annahme des Angebots des Auftraggebers auf Abschluss eines Vertrags über die Dienste und weiteren Leistungen durch H.d zustande. Die Annahme erfolgt in der Regel durch Beginn der Leistungserbringung durch H.d.

10.2 Der Vertrag wird auf unbestimmte Zeit geschlossen und kann durch den Auftraggeber jederzeit, von H.d mit einer Frist von zwei (2) Wochen gekündigt werden.

10.3 Kündigungen von H.d müssen schriftlich oder per E-Mail erfolgen.

10.4 Das Recht der Parteien zur fristlosen Kündigung des Vertrages aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftraggeber gegen eine Verpflichtung aus den Ziffern 3., 4., 5., 7. oder 12.3 verstößt.

10.5 Nach Beendigung des Vertrags, gleich aus welchem Grund, wird H.d sämtliche im Rahmen der Vertragsbeziehung durch den Auftraggeber auf dem Speicherplatz gespeicherten personenbezogenen Daten innerhalb von dreißig (30) Tagen löschen, sofern der Auftraggeber die Löschung nicht über die Software selbst vornimmt und sofern keine rechtliche Verpflichtung für H.d. besteht, die personenbezogenen Daten länger zu speichern. In diesem Fall wird H.d. die personenbezogenen Daten nach Ablauf der entsprechenden Aufbewahrungsfrist löschen.

11. Gewährleistung und Haftung, Freistellung

11.1 Für die Dienste und Leistungen, die H.d dem Auftraggeber kostenlos zur Verfügung stellt, ersetzt H.d dem Auftraggeber ausschließlich den Schaden, der dem Auftraggeber aufgrund von arglistig verschwiegenen Mängeln entstanden ist. Eine darüber hinausgehende Haftung der H.d für Rechts- und/oder Sachmängel besteht für kostenlos zur Verfügung gestellte Dienste und Leistungen nicht.

11.2 H.d, ihre Erfüllungsgehilfen oder gesetzlichen Vertreter haften für die Dienste und Leistungen, die H.d dem Auftraggeber kostenlos zur Verfügung stellt, nur in Fällen vorsätzlicher Handlungen, grober Fahrlässigkeit oder bei schuldhafter Verletzung des Lebens, des Körpers oder der Gesundheit sowie für arglistig verschwiegene Mängel, wobei die Haftung von H.d im Fall von Datenverlust auf den Wiederherstellungsaufwand beschränkt ist, der bei täglicher Datensicherung entstanden wäre. Die Haftung nach dem Produkthaftungsgesetz und dem Mindestlohngesetz bleibt hiervon unberührt.

11.3 Die Haftungsbeschränkungen nach Ziffer 11.1, 11.2 finden auf Partnerunternehmen von H.d. entsprechende Anwendung.

11.4 Für die Inhalte sowie die Bezeichnung der Sub-Domain ist ausschließlich der Auftraggeber verantwortlich. Der Auftraggeber stellt daher H.d, ihre Erfüllungsgehilfen und gesetzlichen Vertreter sowie die mit H.d verbundenen Unternehmen gem. § 15 AktG („Partnerunternehmen“) auf erste Anforderung von sämtlichen Ansprüchen Dritter frei, die diese aufgrund oder in Zusammenhang mit den Diensten und/oder weiteren Leistungen gegenüber H.d, ihren Erfüllungsgehilfen, gesetzlichen Vertretern und/oder mit H.d verbundenen Unternehmen geltend machen. Dies gilt insbesondere für Marken-, Urheber, Datenschutz- und Wettbewerbsverletzungen. Diese Freistellung umfasst auch die notwendigen Rechtsverfolgungskosten einschließlich der Kosten für Schiedsverfahren.

12. Datenschutz, Geheimhaltung

12.1 Die Verarbeitung personenbezogener Daten in Zusammenhang mit der Erbringung der Dienste ist Gegenstand der Datenschutzerklärung, die jederzeit auf der in der Leistungsbeschreibung der Software angegebenen Website abgerufen werden kann.

12.2 Sofern H.d. personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, findet die diesen AGB beigefügte Vereinbarung zur Auftragsverarbeitung Anwendung.

12.3 Die Parteien sind verpflichtet, vertrauliche Informationen bis zum Ablauf von zwei Jahren nach Ende der Vertragslaufzeit Dritten nicht zugänglich zu machen und nicht für andere, dem Vertrag nicht dienenden Zwecke zu verwenden. Als vertraulich gelten alle Informationen über alle dem Kunde zugänglich gemachten technischen Informationen und Know-how sowie sonstige Informationen, die von einer der beiden Parteien als vertraulich gekennzeichnet werden und wirtschaftlichen Wert besitzen.

12.4 Die Geheimhaltungsverpflichtung bezieht sich nicht auf Informationen, die ohne Geheimhaltungsbruch einer Partei der jeweils anderen Partei oder öffentlich bekannt geworden oder bereits bekannt sind, oder die aufgrund gesetzlicher, richterlicher oder behördlicher Anordnung Dritten zugänglich zu machen sind oder im Rahmen eines beabsichtigten Unternehmenskaufs durch zur Verschwiegenheit verpflichtete Dritte in Augenschein genommen werden.

13. Vergütung

13.1 Die Dienste werden in einer Basisversion kostenlos erbracht. H.d. behält sich das Recht vor, für einzelne Teile der Dienste/ Features eine gesonderte Vergütung zu verlangen. Dasselbe gilt für Leistungen Dritter, die etwa im Rahmen der erweiterten Leistungen erbracht werden. Die Preise ergeben sich aus einer gesonderten Preisliste bzw. dem jeweils online dargestellten kommerziellen Angeboten. Der Auftraggeber erhält im Falle der Bestellung eine entsprechende Bestätigungs-Email mit allen relevanten Angaben.

13.2 Der Auftraggeber ist verpflichtet die geschuldete Vergütung innerhalb der Zahlungsfrist vollständig zu zahlen. Sofern der Auftraggeber mit einer Zahlung in Verzug gerät, behält sich H.d. das Recht vor, die eigene Leistung bis zu Zahlung zurückzuhalten oder nach erneuter fruchtloser Zahlungsaufforderung den bestehenden Vertrag aus wichtigem Grund zu kündigen. Die Geltendmachung von Schadensersatz und weiterer sonstiger Ansprüche bleibt H.d in diesem Falle vorbehalten.

13.3 Die Verpflichtung zur Zahlung der Vergütung an H.d. entfällt, sofern der Auftraggeber das Recht auf die Erbringung der Dienste durch H.d von einem von H.d bestimmten Partnerunternehmen erworben hat.

14. Sonstige Bestimmungen

14.1 H.d kann einzelne oder alle Leistungen, die H.d im Rahmen dieses Vertrages schuldet, insbesondere die Dienste, durch Unterauftragnehmer erbringen. H.d. ist berechtigt, diesen Vertrag auf ein Partnerunternehmen zu übertragen, sofern dies keine unangemessene Härte gegenüber dem Auftraggeber darstellt. Dabei kann auch eine Aufteilung der Rechte und/oder Pflichten auf das Partnerunternehmen und H.d erfolgen, sofern der Auftraggeber hierdurch nicht schlechter gestellt wird. Nicht als unangemessene Härte oder Schlechterstellung gilt bei einem vorsteuerabzugsberechtigten Auftraggeber das Anfallen von gesetzlicher Mehrwertsteuer im Sitzland des Auftraggebers.

14.2 H.d kann diese AGB nach vorheriger Ankündigung, einschließlich der beabsichtigten Änderungen, gegenüber dem Auftraggeber ändern. H.d kann Änderungen der AGB nur in einem Umfang vornehmen, der für den Auftraggeber zumutbar ist, die Änderungen nicht die wesentlichen Vertragspflichten betreffen oder der Auftraggeber durch die Änderung insgesamt nicht schlechter gestellt wird. Der Auftraggeber kann einer Änderung der AGB innerhalb von vier (4) Wochen nach Zugang der Mitteilung widersprechen oder den Vertrag ohne Einhaltung einer Frist kündigen. Sofern der Auftraggeber der Änderung der AGB nicht oder nicht fristgemäß widerspricht, gilt seine Zustimmung zur Änderung der AGB als erteilt. Auf die Folgen eines unterbliebenen Widerspruchs und auf das Recht zur fristlosen Kündigung des Vertrages wird H.d den Auftraggeber bei Mitteilungen zu Änderungen der AGB jeweils hinweisen.

14.3 Sollte eine Bestimmung dieses Vertrags ganz oder teilweise nichtig, unwirksam, undurchführbar oder nicht durchsetzbar („Fehlerhafte Bestimmung“) sein oder werden, so werden die Wirksamkeit und die Durchsetzbarkeit der übrigen Bestimmungen dieses Vertrags davon nicht berührt. Die Parteien verpflichten sich vielmehr bereits jetzt, anstelle der Fehlerhaften Bestimmung eine solche zu vereinbaren, die im Rahmen der rechtlichen Möglichkeiten dem am nächsten kommt, was die Parteien nach dem Sinn und Zweck dieses Vertrags vereinbart hätten, wenn sie die Fehlerhaftigkeit der Bestimmung erkannt hätten. Beruht die Fehlerhaftigkeit einer Bestimmung auf einem darin festgelegten Maß der Leistung oder der Zeit (Frist oder Termin), so ist die Bestimmung mit einem dem ursprünglichen Maß am nächsten kommenden rechtlich zulässigen Maß zu vereinbaren. Gleiches gilt für etwaige Regelungslücken in diesem Vertrag. Es ist der ausdrückliche Wille der Parteien, dass diese salvatorische Klausel keine bloße Beweislastumkehr zur Folge hat, sondern § 139 BGB insgesamt abbedungen ist.

14.4 Der Vertrag und alle Ansprüche und Rechte aus oder im Zusammenhang mit dem Vertrag unterliegen ausschließlich deutschem Recht unter Ausschluss des Kollisionsrechts und sind nach Maßgabe deutschen Rechts auszulegen und durchzusetzen. Die Anwendung des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG) ist ausgeschlossen.

14.5 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag, seinem Zustandekommen oder seiner Durchführung ist – soweit rechtlich zulässig – Düsseldorf.

Stand: Oktober 2020/ AG

DISH WEBSITE _B2B_TC_V6_October_2020__de

AUFTRAGSVERARBEITUNG

Mit Bestätigung der obigen Allgemeinen Geschäftsbedingungen wird zwischen Auftraggeber („Verantwortlicher“), und H.d („Auftragsverarbeiter“), gemeinsam auch bezeichnet als „Parteien“, einzeln als „Partei“, zugleich nachfolgende Vereinbarung zur Datenverarbeitung („AV“) geschlossen.

Präambel

Im Rahmen seiner geschäftlichen Tätigkeit und entsprechend der obigen Allgemeinen Geschäftsbedingungen erhält der Auftragsverarbeiter von dem Verantwortlichen personenbezogene Daten, für die dieser verantwortlich ist. Die Parteien vereinbaren die Regelungen in dieser AV, um den datenschutzrechtlichen Verpflichtungen der Parteiengemäß dem europäischen Datenschutzrecht, insbesondere der Europäischen Datenschutz Grundverordnung (Art. 28 DSGVO) zu genügen.

1. Definitionen

1.1 Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (nachfolgend „Daten“).

1.2 Datenverarbeitung im Auftrag ist die Erhebung, Verarbeitung oder Nutzung von Daten durch den Auftragsverarbeiter im Auftrage des Verantwortlichen.

2. Gegenstand und Inhalt des Auftrages

2.1 Gegenstand und Dauer des Auftrages

Die Einzelheiten und die Dauer des Auftrages ergeben sich aus obigen Allgemeinen Geschäftsbedingungen.

2.2 Art der Daten

• Personenstammdaten (z.B. Name, Nachname, Geburtsdatum)

• Kontaktdaten (E-Mail-Adresse, Telefonnummer, Adresse)

• IP-Adressen

2.3 Zweck der Erhebung, Verarbeitung oder Nutzung der Daten

Der Zweck der Erhebung, Verarbeitung oder Nutzung der Daten ist in den Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen näher beschrieben.

2.4 Art und Umfang der Erhebung, Verarbeitung oder Nutzung der Daten

Art und Umfang der Erhebung, Verarbeitung oder Nutzung der Daten ist in den Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen näher beschrieben.

2.5 Kategorie der Betroffenen

Besucher der Website des Auftraggebers

2.6 Technische und organisatorische Maßnahmen

(a) Die vom Auftragsverarbeiter zu implementierenden technischen und organisatorischen Maßnahmen werden im Annex (siehe unten) zu diese AV geregelt. Der Auftragsverarbeiter wird diese Maßnahmen regelmäßig auf eigene Kosten an den aktuellen Stand der Technik anpassen, soweit hierdurch das vereinbarte Schutzniveau nicht gesenkt wird und den Verantwortlichen hierüber unverzüglich informieren.

(b) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen vor Aufnahme der Verarbeitungstätigkeiten im Rahmen dieses Vertrags zu ermöglichen, die Einhaltung der technischen und organisatorischen Maßnahmen auch vor Ort zu überprüfen. Das Auditrecht des Verantwortlichen nach Ziffer 2.10 bleibt hiervon unberührt.
(c) Der Auftragsverarbeiter stellt sicher, dass die im Rahmen des AV eingesetzten Datenverarbeitungssysteme den Standards von „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ nach dem jeweils aktuellen Stand der Technik entsprechen.

2.7 Berichtigung, Löschung und Sperrung von Daten, Recht auf Datenübertragbarkeit und Widerspruchsrecht

(a) Die Rechte der durch den Datenumgang beim Auftragsverarbeiter Betroffenen Personen, insbesondere auf Berichtigung, Löschung und Sperrung, auf Datenübertragbarkeit und Widerspruch werden gegenüber dem Verantwortlichen geltend gemacht. Er ist allein verantwortlich für die Wahrung dieser Rechte.

(b) Der Auftragsverarbeiter ist verpflichtet, im Rahmen seiner Tätigkeit für den Verantwortlichen an ihn gerichtete Ersuchen Betroffener Personen zur sachgerechten Bearbeitung unverzüglich an den Verantwortlichen weiterzuleiten. Sofern Verantwortlicher und Auftragsverarbeiter gemeinschaftlich nach außen als Verantwortliche auftreten, ist der Auftragsverarbeiter berechtigt, dieses Ersuchen selbstständig zu beantworten.

(c) Der Auftragsverarbeiter ist ferner verpflichtet, den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung der oben genannten Rechte Betroffenen Personen nachzukommen.

(d) Der Auftragsverarbeiter hat nach Weisung des Verantwortlichen Daten unverzüglich, spätestens aber innerhalb einer Frist von fünf (5) Tagen zu berichtigen, zu sperren und/oder zu löschen und den Auftragsverarbeiter hierüber in dieser Frist zu informieren.

2.8 Pflichten des Auftragsverarbeiters

(a) Der Auftragsverarbeiter darf Daten nur im Rahmen des Auftrages und der dokumentierten Weisungen des Verantwortlichen erheben, verarbeiten und nutzen.

(b) Der Auftragsverarbeiter hat die Einhaltung der technischen und organisatorischen Maßnahmen i.S.v. Ziffer 2.6 dieser AV in regelmäßigen Abständen zu kontrollieren und zu dokumentieren und auf Verlangen vorzulegen.

(c) Beim Auftragsverarbeiter ist als Kontaktperson für Datenschutz der Datenschutzbeauftragte benannt. Dieser ist unter privacy@hd.digital zu erreichen. Sofern erforderlich benennt der Auftragsverarbeiter darüber hinaus einen Vertreter im Einklang mit den Vorgaben nach Art. 27 DSGVO.

(d) Der Auftragsverarbeiter ist verantwortlich für die Wahrung der Vertraulichkeit. Alle Personen beim Auftragsverarbeiter, die befugt sind, auf die Daten des Verantwortlichen zuzugreifen, müssen zur Vertraulichkeit verpflichtet werden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und müssen über die sich aus dieser AV ergebenden besonderen Datenschutzpflichten sowie die bestehenden Weisungen und Zweckbindungen belehrt werden. Der Auftragsverarbeiter wird diese Verpflichtungen schriftlich dokumentieren und auf Verlangen des Verantwortlichen vorlegen.

2.9 Begründung von Unterauftragsverhältnissen

(a) Die Begründung von Unterauftragsverhältnissen ist gestattet. Der Auftragsverarbeiter informiert vorab den Verantwortlichen über entsprechende Änderung. Der Verantwortliche hat ein Recht zum Einspruch.

(b) Der Auftragsverarbeiter hat im Falle einer Beauftragung von anderen Auftragsverarbeitern vertraglich sicherzustellen, dass die nach dieser AV vereinbarten Verpflichtungen des Auftragsverarbeiters auch entsprechend für den anderen Auftragsverarbeiter gelten.

(c) Der Auftragsverarbeiter hat vorab und regelmäßig während der Dauer des Unterauftragsverhältnisses die erforderlichen technischen und organisatorischen Maßnahmen der anderen Auftragsverarbeiter zum Schutz der Daten zu kontrollieren, die dieser getroffen hat. Die Weiterleitung von Daten ist erst zulässig, wenn der andere Auftragsverarbeiter die erforderlichen technischen und organisatorischen Maßnahmen zumindest entsprechend den Vorgaben dieser AV implementiert hat.

(d) Der Auftragsverarbeiter haftet in vollem Umfang für die von ihm beauftragten Unterauftragnehmer.

2.10 Auditrecht des Verantwortlichen

Der Verantwortliche ist berechtigt, die Einhaltung der anwendbaren Datenschutzvorschriften und der AV während der üblichen Geschäftszeiten zu überprüfen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen innerhalb einer angemessenen Frist alle Auskünfte zu erteilen, die zur Durchführung der Kontrolle vernünftigerweise erforderlich sind. Soweit nach Ansicht des Verantwortlichen ein Audit vor Ort beim Auftragsverarbeiter erforderlich ist, sichert der Auftragsverarbeiter zu, dass der Verantwortliche für die Durchführung des Audits Zugang zu den Büroräumen des Auftragsverarbeiters und eine Einsichtnahme vor Ort in die gespeicherten Daten und die Datenverarbeitungsprogramme erhält. Der Verantwortliche ist berechtigt, die Prüfung durch einen im Einzelfall zu benennenden Dritten (Prüfer) durchführen zu lassen. Der Verantwortliche hat die Durchführung eines solchen Audits mit einer Frist von mindestens zwanzig (20) Werktagen im Voraus schriftlich anzukündigen. Die Kosten für die Durchführung des Audits sowie die anfallenden Kosten beim Auftragsverarbeiter zu marktüblichen Tagessätzen trägt der Verantwortliche.

2.11 Mitteilungen bei Verstößen des Auftragsverarbeiters

(a) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von achtundvierzig (48) Stunden nach entsprechender Entdeckung alle Fälle, in denen durch den Auftragsverarbeiter oder die bei ihm beschäftigten Personen oder Unterauftragnehmer Verstöße gegen die Vorschriften zum Schutz von Daten des Verantwortlichen oder gegen die in dieser AV getroffenen Festlegungen vorgefallen sind.

(b) Dem Verantwortlichen sind alle Vorfälle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Erlangung von Daten durch Dritte unabhängig von der Verursachung mitzuteilen. Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene Personen zu ergreifen. Soweit den Verantwortlichen Benachrichtigungspflichten treffen, hat der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung dieser Pflichten zu unterstützen.

2.12 Weisungen durch den Verantwortlichen

(a) Die Verarbeitung von Daten des Verantwortlichen durch den Auftragsverarbeiter erfolgt ausschließlich im Rahmen der AV und der speziellen vom Auftragsverarbeiter dokumentierten Einzelweisungen durch den Verantwortlichen.

(b) Der Auftragsverarbeiter hat (Einzel-)Weisungen über Art, Umfang und Verfahren der Datenverarbeitung unverzüglich zu befolgen, oder, falls anwendbar, innerhalb der durch den Verantwortlichen gesetzten Frist.

(c) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung nach Meinung des Auftragsverarbeiters gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine verantwortliche Person beim Verantwortlichen bestätigt oder geändert wird.

2.13 Löschung nach Beendigung des Auftrages

Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche Daten, die er für den Verantwortlichen verarbeitet hat, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung durch den Verantwortlichen datenschutzgerecht zu vernichten bzw. nach dem Stand der Technik sicher zu löschen. Ein Zurückbehaltungsrecht wird hinsichtlich der Unterlagen, Daten, Verarbeitungs- und Nutzungsergebnisse und der zugehörigen Datenträger ausgeschlossen, sofern nicht das Recht der Europäischen Union oder eines EU Mitgliedsstaates eine Speicherung der Daten verlangt.

3. Weitere Pflichten des Auftragsverarbeiters

3.1 Der Auftragsverarbeiter verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate ohne Wissen und ohne vorherige schriftliche Zustimmung des Verantwortlichen dürfen nicht erstellt werden, sofern dies nicht nach den in der AV beauftragten Leistungen geschuldet ist. Der Auftragsverarbeiter sichert zu, dass die von ihm für den Verantwortlichen verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Eine Übermittlung von Daten des Verantwortlichen durch den Auftragsverarbeiter an Dritte erfolgt nicht ohne schriftliche Zustimmung des Verantwortlichen.

3.2 Der Auftragsverarbeiter wird den Verantwortlichen in angemessenem Umfang bei der Verteidigung gegen Ansprüche unterstützen, die auf einer angeblichen oder tatsächlichen Verletzung datenschutzrechtlicher Anforderungen beruhen. Der Verantwortliche wird seinerseits Beschwerden von Betroffenen Personen im Rahmen der datenschutzrechtlichen Verantwortung des Verantwortlichen in angemessener Form nachgehen und Beschwerden von Betroffenen Personen bearbeiten.

3.3 Der Auftragsverarbeiter erkennt an, dass Auskünfte an Betroffene Personen aufgrund eines Auskunftsanspruchs ausschließlich über den Verantwortlichen bzw. einen vom Verantwortlichen Bevollmächtigten erteilt werden. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen die hierzu erforderlichen Informationen rechtzeitig zur Verfügung zu stellen und den Verantwortlichen zu unterstützen. Sofern der Auftragsverarbeiter selbst auch als Verantwortlicher nach außen auftritt, kann dieser Anfragen auch entsprechend selbst beantworten und den Verantwortlichen entsprechend hierüber informieren.

3.4 Der Auftragsverarbeiter hat den Verantwortlichen bei der Erstellung erforderlicher Verfahrensverzeichnisse zu unterstützen, soweit anwendbar.

3.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Ausführung von Datenschutz-Folgenabschätzungen, wenn eine Art der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben wird.

3.6 Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen das Ergebnis von Prüfungen der Datenschutzaufsichtsbehörden unverzüglich bekannt zu geben, soweit diese mit dieser AV in Zusammenhang stehen. Der Auftragsverarbeiter wird den Verantwortlichen über Beanstandungen der Datenschutzaufsichtsbehörden informieren, die sich auf den Verantwortungsbereich des Auftragsverarbeiters beziehen und wird festgestellte Beanstandungen beheben, soweit gesetzlich erforderlich.

4. Haftung

4.1 Für die Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen Personen ist der Verantwortliche verantwortlich.

4.2 Der Auftragsverarbeiter ist abweichend von Ziffer 4.1 verantwortlich für Ansprüche Betroffener aufgrund von Verstößen gegen die anwendbaren gesetzlichen Bestimmungen oder die Bestimmungen der AV.

4.3 Gegenüber dem Verantwortlichen haftet der Auftragsverarbeiter im Rahmen der gesetzlich möglichen Haftungsausschlüssen und –beschränkungen lediglich für Vorsatz und grobe Fahrlässigkeit.

5. Schlussbestimmungen

5.1 Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten in der Verarbeitung der Daten durch den Auftragsverarbeiter feststellt.

5.2 Diese AV kann unter denselben Bedingungen wie die obigen Allgemeinen Geschäftsbedingungen abgeändert und gekündigt werden.

5.3 Die Unwirksamkeit einer oder mehrerer Bestimmungen dieser AV beeinträchtigt die Wirksamkeit der AV im Übrigen nicht. Im Fall der Unwirksamkeit einer oder mehrerer Bestimmungen dieser AV werden die Parteien eine der unwirksamen Regelung wirtschaftlich möglichst nahe kommende, rechtswirksame Ersatzregelung treffen. Entsprechendes gilt im Fall einer Regelungslücke.

5.4 Die AV unterliegt demselben Recht wie obige Allgemeine Geschäftsbedingungen.

5.5 Im Falle von Widersprüchen zwischen der AV und anderen Verträgen zwischen den Parteien gehen die Bestimmungen dieser AV vor.

Stand: Oktober 2020/ AG

Technische und organisatorische Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen implementiert der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein, soweit angemessen:

• die Pseudonymisierung und Verschlüsselung der Daten;

• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

• die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unbeschadet des Vorangehenden werden die folgenden spezifischen Maßnahmen ergriffen:

1. Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen die Daten verarbeitet werden:

• Festlegung des zutrittsberechtigten Personenkreises und entsprechende Dokumentation;

• Elektronische Zutrittskontrolle;

• Ausstellung von Zutritts-IDs;

• Einführung von Richtlinien für externe Individuen;

• Alarmvorrichtung oder Sicherheitsdienst außerhalb der Arbeitszeiten;

• Aufteilung von Liegenschaften in verschiedene Sicherheitszonen;

• Einführung von Richtlinien für den Umgang mit Schlüssel(karten);

• Sicherheitstüren (elektronischer Türöffner, ID-Lesegerät, CCTV);

• Einführung von Maßnahmen für vor-Ort-Sicherheit (z.B. Einbruchmeldung/Benachrichtigung).

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

• Festlegung des Personenkreises, der Zugang zu Datenverarbeitungsanlagen hat;

• Einführung von Richtlinien für externe Individuen;

• Passwortschutz für Personal Computer.

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:

• Einführung von beschränkten Zugriffsberechtigungen bezogen auf die jeweiligen Daten und Funktionen;

• Verpflichtung zur Identifizierung gegenüber Datenverarbeitungsanlagen (z.B. durch ID und Authentifizierung);

• Einführung von Richtlinien über Zugriffs- und Nutzerrollen;

• Auswertung von Protokollen im Falle eines schädigenden Ereignisses.

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass die Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung der Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Verschlüsselung

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem die Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind.

• Protokollierung von Dateneingaben.

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können.

• Dokumentation der unterschiedlichen Kompetenzen und Verpflichtungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter;

• Formale Beauftragung;

• Kontrolle der Arbeitsergebnisse

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass die Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Umsetzung eines Plans für regelmäßige Backups;

• Sichere Speicherung der Daten-Backups in feuer- und wasserfesten Sicherheitsschränken;

• Einführung und regelmäßige Kontrolle einer Notstromanlage und einer Überspannungsschutzanlage;

• Einführung eines Notfallplans;

• Protokoll über die Einführung eines Krisen- und/oder Notfallmanagements.

8. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Trennung der Daten der jeweiligen Kunden des Auftragsverarbeiters.

Stand: Oktober 202/ AG

ANLAGE VERTRAGSDATEN

Folgende Daten überträgt H.d an METRO:

Erstellungsdatum; Personenkonto: interessiert sich für die Metro-Mitgliedschaft; Kontobezeichnung; Personenkonto: E-Mail; Telefon; Personenkonto: Mobil; Unverified Mobile, Einrichtung: Kontoname; Establishment Street, Postleitzahl, Stadt