Allgemeine Geschäftsbedingungen

1. Allgemeines

Die vorliegenden Bestimmungen gelten ausschließlich bei Verwendung gegenüber Kunden, die nicht Verbraucher sind. HCV Data behält sich die - auch einseitige - Änderung dieser Bestimmungen und/oder einzelner Teile dieser Bestimmungen vor. Im Übrigen sind diese Bestimmungen abschließend. Hiervon abweichende Bestimmungen des Kunden sind unbeachtlich; ihnen wird hiermit ausdrücklich widersprochen. Auch bestehen keine über diese Regelungen hinausgehenden Vereinbarungen. Solche Vereinbarungen bedürfen zu ihrer wirksamen Einbeziehung der Schriftform. Insoweit gilt die jeweils aktuelle und über die Internetseite HCV Data (www.hcv.de) abrufbare Fassung dieser Geschäftsbedingungen zum Zeitpunkt des Vertragsschlusses.

Diese Bestimmungen aufhebende oder abändernde Absprachen bedürfen zu ihrer Wirksamkeit der Schriftform. Das Formerfordernis kann weder mündlich noch stillschweigend aufgehoben oder außer Kraft gesetzt werden. Gleiches gilt auch, sofern hierdurch das Schriftformerfordernis selbst abbedungen werden soll.

 

2. Vertragsschluss

Von HCV Data angebotene Produkte und Leistungen stellen grundsätzlich unverbindliche Aufforderungen zur Abgabe eines Angebotes durch den Kunden dar. Insoweit sind die jeweils genannten Spezifikationen, technischen Daten, Leistungsbeschreibungen und näheren Ausgestaltungen der von HCV Data angebotenen Produkte und Leistungen zunächst unverbindlich; gleiches gilt für Prospekte Dritter - beispielsweise Herstellerprospekte -, für welche grundsätzlich keine Haftung übernommen werden kann. Eine auf Abschluss eines Vertrages gerichtete Willenserklärung des Kunden stellt stets ein Angebot dar. Eine bloße Bestätigung von HCV Data über den Eingang des Angebots eines Kunden stellt keine Annahmeerklärung dar; die Annahme eines solchen Angebots erfolgt vielmehr durch schriftliche Auftragsbestätigung von HCV Data.

 

3. Preise, Zahlungsbedingungen

Angegebene Preise sind Nettopreise ohne gesetzliche Steuer, einschließlich handelsüblicher Verpackung, Lieferung frei Haus. Die Installation von Software-Produkten ist vorbehaltlich anderer Absprache generell nicht im Preis beinhaltet. HCV Data bietet Installationsdienstleistungen an, die jedoch vom Kunden separat zu beauftragen sind.

Rechnungen sind, soweit nicht abweichend vereinbart, sofort fällig. Eine Aufrechnung des Kunden ist nur mit Gegenforderungen zulässig, die entweder von HCV Data unbestritten oder rechtskräftig festgestellt sind.

 

4. Versand, Lieferung

Die Lieferung erfolgt auf Gefahr des Kunden. Mit Übergabe der Ware an den mit deren Verbringung beauftragten Unternehmer erfüllt HCV Data die ihr obliegende Lieferverpflichtung. Zu gleichem Zeitpunkt geht die Gefahr für an der Ware gegebenenfalls entstehende Schäden auf den Kunden über. Ist zwischen den Parteien im Einzelfall eine Abholung der Ware vereinbart, geht die Gefahr zum Zeitpunkt der Mitteilung der Abholbereitschaft durch HCV Data auf den Kunden über, im Falle eines vorab vereinbarten Abholtermins zu diesem Zeitpunkt.

Angaben zu Liefer- und Leistungszeitpunkten sind unverbindlich, es sei denn, sie sind von HCV Data schriftlich als verbindlich bezeichnet. Liefer- und Leistungsfristen verlängern sich um den Zeitraum, in dem sich der Kunde in (Zahlungs-) Verzug befindet sowie um den Zeitraum, in dem HCV Data durch nicht von ihr zu vertretende Umstände - beispielsweise durch höhere Gewalt - an der Lieferung oder Leistungserbringung gehindert ist; eine angemessene Anlaufzeit nach Ende des Hinderungsgrundes wird gewährt.

Darüber hinaus gelten Fristen auch um den Zeitraum als verlängert, in welchem der Kunde einer erforderlichen Mitwirkungsleistung nicht nachkommt und HCV Data hierdurch die Lieferung oder Leistungserbringung unangemessen erschwert oder gar unmöglich gemacht wird.

 

5. Gewährleistung

HCV Data übernimmt die Gewähr dafür, dass die vertragsgegenständlichen Waren und Software-Produkte (nachfolgend "Produkte") die vereinbarte Beschaffenheit haben und sich für die vertraglich vorausgesetzte, bei fehlender Vereinbarung für die gewöhnliche Verwendung, eignen. Insoweit gewährleistet HCV Data auch, dass die entsprechenden Produkte dem Kriterium praktischer Tauglichkeit genügen und die bei Software dieser Art übliche Qualität haben. Eine etwaige Funktionsbeeinträchtigung der Produkte, die aus Hardwaremängeln, Umgebungsbedingungen, Fehlbedienung o.ä. resultiert, ist kein Mangel. Auch bleibt eine nur unerhebliche Minderung der Qualität grundsätzlich unberücksichtigt. Ferner schließt HCV Data hiermit ausdrücklich Gewährleistungsansprüche für Software-Produkte oder deren Leistungsfähigkeit aus, die vom Kunden kopiert, geändert oder verändert wurden. Auch eine Gewährleistung und/oder Zusicherung dafür, dass die Produkte für einen bestimmten Zweck geeignet sind, übernimmt HCV Data vorbehaltlich einer hiervon abweichenden individuellen Vereinbarung grundsätzlich nicht.

Bei Sachmängeln kann HCV Data zunächst nacherfüllen. Die Nacherfüllung erfolgt nach Wahl von HCV Data durch Beseitigung des Mangels, durch Lieferung von Software, die den Mangel nicht hat, oder dadurch, dass HCV Data Möglichkeiten aufzeigt, die Auswirkungen des Mangels zu vermeiden.

Wegen eines Mangels sind zumindest drei Nachbesserungsversuche hinzunehmen. Eine gleichwertige neue Programmversion oder die gleichwertige vorhergehende Programmversion, die den Fehler nicht enthalten hat, ist vom Kunden zu übernehmen, wenn dies für ihn zumutbar ist.

HCV Data gewährleistet nicht, dass die Nutzung von Software ununterbrochen oder fehlerfrei möglich sein wird oder dass sämtliche Fehler auch behoben werden können.

Die Verjährungsfrist bei Sachmängeln beträgt für Ansprüche auf Kaufpreisrückzahlung aus Rücktritt oder Minderung ein Jahr ab Ablieferung der Software, bei sonstigen Ansprüchen aus Sachmängeln ein Jahr ab Gefahrübergang.

 

6. Haftung, höhere Gewalt

HCV Data leistet Schadenersatz oder Ersatz vergeblicher Aufwendungen, gleich aus welchem Rechtsgrund nur in folgendem Umfang: Die Haftung bei Vorsatz ist unbeschränkt. Bei grober Fahrlässigkeit haftet HCV Data in Höhe des typischen und bei Vertragsabschluss vorhersehbaren Schadens. Grundsätzlich haftet HCV Data nicht bei lediglich leicht fahrlässiger Verletzung nicht wesentlicher Vertrags- und/oder entsprechender - nicht wesentlicher - vertraglicher Nebenpflichten.

HCV Data bleibt der Einwand des Mitverschuldens offen. Der Kunde hat insbesondere die Pflicht zur Datensicherung und zur Virenabwehr nach dem aktuellen Stand der Technik. Der Kunde wird insoweit alle Vorkehrungen für den Fall treffen, dass das Software-Produkt ganz oder teilweise nicht ordnungsgemäß arbeitet, z.B. durch entsprechende Datensicherung. Störungsdiagnose, regelmäßige Prüfung der Ergebnisse, Notfallplanung etc.). Es liegt in der ausschließlichen Verantwortung des Kunden, die Arbeitsumgebung eines Software-Produktes sicherzustellen.

 

Von obigen Haftungsbeschränkungen ausgenommen sind die Haftung von HCV Data und deren Vertreter/Erfüllungsgehilfen für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit des Kunden; insoweit gelten die gesetzlichen Regelungen.

Ausgeschlossen ist eine Haftung von HCV Data für Verzug oder Nichterfüllung, die direkt oder indirekt darauf zurückzuführen ist, dass höhere Gewalt oder Maßnahmen ziviler Behörden oder Militärbehörden, zivile Unruhen, Krieg, Streiks, Aussperrungen, Feuer, Überschwemmungen oder andere Gründe, die nicht von HCV Data beherrscht werden können, vorliegen.

 

7. Eigentum

Der Kunde erwirbt das Eigentum an gelieferten Waren sowie das Nutzungsrecht für Software-Produkte erst mit vollständiger Bezahlung der vertragsgemäßen Vergütung an HCV Data. Zuvor hat er nur ein vorläufiges und widerrufbares Nutzungsrecht.

Eigentums-, Besitz- und sämtliche gewerblichen Schutzrechte an Software-Produkten behalten sich HCV Data und/oder ein etwaiger Lizenzgeber von HCV Data vor.

 

8. Gewerbliche Schutzrechte

Der Kunde unterrichtet HCV Data unverzüglich schriftlich, falls Dritte gewerbliche Schutzrechte (z.B. Urheber- oder Patentrechte) an der Software gegen ihn geltend machen. Der Kunde ermächtigt HCV Data, die Auseinandersetzung mit dem Dritten allein zu führen. Solange HCV Data von dieser Ermächtigung Gebrauch macht, darf der Kunde von sich aus die Ansprüche des Dritten nicht ohne Zustimmung von HCV Data anerkennen; HCV Data wehrt dann die Ansprüche des Dritten auf eigene Kosten ab und stellt den Kunden von allen mit der Abwehr dieser Ansprüche verbundenen Kosten frei, soweit diese nicht auf pflichtwidrigem Verhalten des Kunden, beispielsweise einer vertragswidrigen Nutzung der Programme, beruhen. Steht die Möglichkeit einer Verletzung gewerblicher Schutzrechte zu besorgen, kann HCV Datajederzeit nach eigener Wahl entweder das Produkt ersetzen, ändern, für den Kunden das Recht auf weitere Nutzung des Produktes erwerben oder das Produkt zurücknehmen und dem Kunden den nach steuerlichen Regeln abgeschriebenen Wert ersetzen.

 

9. Software-Lizenz

Nutzungsrechte an Software-Produkten (Programm und Benutzerhandbuch) werden dem Kunden jeweils im Umfang der dem Software-Produkt beiliegenden besonderen Lizenzbestimmungen eingeräumt.

Im Übrigen sowie in Ergänzung solcher besonderen Lizenzbestimmungen geltend nachfolgende Regelungen, wobei im Zweifel die besonderen Lizenzbestimmungen stets vorrangig zur Anwendung gelangen:

Software-Produkte werden als Einzellizenz oder nach Maßgabe des Lizenz-Management-Programms erworben. "Lizenz-Management" ist eine Lizenzierungsmethode, die es erlaubt, eine bestimmte Anzahl (und zwar bis zur Anzahl der erworbenen Lizenzen, für die Zahlung geleistet wurde) einer Software gleichzeitig auf je einem oder mehreren Datenverarbeitungsgeräten zu nutzen.

Sämtliche Software-Produkte werden dem Kunden auf der Grundlage einer persönlichen, nicht ausschliefllichen und nicht übertragbaren Lizenz ausschliefllich zur Nutzung durch den Kunden selbst, zur Verfügung gestellt. Sonstige Verwertungshandlungen wie beispielsweise die Vermietung, der Verleih und die Verbreitung in körperlicher oder unkörperlicher Form, der Gebrauch der Software durch und für Dritte (z.B. Outsourcing, Rechenzentrumstätigkeiten, Application Service Providing) sind ohne vorherige schriftliche Zustimmung von HCV Data nicht gestattet. Die Lizenzbestimmungen werden vom Kunden mit dem Öffnen der Packung (Shrink Wrap Software), spätestens jedoch mit Beginn der Installation des Software-Produktes als verbindlich akzeptiert. Jedes Software-Produkt darf ausschließlich für Archiv- und Sicherungszwecke kopiert werden und/oder um eine fehlerhafte oder gebrauchte Kopie zu ersetzen oder wenn dies im Rahmen des Lizenz-Managements genehmigt wurde. Sämtliche Copyright-Vermerke und andere Hinweise auf gewerbliche Schutzrechte müssen auf jeder Kopie verbleiben. Das Software-Produkt darf unter keinen Umständen ohne entsprechende Zustimmung von HCV Data zurückübersetzt (disassemblen), zurückverwandelt (dekompilieren) und/oder oder einzelne Funktionen oder Teilprogramme gleich zu welchem Zwecke aus dem Software-Produkt herausgelöst werden.

Mangels anderer Vereinbarung werden Software-Produkt und Benutzerhandbuch nach Wahl von HCV Data auf CD- oder DVD-ROM ausgeliefert. Unter keinen Umständen hat der Kunde einen Anspruch auf Überlassung des Quellcodes des Software-Produktes.

Das Nutzungsrecht an dem Software-Produkt endet automatisch, wenn der Kunde seinen Verpflichtungen zur Zahlung der vereinbarten Lizenzgebühr nicht nachkommt, den Besitz an der Software oder dem System aufgibt oder Software-Produkte ohne vorherige schriftliche Zustimmung von HCV Data Außenstehenden
Dritten zugänglich macht.

 

10. Geheimhaltung

Gewerblich geschützte und vertrauliche Informationen, die von HCV Data zur Verfügung gestellt werden, werden dem Kunden nur zum Zwecke der Nutzung bei der Installation und dem Betrieb der Produkte bzw. zu seiner Unterstützung in diesem Zusammenhang zugänglich gemacht. "Gewerblich geschützte und vertrauliche Informationen" bedeuten Dokumentation, Software-Produkte, Daten und andere Informationen. Der Kunde wird solche Informationen - auch über das Vertragsende hinaus - nicht an Dritte weitergeben und sie vor nicht genehmigter Weitergabe schützen.

11. Beendigung

Verletzt der Kunde eine wesentliche Regelung vorliegender Bestimmungen und behebt er eine solche Verletzung nicht innerhalb von fünf Werktagen nach Erhalt einer entsprechenden schriftlichen Mahnung von HCV Data oder wird der Kunde zahlungsunfähig oder besteht ein Vergleich oder eine Versammlung mit seinen Gläubigern oder wird ein Verwalter für irgendeinen Teil der Vermögensanlagen des Kunden bestellt, kann HCV Data es ablehnen, den Kunden zu beliefern. HCV Data behält sich in diesen Fällen zudem ausdrücklich vor, nach vorheriger Ankündigung die Geschäftsräume des Kunden zu betreten, um Produkte zu entfernen, hinsichtlich derer gem. Ziffer 7 dieser Bestimmungen noch kein Eigentum bzw. erst ein vorläufiges und widerrufbares Nutzungsrecht erworben wurde.

 

12. Export

Der Kunde nimmt zur Kenntnis, dass bestimmte Produkte einer besonderen Exportkontrolle unterliegen können. Der Kunde ist damit einverstanden, dass kein Produkt exportiert oder wiederverkauft werden kann - sei es direkt oder indirekt, separat oder als Teil eines Systems -, ohne dass der Kunde zuvor auf eigene Kosten sämtliche Regelungen und anwendbaren gesetzlichen Bestimmungen eingehalten hat und zuvor die Zustimmung des Handelsministerium der Vereinigten Staaten und/oder einer anderen zuständigen Behörde eingeholt hat.

 

13. Nebenbestimmungen

Sollten einzelne Bestimmungen dieser Geschäftsbedingungen ganz oder teilweise rechtsunwirksam bzw. lückenhaft sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die mangelhafte oder lückenhafte Bestimmung ist in eine solche umzudeuten, deren wirtschaftlicher und juristischer Sinn der mangelhaften Bestimmung möglichst nahe kommt, aber wirksam und/oder vollständig ist.

HCV Data hat das Recht, die Geschäftsräume des Kunden zu betreten, um die Einhaltung der nach diesen Geschäftsbedingungen dem Kunden obliegenden Verpflichtung zu überprüfen, sofern dies zuvor unter Einhaltung einer angemessenen Frist angekündigt wurde.

Auf das Vertragsverhältnis zwischen HCV Data und dem Kunden findet ausschließlich das Recht der Bundesrepublik Deutschland mit Ausnahme des UN-Kaufrechts (CISG) Anwendung.

Ausschließlicher Gerichtsstand für etwaige Rechtsstreitigkeiten ist Wiesbaden. HCV Data behält sich vor, den Kunden auch am Gericht dessen Wohn- bzw. Unternehmenssitzes zu verklagen. Als Erfüllungsort für sämtliche sich aus dem Vertrag ergebenden Rechte und Pflichten gilt ausschließlich Wiesbaden.

Personen- bzw. unternehmensbezogene Daten, die für die Abwicklung und Durchführung des Vertrages erforderlich sind, werden von HCV Data unter strenger Einhaltung der gesetzlichen Datenschutzbestimmungen verarbeitet.

 

14. Auftragsverarbeitung gem. Art. 28 EU-DS-GVO

Zwischen HCV Data (Auftragnehmer) und den Kunden (Auftraggeber) wird folgender Vertrag über Auftragsverarbeitung nach Art. 28 Abs. 3 und den weiteren Bestimmungen der Verordnung 2016/79 EU (EU Datenschutz-Grundverordnung) [i.F.: „EU-DS-GVO“], sowie sonstiger anwendbarer datenschutzrechtlicher Bestimmungen Vertragsbestandteil:

 

14.1 Gegenstand und Dauer des Auftrags, Auftragsinhalt

 

A. Inhalt

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Inhalt des Vertrages ist die Regelung aller datenschutzrechtlicher Fragen zwischen Auftraggeber und Auftragnehmer.

 

B. Gegenstand des Auftrags

Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer: Verkauf von Software und Lizenzen, Softwarewartung, und Dienstleistungen.

 

C. Dauer des Auftrags

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

 

D. Art und Zweck der vorgesehenen Verarbeitung von Daten

Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und Zweck der Aufgaben des Auftragnehmers:

Zweck der Erfassung von personenbezogenen Daten ist die Durchführung der vereinbarten Leistung, die sich aus dem zu Grunde liegenden Hauptvertrag oder der Einzelvereinbarung zwischen den Parteien ergibt. Zum Zweck der Durchführung des Vertrags werden insbesondere Daten erhoben, erfasst, gespeichert und verarbeitet für Supportdienstleistungen, speziell beim Hotlineservice, in der Auftragsverarbeitung, sowie für Marketing- und Vertriebsaktivitäten, sofern dies gesetzlich zulässig ist.

 

E. Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten / -kategorien:

  • Personenstammdaten (Anrede, Vorname, Name, Funktion, Dienstsitz)
  • Kommunikationsdaten (Telefon, E-Mail)
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse, Lizenzinformationen)
  • Kunden- und Kontakthistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Planungs- und Steuerungsdaten
  • Supporttickets
  • Auskunftsangaben (von Dritten, z. B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
  • IP-und MAC Adressen für Lizenzerstellung und Qualitätssicherung

 

F. Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen insbesondere:

  • Kunden
  • Interessenten
  • Lieferanten
  • Ansprechpartner

 

14.2 Pflichten / Kontrollrecht des Auftraggebers

A.

Der Auftraggeber ist alleine verantwortlich für die Beurteilung der rechtlichen Zulässigkeit der im Rahmen des Auftragsverhältnisses durchzuführenden Verarbeitung durch den Auftragnehmer im Hinblick auf die Regelungen der EU Datenschutz-Grundverordnung und anderer Vorschriften über den Datenschutz.

B.

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 EU-DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann z.B. auch erfolgen durch:

  • Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 EU-DS-GVO
  • Die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 EU-DS-GVO
  • Aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
  • Eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO 27001).

Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

Die Verarbeitung von Daten per Remote-Zugang ist gestattet und ermöglicht dem Auftragnehmer das mobile Arbeiten. Auch dort werden die datenschutzrechtlichen Vorschriften eingehalten.

C.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

 

14.3 Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 EU-DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

A.

Schriftliche Bestellung eines Datenschutzbeauftragten, soweit gesetzlich erforderlich.Der Datenschutzbeauftragte ist unter privacy@bechtle.com zu erreichen.

B.

Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Diese gelten auch nach Beendigung des Auftrags fort.

C.

Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 EU-DS-GVO www.hcv.de/TOM

D.

Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

E.

Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

F.

Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers ausschließlich im Rahmen der vertraglich festgelegten Weisungen und der speziellen Einzelweisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedsstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (beispielsweise bei Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Er verwendet die zur Datenverarbeitung überlassenen Daten nicht für andere Zwecke und bewahrt sie nicht länger auf, als es der Auftraggeber bestimmt.

Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen Datenschutzvorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Weisungsberechtigten beim Auftraggeber bestätigt oder geändert wird.

G.

Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Unterlagen und Daten betroffen sind.

H.

Der Auftragnehmer führt das Verzeichnis der Verarbeitungstätigkeit gem. Art. 30 Abs. 2 EU-DS-GVO Der Auftraggeber stellt dem Auftragnehmer die hierzu erforderlichen Informationen zur Verfügung.
Der Auftragnehmer unterstützt den Auftraggeber seinerseits bei der Erstellung des Verzeichnisses nach Art 30 Abs. 1 EU-DS-GVO.

I.

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der EU-DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten.

J.

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

Etwaig anfallende Mehrkosten für den Auftragnehmer im Rahmen dieser Pflichten sind diesem durch den Auftraggeber zu ersetzen.

 

14.4 Rückgabe und Löschung

Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Kopien, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungsfristen oder aus technischen Gründen zur Durchführung des Auftrags erforderlich sind.

Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

 

14.5 Unterauftragsverhältnisse

A.

Der Auftragnehmer darf Unterauftragsverarbeiter (weitere Auftragsverarbeiter) nur nach vorheriger Zustimmung des Auftraggebers beauftragen.

Der Auftraggeber stimmt der Beauftragung der in Anhang 1 aufgeführten Unterauftragsverarbeiter zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 EU-DS-GVO, welche sowohl schriftlich als auch in einem elektronischen Format erfolgen kann.

B.

Vor Hinzuziehung weiterer oder Ersetzung aufgeführter Unterauftragsverarbeiter informiert der Auftragnehmer den Auftraggeber rechtzeitig vorab schriftlich oder in Textform.

Der Auftraggeber kann gegen die Änderung – innerhalb einer angemessenen Frist, jedoch nicht länger als 2 Wochen – aus wichtigem datenschutzrechtlichem Grund – gegenüber der vom Auftragnehmer bezeichneten Stelle Einspruch erheben. Erfolgt kein Einspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Bei unberechtigtem Einspruch kann es zu entsprechenden Verzögerungen bei der Erbringung der Leistung nach dem Hauptvertrag kommen. Für eine aus einem unberechtigten Einspruch resultierende Einschränkung der Vertragsleistungen ist der Auftragnehmer nicht verantwortlich.

Hat der Auftraggeber aufgrund eines wichtigen datenschutzrechtlichen Grundes berechtigt Einspruch gegen einen Unterauftragsverarbeiter erhoben und ist eine einvernehmliche Lösungsfindung zwischen den Parteien auch auf anderem Wege aufgrund von wichtigen datenschutzrechtlichen Gründen nicht möglich, steht dem Auftragnehmer ein Sonderkündigungsrecht zu.

In Ausnahmefällen ist auch eine nachträgliche Einigung zwischen den Parteien möglich.
Der Auftragnehmer hat den Auftraggeber in diesem Fall unverzüglich über den Einsatz eines Unterauftragsverarbeiters zu informieren.

C.

Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU / des EWR, stellen Auftraggeber und Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

D.

Eine weitere Auslagerung durch den Unterauftragsverarbeiter bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mindestens Textform); sämtliche vertragliche Regelungen zu den Datenschutzpflichten in der Vertragskette sind auch dem weiteren Unterauftragsverarbeiter aufzuerlegen.

E.

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

F.

Diese Regelung der Unterauftragsverhältnisse geht als spezielle Regelung für den Bereich der Auftragsverarbeitung der Regelung im Hauptvertrag vor. Im Übrigen gilt die im Hauptvertrag bestimmte Rangfolge.

 

14.6 Weisungsrechte

Der Verarbeitung der Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber erteilt alle Weisungen und Aufträge in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und in schriftlicher oder elektronischer Form zu dokumentieren.
Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich oder in einem dokumentierten elektronischen Format.

 

14.7 Rechte betroffener Personen

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

 

14.8 Technisch-organisatorische Maßnahmen

Das Datenschutz- und Datensicherheitskonzept der HCV Data gemäß www.hcv.de/TOM ist hier maßgeblich.

Der Auftragnehmer hat damit die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 EU-DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 EU-DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 EU-DS-GVO zu berücksichtigen.

A.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

B.

Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

 

14.9 Haftung

Für die Haftung aufgrund von Verletzungen der Datenschutzbestimmungen oder dieser Datenschutzvereinbarung gelten die gesetzlichen Vorschriften, sofern in den für die vertragsgegenständlichen Leistungen geltenden Vertragsdokumenten keine abweichende Haftungsvereinbarung getroffen wurde.

 

14.10 Sonstiges

A.

Änderungen und Ergänzungen dieses Vertrags und all seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

B.

Der Gerichtsstand für beide Parteien ist der Sitz des Auftragnehmers.

C.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

 

Walluf, 24.05.2018

HCV Data Management GmbH
Am Eichelgarten 1
65396 Walluf
Deutschland

 

 

Anhang 1

Unterauftragsverarbeiter des Auftragnehmers

 

Unternehmen Firmensitz Zweck Drittland
Bechtle GmbH Deutschland Lieferant für Hardware, wird in unserem Auftrag an Kunden ausgeführt nein
devdeer Deutschland Microsoft Azure: Dienstleistung, Beratungn nein
Diota GmbH Deutschland Diota-Software, Service 2. Level, Dienstleistung, Spezialhardware nein
Softvise GmbH Deutschland Cadmium-Software, Service, Dienstleistung nein
Solidline AG Deutschland Muttergesellschaft, Software Lieferant, Datenverarbeiter für Marketingaktionen nein
Martin Saurer Schweiz Dienstleister für Programmierungen Porta-X Umfeld Ja; festgestelltes, angemessenes Schutzniveau gemäß Art. 45 (3) DSGVO
schoko pro GmbH Deutschland Dienstleistung für APP-Entwicklung, Mixed Reality, Messepräsentation und virtuelle Showrooms sowie showYOU: Software, Sevice, Dienstleistung nein
MasterSolution AG Deutschland Dienstleistung APP-Entwicklung und Mixed Reality nein
real.scan.service. Schweiz Dienstleistung im Umfeld 3D Scan Ja; festgestelltes, angemessenes Schutzniveau gemäß Art. 45 (3) DSGVO
Softvise GmbH Deutschland Cadmium-Software, Service, Dienstleistung nein
CleverReach GmbH & Co. KG Deutschland E-Mailing-Tool (u.a. Newsletter, E-Mail-Kampagnen, Einladungen zu Veranstaltungen und Webinaren) nein