Allgemeine Geschäftsbedingungen
der ROUTMAIL GmbH im folgenden "ROUTMAIL" genannt.
1. Allgemeines
1.1. Die Erklärungen der ROUTMAIL und alle Vereinbarungen zwischen ROUTMAIL
und dem Auftraggeber unterliegen ausschließlich diesen Bedingungen.
Entgegenstehende Bedingungen gelten nur, wenn sie von ROUTMAIL
ausdrücklich schriftlich anerkannt wurden.
1.2. Diese Bedingungen
werden spätestens mit der unbeanstandeten Annahme der
Auftragsbestätigung der ROUTMAIL verbindlich und gelten für alle bereits
abgeschlossenen Verträge und alle in Zukunft abzuschließenden Verträge.
1.3. Die Unwirksamkeit einzelner Bestimmungen berührt nicht die Wirksamkeit der übrigen Geschäftsbedingungen.
1.4. Mündliche Erklärungen, Auskünfte und Vereinbarungen der ROUTMAIL sind
nur verbindlich, wenn sie schriftlich bestätigt werden.
1.5. Die Zustellung von Erklärungen der ROUTMAIL ist auch an die zuletzt
angegebene Anschrift des Auftraggebers wirksam, die Postaufgabe reicht
für ihre Rechtzeitigkeit aus.
2. Preisangebot (Kostenvoranschlag)
2.1. Preisangebote und Kostenvoranschläge, im folgenden gemeinsam kurz
Preisangebote genannt, bedürfen für ihre Verbindlichkeit der
Schriftform.
2.2. ROUTMAIL hält sich an Preisangebote fünf
Werktage gebunden. Aufträge, die in ihrer Formulierung von den
Preisangeboten in irgendeinem Punkt abweichen oder aber erst nach einem
fünf Werktage überschreitenden Zeitraum erteilt werden, bedürfen zur
Begründung einer Verbindlichkeit der Bestätigung durch ROUTMAIL.
2.3. Einwendungen wegen eines Abweichens des Inhaltes einer
Auftragsbestätigung vom Bestellbrief müssen innerhalb von 3 Werktagen
nach Einlangen der Auftragsbestätigung erhoben werden, widrigenfalls
gilt der Inhalt der Auftragsbestätigung als verbindlich.
2.4. Offerierte Preise gelten ab ROUTMAIL. Änderungen der Energie und
Materialkosten oder der Lohnkosten aufgrund kollektivvertraglicher
Vereinbarungen berechtigen ROUTMAIL, den Preis entsprechend anzupassen.
2.5. ROUTMAIL behält sich vor, rechtsverbindlich bestätigte Aufträge sowie
einzelne Abrufe im Rahmen eines Abschlusses wegen des Inhalts, der
Herkunft oder der technischen Form abzulehnen, wenn deren Inhalt gegen
Gesetze oder behördliche Bestimmungen verstößt oder deren
Veröffentlichung für ROUTMAIL aus anderen Gründen unzumutbar ist. Dies
gilt auch für Aufträge, die bei Geschäftsstellen, Annahmestellen oder
Vertretern aufgegeben werden.
3. Probeabzüge
3.1 Probeabzüge werden nur auf ausdrücklichen Wunsch geliefert. Der
Auftraggeber trägt die Verantwortung für die Richtigkeit der
zurückgesandten Probeabzüge. ROUTMAIL berücksichtigt alle
Fehlerkorrekturen, die ihr innerhalb der bei der Übersendung des
Probeabzuges gesetzten Frist mitgeteilt werden.
4. Rechnungspreis
4.1. ROUTMAIL fakturiert ihre Lieferungen und Leistungen mit dem Tag, an dem
sie diese - auch teilweise - erfüllt, für den Auftraggeber einlagert
oder für ihn auf Abruf bereithält.
4.2. Der Rechnungspreis kann
vom Bestellpreis, abgesehen von Kostenerhöhungen gemäß Punkt 2.4.,
abweichen, wenn nach der Auftragserteilung Änderungen über Auftrag oder
mit Einverständnis des Auftraggebers durchgeführt wurden.
4.3. Der Kaufpreis ist nach Erhalt der Faktura fällig und (vorbehaltlich
gesondert vereinbarter Zahlungsbedingungen) ohne jeden Abzug zu
bezahlen. Bei Arbeiten, die sich über einen größeren Zeitraum
erstrecken, ist ROUTMAIL berechtigt, entsprechende Teilzahlungen für
Teilleistungen zu fordern.
5. Zahlungsbedingungen
5.1. Gesondert vereinbarte Zahlungsbedingungen gelten immer nur für einen Auftraggeber und für eine Bestellung.
5.2. Einlangende Zahlungen werden auf die älteste offene Forderung, und zwar
zuerst auf Kosten und andere Nebengebühren, dann auf Zinsen und dann
auf das Kapital angerechnet. Zahlungswidmungen sind wirkungslos.
5.3. Wechsel und Schecks werden nur zahlungshalber entgegengenommen;
einschränkende Widmungen sind unwirksam. Durch Entgegennahme eines
Wechsels tritt keine Stundung der Forderung aus dem Grundgeschäft ein.
Sämtliche Wechsel- und Diskontspesen hat der Auftraggeber zu tragen; er
stimmt auch der Diskontierung eines Wechsels vor Fälligkeit ausdrücklich
zu. Bei Wechsel, Schecks oder Überweisungen ist jener Tag für den
Zahlungseingang maßgebend, mit dem das Geldinstitut die Gutschrift für
ROUTMAIL vornimmt.
5.4. Bei Zahlungsverzug des Auftraggebers ist
ROUTMAIL berechtigt, Verzugszinsen von 5 Prozentpunkten über dem
jeweiligen Diskontsatz der Österreichischen Nationalbank oder von 2
Prozentpunkten über dem höchsten ihr von Banken jeweils verrechneten
Soll-Zinssatz, jeweils zuzüglich Mehrwertsteuer, zu berechnen und den
Ersatz der Mahnkosten eines Kreditschutzverbandes oder Rechtsanwaltes zu
verlangen.
5.5. Vor Leistung einer bedungenen Anzahlung besteht für ROUTMAIL keine Verpflichtung zur Auftragsausführung.
5.6. Vertreter sind nur mit schriftlicher Vollmacht berechtigt, Zahlungen und Waren für ROUTMAIL entgegenzunehmen.
6. Rücktrittsrecht des Verkäufers Verschlechtern sich die
Vermögensverhältnisse des Auftraggebers so, dass die Zahlung des
Rechnungspreises gefährdet sein könnte, wird in das Vermögen des
Auftraggebers Exekution geführt oder ein Antrag auf Eröffnung eines
Insolvenzverfahrens gegen ihn eingebracht, werden alle offenen
Forderungen der ROUTMAIL sofort fällig. ROUTMAIL ist in diesen Fällen
berechtigt, die Erfüllung aller Verträge sofort und Zug um Zug gegen
Barzahlung zu verlangen, eine Nachfrist von 5 Werktagen zu setzen und
vom Vertrag zurückzutreten.
7. Pfandrecht: An allen
Rohmaterialien jeder Art, die ROUTMAIL vom Auftraggeber selbst oder mit
dessen Willen von dritten Personen übergeben worden sind, hat ROUTMAIL
hinsichtlich sämtlicher fälliger Forderungen gegen den Auftraggeber ein
Pfandrecht. Der Auftraggeber erklärt ausdrücklich, an den der ROUTMAIL
übergebenen Rohmaterialien uneingeschränkter Eigentümer oder für diese
frei verfügungsberechtigt zu sein.
8. Aufbewahrungspflicht
8.1. Die Pflicht zur Aufbewahrung von Publikationsunterlagen endet 3 Monate
nach letztmaliger Verbreitung, sofern nicht ausdrücklich eine andere
Vereinbarung getroffen worden ist.
9. Lieferzeit
9.1. Die Lieferzeit beginnt mit dem Tag des Einganges des Auftrages bei
ROUTMAIL, insoweit alle Arbeitsunterlagen klar und eindeutig ROUTMAIL
zur Verfügung stehen und in der Auftragsbestätigung nichts Abweichendes
vermerkt wurde, sie endet an dem Tag, an dem die Ware den Betrieb der
ROUTMAIL verlässt.
9.2. Lieferzeiten sind grundsätzlich
unverbindlich, sofern sie nicht ausdrücklich als Fixtermine schriftlich
zugesagt wurden. Für die Dauer der Prüfung von übersandten Unterlagen
durch den Auftraggeber wird der Lauf der Lieferzeit unterbrochen.
9.3. Hängt die Leistung der ROUTMAIL von Lieferungen eines Vorlieferanten
ab, ist ROUTMAIL zum Rücktritt berechtigt, wenn Lieferungen durch einen
Vorlieferanten aus Gründen, die ROUTMAIL nicht zu vertreten hat,
unterbleiben. Hat der Auftraggeber selbst den Vertrag bereits
vollständig erfüllt, ist er berechtigt, unter Setzung einer Nachfrist
von 6 Wochen vom Vertrag zurückzutreten.
9.4. Höhere Gewalt
entbindet ROUTMAIL grundsätzlich von jeder Lieferverpflichtung,
gleichgültig, ob sich diese höhere Gewalt im Betrieb der ROUTMAIL oder
in Betrieben der Vor- und Zulieferer ereignet hat. In solchen Fällen ist
der Auftraggeber nicht berechtigt, vom Auftrag zurückzutreten oder
ROUTMAIL für etwaige Schäden haftbar zu machen.
10. Erfüllungsort, Gefahrenübergang und Versand
10.1. Erfüllungsort für alle Handlungen der ROUTMAIL und des Auftraggebers
ist der Geschäftssitz der ROUTMAIL oder der Ort einer von ROUTMAIL
bestimmten Filiale.
10.2. Die Gefahr geht spätestens mit
Versendung der Lieferung auf den Auftraggeber über. Die Versendung
geschieht auf Rechnung und Gefahr des Auftraggebers, der jede sachgemäße
Versandart genehmigt. ROUTMAIL ist berechtigt, Teillieferungen und
Teilsendungen auszuführen.
11. Mängel und Gewährleistung
11.1. Mängelrügen werden nur berücksichtigt, wenn die Ware unverzüglich
überprüft und die Mängelrüge unverzüglich schriftlich erhoben wird und
innerhalb von 4 Tagen ab Empfang der Ware bei ROUTMAIL einlangt.
11.2.
Der Auftraggeber räumt ROUTMAIL das Recht der Nachbesserung oder der
Ersatzleistung ein und verzichtet auf seine Ansprüche auf Wandlung bei
wesentlichen Mängeln und auf Preisminderung bei wesentlichen oder
unwesentlichen Mängeln. Für versteckte Mängel gelten die Regelungen über
die unverzügliche Mängelrüge ab Erkennbarkeit sinngemäß. Bei
Teillieferungen ist die Beanstandung des zu beanstandeten Teiles
vorzunehmen.
12. Rechtegewährleistung und Haftungsfreistellung
12.1. Der Auftraggeber gewährleistet, Inhaber aller zur Durchführung des
Auftrags erforderlichen Rechte zu sein. Der Auftraggeber stellt ROUTMAIL
im Rahmen des Werbeauftrags von allen Ansprüchen Dritter frei, die
wegen der Verletzung gesetzlicher Bestimmungen entstehen können.
12.2. Der Auftraggeber stellt ROUTMAIL von etwaigen Kosten einer notwendigen
Rechtsverteidigung frei. Der Auftraggeber ist verpflichtet, den
Auftragnehmer nach Treu und Glauben mit Informationen und Unterlagen bei
der Rechtsverteidigung gegenüber Dritten zu unterstützen.
12.3. Der Auftraggeber überträgt ROUTMAIL sämtliche für die Nutzung der
Werbung in Off- und Online-Medien aller Art, einschließlich Internet,
erforderlichen urheberrechtlichen Nutzungs-, Leistungsschutz- und
sonstigen Rechte, insbesondere das Recht zur Vervielfältigung,
Verbreitung, Übertragung, Sendung, Entnahme aus einer Datenbank und
Abruf, und zwar zeitlich und inhaltlich in dem für die Durchführung des
Auftrags notwendigen Umfang. Vorgenannte Rechte werden in allen Fällen
örtlich unbegrenzt übertragen und berechtigen zur Schaltung mittels
aller bekannten technischen Verfahren sowie aller bekannten Formen der
Off- und Online-Medien. Der Auftraggeber erklärt, Inhaber der
übertragenen Rechte zu sein bzw. zur Übertragung der Rechte befugt zu
sein.
13. Schadenersatzansprüche
13.1. Bei jeder Vertragsverletzung und bei Rücknahme von Waren steht ROUTMAIL ein
pauschalierter Schadenersatz von 25% des Kaufpreises zu. Der Ersatz des
darüber hinausgehenden Schadens wird dadurch nicht ausgeschlossen.
13.2. Alle Schadenersatzansprüche des Auftraggebers gegen ROUTMAIL oder einen
Erfüllungsgehilfen, insbesondere auch Mangelfolgeschäden, sind - soweit
sie nicht auf Vorsatz oder grober Fahrlässigkeit beruhen -
ausgeschlossen.
13.3. Die Höhe aller Schadenersatzansprüche des
Auftraggebers ist auf jene Beträge beschränkt, die ROUTMAIL von Dritten
ersetzt erhält.
13.4. Der Auftraggeber verzichtet auf
Schadenersatzansprüche nach dem Produkthaftungsgesetz für Sachschäden,
die er als Unternehmer erleidet. Ebenso verzichtet der Auftraggeber auf
alle Regressansprüche, die ihm gegen ROUTMAIL aufgrund von
Produkthaftung oder anderer verschuldensunabhängiger Haftung entstehen
könnten. Der Auftraggeber verpflichtet sich, diesen Verzicht und die
Verpflichtung zu dessen weiterer Überbindung bei der Weiterveräußerung
an seine Kunden zu überbinden und ROUTMAIL für alle durch die Verletzung
dieser Pflicht ausgelösten Ansprüche Dritter schad- und klaglos zu
halten.
13.5. Schadenersatz- und allfällige Regressansprüche
gegen ROUTMAIL sind bei sonstigem Verfall binnen 6 Monaten gerichtlich
geltend zu machen.
14. Irrtum Eine Vertragsanfechtung durch den Auftraggeber wegen Irrtums ist, außer im Fall der Arglist, ausgeschlossen.
15. Aufrechnung Der Auftraggeber kann nur mit Forderungen gegen
ROUTMAIL aufrechnen, die von diesem ausdrücklich anerkannt sind, und
ROUTMAIL der Aufrechnung schriftlich zugestimmt hat.
16. Verjährungsfrist und Haftung Der Auftraggeber verzichtet auf die
Verjährungseinrede gegen alle bereits entstandenen Ansprüche der
ROUTMAIL. Mehrere Auftraggeber haften zur ungeteilten Hand.
17. Eigentumsrecht Die von ROUTMAIL hergestellten Schriftsätze,
HTML-Programmierungen, Layouts und Hilfsprogramme und andere für den
Produktionsprozess beigestellte Behelfe bleiben das unveräußerliche
Eigentum der ROUTMAIL, auch wenn der Auftraggeber für diese Arbeiten
Wertersatz geleistet hat. Dies gilt auch für die Arbeitsbehelfe, welche
ROUTMAIL in Erfüllung des Auftrags durch ein anderes Unternehmen
herstellen ließ.
18. Sonderkosten Entwurfskosten
werden grundsätzlich gesondert in Rechnung gestellt und sind nicht im
Lieferpreis enthalten. Gleiches gilt für alle nicht im Preisangebot
berücksichtigten Sonderwünsche des Auftraggebers, z. B. für
Programmierung oder Selektionen. Kommt ein Auftrag nicht zur Ausführung,
hat der Auftraggeber zumindest die Kosten für auf seinen Wunsch
angefertigte Muster und Entwürfe - unabhängig von deren Weiterverbleib
im Eigentum der ROUTMAIL - zu bezahlen.
19. Satz- und Druckfehler
19.1. Satz- und Reproduktionsfehler werden kostenfrei berichtigt, wenn sie
von ROUTMAIL verschuldet sind. Abänderungen gegenüber der Vorlage des
Auftraggebers werden nach der aufgewendeten Arbeitszeit verrechnet
(Autorkorrektur).
19.2. Der Auftraggeber ist verpflichtet,
vorgelegte Korrekturabzüge zu genehmigen. ROUTMAIL ist berechtigt, für
die Durchführung der Korrektur durch den Auftraggeber eine bestimmte
Frist zu setzen, nach deren Ablauf der Korrekturabzug automatisch als
genehmigt gilt. Der Auftraggeber erhält grundsätzlich nur auf
ausdrückliches Verlangen Korrekturabzüge. ROUTMAIL ist jedoch
berechtigt, auch ohne Bestellung Korrekturabzüge dem Auftraggeber
vorzulegen. Unterlässt ROUTMAIL die Vorlage eines vereinbarten
(bestellten) Korrekturabzuges, so haftet ROUTMAIL für von ihr
verschuldete Unrichtigkeiten der Druckausführung.
19.3. Für die Rechtschreibung in deutscher Sprache ist die letzte Ausgabe des Duden maßgebend.
20. Namen- oder Markenaufdruck ROUTMAIL ist zum Aufdruck seines
Firmennamens oder seiner Markenbezeichnung (Impressum) auf die zur
Ausführung gelangenden Werbesorten auch ohne spezielle Bewilligung des
Auftraggebers berechtigt.
21. Periodische Arbeiten
Umfasst der Auftrag die Durchführung regelmäßig wiederkehrender Arbeiten
und ist ein Endtermin oder eine Kündigungsfrist nicht vereinbart, dann
kann der Auftrag nur durch Kündigung mittels eingeschriebenen Briefes
mit 3monatiger Kündigungsfrist (unter Einrechnung des Postlaufes) zum
Schluss eines Kalendervierteljahres gelöst werden.
22. Anzuwendendes Recht, Gerichtsstand Alle Verträge unterliegen dem
deutschen Recht. Für Rechtsstreitigkeiten über das Bestehen oder
Nichtbestehen eines Vertragsverhältnisses und für Rechtsstreitigkeiten
aus solchen Vertragsverhältnissen ist für Klagen des Auftragnehmers nach
Wahl des Auftragnehmers der Gerichtsstand des Auftragnehmers oder der
allgemeine Gerichtsstand des Auftraggebers, für Klagen gegen den
Auftragnehmer der allgemeine Gerichtsstand des Auftragnehmers
ausschließlich zuständig.
23. Datenschutz
23.1 Die ROUTMAIL erhebt die von dem Auftraggeber übermittelten persönlichen Daten wie
Name, Adresse, E-Mail, Kontoverbindung (Nutzerdaten) zur Abwicklung dieses
Vertragsverhältnisses. Name und Adresse des Kunden können zu Abrechnungszwecken
weitergegeben werden.
23.2 Die ROUTMAIL erhebt darüber hinaus die von Werbeempfängern bei der Registrierung ein bzw. angegebenen persönlichen Daten wie Name,
Adresse, E-Mail, Interessen (Nutzerdaten) um passende Werbung bereitzustellen.
Zudem verarbeitet ROUTMAIL die von den
Werbeempfängern durch Interaktionen (z.B. Klick auf einen Link) erzeugten Aktionen
(Anwenderdaten) um damit Angebote zu optimieren und Auftraggebern anonymisierte
Auswertungen über erfolgte Werbemaßnahmen zur Verfügung zu stellen. Die Auswertungen
enthalten keine personenbezogenen Daten und lassen keinen Rückschluss auf die
Herkunft des verarbeiteten Datenmaterials zu.
23.3 Vom vertraglichen Leistungsumfang nicht erfasst
ist die Einhaltung von Aufbewahrungs- und Archivierungspflichten, z.B.
handelsrechtlicher oder steuerlicher Art dienende längerfristige
Datensicherung, für die der Auftraggeber verantwortlich ist, sofern die
Parteien dies nicht gesondert vereinbaren.
23.4 Beide Parteien werden die jeweils anwendbaren,
insbesondere die in Deutschland gültigen datenschutzrechtlichen Bestimmungen
beachten und die im Zusammenhang mit der Abwicklung des Vertragsverhältnisse
eingesetzten Beschäftigten auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO iVm. Art. 32
DSGVO, bei der Verarbeitung der vertraulichen
Informationen verpflichten, soweit diese nicht bereits allgemein entsprechend
verpflichtet sind. Darüber hinaus unternimmt die ROUTMAIL gemäß Art. 32 Abs. 4 iVm. Art. 5 DSGVO Schritte, um sicherzustellen, dass ihr unterstellte
natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf
ihre Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder
der Mitgliedstaaten zur Verarbeitung verpflichtet. Daraus und aus der allgemeinen Organisations- und
Rechenschaftspflicht (vgl. Art. 5, 24
DSGVO) der ROUTMAIL lässt sich schließen, dass weiterhin alle Mitarbeiter, die mit
personenbezogenen Daten in Kontakt kommen, zur Vertraulichkeit zu verpflichten
und entsprechend zu schulen sind.
23.5 Erhebt, verarbeitet oder nutzt der Auftraggeber selbst oder durch den ROUTMAIL personenbezogene Daten, so steht er dafür ein, dass er dazu nach den
anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist
und stellt im Falle eines Verstoßes ROUTMAIL von Ansprüchen Dritter frei.
23.6 Es wird klargestellt, dass der Auftraggeber hinsichtlich der Anwenderdaten sowohl allgemein im Auftragsverhältnis als
auch im datenschutzrechtlichen Sinne “Herr der Daten” bleibt (Art. 28 DSGVO,
Art. 12-21 DSGVO). Der Auftraggeber ist hinsichtlich der Verfügungsbefugnis
und des Eigentums an sämtlichen Anwenderdaten Alleinberechtigter. Die ROUTMAIL nimmt keinerlei Kontrolle der für den Auftraggeber gespeicherten Daten und Inhalte bezüglich einer rechtlichen Zulässigkeit
der Erhebung, Verarbeitung und Nutzung vor; diese Verantwortung übernimmt
ausschließlich der Auftraggeber. Die ROUTMAIL ist lediglich berechtigt, die nutzerspezifischen Daten ausschließlich nach
Weisung des Auftraggebers oder zur Erfüllung von Pflegeleistungen
(und im Rahmen der Pflege und Beseitigung von Störungen) zu verarbeiten
und/oder zu nutzen; insbesondere ist es der ROUTMAIL verboten, ohne vorherige schriftliche Zustimmung des Auftraggebers die Anwenderdaten Dritten auf eine andere als nach diesen Bedingungen
vereinbarten Art zugänglich zu machen. Dies gilt auch, wenn und soweit eine Änderung
oder Ergänzung von nutzerspezifischen Daten erfolgt. Hingegen ist die ROUTMAIL im Rahmen des datenschutzrechtlich Zulässigen während der Geltung des Vertragsverhältnisses
zur Verarbeitung und Verwendung der Anwenderdaten des Auftraggebers berechtigt.
23.7 Für die Verbesserung des Serviceangebotes ist es
der ROUTMAIL erlaubt, die auf ihren Servern gespeicherten
Anwenderdaten des Auftraggebers anonymisiert statistisch
aufzubereiten und diese Statistiken Dritten zugänglich zu machen. Die
Statistiken enthalten keine personenbezogenen Daten und lassen keinen Rückschluss
auf die Herkunft des verarbeiteten Datenmaterials zu.
23.8 Die ROUTMAIL trifft die technischen und organisatorischen Sicherheitsvorkehrungen und
Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
23.9 Es gelten die in der Anlage
dargestellten Regelungen zur Auftragsverarbeitung.
ANLAGE Anlage 1: Auftragsverarbeitung
Dieser
Vertrag regelt die datenschutzrechtlichen Pflichten der ROUTMAIL(nachfolgend:
Auftragnehmer) und dem
Nutzer (nachfolgend: Auftraggeber)
1.
Der Gegenstand und die Dauer des Auftrags, die Art und der Zweck der
Verarbeitung, die Art der Daten und die Kategorien der Betroffenen ergeben sich
aus dem Hauptvertrag zwischen den Parteien. Der Auftrag endet mit Beendigung
des Hauptvertrages und der Erfüllung der Pflichten nach Ziffer 9. Soweit im
Hauptvertrag zu den vorgenannten Regelung keine Vereinbarung getroffen wurde,
gilt Anlage 2 zu diesem Vertrag.
2. Der Auftragnehmer hält in seinem Verantwortungsbereich
die vereinbarten technischen und organisatorischen Maßnahmen gemäß Art.5 Abs. 1
lit. f und Art. 32 DSGVO ein und hat seine innerbetriebliche Organisation gemäß
datenschutzrechtlichen Anforderungen gestaltet. Dies beinhaltet die in der
Anlage 2 dargestellten technischen und organisatorischen Maßnahmen.
3. Der Auftragnehmer hat nur nach Weisung des
Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen oder
zu löschen oder die Verarbeitung einzuschränken. Soweit ein Betroffener sich
unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten
oder der Einschränkung der Verarbeitung wenden sollte, wird der Auftragnehmer
dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Der Auftragnehmer wird den Auftraggeber im Falle der
Geltendmachung gesetzlicher Betroffenenrechte unterstützen; dies umfasst
insbesondere die Unterstützung bei der Beantwortung von Anträgen auf Wahrung
der Betroffenenrechte mittels geeigneter technisch-organisatorischer Maßnahmen.
4. Der Auftragnehmer gewährleistet die Einhaltung der folgenden Pflichten:
a) Schriftliche
Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten
(Art. 37 DSGVO). Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der
direkten Kontaktaufnahme mitgeteilt. Sofern ein Wechsel in der Person des
Datenschutzbeauftragten stattfindet, wird dies dem Auftraggeber unverzüglich
mitgeteilt.
b) Alle Personen,
die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen
können, müssen schriftlich zur Vertraulichkeit verpflichtet sein und über die
sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die
bestehende Weisungs- bzw. Zweckbindung belehrt werden (Art. 32 Abs. 4 iVm. Art. 5 DSGVO). Auf Anfrage des Auftraggebers wird der
Auftragnehmer diesem die Verpflichtungserklärungen vorlegen. Dies ist nicht
notwendig, soweit für die betreffenden Personen eine angemessene gesetzliche
Verschwiegenheitspflicht besteht.
c) Duldung
öffentlicher Kontrollen durch die zuständigen Datenschutzaufsichtsbehörden in
gleichem Umfang, wie die Datenschutzaufsichtsbehörden Prüfungen beim
Auftraggeber durchführen dürfen. Unterstützung des Auftraggebers bei Kontrollen
und Anfragen der Aufsichtsbehörden (vgl. Art. 88 DSGVO).
d) Die
unverzügliche Information des Auftraggebers über Kontrollhandlungen und
Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde
nach Art. 82 ff. DSGVO bei dem Auftragnehmer ermittelt.
e) Die
angemessene Unterstützung des Auftraggebers bei der Gewährleistung der
Sicherheit der Verarbeitung gem. Art. 32 DSGVO.
f) Die
angemessene Unterstützung des Auftraggebers bei Datenschutz-Folgenabschätzungen
gem. Art. 35 DSGVO und bei der vorherigen Konsultation der zuständigen
Datenschutzaufsichtsbehörden nach Art. 36 DSGVO.
g) Die
angemessene Unterstützung des Auftraggebers bei der Meldung von Verletzungen
des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO)
und bei der Benachrichtigung der von Verletzungen des Schutzes
personenbezogener Daten betroffenen Personen (Art. 34 DSGVO).
h) Die
Vorlage der nach Art. 30 Abs. 2 DSGVO erforderlichen Angaben.
5. Der Auftraggeber ist damit einverstanden, dass der
Auftragnehmer zur Erfüllung seiner vertraglichen Leistungen verbundenen
Unternehmen Unteraufträge erteilt. Bei Erteilung eines Unterauftrags werden die
vertraglichen Vereinbarungen zwischen Auftragnehmer und dem Unterauftragnehmer
so gestaltet, dass sie den Anforderungen zu Datenschutz und Datensicherheit
zwischen den Vertragspartnern dieses Vertrages entsprechen. Der Auftraggeber
kann bei nachgewiesenen berechtigten Interessen einer Unterbeauftragung widersprechen.
Der Auftragnehmer erteilt der Auftraggeber auf dessen schriftliche Aufforderung
hin Auskunft über den wesentlichen Vertragsinhalt (Leistungen ausschließlich
Preise) und die Umsetzung der datenschutzrelevanten Pflichten des
Unterauftragnehmers.
6. Die Verarbeitung der Daten durch den Auftragnehmer ist
räumlich auf die EU und den EWR beschränkt. Die Übermittlung von Daten durch
den Auftragnehmer an einen Empfänger mit Sitz außerhalb des EWR ist nur unter
den Voraussetzungen der Art. 44 ff. DSGVO zulässig und bedarf der gesonderten
vorherigen schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer wird
insbesondere sicherstellen, dass der Auftraggeber die Standardvertragsklauseln
(vgl. z.B. die Entscheidung der Europäischen Kommission vom 5. Februar 2010,
veröffentlicht im Amtsblatt der Europäischen Union L39/5, C (2010) 593) mit dem
Empfänger der Daten abschließen kann.
7. Der Auftraggeber kann sich nach rechtzeitiger
schriftlicher Anmeldung zu Prüfzwecken in den Betriebsstätten zu den üblichen
Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der
Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse
der für die Auftragsdatenverarbeitung einschlägigen Gesetze über den
Datenschutz überzeugen. Der Auftragnehmer ist verpflichtet, die Kontrollen des
Auftraggebers nach diesem Vertrag zu dulden, Mitwirkungsleistungen zu
erbringen, soweit für die Kontrolle des Auftraggebers nach diesem Vertrag
erforderlich, und dem Auftraggeber auf schriftliche Anforderung innerhalb einer
angemessenen Frist Auskünfte zu geben, die zur Durchführung einer umfassenden
Auftragskontrolle erforderlich sind. Der Auftragnehmer ermöglicht dem
Auftraggeber insbesondere, sich vor Beginn der Datenverarbeitung und sodann
regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen
und organisatorischen Maßnahmen zu überzeugen.
8. Der Auftragnehmer erstattet in allen Fällen dem
Auftraggeber unverzüglich nach Kenntniserlangung eine Meldung, wenn durch ihn,
die bei ihm beschäftigten Personen oder die von ihm eingesetzten
Unterauftragnehmer Verstöße gegen Vorschriften zum Schutz der Daten des
Auftraggebers (insbesondere die DSGVO) oder gegen die in dieser Vereinbarung
getroffenen Festlegungen vorgefallen sind bzw. ein entsprechender Verdacht
besteht. Der Auftragnehmer wird entsprechende Vorfälle dokumentieren,
unverzüglich aufklären und Abhilfe schaffen. Er wird den Auftraggeber über den
Fortgang der Angelegenheit bis zur Behebung des Vorfalls informiert halten.
Sollte die Verletzung zu einem Risiko für die Rechte und Freiheiten der
Betroffenen gem. Art. 33 DSGVO führen, wird der Auftragnehmer den Auftraggeber
bei der Aufklärung des Vorfalls und im Rahmen der entsprechenden Meldung an die
Datenschutzaufsichtsbehörde bzw. die Betroffenen umfassend unterstützen.
9. Der Umgang mit den Daten erfolgt ausschließlich im
Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der
Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen
Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und
Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen
konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und
Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte
an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger
schriftlicher Zustimmung durch den Auftraggeber erteilen. Mündliche Weisungen
wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform)
bestätigen.
Der Auftragnehmer verwendet die Daten für keine anderen
Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.
Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer
ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im
Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich
sind. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn
er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche
Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der
entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen
beim Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer wird die
Weisungen soweit erforderlich dokumentieren.
10. Vorbehaltlich abweichender Vereinbarungen und
gesetzlicher oder satzungsmäßiger Pflichten ist der Auftragnehmer nach
Vertragsende verpflichtet, ihm überlassene Datenträger an en Auftraggeber
unverzüglich zurück zu geben und ihm in Zusammenhang mit dem Auftrag übergebene
und noch nicht gelöschte personenbezogene Daten zu löschen. Über die Herausgabe
oder Löschung nach Vertragsende muss der Auftraggeber innerhalb einer vom
Auftragnehmer gesetzten Frist entscheiden. Wenn der Auftragnehmer zu
vernichtende Unterlagen oder Datenträger mit personenbezogenen Daten dem
Auftraggeber nicht zurückgibt, so ist der Auftragnehmer verpflichtet, die
Unterlagen ordnungsgemäß zu entsorgen, ohne dass unbefugte Dritte von den Daten
Kenntnis erlangen können. Entstehen beim Auftragnehmer nach Vertragsbeendigung
Kosten durch die Herausgabe oder Löschung der Daten des Auftraggebers, so trägt
diese der Auftraggeber.
ANLAGE 2: Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO, § 64 BDSG)
1) Der Auftragnehmer hat unter Berücksichtigung des
Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der
Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen geeignete technische und organisatorische
Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten.
2)Diese Maßnahmen können unter anderem die
Pseudonymisierung und die Verschlüsselung personenbezogener Daten umfassen,
soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.
3) Die Maßnahmen sollen dazu führen, dass
a) die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf
Dauer sichergestellt werden und,
b) dass die Verfügbarkeit personenbezogener Daten und
der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch
wiederhergestellt werden können.
4) Der Auftragsverarbeiter hat nach einer
Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
Zugangskontrolle
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit
denen die Verarbeitung durchgeführt wird, für Unbefugte. Zweckmäßige Maßnahmen
sind unter anderem:
- Zutrittskontrollsystem,
zentrale Schlüsselverwaltung, Magnetkarte
- Schlüssel/Schlüsselvergabe ist
zentral und organisatorisch klar geregelt
- Klare Zuweisung der
Berechtigungen (Zugang Gebäude, Büro, Serverraum)ü Gebäudeschutz an Wochenenden
und nachts gewährleistet
- Pförtner/Empfang mit
Videoüberwachungü Regelungen für Besucher
(Besucherausweis, Begleitung im Gebäude)
- Videoüberwachung sensibler
Bereiche des Gebäudes (Tiefgarage)
- Verschließen von Schränken und
Büros bei Nichtanwesenheit
Datenträgerkontrolle
Verhinderung
des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.
Zweckmäßige Maßnahmen sind unter anderem:
- Dezidiertes Kennwortverfahren
zum Login [z.B. Klare Passwortregelung (bestimmte Länge, Kombination aus
Buchstaben und Zahlen, keine Trivialpasswörter, Änderung in regelmäßigen
Abständen). Voreingestellte Passwörter müssen umgehend geändert werden]
- Automatische Sperrung (z.B.
Regelung zur automatischen Sperrung des Computers nach einer bestimmten Zeit
der Inaktivität (ca. 5 min) mit anschließendem erneutem Login)
- Automatischer Standby-Betrieb
der lokalen Rechner
- Verschlüsselung von
Datenträgern möglich
- Besondere Vorsicht bei
Mitnahme von Laptop/Datenträgern/Smartphones aus den Büroräumen heraus
- Möglichkeit der Fernlöschung
von Smartphones
Speicherkontrolle
Verhinderung
der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten
Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen
Daten.
Benutzerkontrolle
Verhinderung
der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen
zur Datenübertragung durch Unbefugte.
Zugriffskontrolle
Gewährleistung,
dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten
ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen
Daten Zugang haben. Zweckmäßige Maßnahmen sind unter anderem:
- Differenzierte Berechtigungen
(Profile, Rollen)
- Differenziertes Ordnerkonzept
(z.B. alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos
wiedergefunden werden können).
- Datenträger sind eindeutig zu
kennzeichnen und sicher aufzubewahren.
- Sichere Löschung von Daten
und/ oder Vernichtung von Datenträgern.
- Ordnung am Arbeitsplatz
[Datenträger (USB-Sticks, CD-ROMs) mit vertraulichem Material dürfen nicht
offen herumliegen].
- Anpassung
sicherheitsrelevanter Standardeinstellungen von neuen Programmen und
IT-Systemen
- Deinstallation bzw.
Deaktivierung nicht benötigter sicherheitsrelevanter Programme und Funktionen
(v.a. bei Smartphones)
Übertragungskontrolle
Gewährleistung,
dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene
Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur
Verfügung gestellt wurden oder werden können.
Eingabekontrolle
Gewährleistung,
dass nachträglich überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welcher Zeit und von wem in automatisierte
Verarbeitungssysteme eingegeben oder verändert worden sind. Zweckmäßige
Maßnahmen sind unter anderem:
- Protokollierungs- und
Protokollauswertungssysteme werden eingesetzt bzw. sind als Teile von
bestehenden Softwareapplikationen anwendbar
- Zugriff auf
Datenverarbeitungssysteme nur nach Login möglich
- Keine Weitergabe von
Passwörtern
- Zusätzlich zur automatischen
Sperrung: manuelle Abmeldung beim Verlassen des Büros
Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie
beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten
geschützt werden. Zweckmäßige Maßnahmen sind unter anderem:
- Verschlüsselung (insbes.
Laptops)
- Tunnelverbindung (VPN =
Virtual Private Network)
- Elektronische Signatur möglich
- Keine Benutzung von nicht
freigegebener Hard-/ Software
- Keine Weiterleitung von
E-Mails an private E-Mail-Accounts von Mitarbeitern
- Vorsicht beim Umgang mit
Backup-Bändern
- Vorgaben an Mitarbeiter bzgl.
Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff
auf Ausdrucke bekommt).
- Regelung zum Einsatz von
USB-Sticks und CD-ROMs
Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall
wiederhergestellt werden können.
Zuverlässigkeit
Gewährleistung, dass
alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen
gemeldet werden.
Datenintegrität
Gewährleistung, dass
gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems
beschädigt werden können.
Auftragskontrolle
Gewährleistung, dass
personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den
Weisungen des Auftraggebers verarbeitet werden können. Zweckmäßige Maßnahmen
sind unter anderem:
- Eindeutige
Vertragsgestaltung/Standardvertrag zu Art. 28 DSGVO vorhanden
- Formalisierte
Auftragserteilung (Auftragsformular)
- Kriterien zur Auswahl des
Auftragnehmers wird stringent eingehalten
- Kontrolle der
Vertragsausführung wird durch den DSB gewährleistet
Verfügbarkeitskontrolle
Gewährleistung, dass
personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
Zweckmäßige Maßnahmen sind unter anderem:
- Regelmäßiges Backup-Verfahren
ist sichergestellt (Definition: Welche Daten werden wie lange gesichert?; Einbeziehung von Laptops und nicht
vernetzten Systemen; Regelmäßige Kontrolle der Sicherungsbänder; Dokumentierung der
Sicherungsverfahren)
- Getrennte Aufbewahrung von
Daten ist gewährleistet
- Virenschutz/Firewall nach
aktuellem Stand der Technik ist gewährleistet
- Schutz gegen Feuer,
Überhitzung, Wasserschäden, Überspannung und Stromausfall im Serverraum
- Notfallplan besteht und wird
regelmäßig geübt
- Notstromversorgung/Unterbrechungsfreie
Stromversorgung (USV)
- Besondere Vorsicht bei
Mitnahme von Laptop/Datenträger aus den Büroräumen heraus
- Vertretungsregelungen, v.a.
bzgl. Administrator
Trennbarkeit
Gewährleistung,
dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt
verarbeitet werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Physisch und/oder logisch
getrennte Speicherung, Veränderung, Löschung und Übermittlung von Daten, die unterschiedlichen Zwecken dienen
(Mandantenfähigkeit)
- Funktionstrennung,
insbesondere zwischen Produktions- und Testdaten
Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen
- Regelmäßige fachliche
Fortbildung der IT-Verantwortlichen und des betrieblichen
Datenschutzbeauftragten
- Schulung der Mitarbeiter im
Umgang mit der IT und zur Schärfung des IT-Sicherheitsbewusstseins
- Sicherheitshinweise werden
allen Mitarbeitern in geeigneter Form bekannt gegeben und sind dauerhaft abrufbar (z.B. durch Veröffentlichung im
Intranet)
- Auswertung von Meldungen und
Berichten zu ungewöhnlichen Vorkommnissen
- Untersuchung erkannter oder
vermuteter Verstöße gegen sicherheitsrelevante Vorgaben
- Regelmäßige Prüfung der
Effektivität der bestehenden technischen und organisatorischen Maßnahmen und
Prüfung, ob neue technische und organisatorische Maßnahmen erforderlich sind
(beides unter Hinzuziehung des Datenschutzbeauftragten)
- Regelmäßige und anlassbezogene
Kontrolle der Funktionalität der IT, einschließlich unter dem Aspekt der
Zutrittskontrolle
- Eskalations- und Meldewege bei
sicherheitsrelevanten Vorkommnissen
- Verfügbarkeit der IT-Verantwortlichen
und des betrieblichen Datenschutzbeauftragten als Ansprechpartner bei allen Fragen zur IT-Nutzung und
-sicherheit.
Anlage 3: Datenschutzrechtliche Spezifikationen
ROUTMAIL verbreitet Werbeangebote von Auftraggebern an
interessierte Werbeempfänger. Bevorzugt kommen dabei eigene Werbemedien (meist E-Mail-Verteiler)
zum Einsatz. Darüber hinaus werden auch Werbemedien von Kooperationspartnern belegt.
Art der Daten
Nutzerdaten (u.a. Firma, Name, Adresse, Telefon, E-Mail)Anwenderdaten (u.a. IP-Adressen, Klickverhalten)
Betroffene
Auftraggeber / Werbekunden (B2B) Werbeempfänger
(B2B)Mitarbeiter
Stand: 25.05.2018
ROUTMAIL GmbH, Landsberger Str. 98, 82110 Germering
