Allgemeine
Geschäftsbedingungen

 

Allgemeine Geschäftsbedingungen der ROUTMAIL GmbH im folgenden "ROUTMAIL" genannt.


1. Allgemeines

1.1. Die Erklärungen der ROUTMAIL und alle Vereinbarungen zwischen ROUTMAIL und dem Auftraggeber unterliegen ausschließlich diesen Bedingungen. Entgegenstehende Bedingungen gelten nur, wenn sie von ROUTMAIL ausdrücklich schriftlich anerkannt wurden.

1.2. Diese Bedingungen werden spätestens mit der unbeanstandeten Annahme der Auftragsbestätigung der ROUTMAIL verbindlich und gelten für alle bereits abgeschlossenen Verträge und alle in Zukunft abzuschließenden Verträge.

1.3. Die Unwirksamkeit einzelner Bestimmungen berührt nicht die Wirksamkeit der übrigen Geschäftsbedingungen.

1.4. Mündliche Erklärungen, Auskünfte und Vereinbarungen der ROUTMAIL sind nur verbindlich, wenn sie schriftlich bestätigt werden.

1.5. Die Zustellung von Erklärungen der ROUTMAIL ist auch an die zuletzt angegebene Anschrift des Auftraggebers wirksam, die Postaufgabe reicht für ihre Rechtzeitigkeit aus. 


2. Preisangebot (Kostenvoranschlag)

2.1. Preisangebote und Kostenvoranschläge, im folgenden gemeinsam kurz Preisangebote genannt, bedürfen für ihre Verbindlichkeit der Schriftform.

2.2. ROUTMAIL hält sich an Preisangebote fünf Werktage gebunden. Aufträge, die in ihrer Formulierung von den Preisangeboten in irgendeinem Punkt abweichen oder aber erst nach einem fünf Werktage überschreitenden Zeitraum erteilt werden, bedürfen zur Begründung einer Verbindlichkeit der Bestätigung durch ROUTMAIL.

2.3. Einwendungen wegen eines Abweichens des Inhaltes einer Auftragsbestätigung vom Bestellbrief müssen innerhalb von 3 Werktagen nach Einlangen der Auftragsbestätigung erhoben werden, widrigenfalls gilt der Inhalt der Auftragsbestätigung als verbindlich.

2.4. Offerierte Preise gelten ab ROUTMAIL. Änderungen der Energie und Materialkosten oder der Lohnkosten aufgrund kollektivvertraglicher Vereinbarungen berechtigen ROUTMAIL, den Preis entsprechend anzupassen.

2.5. ROUTMAIL behält sich vor, rechtsverbindlich bestätigte Aufträge sowie einzelne Abrufe im Rahmen eines Abschlusses wegen des Inhalts, der Herkunft oder der technischen Form abzulehnen, wenn deren Inhalt gegen Gesetze oder behördliche Bestimmungen verstößt oder deren Veröffentlichung für ROUTMAIL aus anderen Gründen unzumutbar ist. Dies gilt auch für Aufträge, die bei Geschäftsstellen, Annahmestellen oder Vertretern aufgegeben werden. 


3. Probeabzüge

3.1 Probeabzüge werden nur auf ausdrücklichen Wunsch geliefert. Der Auftraggeber trägt die Verantwortung für die Richtigkeit der zurückgesandten Probeabzüge. ROUTMAIL berücksichtigt alle Fehlerkorrekturen, die ihr innerhalb der bei der Übersendung des Probeabzuges gesetzten Frist mitgeteilt werden. 


4. Rechnungspreis

4.1. ROUTMAIL fakturiert ihre Lieferungen und Leistungen mit dem Tag, an dem sie diese - auch teilweise - erfüllt, für den Auftraggeber einlagert oder für ihn auf Abruf bereithält.

4.2. Der Rechnungspreis kann vom Bestellpreis, abgesehen von Kostenerhöhungen gemäß Punkt 2.4., abweichen, wenn nach der Auftragserteilung Änderungen über Auftrag oder mit Einverständnis des Auftraggebers durchgeführt wurden.

4.3. Der Kaufpreis ist nach Erhalt der Faktura fällig und (vorbehaltlich gesondert vereinbarter Zahlungsbedingungen) ohne jeden Abzug zu bezahlen. Bei Arbeiten, die sich über einen größeren Zeitraum erstrecken, ist ROUTMAIL berechtigt, entsprechende Teilzahlungen für Teilleistungen zu fordern. 


5. Zahlungsbedingungen

5.1. Gesondert vereinbarte Zahlungsbedingungen gelten immer nur für einen Auftraggeber und für eine Bestellung.

5.2. Einlangende Zahlungen werden auf die älteste offene Forderung, und zwar zuerst auf Kosten und andere Nebengebühren, dann auf Zinsen und dann auf das Kapital angerechnet. Zahlungswidmungen sind wirkungslos.

5.3. Wechsel und Schecks werden nur zahlungshalber entgegengenommen; einschränkende Widmungen sind unwirksam. Durch Entgegennahme eines Wechsels tritt keine Stundung der Forderung aus dem Grundgeschäft ein. Sämtliche Wechsel- und Diskontspesen hat der Auftraggeber zu tragen; er stimmt auch der Diskontierung eines Wechsels vor Fälligkeit ausdrücklich zu. Bei Wechsel, Schecks oder Überweisungen ist jener Tag für den Zahlungseingang maßgebend, mit dem das Geldinstitut die Gutschrift für ROUTMAIL vornimmt.

5.4. Bei Zahlungsverzug des Auftraggebers ist ROUTMAIL berechtigt, Verzugszinsen von 5 Prozentpunkten über dem jeweiligen Diskontsatz der Österreichischen Nationalbank oder von 2 Prozentpunkten über dem höchsten ihr von Banken jeweils verrechneten Soll-Zinssatz, jeweils zuzüglich Mehrwertsteuer, zu berechnen und den Ersatz der Mahnkosten eines Kreditschutzverbandes oder Rechtsanwaltes zu verlangen.

5.5. Vor Leistung einer bedungenen Anzahlung besteht für ROUTMAIL keine Verpflichtung zur Auftragsausführung.

5.6. Vertreter sind nur mit schriftlicher Vollmacht berechtigt, Zahlungen und Waren für ROUTMAIL entgegenzunehmen. 


6. Rücktrittsrecht des Verkäufers Verschlechtern sich die Vermögensverhältnisse des Auftraggebers so, dass die Zahlung des Rechnungspreises gefährdet sein könnte, wird in das Vermögen des Auftraggebers Exekution geführt oder ein Antrag auf Eröffnung eines Insolvenzverfahrens gegen ihn eingebracht, werden alle offenen Forderungen der ROUTMAIL sofort fällig. ROUTMAIL ist in diesen Fällen berechtigt, die Erfüllung aller Verträge sofort und Zug um Zug gegen Barzahlung zu verlangen, eine Nachfrist von 5 Werktagen zu setzen und vom Vertrag zurückzutreten.


7. Pfandrecht: An allen Rohmaterialien jeder Art, die ROUTMAIL vom Auftraggeber selbst oder mit dessen Willen von dritten Personen übergeben worden sind, hat ROUTMAIL hinsichtlich sämtlicher fälliger Forderungen gegen den Auftraggeber ein Pfandrecht. Der Auftraggeber erklärt ausdrücklich, an den der ROUTMAIL übergebenen Rohmaterialien uneingeschränkter Eigentümer oder für diese frei verfügungsberechtigt zu sein. 


8. Aufbewahrungspflicht

8.1. Die Pflicht zur Aufbewahrung von Publikationsunterlagen endet 3 Monate nach letztmaliger Verbreitung, sofern nicht ausdrücklich eine andere Vereinbarung getroffen worden ist. 


9. Lieferzeit

9.1. Die Lieferzeit beginnt mit dem Tag des Einganges des Auftrages bei ROUTMAIL, insoweit alle Arbeitsunterlagen klar und eindeutig ROUTMAIL zur Verfügung stehen und in der Auftragsbestätigung nichts Abweichendes vermerkt wurde, sie endet an dem Tag, an dem die Ware den Betrieb der ROUTMAIL verlässt.

9.2. Lieferzeiten sind grundsätzlich unverbindlich, sofern sie nicht ausdrücklich als Fixtermine schriftlich zugesagt wurden. Für die Dauer der Prüfung von übersandten Unterlagen durch den Auftraggeber wird der Lauf der Lieferzeit unterbrochen.

9.3. Hängt die Leistung der ROUTMAIL von Lieferungen eines Vorlieferanten ab, ist ROUTMAIL zum Rücktritt berechtigt, wenn Lieferungen durch einen Vorlieferanten aus Gründen, die ROUTMAIL nicht zu vertreten hat, unterbleiben. Hat der Auftraggeber selbst den Vertrag bereits vollständig erfüllt, ist er berechtigt, unter Setzung einer Nachfrist von 6 Wochen vom Vertrag zurückzutreten.

9.4. Höhere Gewalt entbindet ROUTMAIL grundsätzlich von jeder Lieferverpflichtung, gleichgültig, ob sich diese höhere Gewalt im Betrieb der ROUTMAIL oder in Betrieben der Vor- und Zulieferer ereignet hat. In solchen Fällen ist der Auftraggeber nicht berechtigt, vom Auftrag zurückzutreten oder ROUTMAIL für etwaige Schäden haftbar zu machen. 


10. Erfüllungsort, Gefahrenübergang und Versand

10.1. Erfüllungsort für alle Handlungen der ROUTMAIL und des Auftraggebers ist der Geschäftssitz der ROUTMAIL oder der Ort einer von ROUTMAIL bestimmten Filiale.

10.2. Die Gefahr geht spätestens mit Versendung der Lieferung auf den Auftraggeber über. Die Versendung geschieht auf Rechnung und Gefahr des Auftraggebers, der jede sachgemäße Versandart genehmigt. ROUTMAIL ist berechtigt, Teillieferungen und Teilsendungen auszuführen. 


11. Mängel und Gewährleistung

11.1. Mängelrügen werden nur berücksichtigt, wenn die Ware unverzüglich überprüft und die Mängelrüge unverzüglich schriftlich erhoben wird und innerhalb von 4 Tagen ab Empfang der Ware bei ROUTMAIL einlangt.

11.2. Der Auftraggeber räumt ROUTMAIL das Recht der Nachbesserung oder der Ersatzleistung ein und verzichtet auf seine Ansprüche auf Wandlung bei wesentlichen Mängeln und auf Preisminderung bei wesentlichen oder unwesentlichen Mängeln. Für versteckte Mängel gelten die Regelungen über die unverzügliche Mängelrüge ab Erkennbarkeit sinngemäß. Bei Teillieferungen ist die Beanstandung des zu beanstandeten Teiles vorzunehmen.


12. Rechtegewährleistung und Haftungsfreistellung

12.1. Der Auftraggeber gewährleistet, Inhaber aller zur Durchführung des Auftrags erforderlichen Rechte zu sein. Der Auftraggeber stellt ROUTMAIL im Rahmen des Werbeauftrags von allen Ansprüchen Dritter frei, die wegen der Verletzung gesetzlicher Bestimmungen entstehen können.

12.2. Der Auftraggeber stellt ROUTMAIL von etwaigen Kosten einer notwendigen Rechtsverteidigung frei. Der Auftraggeber ist verpflichtet, den Auftragnehmer nach Treu und Glauben mit Informationen und Unterlagen bei der Rechtsverteidigung gegenüber Dritten zu unterstützen.

12.3. Der Auftraggeber überträgt ROUTMAIL sämtliche für die Nutzung der Werbung in Off- und Online-Medien aller Art, einschließlich Internet, erforderlichen urheberrechtlichen Nutzungs-, Leistungsschutz- und sonstigen Rechte, insbesondere das Recht zur Vervielfältigung, Verbreitung, Übertragung, Sendung, Entnahme aus einer Datenbank und Abruf, und zwar zeitlich und inhaltlich in dem für die Durchführung des Auftrags notwendigen Umfang. Vorgenannte Rechte werden in allen Fällen örtlich unbegrenzt übertragen und berechtigen zur Schaltung mittels aller bekannten technischen Verfahren sowie aller bekannten Formen der Off- und Online-Medien. Der Auftraggeber erklärt, Inhaber der übertragenen Rechte zu sein bzw. zur Übertragung der Rechte befugt zu sein.


13. Schadenersatzansprüche

13.1. Bei jeder Vertragsverletzung und bei Rücknahme von Waren steht ROUTMAIL ein pauschalierter Schadenersatz von 25% des Kaufpreises zu. Der Ersatz des darüber hinausgehenden Schadens wird dadurch nicht ausgeschlossen.

13.2. Alle Schadenersatzansprüche des Auftraggebers gegen ROUTMAIL oder einen Erfüllungsgehilfen, insbesondere auch Mangelfolgeschäden, sind - soweit sie nicht auf Vorsatz oder grober Fahrlässigkeit beruhen - ausgeschlossen.

13.3. Die Höhe aller Schadenersatzansprüche des Auftraggebers ist auf jene Beträge beschränkt, die ROUTMAIL von Dritten ersetzt erhält.

13.4. Der Auftraggeber verzichtet auf Schadenersatzansprüche nach dem Produkthaftungsgesetz für Sachschäden, die er als Unternehmer erleidet. Ebenso verzichtet der Auftraggeber auf alle Regressansprüche, die ihm gegen ROUTMAIL aufgrund von Produkthaftung oder anderer verschuldensunabhängiger Haftung entstehen könnten. Der Auftraggeber verpflichtet sich, diesen Verzicht und die Verpflichtung zu dessen weiterer Überbindung bei der Weiterveräußerung an seine Kunden zu überbinden und ROUTMAIL für alle durch die Verletzung dieser Pflicht ausgelösten Ansprüche Dritter schad- und klaglos zu halten.

13.5. Schadenersatz- und allfällige Regressansprüche gegen ROUTMAIL sind bei sonstigem Verfall binnen 6 Monaten gerichtlich geltend zu machen. 


14. Irrtum Eine Vertragsanfechtung durch den Auftraggeber wegen Irrtums ist, außer im Fall der Arglist, ausgeschlossen. 

15. Aufrechnung Der Auftraggeber kann nur mit Forderungen gegen ROUTMAIL aufrechnen, die von diesem ausdrücklich anerkannt sind, und ROUTMAIL der Aufrechnung schriftlich zugestimmt hat. 


16. Verjährungsfrist und Haftung Der Auftraggeber verzichtet auf die Verjährungseinrede gegen alle bereits entstandenen Ansprüche der ROUTMAIL. Mehrere Auftraggeber haften zur ungeteilten Hand. 


17. Eigentumsrecht Die von ROUTMAIL hergestellten Schriftsätze, HTML-Programmierungen, Layouts und Hilfsprogramme und andere für den Produktionsprozess beigestellte Behelfe bleiben das unveräußerliche Eigentum der ROUTMAIL, auch wenn der Auftraggeber für diese Arbeiten Wertersatz geleistet hat. Dies gilt auch für die Arbeitsbehelfe, welche ROUTMAIL in Erfüllung des Auftrags durch ein anderes Unternehmen herstellen ließ.


18. Sonderkosten Entwurfskosten werden grundsätzlich gesondert in Rechnung gestellt und sind nicht im Lieferpreis enthalten. Gleiches gilt für alle nicht im Preisangebot berücksichtigten Sonderwünsche des Auftraggebers, z. B. für Programmierung oder Selektionen. Kommt ein Auftrag nicht zur Ausführung, hat der Auftraggeber zumindest die Kosten für auf seinen Wunsch angefertigte Muster und Entwürfe - unabhängig von deren Weiterverbleib im Eigentum der ROUTMAIL - zu bezahlen. 


19. Satz- und Druckfehler

19.1. Satz- und Reproduktionsfehler werden kostenfrei berichtigt, wenn sie von ROUTMAIL verschuldet sind. Abänderungen gegenüber der Vorlage des Auftraggebers werden nach der aufgewendeten Arbeitszeit verrechnet (Autorkorrektur).

19.2. Der Auftraggeber ist verpflichtet, vorgelegte Korrekturabzüge zu genehmigen. ROUTMAIL ist berechtigt, für die Durchführung der Korrektur durch den Auftraggeber eine bestimmte Frist zu setzen, nach deren Ablauf der Korrekturabzug automatisch als genehmigt gilt. Der Auftraggeber erhält grundsätzlich nur auf ausdrückliches Verlangen Korrekturabzüge. ROUTMAIL ist jedoch berechtigt, auch ohne Bestellung Korrekturabzüge dem Auftraggeber vorzulegen. Unterlässt ROUTMAIL die Vorlage eines vereinbarten (bestellten) Korrekturabzuges, so haftet ROUTMAIL für von ihr verschuldete Unrichtigkeiten der Druckausführung.

19.3. Für die Rechtschreibung in deutscher Sprache ist die letzte Ausgabe des Duden maßgebend. 


20. Namen- oder Markenaufdruck ROUTMAIL ist zum Aufdruck seines Firmennamens oder seiner Markenbezeichnung (Impressum) auf die zur Ausführung gelangenden Werbesorten auch ohne spezielle Bewilligung des Auftraggebers berechtigt. 


21. Periodische Arbeiten Umfasst der Auftrag die Durchführung regelmäßig wiederkehrender Arbeiten und ist ein Endtermin oder eine Kündigungsfrist nicht vereinbart, dann kann der Auftrag nur durch Kündigung mittels eingeschriebenen Briefes mit 3monatiger Kündigungsfrist (unter Einrechnung des Postlaufes) zum Schluss eines Kalendervierteljahres gelöst werden. 


22. Anzuwendendes Recht, Gerichtsstand Alle Verträge unterliegen dem deutschen Recht. Für Rechtsstreitigkeiten über das Bestehen oder Nichtbestehen eines Vertragsverhältnisses und für Rechtsstreitigkeiten aus solchen Vertragsverhältnissen ist für Klagen des Auftragnehmers nach Wahl des Auftragnehmers der Gerichtsstand des Auftragnehmers oder der allgemeine Gerichtsstand des Auftraggebers, für Klagen gegen den Auftragnehmer der allgemeine Gerichtsstand des Auftragnehmers ausschließlich zuständig.


23. Datenschutz

23.1 Die ROUTMAIL erhebt die von dem Auftraggeber übermittelten persönlichen Daten wie Name, Adresse, E-Mail, Kontoverbindung (Nutzerdaten) zur Abwicklung dieses Vertragsverhältnisses. Name und Adresse des Kunden können zu Abrechnungszwecken weitergegeben werden.

23.2 Die ROUTMAIL erhebt darüber hinaus die von Werbeempfängern bei der Registrierung ein bzw. angegebenen persönlichen Daten wie Name, Adresse, E-Mail, Interessen (Nutzerdaten) um passende Werbung bereitzustellen.

Zudem verarbeitet ROUTMAIL die von den Werbeempfängern durch Interaktionen (z.B. Klick auf einen Link) erzeugten Aktionen (Anwenderdaten) um damit Angebote zu optimieren und Auftraggebern anonymisierte Auswertungen über erfolgte Werbemaßnahmen zur Verfügung zu stellen. Die Auswertungen enthalten keine personenbezogenen Daten und lassen keinen Rückschluss auf die Herkunft des verarbeiteten Datenmaterials zu.

23.3 Vom vertraglichen Leistungsumfang nicht erfasst ist die Einhaltung von Aufbewahrungs- und Archivierungspflichten, z.B. handelsrechtlicher oder steuerlicher Art dienende längerfristige Datensicherung, für die der Auftraggeber verantwortlich ist, sofern die Parteien dies nicht gesondert vereinbaren.

23.4 Beide Parteien werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen datenschutzrechtlichen Bestimmungen beachten und die im Zusammenhang mit der Abwicklung des Vertragsverhältnisse eingesetzten Beschäftigten auf das Datengeheimnis nach Art. 28 Abs. 3 lit. b DSGVO iVm. Art. 32 DSGVO, bei der Verarbeitung der vertraulichen Informationen verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind. Darüber hinaus unternimmt die ROUTMAIL gemäß Art. 32 Abs. 4 iVm. Art. 5 DSGVO Schritte, um sicherzustellen, dass ihr unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf ihre Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. Daraus und aus der allgemeinen Organisations- und Rechenschaftspflicht (vgl. Art. 5, 24 DSGVO) der ROUTMAIL lässt sich schließen, dass weiterhin alle Mitarbeiter, die mit personenbezogenen Daten in Kontakt kommen, zur Vertraulichkeit zu verpflichten und entsprechend zu schulen sind. 23.5 Erhebt, verarbeitet oder nutzt der Auftraggeber selbst oder durch den ROUTMAIL personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes ROUTMAIL von Ansprüchen Dritter frei.

23.6 Es wird klargestellt, dass der Auftraggeber hinsichtlich der Anwenderdaten sowohl allgemein im Auftragsverhältnis als auch im datenschutzrechtlichen Sinne “Herr der Daten” bleibt (Art. 28 DSGVO, Art. 12-21 DSGVO). Der Auftraggeber ist hinsichtlich der Verfügungsbefugnis und des Eigentums an sämtlichen Anwenderdaten Alleinberechtigter. Die ROUTMAIL nimmt keinerlei Kontrolle der für den Auftraggeber gespeicherten Daten und Inhalte bezüglich einer rechtlichen Zulässigkeit der Erhebung, Verarbeitung und Nutzung vor; diese Verantwortung übernimmt ausschließlich der Auftraggeber. Die ROUTMAIL ist lediglich berechtigt, die nutzerspezifischen Daten ausschließlich nach Weisung des Auftraggebers oder zur Erfüllung von Pflegeleistungen (und im Rahmen der Pflege und Beseitigung von Störungen) zu verarbeiten und/oder zu nutzen; insbesondere ist es der ROUTMAIL verboten, ohne vorherige schriftliche Zustimmung des Auftraggebers die Anwenderdaten Dritten auf eine andere als nach diesen Bedingungen vereinbarten Art zugänglich zu machen. Dies gilt auch, wenn und soweit eine Änderung oder Ergänzung von nutzerspezifischen Daten erfolgt. Hingegen ist die ROUTMAIL im Rahmen des datenschutzrechtlich Zulässigen während der Geltung des Vertragsverhältnisses zur Verarbeitung und Verwendung der Anwenderdaten des Auftraggebers berechtigt.

23.7 Für die Verbesserung des Serviceangebotes ist es der ROUTMAIL erlaubt, die auf ihren Servern gespeicherten Anwenderdaten des Auftraggebers anonymisiert statistisch aufzubereiten und diese Statistiken Dritten zugänglich zu machen. Die Statistiken enthalten keine personenbezogenen Daten und lassen keinen Rückschluss auf die Herkunft des verarbeiteten Datenmaterials zu.

23.8 Die ROUTMAIL trifft die technischen und organisatorischen Sicherheitsvorkehrungen und Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

23.9 Es gelten die in der Anlage dargestellten Regelungen zur Auftragsverarbeitung.

ANLAGE  Anlage 1: Auftragsverarbeitung

Dieser Vertrag regelt die datenschutzrechtlichen Pflichten der ROUTMAIL(nachfolgend: Auftragnehmer) und dem Nutzer (nachfolgend: Auftraggeber)

1. Der Gegenstand und die Dauer des Auftrags, die Art und der Zweck der Verarbeitung, die Art der Daten und die Kategorien der Betroffenen ergeben sich aus dem Hauptvertrag zwischen den Parteien. Der Auftrag endet mit Beendigung des Hauptvertrages und der Erfüllung der Pflichten nach Ziffer 9. Soweit im Hauptvertrag zu den vorgenannten Regelung keine Vereinbarung getroffen wurde, gilt Anlage 2 zu diesem Vertrag.

2. Der Auftragnehmer hält in seinem Verantwortungsbereich die vereinbarten technischen und organisatorischen Maßnahmen gemäß Art.5 Abs. 1 lit. f und Art. 32 DSGVO ein und hat seine innerbetriebliche Organisation gemäß datenschutzrechtlichen Anforderungen gestaltet. Dies beinhaltet die in der Anlage 2 dargestellten technischen und organisatorischen Maßnahmen.

3. Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder der Einschränkung der Verarbeitung wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

Der Auftragnehmer wird den Auftraggeber im Falle der Geltendmachung gesetzlicher Betroffenenrechte unterstützen; dies umfasst insbesondere die Unterstützung bei der Beantwortung von Anträgen auf Wahrung der Betroffenenrechte mittels geeigneter technisch-organisatorischer Maßnahmen.

4. Der Auftragnehmer gewährleistet die Einhaltung der folgenden Pflichten:

a) Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten (Art. 37 DSGVO). Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Sofern ein Wechsel in der Person des Datenschutzbeauftragten stattfindet, wird dies dem Auftraggeber unverzüglich mitgeteilt.

b) Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen schriftlich zur Vertraulichkeit verpflichtet sein und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden (Art. 32 Abs. 4 iVm. Art. 5 DSGVO). Auf Anfrage des Auftraggebers wird der Auftragnehmer diesem die Verpflichtungserklärungen vorlegen. Dies ist nicht notwendig, soweit für die betreffenden Personen eine angemessene gesetzliche Verschwiegenheitspflicht besteht.

c) Duldung öffentlicher Kontrollen durch die zuständigen Datenschutzaufsichtsbehörden in gleichem Umfang, wie die Datenschutzaufsichtsbehörden Prüfungen beim Auftraggeber durchführen dürfen. Unterstützung des Auftraggebers bei Kontrollen und Anfragen der Aufsichtsbehörden (vgl. Art. 88 DSGVO).

d) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde nach Art. 82 ff. DSGVO bei dem Auftragnehmer ermittelt.

e) Die angemessene Unterstützung des Auftraggebers bei der Gewährleistung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO.

f) Die angemessene Unterstützung des Auftraggebers bei Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO und bei der vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörden nach Art. 36 DSGVO.

g) Die angemessene Unterstützung des Auftraggebers bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) und bei der Benachrichtigung der von Verletzungen des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DSGVO).

h) Die Vorlage der nach Art. 30 Abs. 2 DSGVO erforderlichen Angaben.

5. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglichen Leistungen verbundenen Unternehmen Unteraufträge erteilt. Bei Erteilung eines Unterauftrags werden die vertraglichen Vereinbarungen zwischen Auftragnehmer und dem Unterauftragnehmer so gestaltet, dass sie den Anforderungen zu Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages entsprechen. Der Auftraggeber kann bei nachgewiesenen berechtigten Interessen einer Unterbeauftragung widersprechen. Der Auftragnehmer erteilt der Auftraggeber auf dessen schriftliche Aufforderung hin Auskunft über den wesentlichen Vertragsinhalt (Leistungen ausschließlich Preise) und die Umsetzung der datenschutzrelevanten Pflichten des Unterauftragnehmers.

6. Die Verarbeitung der Daten durch den Auftragnehmer ist räumlich auf die EU und den EWR beschränkt. Die Übermittlung von Daten durch den Auftragnehmer an einen Empfänger mit Sitz außerhalb des EWR ist nur unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig und bedarf der gesonderten vorherigen schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer wird insbesondere sicherstellen, dass der Auftraggeber die Standardvertragsklauseln (vgl. z.B. die Entscheidung der Europäischen Kommission vom 5. Februar 2010, veröffentlicht im Amtsblatt der Europäischen Union L39/5, C (2010) 593) mit dem Empfänger der Daten abschließen kann.

7. Der Auftraggeber kann sich nach rechtzeitiger schriftlicher Anmeldung zu Prüfzwecken in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Gesetze über den Datenschutz überzeugen. Der Auftragnehmer ist verpflichtet, die Kontrollen des Auftraggebers nach diesem Vertrag zu dulden, Mitwirkungsleistungen zu erbringen, soweit für die Kontrolle des Auftraggebers nach diesem Vertrag erforderlich, und dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist Auskünfte zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind. Der Auftragnehmer ermöglicht dem Auftraggeber insbesondere, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

8. Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber unverzüglich nach Kenntniserlangung eine Meldung, wenn durch ihn, die bei ihm beschäftigten Personen oder die von ihm eingesetzten Unterauftragnehmer Verstöße gegen Vorschriften zum Schutz der Daten des Auftraggebers (insbesondere die DSGVO) oder gegen die in dieser Vereinbarung getroffenen Festlegungen vorgefallen sind bzw. ein entsprechender Verdacht besteht. Der Auftragnehmer wird entsprechende Vorfälle dokumentieren, unverzüglich aufklären und Abhilfe schaffen. Er wird den Auftraggeber über den Fortgang der Angelegenheit bis zur Behebung des Vorfalls informiert halten. Sollte die Verletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen gem. Art. 33 DSGVO führen, wird der Auftragnehmer den Auftraggeber bei der Aufklärung des Vorfalls und im Rahmen der entsprechenden Meldung an die Datenschutzaufsichtsbehörde bzw. die Betroffenen umfassend unterstützen.

9. Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.

Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer wird die Weisungen soweit erforderlich dokumentieren.

10. Vorbehaltlich abweichender Vereinbarungen und gesetzlicher oder satzungsmäßiger Pflichten ist der Auftragnehmer nach Vertragsende verpflichtet, ihm überlassene Datenträger an en Auftraggeber unverzüglich zurück zu geben und ihm in Zusammenhang mit dem Auftrag übergebene und noch nicht gelöschte personenbezogene Daten zu löschen. Über die Herausgabe oder Löschung nach Vertragsende muss der Auftraggeber innerhalb einer vom Auftragnehmer gesetzten Frist entscheiden. Wenn der Auftragnehmer zu vernichtende Unterlagen oder Datenträger mit personenbezogenen Daten dem Auftraggeber nicht zurückgibt, so ist der Auftragnehmer verpflichtet, die Unterlagen ordnungsgemäß zu entsorgen, ohne dass unbefugte Dritte von den Daten Kenntnis erlangen können. Entstehen beim Auftragnehmer nach Vertragsbeendigung Kosten durch die Herausgabe oder Löschung der Daten des Auftraggebers, so trägt diese der Auftraggeber.

ANLAGE 2: Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO, § 64 BDSG)

1) Der Auftragnehmer hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

2)Diese Maßnahmen können unter anderem die Pseudonymisierung und die Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.

3) Die Maßnahmen sollen dazu führen, dass

a) die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und,

b) dass die Verfügbarkeit personenbezogener Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

4) Der Auftragsverarbeiter hat nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

Zugangskontrolle
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte. Zweckmäßige Maßnahmen sind unter anderem:
-  Zutrittskontrollsystem, zentrale Schlüsselverwaltung, Magnetkarte
- Schlüssel/Schlüsselvergabe ist zentral und organisatorisch klar geregelt
- Klare Zuweisung der Berechtigungen (Zugang Gebäude, Büro, Serverraum)ü  Gebäudeschutz an Wochenenden und nachts gewährleistet
- Pförtner/Empfang mit Videoüberwachungü  Regelungen für Besucher (Besucherausweis, Begleitung im Gebäude)
- Videoüberwachung sensibler Bereiche des Gebäudes (Tiefgarage)
- Verschließen von Schränken und Büros bei Nichtanwesenheit

Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern. Zweckmäßige Maßnahmen sind unter anderem:
- Dezidiertes Kennwortverfahren zum Login [z.B. Klare Passwortregelung (bestimmte Länge, Kombination aus Buchstaben und Zahlen, keine Trivialpasswörter, Änderung in regelmäßigen Abständen). Voreingestellte Passwörter müssen umgehend geändert werden]
- Automatische Sperrung (z.B. Regelung zur automatischen Sperrung des Computers nach einer bestimmten Zeit der Inaktivität (ca. 5 min) mit anschließendem erneutem Login)
- Automatischer Standby-Betrieb der lokalen Rechner
- Verschlüsselung von Datenträgern möglich
- Besondere Vorsicht bei Mitnahme von Laptop/Datenträgern/Smartphones aus den Büroräumen heraus
- Möglichkeit der Fernlöschung von Smartphones

Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.

Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Zweckmäßige Maßnahmen sind unter anderem:
- Differenzierte Berechtigungen (Profile, Rollen)
- Differenziertes Ordnerkonzept (z.B. alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos wiedergefunden werden können).
- Datenträger sind eindeutig zu kennzeichnen und sicher aufzubewahren.
- Sichere Löschung von Daten und/ oder Vernichtung von Datenträgern.
- Ordnung am Arbeitsplatz [Datenträger (USB-Sticks, CD-ROMs) mit vertraulichem Material dürfen nicht offen herumliegen].
- Anpassung sicherheitsrelevanter Standardeinstellungen von neuen Programmen und IT-Systemen
- Deinstallation bzw. Deaktivierung nicht benötigter sicherheitsrelevanter Programme und Funktionen (v.a.  bei Smartphones)

Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Zweckmäßige Maßnahmen sind unter anderem:
- Protokollierungs- und Protokollauswertungssysteme werden eingesetzt bzw. sind als Teile von bestehenden Softwareapplikationen anwendbar
- Zugriff auf Datenverarbeitungssysteme nur nach Login möglich
- Keine Weitergabe von Passwörtern
- Zusätzlich zur automatischen Sperrung: manuelle Abmeldung beim Verlassen des Büros

Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Zweckmäßige Maßnahmen sind unter anderem:
- Verschlüsselung (insbes. Laptops)
- Tunnelverbindung (VPN = Virtual Private Network)
- Elektronische Signatur möglich
- Keine Benutzung von nicht freigegebener Hard-/ Software
- Keine Weiterleitung von E-Mails an private E-Mail-Accounts von Mitarbeitern
- Vorsicht beim Umgang mit Backup-Bändern
- Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt).
- Regelung zum Einsatz von USB-Sticks und CD-ROMs

Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.

Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Eindeutige Vertragsgestaltung/Standardvertrag zu Art. 28 DSGVO vorhanden
- Formalisierte Auftragserteilung (Auftragsformular)
- Kriterien zur Auswahl des Auftragnehmers wird stringent eingehalten
- Kontrolle der Vertragsausführung wird durch den DSB gewährleistet

Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Zweckmäßige Maßnahmen sind unter anderem:
- Regelmäßiges Backup-Verfahren ist sichergestellt (Definition: Welche Daten werden wie lange gesichert?; Einbeziehung von Laptops und nicht vernetzten Systemen; Regelmäßige Kontrolle der Sicherungsbänder; Dokumentierung der Sicherungsverfahren)
- Getrennte Aufbewahrung von Daten ist gewährleistet
- Virenschutz/Firewall nach aktuellem Stand der Technik ist gewährleistet
- Schutz gegen Feuer, Überhitzung, Wasserschäden, Überspannung und Stromausfall im Serverraum
- Notfallplan besteht und wird regelmäßig geübt
- Notstromversorgung/Unterbrechungsfreie Stromversorgung (USV)
- Besondere Vorsicht bei Mitnahme von Laptop/Datenträger aus den Büroräumen heraus
- Vertretungsregelungen, v.a. bzgl. Administrator

Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Physisch und/oder logisch getrennte Speicherung, Veränderung, Löschung und Übermittlung von Daten, die unterschiedlichen Zwecken dienen (Mandantenfähigkeit)
- Funktionstrennung, insbesondere zwischen Produktions- und Testdaten

Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen
- Regelmäßige fachliche Fortbildung der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten
- Schulung der Mitarbeiter im Umgang mit der IT und zur Schärfung des IT-Sicherheitsbewusstseins
- Sicherheitshinweise werden allen Mitarbeitern in geeigneter Form bekannt gegeben und sind dauerhaft  abrufbar (z.B. durch Veröffentlichung im Intranet)
- Auswertung von Meldungen und Berichten zu ungewöhnlichen Vorkommnissen
- Untersuchung erkannter oder vermuteter Verstöße gegen sicherheitsrelevante Vorgaben
- Regelmäßige Prüfung der Effektivität der bestehenden technischen und organisatorischen Maßnahmen und Prüfung, ob neue technische und organisatorische Maßnahmen erforderlich sind (beides unter Hinzuziehung des Datenschutzbeauftragten)
- Regelmäßige und anlassbezogene Kontrolle der Funktionalität der IT, einschließlich unter dem Aspekt der Zutrittskontrolle
- Eskalations- und Meldewege bei sicherheitsrelevanten Vorkommnissen
- Verfügbarkeit der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten als Ansprechpartner bei allen Fragen zur IT-Nutzung und -sicherheit.

Anlage 3: Datenschutzrechtliche Spezifikationen

ROUTMAIL verbreitet Werbeangebote von Auftraggebern an interessierte Werbeempfänger. Bevorzugt kommen dabei eigene Werbemedien (meist E-Mail-Verteiler) zum Einsatz. Darüber hinaus werden auch Werbemedien von Kooperationspartnern belegt.

Art der Daten
Nutzerdaten (u.a. Firma, Name, Adresse, Telefon, E-Mail)Anwenderdaten (u.a. IP-Adressen, Klickverhalten)
Betroffene
Auftraggeber / Werbekunden (B2B) Werbeempfänger (B2B)Mitarbeiter


Stand: 25.05.2018
ROUTMAIL GmbH, Industriestr. 15, 82110 Germering