AGB
§ 1 Geltungsbereich, Begriffsbestimmungen
(1) Die folgenden Allgemeinen Geschäftsbedingungen (AGB) sind Bestandteil aller vertraglichen Vereinbarungen zwischen dem Teilnehmer bzw. Kunden und der über die Webseite „www.bonteach.de“ repräsentierten Sprachschule elmatiz GmbH (im folgenden Veranstalterin genannt). Sämtliche Lieferungen, Leistungen und Angebote der Veranstalterin erfolgen ausschließlich aufgrund dieser Geschäftsbedingungen.
(2) Entgegenstehende allgemeine Geschäftsbedingungen des Teilnehmers oder Dritter werden nicht Vertragsinhalt. Dies gilt auch, wenn die Veranstalterin ihrer Geltung im Einzelfall nicht gesondert widerspricht. Soweit die Veranstalterin auf ein Schreiben Bezug nimmt, das AGB des Teilnehmers oder eines Dritten enthält oder auf solche verweist, liegt hierin kein Einverständnis mit der Geltung fremder AGB.
(3) Der Teilnehmer ist Verbraucher, soweit der Zweck der georderten Lieferungen und Leistungen nicht seiner gewerblichen oder selbständigen beruflichen Tätigkeit zugerechnet werden kann. Dagegen ist Unternehmer jede natürliche oder juristische Person oder rechtsfähige Personengesellschaft, die beim Abschluss des Vertrags in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.
§ 2 Angebot, Vertragsschluss
(1) In Prospekten, Anzeigen und auf der Webseite „www.bonteach.de“ aufgeführte Angebote und Preisangaben der Veranstalterin sind bis zur schriftlichen Auftragsbestätigung freibleibend und unverbindlich, sofern sie nicht ausdrücklich als verbindlich gekennzeichnet sind. Der Schulungsauftrag kommt nur durch beiderseits unterzeichneten Vertrag oder schriftliche Auftragsbestätigung der Veranstalterin zustande, außerdem dadurch, dass die Veranstalterin mit der vertragsgemäßen Leistungserbringung beginnt.
(2) Der Teilnehmer ist an Erklärungen zum Abschluss von Verträgen 14 Kalendertage nach Absendung gebunden. Die Veranstalterin ist berechtigt, das Angebot innerhalb dieser Frist anzunehmen.
§ 3 Vertragsgegenstand, Leistungsumfang
(1) Gegenstand dieser Vertragsbedingungen sind die auf der Webseite „www.bonteach.de“ aufgeführten Schulungsangebote. Maßgebend für Umfang, Art und Qualität der Schulungsleistungen ist der beiderseits unterzeichnete Vertrag oder die Auftragsbestätigung der Veranstalterin, sonst das Angebot der Veranstalterin. Sonstige Angaben oder Anforderungen werden nur Vertragsbestandteil, wenn die Vertragspartner dies schriftlich vereinbaren oder die Veranstalterin sie schriftlich bestätigt hat.
(2) Die Veranstalterin ist berechtigt, ihre Pflichten auf Dritte zu übertragen oder Subunternehmer / Dozenten einzuschalten.
(3) Der Kunde kann eine Unterrichtseinheit bis 14:00 Uhr des Werktags, der dem vereinbarten Unterrichtstermin vorangeht, absagen.
Erfolgt die Absage erst später als 14:00 Uhr des Werktags, der dem vereinbarten Unterrichtstermin vorangeht, und liegt hierfür kein wichtiger Grund (z.B. eine Krankheit, die den Kunden an der Unterrichtsteilnahme hindert) vor, so gilt die Stunde als genommen und der Kunde schuldet das vereinbarte Entgelt. Sollte die Veranstalterin diese Stunde der Lehrkraft an einen Ersatzkunden vergeben können, muss die Veranstalterin sich anrechnen lassen, was die Veranstalterin dadurch erwirbt (oder zu erwerben böswillig unterlässt). Die Regelungen dieses Teilabsatzes gelten nicht, wenn der Kunde und die Lehrkraft einen Termin einvernehmlich verlegen.
Für eine Absage, die kurzfristiger als zwei Stunden vor Unterrichtsbeginn erfolgt und für den Fall, dass der Kunde ohne abzusagen nicht zur vereinbarten Zeit am vereinbarten Ort ist, gilt: es muss ein wichtiger Grund für die verspätete Absage / das Nichterscheinen vorliegen. Der Kunde muss jedoch zudem nachweisen, dass es ihm unmöglich war, die Veranstalterin mit einer Frist von mehr als zwei Stunden vor Unterrichtsbeginn zu informieren (z.B. bei einem Unfall, der erst eine Stunde vor Unterrichtsbeginn erfolgt ist und der den Kunden an der Unterrichtsteilnahme hindert). Ansonsten gilt die Stunde als genommen und der Kunde schuldet das vereinbarte Entgelt.
(4) Fällt die vorgesehene Lehrkraft aus Gründen, welche die Veranstalterin nicht zu vertreten hat, dauerhaft aus (z.B. wegen Erkrankung der Lehrkraft), ohne dass dies bei Vertragsschluss vorhersehbar gewesen wäre, gilt folgendes: die Veranstalterin wird den Kunden unverzüglich über den Ausfall informieren und sich unverzüglich um eine Ersatzlehrkraft bemühen. Während der Zeit des Ausfalls sind die beiderseitigen Vertragspflichten suspendiert. Gelingt es der Veranstalterin nicht, innerhalb von drei Monaten nach Kenntnis von dem Ausfall, eine Ersatzkraft zu finden, sind die Veranstalterin und der Kunde berechtigt, den Vertrag zu kündigen. Schadensersatzansprüche wegen des Ausfalls sind ausgeschlossen. Der Kunde ist berechtigt, den Vertrag bereits zuvor zu kündigen, wenn ihm eine Fortsetzung aufgrund des Ausfalls unzumutbar ist. Im Fall einer Kündigung erstattet die Veranstalterin dem Kunden unverzüglich bereits geleistetes Honorar für noch nicht genommene Stunden.
§ 4 Entgelt, Zahlungsbedingungen
(1) Zahlungen sind binnen 10 Tagen ab Rechnungsdatum durch Überweisung zu leisten. Maßgeblich ist der Eingang des vereinbarten Betrages auf dem Konto der Veranstalterin.
(2) Der Teilnehmer ist zur Aufrechnung gegen Forderungen der Veranstalterin nur berechtigt, wenn die Gegenansprüche rechtskräftig festgestellt wurden oder unstreitig sind. Der Teilnehmer ist im Übrigen nur zur Geltendmachung eines Zurückbehaltungsrechts berechtigt, wenn der Gegenanspruch auf demselben Schulungsvertrag beruht.
§ 5 Widerrufsbelehrung
Widerrufsrecht für Verbraucher
Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen. Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsabschlusses.
Um Ihr Widerrufsrecht auszuüben, müssen Sie der Veranstalterin
elmatiz GmbH
Geschäftsführerin: Elizabeth Yomona Hernández
Tulpenweg 39
52222 Stolberg
Deutschland
Telefon: 0049 (0) 2402 9058301
mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief, Telefax oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.
Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.
Folgen des Widerrufs
Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, günstigste Standardlieferung gewählt haben), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrags bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet.
Haben Sie verlangt, dass die Dienstleistungen während der Widerrufsfrist beginnen sollen, so haben Sie uns einen angemessenen Betrag zu zahlen, der dem Anteil der bis zu dem Zeitpunkt, zu dem Sie uns von der Ausübung des Widerrufsrechts hinsichtlich dieses Vertrags unterrichten, bereits erbrachten Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.
Muster-Widerrufsformular
(Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus uns senden Sie es zurück).
- An elmatiz GmbH, Geschäftsführerin: Elizabeth Yomona Hernández, Tulpenweg 39, 52222 Stolberg, Deutschland
- Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag über den Kauf der folgenden Waren (*)/die Erbringung der folgenden Dienstleistung(*)
- Bestellt am (*)/erhalten am (*)
- Name des/der Verbraucher(s)
- Anschrft des/der Verbraucher(s)
- Unterschrift des/der Verbraucher(s) (nur bei Mitteilung auf Papier)
- Datum
______________
(*) Unzutreffendes streichen.
§ 6 Vertragsdauer, Kündigung
Ist keine feste Vertragslaufzeit vereinbart, endet der Schulungsvertrag mit Erfüllung der vereinbarten Schulungsleistungen. Das Recht beider Vertragsparteien zur außerordentlichen Kündigung bleibt hiervon unberührt.
§ 7 Haftung
Wir haften nicht für die einfach fahrlässige Verletzung von Pflichten, die keine wesentlichen Vertragspflichten darstellen. Wesentliche Vertragspflichten sind diejenigen, deren Erfüllung dem Vertrag das Gepräge gibt und seine ordnungsgemäße Durchführung überhaupt erst ermöglicht. Bei der einfach fahrlässigen Verletzung wesentlicher Vertragspflichten ist unsere Haftung auf den typischerweise eintretenden vorhersehbaren Schaden beschränkt. Die Haftung wegen schuldhafter Verletzung des Lebens, des Körpers oder der Gesundheit bleibt unberührt.
§ 8 Datenschutz
Die Vertragsparteien beachten die einschlägigen datenschutzrechtlichen Vorschriften, insbesondere der Europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Die Veranstalterin wird insbesondere, sofern sie in Kontakt mit personenbezogenen Daten kommt, diese Daten i.S. des Art. 6 Abs. 1 Satz 1 lit. b DSGVO nur im Rahmen der Geschäftsabwicklung, zur Wahrung berechtigter Interessen oder zur Erfüllung rechtlicher Pflichten (z.B. steuerlicher oder handelsrechtlicher Aufbewahrungsfristen) erheben, verarbeiten oder nutzen.
Wird die Vertragsleistung der Veranstalterin im Rahmen der Ausübung der gewerblichen oder selbständigen beruflichen Tätigkeit des Vertragspartners in Anspruch genommen, muss die Veranstalterin darüber hinaus auch die vom Vertragspartner zur Verfügung gestellten personenbezogenen Daten der Teilnehmer verarbeiten, für die der Vertragspartner als Verantwortlicher im datenschutzrechtlichen Sinn fungiert ("Auftraggeber-Daten").
Diese nachfolgende Regelung spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zur Erbringung der Leistungen nach dem Hauptvertrag.
§ 9 Schlussbestimmungen
(1) Für das Rechtsverhältnis zwischen den Vertragsparteien gilt ausschließlich das Recht der Bundesrepublik Deutschland. Sofern es sich bei dem Teilnehmer um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder eine öffentlich-rechtliche Stiftung handelt, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit den vertraglichen Beziehungen zwischen dem Teilnehmer und der Veranstalterin Aachen.
(2) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Die Vertragsparteien verpflichten sich, rechtsunwirksame Bestimmungen durch eine ihrem wirtschaftlichen Zweck möglichst nahe kommende Bestimmung zu ersetzen. Gleiches gilt für unbeabsichtigte Vertragslücken.
(1) Die folgenden Allgemeinen Geschäftsbedingungen (AGB) sind Bestandteil aller vertraglichen Vereinbarungen zwischen dem Teilnehmer bzw. Kunden und der über die Webseite „www.bonteach.de“ repräsentierten Sprachschule elmatiz GmbH (im folgenden Veranstalterin genannt). Sämtliche Lieferungen, Leistungen und Angebote der Veranstalterin erfolgen ausschließlich aufgrund dieser Geschäftsbedingungen.
(2) Entgegenstehende allgemeine Geschäftsbedingungen des Teilnehmers oder Dritter werden nicht Vertragsinhalt. Dies gilt auch, wenn die Veranstalterin ihrer Geltung im Einzelfall nicht gesondert widerspricht. Soweit die Veranstalterin auf ein Schreiben Bezug nimmt, das AGB des Teilnehmers oder eines Dritten enthält oder auf solche verweist, liegt hierin kein Einverständnis mit der Geltung fremder AGB.
(3) Der Teilnehmer ist Verbraucher, soweit der Zweck der georderten Lieferungen und Leistungen nicht seiner gewerblichen oder selbständigen beruflichen Tätigkeit zugerechnet werden kann. Dagegen ist Unternehmer jede natürliche oder juristische Person oder rechtsfähige Personengesellschaft, die beim Abschluss des Vertrags in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.
§ 2 Angebot, Vertragsschluss
(1) In Prospekten, Anzeigen und auf der Webseite „www.bonteach.de“ aufgeführte Angebote und Preisangaben der Veranstalterin sind bis zur schriftlichen Auftragsbestätigung freibleibend und unverbindlich, sofern sie nicht ausdrücklich als verbindlich gekennzeichnet sind. Der Schulungsauftrag kommt nur durch beiderseits unterzeichneten Vertrag oder schriftliche Auftragsbestätigung der Veranstalterin zustande, außerdem dadurch, dass die Veranstalterin mit der vertragsgemäßen Leistungserbringung beginnt.
(2) Der Teilnehmer ist an Erklärungen zum Abschluss von Verträgen 14 Kalendertage nach Absendung gebunden. Die Veranstalterin ist berechtigt, das Angebot innerhalb dieser Frist anzunehmen.
§ 3 Vertragsgegenstand, Leistungsumfang
(1) Gegenstand dieser Vertragsbedingungen sind die auf der Webseite „www.bonteach.de“ aufgeführten Schulungsangebote. Maßgebend für Umfang, Art und Qualität der Schulungsleistungen ist der beiderseits unterzeichnete Vertrag oder die Auftragsbestätigung der Veranstalterin, sonst das Angebot der Veranstalterin. Sonstige Angaben oder Anforderungen werden nur Vertragsbestandteil, wenn die Vertragspartner dies schriftlich vereinbaren oder die Veranstalterin sie schriftlich bestätigt hat.
(2) Die Veranstalterin ist berechtigt, ihre Pflichten auf Dritte zu übertragen oder Subunternehmer / Dozenten einzuschalten.
(3) Der Kunde kann eine Unterrichtseinheit bis 14:00 Uhr des Werktags, der dem vereinbarten Unterrichtstermin vorangeht, absagen.
Erfolgt die Absage erst später als 14:00 Uhr des Werktags, der dem vereinbarten Unterrichtstermin vorangeht, und liegt hierfür kein wichtiger Grund (z.B. eine Krankheit, die den Kunden an der Unterrichtsteilnahme hindert) vor, so gilt die Stunde als genommen und der Kunde schuldet das vereinbarte Entgelt. Sollte die Veranstalterin diese Stunde der Lehrkraft an einen Ersatzkunden vergeben können, muss die Veranstalterin sich anrechnen lassen, was die Veranstalterin dadurch erwirbt (oder zu erwerben böswillig unterlässt). Die Regelungen dieses Teilabsatzes gelten nicht, wenn der Kunde und die Lehrkraft einen Termin einvernehmlich verlegen.
Für eine Absage, die kurzfristiger als zwei Stunden vor Unterrichtsbeginn erfolgt und für den Fall, dass der Kunde ohne abzusagen nicht zur vereinbarten Zeit am vereinbarten Ort ist, gilt: es muss ein wichtiger Grund für die verspätete Absage / das Nichterscheinen vorliegen. Der Kunde muss jedoch zudem nachweisen, dass es ihm unmöglich war, die Veranstalterin mit einer Frist von mehr als zwei Stunden vor Unterrichtsbeginn zu informieren (z.B. bei einem Unfall, der erst eine Stunde vor Unterrichtsbeginn erfolgt ist und der den Kunden an der Unterrichtsteilnahme hindert). Ansonsten gilt die Stunde als genommen und der Kunde schuldet das vereinbarte Entgelt.
(4) Fällt die vorgesehene Lehrkraft aus Gründen, welche die Veranstalterin nicht zu vertreten hat, dauerhaft aus (z.B. wegen Erkrankung der Lehrkraft), ohne dass dies bei Vertragsschluss vorhersehbar gewesen wäre, gilt folgendes: die Veranstalterin wird den Kunden unverzüglich über den Ausfall informieren und sich unverzüglich um eine Ersatzlehrkraft bemühen. Während der Zeit des Ausfalls sind die beiderseitigen Vertragspflichten suspendiert. Gelingt es der Veranstalterin nicht, innerhalb von drei Monaten nach Kenntnis von dem Ausfall, eine Ersatzkraft zu finden, sind die Veranstalterin und der Kunde berechtigt, den Vertrag zu kündigen. Schadensersatzansprüche wegen des Ausfalls sind ausgeschlossen. Der Kunde ist berechtigt, den Vertrag bereits zuvor zu kündigen, wenn ihm eine Fortsetzung aufgrund des Ausfalls unzumutbar ist. Im Fall einer Kündigung erstattet die Veranstalterin dem Kunden unverzüglich bereits geleistetes Honorar für noch nicht genommene Stunden.
§ 4 Entgelt, Zahlungsbedingungen
(1) Zahlungen sind binnen 10 Tagen ab Rechnungsdatum durch Überweisung zu leisten. Maßgeblich ist der Eingang des vereinbarten Betrages auf dem Konto der Veranstalterin.
(2) Der Teilnehmer ist zur Aufrechnung gegen Forderungen der Veranstalterin nur berechtigt, wenn die Gegenansprüche rechtskräftig festgestellt wurden oder unstreitig sind. Der Teilnehmer ist im Übrigen nur zur Geltendmachung eines Zurückbehaltungsrechts berechtigt, wenn der Gegenanspruch auf demselben Schulungsvertrag beruht.
§ 5 Widerrufsbelehrung
Widerrufsrecht für Verbraucher
Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen. Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsabschlusses.
Um Ihr Widerrufsrecht auszuüben, müssen Sie der Veranstalterin
elmatiz GmbH
Geschäftsführerin: Elizabeth Yomona Hernández
Tulpenweg 39
52222 Stolberg
Deutschland
Telefon: 0049 (0) 2402 9058301
| E-Mail: |  |
mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief, Telefax oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.
Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.
Folgen des Widerrufs
Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, günstigste Standardlieferung gewählt haben), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrags bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet.
Haben Sie verlangt, dass die Dienstleistungen während der Widerrufsfrist beginnen sollen, so haben Sie uns einen angemessenen Betrag zu zahlen, der dem Anteil der bis zu dem Zeitpunkt, zu dem Sie uns von der Ausübung des Widerrufsrechts hinsichtlich dieses Vertrags unterrichten, bereits erbrachten Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.
Muster-Widerrufsformular
(Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus uns senden Sie es zurück).
- An elmatiz GmbH, Geschäftsführerin: Elizabeth Yomona Hernández, Tulpenweg 39, 52222 Stolberg, Deutschland
| E-Mail: | |
- Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag über den Kauf der folgenden Waren (*)/die Erbringung der folgenden Dienstleistung(*)
- Bestellt am (*)/erhalten am (*)
- Name des/der Verbraucher(s)
- Anschrft des/der Verbraucher(s)
- Unterschrift des/der Verbraucher(s) (nur bei Mitteilung auf Papier)
- Datum
______________
(*) Unzutreffendes streichen.
§ 6 Vertragsdauer, Kündigung
Ist keine feste Vertragslaufzeit vereinbart, endet der Schulungsvertrag mit Erfüllung der vereinbarten Schulungsleistungen. Das Recht beider Vertragsparteien zur außerordentlichen Kündigung bleibt hiervon unberührt.
§ 7 Haftung
Wir haften nicht für die einfach fahrlässige Verletzung von Pflichten, die keine wesentlichen Vertragspflichten darstellen. Wesentliche Vertragspflichten sind diejenigen, deren Erfüllung dem Vertrag das Gepräge gibt und seine ordnungsgemäße Durchführung überhaupt erst ermöglicht. Bei der einfach fahrlässigen Verletzung wesentlicher Vertragspflichten ist unsere Haftung auf den typischerweise eintretenden vorhersehbaren Schaden beschränkt. Die Haftung wegen schuldhafter Verletzung des Lebens, des Körpers oder der Gesundheit bleibt unberührt.
§ 8 Datenschutz
Die Vertragsparteien beachten die einschlägigen datenschutzrechtlichen Vorschriften, insbesondere der Europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Die Veranstalterin wird insbesondere, sofern sie in Kontakt mit personenbezogenen Daten kommt, diese Daten i.S. des Art. 6 Abs. 1 Satz 1 lit. b DSGVO nur im Rahmen der Geschäftsabwicklung, zur Wahrung berechtigter Interessen oder zur Erfüllung rechtlicher Pflichten (z.B. steuerlicher oder handelsrechtlicher Aufbewahrungsfristen) erheben, verarbeiten oder nutzen.
Wird die Vertragsleistung der Veranstalterin im Rahmen der Ausübung der gewerblichen oder selbständigen beruflichen Tätigkeit des Vertragspartners in Anspruch genommen, muss die Veranstalterin darüber hinaus auch die vom Vertragspartner zur Verfügung gestellten personenbezogenen Daten der Teilnehmer verarbeiten, für die der Vertragspartner als Verantwortlicher im datenschutzrechtlichen Sinn fungiert ("Auftraggeber-Daten").
Diese nachfolgende Regelung spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zur Erbringung der Leistungen nach dem Hauptvertrag.
- Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
1. Umfang der Beauftragung/Weisungsbefugnisse des Auftraggebers
1.1. Die Veranstalterin wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern die Veranstalterin nicht gesetzlich dazu verpflichtet ist. In letzterem Fall teilt die Veranstalterin dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Die Verarbeitung von Auftraggeber-Daten durch die Veranstalterin erfolgt ausschließlich wie nachstehend spezifiziert:
- Zwecke der Datenverarbeitung im Auftrag sind die Durchführung von Sprachschulungen für vom Vertragspartner bestimmte Teilnehmer (i.d.R. Beschäftigte des Vertragspartners), die Einstufung der Teilnehmer zu Beginn und im Verlauf der Schulungsmaßnahme unter Ermittlung der Lernfortschritte, Kommunikation zum Lernfortschritt mit dem Vertragspartner sowie Dokumentation und Abrechnung der erbrachten Leistungen der Veranstalterin.
- Art und Umfang der Datenerhebung, -verarbeitung und -nutzung bestehen in der Erhebung der Kontaktdaten der Schulungsteilnehmer (i.d.R. vom Vertragspartner mitgeteilt), der Organisation und Einladung zu Online-Schulungen, der Durchführung von Onlineschulungen sowie der Einstufung/Bewertung der Lernfortschritte der Teilnehmer.
- Die Verarbeitung betrifft ausschließlich folgende Arten personenbezogener Daten: Name, Vorname, Unternehmen/Arbeitgeber, (betriebliche) E-Mail-Adresse, ggf. (betriebliche) Mobilnummer, ggf. (betriebliche) Festnetznummer, gebuchte Schulungen (Themen, Daten, Umfang), Lernfortschrittsdaten, Login- und Protokolldaten.
- Kategorie betroffener Personen: Teilnehmer an Schulungsveranstaltungen, deren Teilnahme durch den Vertragspartner der Veranstalterin bei dieser gebucht ist.
1.2. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
1.3. Der Auftraggeber behält sich das Recht zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten vor.
2. Anforderungen an Personal
2.1. Die Veranstalterin hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.
2.2. Die Veranstalterin stellt sicher, dass ihr unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf ihre Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
3. Sicherheit der Verarbeitung
3.1. Die Veranstalterin ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
3.2. Die Veranstalterin hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in der Anlage TOM spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.
4. Inanspruchnahme weiterer Auftragsverarbeiter
4.1. Der Auftraggeber/Vertragspartner genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter durch die Veranstalterin. Die gegenwärtig von der Veranstalterin eingesetzten weiteren Auftragsverarbeiter sind:
(1) Zoom Video Communications Inc., 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, USA
und
(2) Microsoft Ireland Operations Ltd., Microsoft Plc, Leopardstown South County Business Park Dublin 18, D18 P521 Ireland
beide zum Zweck der Organisation und Durchführung von Onlineschulungen.
4.2. Die Veranstalterin wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren. Der Auftraggeber ist berechtigt, gegen jede beabsichtigte Änderung Einspruch zu erheben. Erhebt der Auftraggeber Einspruch, ist der Veranstalterin die beabsichtigte Änderung untersagt. Im Falle zugelassener Änderungen wird die Veranstalterin die Liste der Unterauftragnehmer in Ziffer 4.1 entsprechend aktualisieren und dem Auftraggeber unverlangt zur Verfügung stellen.
5. Rechte der betroffenen Personen
5.1. Die Veranstalterin wird den Auftraggeber im Rahmen des Zumutbaren mit technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
5.2. Die Veranstalterin wird insbesondere:
- den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an die Veranstalterin wenden sollte;
- dem Auftraggeber auf Anfrage alle bei ihr vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt.
6. Sonstige Unterstützungspflichten des Auftragnehmers
6.1. Die Veranstalterin meldet dem Auftraggeber, unverzüglich nachdem ihr eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen. Die Meldung enthält nach Möglichkeit eine Beschreibung
- der Art der Verletzung des Schutzes der Auftraggeber-Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- der wahrscheinlichen Folgen der Verletzung des Schutzes der Auftraggeber-Daten;
- der von der Veranstalterin ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
6.2. Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird die Veranstalterin den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten.
6.3. Die Veranstalterin wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
7. Datenlöschung und -zurückgabe
Die Veranstalterin wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrages alle Auftraggeber-Daten entweder vollständig und unwiderruflich löschen oder an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.
8. Nachweise und Überprüfungen
8.1. Die Veranstalterin hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit diesen Regellungen, einschließlich des in Ziffer 1.1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten, sowie den Weisungen des Auftraggebers in Einklang steht.
8.2. Die Veranstalterin wird die Umsetzung der Pflichten nach dieser Anlage in geeigneter Weise dokumentieren und dem Auftraggeber entsprechende Nachweise auf dessen Anfrage vorlegen. Der Auftragnehmer wird insbesondere dokumentieren:
- alle Vertraulichkeitsverpflichtungen von Personen, die Auftraggeber-Daten verarbeiten;
- alle sich in ihrem Einwirkungsbereich ereignenden Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und von ihr ergriffene Abhilfemaßnahmen;
- alle Verträge über die Inanspruchnahme weiterer Auftragsverarbeiter und alle Prüfungen weiterer Auftragsverarbeiter im Sinne von Ziffer 4;
- alle auf Weisung des Auftraggebers erfolgten Löschungen von Auftraggeber-Daten.
8.3. Der Auftraggeber ist berechtigt, die Veranstalterin vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung dieser Regelungen, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß nachstehender Anlage TOM, selbst oder durch einen von ihm beauftragten Prüfer zu überprüfen; einschließlich durch Inspektionen. Die Veranstalterin ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei, unter anderem durch:
- die Gewährung der notwendigen Zugangs- und Zugriffsrechte und
- der Bereitstellung aller notwendigen Informationen.
--------------------
ANLAGE TOM: Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO
Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technische und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die elmatiz GmbH erfüllt diesen Anspruch durch folgende Maßnahmen:
1. Vertraulichkeit gemäß Art. 32 Abs. 1 DSGVO
1.1. Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.
Technische Maßnahmen Organisatorische Maßnahmen ☒ manuelles Schließsystem ☒ Schlüsselregelung/Liste ☒ Besucherbuch/Protokoll der Besucher ☒ Besucher in Begleitung durch Mitarbeiter ☐ Sorgfalt bei Auswahl des Wachpersonals ☒ Sorgfalt bei Auswahl der Reinigungsdienste
1.2. Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten eingesehen oder genutzt werden können.
Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise: Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B.Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts.)
Technische Maßnahmen Organisatorische Maßnahmen ☒ Login mit Benutzername + Passwort ☒ Verwalten von Benutzerberechtigungen ☒ Anti-Viren-Software mobile Geräte ☒ Allg. Richtlinie Datenschutz und/oder Sicherheit ☒ Anti-Viren-Software Server/Clients ☒ Richtlinie "Sicheres Passwort" ☒ Einsatz VPN bei Remote-Zugriffen ☒ Richtlinie "Löschen/Vernichten" ☒ Verschlüsselung von Datenträgern ☒ Richtlinie "Clean desk" ☒ automatische Desktopsperre ☒ Passwortsicherung/Verschlüsselung von Notebooks/Tablets
1.3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf die Inhalte der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z. B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.
Technische Maßnahmen Organisatorische Maßnahmen ☒ Aktenschredder (mind. Stufe 3, cross cut) ☒ Einsatz Berechtigungskonzepte (rollenbasiert) ☒ physische Löschung von Datenträgern ☒ minimale Anzahl an Administratoren ☒ Regelmäßige Sicherheitsupdates aller Server- und Clientsysteme ☒ Need-to-know-Prinzip
1.4. Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt voneinander verarbeitet werden können. Dies kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
Technische Maßnahmen Organisatorische Maßnahmen ☒ Trennung von Produktiv- und Testumgebung ☒ Steuerung über Berechtigungskonzept ☒ physische oder logische Trennung (Systeme/Datenbanken/Datenträger) ☒ Mandantenfähigkeit relevanter Anwendungen/logische Trennung von Mandanten
1.5. Pseudonymisierung gemäß Art. 32 Abs. 1 lit. a; Art. 25 Abs. 1 DSGVO
Die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.
Technische Maßnahmen Organisatorische Maßnahmen ☒ im Falle der Pseudonymisierung: Trennung von Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System (mögl. verschlüsselt) ☒ interne Anweisung, personenbezogene Daten im Falle der Weitergabe oder auch nach Ablauf der gesetzlichen Aufbewahrungsfrist/Löschfrist möglichst zu anonymisieren/pseudonymisieren ☒ Anmeldung zu (z.B. eLearning-) Plattform mittels pseudonymer E-Mail-Adresse möglich ☒ Beschränkung des Rechts zur Auflösung des Geltungsbereichs einer Pseudonymisierung ☒ interne Anweisung/Möglichkeit die Anonymisierung und Pseudonymisierung immer zu prüfen
2. Integrität gemäß Art. 32 Abs. 1 lit. b) DSGVO
2.1. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder Speicherung auf Datenträgern nicht unbefugt gelesen, vervielfältigt, verändert oder entfernt werden können und dass überprüft sowie festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z. B. Verschlüsselungstechniken und Virtual Private network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.
Technische Maßnahmen Organisatorische Maßnahmen ☒ E-Mail-Sicherheit (SSL/TSL) ☒ Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfrist ☐ Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen ☒ Vertraulichkeitsverpflichtung der Mitarbeiter und freien Mitarbeiter ☒ Regelmäßige Schulung der Mitarbeiter zu Datenschutzthemen
2.2. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierung erreicht, die auf verschiedenen Ebenen (z. B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.
Technische Maßnahmen Organisatorische Maßnahmen ☒ technische Protokollierung der Eingabe, Änderung und Löschung von Daten ☒ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) ☒ Nachvollziehbarkeit durch individuelle Anmeldung ☒ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts ☒ klare Zuständigkeiten für Löschungen
3. Verfügbarkeit und Belastbarkeit gemäß Art. 32 Abs. 1 lit. b) DSGVO
3.1. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlage, Brandschutz, Datensicherung, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen, etc.
Technische Maßnahmen Organisatorische Maßnahmen ☒ Feuer- und Rauchmeldeanlage ☒ Back-up & Recovery-Konzept ☒ Technische und organisatorische Maßnahmen des Systemanbieters Microsoft für MS 365 inkl. Teams (Videokonferenzsystem)
(https://www.microsoft.com/de-de/trust-center/privacy/gdpr-accountability-documentation?market=de und https://www.microsoft.com/de-de/microsoft-365/business/data-security-privacy-germany)☒ Kontrolle des Sicherungsvorgangs ☒ Technische und organisatorische Maßnahmen des Systemanbieters Zoom (Videokonferenzsystem)
https://explore.zoom.us/de/gdpr☒ regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse ☒ Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums ☒ getrennte Partitionen für Betriebssystem und Daten ☒ Verschlüsselte Speicherung der Sicherungen bei Speicherung in einer Cloud
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung gemäß Art. 32 Abs. 1 lit. d) DSGVO; Art. 25 Abs. 1 DSGVO
4.1. Datenschutzmanagement
Technische Maßnahmen Organisatorische Maßnahmen ☐ Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung z.B. Intranet, etc.) ☐ interner / externer Datenschutzbeauftragter
-nicht erforderlich-
Ansprechpartner im Datenschutz: Geschäftsleitung☐ eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mindestens jährlich durchgeführt ☒ Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet ☒ regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich ☒ Datenschutz-Folgeabschätzung (DSFA) wird bei Bedarf durchgeführt (standardisierter Prozess) ☒ Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach ☒ formalisierter Prozress zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden
4.2. Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
Technische Maßnahmen Organisatorische Maßnahmen ☒ Einsatz von Firewall und regelmäßige Aktualisierung ☒ dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde) ☒ Einsatz von Spamfilter und regelmäßige Aktualisierung ☒ Dokumentierte Vorgehenseise zum Umgang mit Sicherheitsvorfällen ☒ Einsatz von Virenscanner und regelmäßige Aktualisierung ☒ Einbindung von GF/Datenschutz-Ansprechpartner in Sicherheitsvorfälle und Datenpannen ☒ Dokumentation von Sicherheitsvorfällen und Datenpannen, z.B. via Ticketsystem/Formular ☒ formaler Prozess und definierte Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
4.3. Datenschutzfreundliche Technikgestaltung nach Art. 25 Abs. 2 DSGVO
Privacy by design/Privacy by default
Technische Maßnahmen Organisatorische Maßnahmen ☒ es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind ☒ Datenschutzfreundlichkeit als Entwicklungsziel ☒ einfache Ausübung des Widerrufsrechts durch technische Maßnahmen (z.B. E-Mail-Footer)
4.4. Auftragskontrolle (Outsourcing an Dritte)
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.
Technische Maßnahmen Organisatorische Maßnahmen ☐ ☒ vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation ☐ ☒ Auswahl des Auftragsnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit) ☐ ☒ Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln ☐ ☒ schriftliche Weisungen an den Auftragnehmer ☐ ☒ Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis ☐ ☒ Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnhemer bei Vorliegen einer Bestellpflicht ☐ ☒ Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer ☐ ☒ Regelung zum Einsatz weiterer Subunternehmer ☐ ☒ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags ☐ ☒ bei längerer Zusammenarbeit laufende Überprüfung des Auftragsnehmers und seines Schutzniveaus
§ 9 Schlussbestimmungen
(1) Für das Rechtsverhältnis zwischen den Vertragsparteien gilt ausschließlich das Recht der Bundesrepublik Deutschland. Sofern es sich bei dem Teilnehmer um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder eine öffentlich-rechtliche Stiftung handelt, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit den vertraglichen Beziehungen zwischen dem Teilnehmer und der Veranstalterin Aachen.
(2) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Die Vertragsparteien verpflichten sich, rechtsunwirksame Bestimmungen durch eine ihrem wirtschaftlichen Zweck möglichst nahe kommende Bestimmung zu ersetzen. Gleiches gilt für unbeabsichtigte Vertragslücken.