Präambel

Diese AVB konkretisieren die Verpflichtungen der Parteien zum Datenschutz, die sich im Einzelnen aus dem zwischen den Parteien bestehenden vertraglichen Verhältnis ergeben. Sie finden Anwendung soweit Xantaro mit personenbezogenen Daten von Betroffenen in Berührung kommen könnte. „Betroffener” bezeichnet insoweit jede identifizierte oder identifizierbare natürliche Person, deren Daten verarbeitet werden. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

 


1   Gegenstand, Spezifizierung und Dauer der Auftragsverarbeitung

Gegenstand des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich aus dem zugrundeliegenden vertraglichen Verhältnis, welches Wartungsleistungen in Bezug auf IT-Systeme des Auftraggebers und/oder damit einhergehende Dienstleistungen (beispielsweise Software-Pflege, Projektarbeit) an solchen IT-Systemen beinhaltet.

Hierbei ist nicht ausgeschlossen, dass Xantaro Zugriff auf folgende Datenarten/-kategorien hat:


Art der Daten:

 Personenstammdaten

 Kommunikationsdaten (z.B. Telefon, E-Mail)

 Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)

 Kundenhistorie

 Vertragsabrechnungs- und Zahlungsdaten

 Planungs- und Steuerungsdaten

 Bankverbindungsdaten

 Biometrische Daten

 Geburtsdatum

 IT-Nutzungsdaten

 Bonitätsdaten

 Funktionsbezeichnung


Kategorien Betroffener:

 Kunden

 Interessenten

 Abonnenten

 Beschäftigte

 Bewerber

 Lieferanten

 Handelsvertreter

 Ansprechpartner

Die Laufzeit dieser AVB richtet sich nach dem zugrundeliegenden vertraglichen Verhältnis, sofern sich aus den Bestimmungen dieser AVB nicht darüberhinausgehende Verpflichtungen ergeben.

 


  XANTAROS PFLICHTEN

(I) Xantaro verarbeitet personenbezogene Daten ausschließlich wie mit dem Kunden vereinbart oder wie von diesem angewiesen, es sei denn, Xantaro ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für Xantaro bestehen, teilt Xantaro diese dem Kunden vor der Verarbeitung mit, es sei denn, die Mitteilung ist Xantaro gesetzlich verboten. Xantaro verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

(II) Xantaro bestätigt, dass die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind und beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

(III) Xantaro verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

(IV) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

(V) Xantaro sichert zu, dass die zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieser AVB vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Xantaro trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

(VI) Wird der Kunde durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen Betroffene ihm gegenüber Rechte geltend, verpflichtet sich Xantaro den Kunden im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(VII) Sofern keine gesetzliche Pflicht besteht, darf Xantaro Auskünfte an Dritte oder den Betroffenen nur nach vorheriger Zustimmung durch den Kunden erteilen. Direkt an Xantaro gerichtete Anfragen wird Xantaro unverzüglich an den Auftraggeber weiterleiten.

(VIII) Unsere Datenschutzbeauftragte erreichen Sie unter folgender E-Mail-Adresse: datenschutz@xantaro.net. Es ist sichergestellt, dass für die Datenschutzbeauftragte keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Kunde direkt an die Datenschutzbeauftragte wenden. Änderungen in der Person oder den innerbetrieblichen Aufgaben der Datenschutzbeauftragten teilt Xantaro dem Kunden unverzüglich mit.

 


3   TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

(I) Xantaro gewährleistet ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d DS-GVO.

(II) Xantaro hat ein zertifiziertes Informationsmanagementsystem nach ISO 27001 eingeführt. Während der Gültigkeit der Zertifizierung gilt der Nachweis der Erfüllung der technisch und organisatorischen Maßnahmen als erbracht. Der Kunde ist berechtigt, diese Vermutung zu widerlegen.

 


4   REGELUNGEN ZUR BERICHTIGUNG, LÖSCHUNG UND SPERRUNG VON DATEN

Im Rahmen dieser AVB verarbeitete Daten wird Xantaro nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Kunden berichtigen, löschen oder sperren.

 


5   UNTERAUFTRAGSVERHÄLTNISSE

(I) Der Kunde stimmt zu, dass Xantaro Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung eines Subunternehmers informiert Xantaro den Kunden entsprechend. Der Kunde kann der Änderung – innerhalb einer Frist von 14 Tagen ab Information durch Xantaro – aus wichtigem Grund – durch Mitteilung gegenüber Xantaro widersprechen. Erfolgt kein Widerspruch innerhalb der vorgenannten Frist gilt die Zustimmung zur Änderung als gegeben.

(II) Erteilt Xantaro Aufträge an Subunternehmer, so obliegt es Xantaro, seine datenschutzrechtlichen Pflichten aus zu übertragen. Xantaro wird mit dem Subunternehmer im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten. Die Verantwortlichkeiten von Xantaro und des Subunternehmers sind eindeutig voneinander abzugrenzen.

(III) Xantaro wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

(IV) Unterauftragsverhältnisse im Sinne dieser AVB sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservices sind nicht erfasst. Xantaros Pflicht, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(V) Kommt der Subunternehmer seinen Datenschutzverpflichtungen nicht nach, so haftet hierfür Xantaro gegenüber dem Kunden.

(VI) Xantaro darf den Einsatz von Sub-Subunternehmern zulassen, sofern vertraglich sichergestellt ist, dass die zwischen Kunden und Xantaro vereinbarten Regelungen auch gegenüber dem Sub-Subunternehmer gelten.

 


6   RECHTE UND PFLICHTEN DES KUNDEN

(I) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Kunde verantwortlich.

(II) Der Kunde erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Kunde unverzüglich dokumentiert bestätigen.

(III) Der Kunde informiert Xantaro unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(IV) Der Kunde ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und dieser AVB bei Xantaro in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Den mit der Kontrolle betrauten Personen ist von Xantaro, soweit erforderlich, Zutritt und Einblick zu ermöglichen. Xantaro ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.

(V) Kontrollen bei Xantaro haben ohne vermeidbare Störungen des Geschäftsbetriebs zu erfolgen. Soweit nicht aus von Xantaro zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu den Geschäftszeiten von Xantaro, sowie nicht häufiger als alle 12 Monate statt. Soweit Xantaro den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 3 (I) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

 


7   MITTEILUNGSPFLICHTEN

(I) Xantaro teilt dem Kunden Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat mindestens die Angaben nach Art. 33 Abs. 3 Datenschutz-Grundverordnung zu enthalten.

(II) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße von Xantaro oder bei Xantaro beschäftigter Personen gegen datenschutzrechtliche Bestimmungen oder die in dieser AVB getroffenen Festlegungen.

(III) Xantaro informiert den Kunden unverzüglich über Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

(IV) Xantaro sichert zu, den Kunden bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

 


8   WEISUNGEN

(I) Der Kunde behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(II) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.

(III) Xantaro wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden erteilte Weisung gegen gesetzliche Vorschriften verstößt. Xantaro ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Kunden bestätigt oder geändert wird.

(IV) Xantaro hat erteilte Weisungen und deren Umsetzung zu dokumentieren.

 


9   BEENDIGUNG DER AUFTRAGSVERARBEITUNG

(I) Bei Beendigung der Auftragsverarbeitung hat Xantaro die im Auftrag verarbeiteten Daten nach Wahl des Kunden entweder zu vernichten oder an den Kunden zu übergeben und sodann zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.

(II) Xantaro ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern und Sub-Subunternehmern herbeizuführen.

(III) Xantaro hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Kunden auf Verlangen vorzulegen.

(IV) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch Xantaro den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Xantaro kann die Dokumentationen zu seiner Entlastung dem Kunden bei Vertragsende übergeben.

 


10   SONDERKÜNDIGUNGSRECHT

(I) Der Kunde kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß von Xantaro gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, Xantaro eine rechtmäßige Weisung des Kunden nicht ausführen kann oder will oder Xantaro Kontrollrechte des Kunden vertragswidrig verweigert.

(II) Ein schwerwiegender Verstoß liegt insbesondere vor, wenn Xantaro die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.

(III) Bei unerheblichen Verstößen setzt der Kunde Xantaro eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Kunde zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.

(IV) Xantaro ist zur außerordentlichen Kündigung berechtigt, sofern der Kunde der Beauftragung eines Subunternehmers widerspricht und keine Einigung erreicht werden kann.

 


11   SONSTIGES

(I) Beide Parteien sind verpflichtet, alle erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung der Auftragsverarbeitung hinaus vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(II) Sollte Eigentum des Kunden bei Xantaro durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat Xantaro den Kunden unverzüglich zu verständigen.

(III) Für Nebenabreden ist die Textform erforderlich.

(IV) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(V) Sollten einzelne Teile dieser AVB unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

 

Kontakt

Haben Sie Fragen?

Unser Team wird sich freuen, Ihnen zu helfen!

Jetzt Xperten kontaktieren!
Chat