Logo

Allgemeine Geschäftsbedingungen

Präambel

Die Lunelink GmbH („Lunelink“) betreibt eine cloudbasierte, KI-gestützte Marketing-Plattform („Plattform“) für die Verwaltung von Werbekonten, die Erstellung von Werbemitteln, das Community-Management, das Bewertungsmanagement sowie die Analyse und Optimierung von Marketing-Kampagnen auf Drittplattformen (z.B. Meta, Google, TikTok, LinkedIn, Pinterest). Diese Allgemeinen Geschäftsbedingungen („AGB“) regeln die vertragliche Grundlage für die Nutzung der Plattform durch Unternehmen, Agenturen, Selbständige und sonstige gewerbliche Kunden („Nutzer“). Die Plattform richtet sich nicht an Verbraucher im Sinne von § 13 BGB.

1. Nutzung der Plattform

  1. Die Nutzung der Plattform erfolgt in der Regel über eine Web Applikation. Lunelink kann ergänzend Mobile Applikationen anbieten. Ein Anspruch auf das Bereitstellen bestimmter Zugangswege besteht nicht.
  2. Die Nutzung der Plattform setzt eine Registrierung des Nutzers voraus („Registrierung“). Mit Abschluss der Registrierung bzw. mit Unterzeichnung eines individuellen Angebots kommt ein Nutzungsvertrag zwischen dem Nutzer und Lunelink zustande.
  3. Zur Registrierung sind ausschließlich unbeschränkt geschäftsfähige natürliche Personen sowie juristische Personen und Personengesellschaften berechtigt, die in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln. Eine Registrierung und Nutzung für einen Dritten oder eine fiktive Person ist untersagt. Ebenfalls untersagt ist die Angabe von Falschinformationen innerhalb der Registrierung und/oder des Nutzer-Accounts.
  4. Erfolgt die Registrierung für ein Unternehmen oder eine Organisation, sichert die registrierende Person zu, zur Vertretung des Unternehmens bzw. zur Begründung entsprechender Vertragsverhältnisse mit Lunelink wirksam berechtigt zu sein.
  5. Lunelink kann die Registrierung auf der Plattform ohne Angabe von Gründen verweigern. Lunelink behält sich das Recht vor, Registrierungsanfragen auf Authentizität zu prüfen und den Abschluss der Registrierung hiervon abhängig zu machen. Hiervon unberührt bleibt das Recht von Lunelink, jederzeit stichprobenartig die Authentizität existierender Accounts zu prüfen und bei Verstoß gegen die vorangegangenen Vorgaben zu löschen.
  6. Nutzer sind verpflichtet, ihre Zugangsdaten sicher zu verwahren, insbesondere Dritten nicht zur Verfügung zu stellen, und geeignete Maßnahmen zum Schutz ihres Accounts vor unbefugtem Zugriff zu treffen.
  7. Auch wenn auf der Plattform Nutzer-Inhalte und Daten gespeichert und zur Verfügung gestellt werden, umfasst der Leistungsumfang von Lunelink keinen dedizierten Cloud-Speicherdienst. Lunelink ist nicht verpflichtet, Nutzer-Inhalte dauerhaft verfügbar zu halten oder zu archivieren, sofern nicht ausdrücklich etwas anderes vereinbart wurde.
  8. Eine Nutzung der Plattform durch Minderjährige ist untersagt.
  9. Vertragssprache ist Deutsch. Der Vertragstext wird von Lunelink nach Vertragsschluss mit dem jeweiligen Nutzer nicht individuell gespeichert, ist dem Nutzer aber auf der Webseite bzw. in der Plattform in der jeweils aktuellen Fassung zugänglich.
  10. Die Kommunikation zwischen Lunelink und den Nutzern kann über elektronische Kanäle (insbesondere E-Mail, In-App-Benachrichtigungen, Messaging innerhalb der Plattform) erfolgen.

2. Leistungsumfang der Plattform und Drittplattformen

  1. Lunelink stellt dem Nutzer während der Vertragslaufzeit eine Plattform zur Verfügung, über die der Nutzer insbesondere Werbekonten verwalten, KI-gestützte Werbemittel erstellen, Kommunikationskanäle (z.B. Kommentare und Nachrichten) verwalten, Bewertungen managen, KI-gestützte Optimierungsempfehlungen abrufen sowie Auswertungen und Dashboards einsehen kann. Der konkrete Funktionsumfang ergibt sich aus der zum Zeitpunkt des Vertragsschlusses gültigen Leistungsbeschreibung bzw. dem individuellen Angebot.
  2. Die Plattform ermöglicht die Anbindung von Werbekonten und sonstigen Konten bei Drittanbietern (z.B. Meta Ads, Google Ads, LinkedIn Ads, TikTok Ads, Pinterest Ads, Bewertungsportale). Die Nutzung dieser Drittplattformen sowie deren APIs erfolgt auf Grundlage der jeweiligen Vertragsverhältnisse zwischen dem Nutzer und dem jeweiligen Drittanbieter. Lunelink ist nicht Partei dieser Vertragsverhältnisse und haftet nicht für Verfügbarkeit, Funktionsumfang oder Änderungen der Drittplattformen.
  3. Der Nutzer ist selbst dafür verantwortlich, die jeweiligen Nutzungsbedingungen, Werberichtlinien und sonstigen Vorgaben der angebundenen Drittplattformen einzuhalten. Lunelink übernimmt keine Prüfung der von Nutzern erstellten oder über die Plattform ausgelieferten Inhalte auf Vereinbarkeit mit gesetzlichen Vorgaben oder Richtlinien Dritter.
  4. KI-Funktionen (z.B. für die Erstellung von Werbemitteln, Antwortvorschläge im Community Management oder Optimierungsempfehlungen) basieren auf statistischen Modellen und historischen Daten. Lunelink schuldet keine bestimmte wirtschaftliche Wirkung (z.B. bestimmte Conversion-Rates, Umsätze oder Reichweiten) und haftet nicht für Entscheidungen des Nutzers, die auf Basis der bereitgestellten Analysen oder Empfehlungen getroffen werden.
  5. Lunelink ist berechtigt, den Funktionsumfang der Plattform unter Berücksichtigung der Interessen der Nutzer weiterzuentwickeln, anzupassen oder zu ändern, sofern keine wesentlichen vertraglichen Hauptleistungspflichten eingeschränkt werden oder dem Nutzer zumutbare Alternativen zur Verfügung gestellt werden.

3. Pflichten des Nutzers und Inhalte

  1. Der Nutzer ist für alle Inhalte, Daten und Informationen vollständig verantwortlich, die er in die Plattform einpflegt oder über diese verarbeitet, insbesondere für Werbeanzeigen, Creatives, Texte, Bilder, Videos, Bewertungen, Antworten auf Bewertungen, Kommentare und Nachrichten.
  2. Der Nutzer sichert zu, sämtliche für die Nutzung, Veröffentlichung und Verarbeitung der Inhalte erforderlichen Rechte (insbesondere Urheber-, Marken-, Persönlichkeits- und sonstige Schutzrechte) zu besitzen oder ordnungsgemäß erworben zu haben, und stellt sicher, dass keine Rechte Dritter verletzt werden.
  3. Der Nutzer verpflichtet sich, über die Plattform keine rechtswidrigen, diskriminierenden, beleidigenden, jugendgefährdenden, extremistischen, pornografischen, gegen die guten Sitten verstoßenden oder sonstigen unzulässigen Inhalte zu verbreiten sowie keine unzulässige Werbung (z.B. nach UWG) zu betreiben. Gleiches gilt für automatisierte Antwortvorschläge, die der Nutzer vor Versenden eigenverantwortlich zu prüfen hat.
  4. Der Nutzer verpflichtet sich, sämtliche anwendbaren gesetzlichen Bestimmungen (insbesondere Datenschutzrecht, Wettbewerbsrecht, Telemedienrecht, Verbraucherschutzrecht, Berufsrecht) sowie die jeweils einschlägigen Richtlinien der angebundenen Drittplattformen einzuhalten.
  5. Der Nutzer hat Lunelink von sämtlichen Ansprüchen Dritter freizustellen, die auf einer rechtswidrigen Nutzung der Plattform durch den Nutzer oder auf von dem Nutzer zu vertretenden Pflichtverletzungen beruhen. Dies umfasst auch angemessene Kosten der Rechtsverteidigung.

4. Gebühren und Zahlungsbedingungen

  1. Die Nutzung der Plattform ist grundsätzlich kostenpflichtig. Die vom Nutzer zu zahlenden Entgelte („Gebühren“) ergeben sich aus dem bei Vertragsschluss gültigen Preisverzeichnis von Lunelink oder einem individuell mit dem Nutzer vereinbarten Angebot. Lunelink kann einzelne, klar als solche gekennzeichnete Funktionen im Rahmen von Testphasen kostenlos zur Verfügung stellen.
  2. Soweit nicht anders vereinbart, werden die Gebühren als wiederkehrende Entgelte (z.B. Monats- oder Jahresgebühren) im Voraus in Rechnung gestellt. Sofern nutzungsabhängige Komponenten (z.B. nach Anzahl von Accounts, Sitzplätzen oder Volumen) vereinbart sind, werden diese regelmäßig nachträglich abgerechnet.
  3. Rechnungen sind, sofern auf der Rechnung nicht anders angegeben, innerhalb von 14 Tagen nach Rechnungsdatum ohne Abzug zur Zahlung fällig. Zahlungen erfolgen auf das in der Rechnung angegebene Geschäftskonto oder über die angebotenen elektronischen Zahlungsdienste.
  4. Im Falle des Zahlungsverzugs ist Lunelink berechtigt, die gesetzlichen Verzugszinsen zu berechnen und den Zugang zur Plattform nach vorheriger Ankündigung vorübergehend zu sperren. Die Verpflichtung des Nutzers zur Zahlung der vereinbarten Gebühren bleibt hiervon unberührt.

5. Datenschutz

  1. Lunelink verarbeitet personenbezogene Daten der Nutzer sowie der über die Plattform verarbeiteten betroffenen Personen nach Maßgabe der datenschutzrechtlichen Vorschriften und der auf der Webseite bzw. in der Plattform abrufbaren Datenschutzerklärung.
  2. Als datenschutzrechtlich Verantwortlicher im Verhältnis zu den von ihm über die Plattform verarbeiteten personenbezogenen Daten ist grundsätzlich der jeweilige Nutzer anzusehen. Lunelink agiert insoweit, soweit einschlägig, als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.
  3. Der Upload und die Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung der Plattform erfolgt in eigener Verantwortung des Nutzers. Insoweit gilt der hier als Anlage 1 (AVV) beigefügte Auftragsverarbeitungsvertrag als Grundlage für die Auftragsverarbeitung durch Lunelink, soweit der Nutzer zum Abschluss eines Auftragsverarbeitungsvertrages verpflichtet ist.

6. Vertragsdauer und Kündigung

  1. Der Nutzungsvertrag zwischen Lunelink und dem Nutzer läuft auf unbestimmte Zeit oder für die jeweils vereinbarte Mindestvertragslaufzeit. Sofern eine Mindestvertragslaufzeit vereinbart wurde, verlängert sich der Vertrag jeweils um die vereinbarte Verlängerungsperiode, sofern er nicht fristgerecht gekündigt wird.
  2. Sofern nicht anders vereinbart, können die Parteien den Nutzungsvertrag jederzeit mit einer Kündigungsfrist von 1 Monat zum Ende der jeweiligen Vertrags- oder Verlängerungsperiode ohne Angabe von Gründen ordentlich kündigen.
  3. Das Recht jeder Partei zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für Lunelink insbesondere vor, wenn der Nutzer trotz Mahnung und angemessener Fristsetzung mit fälligen Zahlungen in nicht unerheblicher Höhe in Verzug ist oder wiederholt gegen wesentliche Vertragspflichten, insbesondere gegen Ziff. 3 dieser AGB, verstößt.
  4. Mit Wirksamwerden der Kündigung endet der Zugriff des Nutzers auf die Plattform. Lunelink ist berechtigt, im Einklang mit gesetzlichen Aufbewahrungspflichten Daten zu speichern oder zu löschen. Weitergehende Pflichten zur Datenherausgabe bestehen nur, soweit sie ausdrücklich vereinbart wurden oder sich aus zwingenden gesetzlichen Vorgaben ergeben.

7. Haftung

  1. Lunelink haftet nach den gesetzlichen Bestimmungen für Schäden an Leben, Körper und Gesundheit, die auf einer schuldhaften Pflichtverletzung beruhen. Ferner haftet Lunelink nach den gesetzlichen Bestimmungen für sonstige Schäden, die auf vorsätzlichen oder grob fahrlässigen Vertragsverletzungen beruhen. Soweit der Anwendungsbereich des Produkthaftungsgesetzes eröffnet ist, haftet Lunelink uneingeschränkt nach dessen Vorschriften.
  2. Beruht ein Schaden auf der einfach fahrlässigen Verletzung einer wesentlichen Vertragspflicht, also einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht, deren Verletzung die Erreichung des Vertragszweckes gefährdet und auf deren Einhaltung Nutzer regelmäßig vertrauen dürfen, so ist die Haftung von Lunelink auf den vorhersehbaren und vertragstypischen Schaden begrenzt.
  3. Eine weitergehende Haftung von Lunelink auf Schadensersatz ist – gleich aus welchem Rechtsgrund – ausgeschlossen. Dies gilt insbesondere für entgangenen Gewinn, ausgebliebene Einsparungen, Produktionsausfälle, Betriebsunterbrechungen oder sonstige mittelbare und Folgeschäden. Zwingende gesetzliche Haftungsregelungen bleiben unberührt.

8. Sonstiges

  1. Sollten einzelne Bestimmungen dieser AGB ungültig oder undurchführbar sein oder werden, bleibt die Gültigkeit der übrigen Bedingungen unberührt. Anstelle der unwirksamen oder undurchführbaren Regelung gilt eine solche wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt.
  2. Es gilt materielles deutsches Recht unter Ausschluss deutschen Kollisionsrechts und UN-Kaufrechts. Soweit zulässigerweise ein Gerichtsstand vereinbart werden kann, ist der Gerichtsstand Hamburg.

Anlage 1: AVV

Präambel

Der Auftragnehmer (Lunelink) verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (Nutzer) i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung („DSGVO“). Dieser Auftragsverarbeitungsvertrag („Vertrag“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag beschriebenen Auftragsdatenverarbeitung ergeben. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch Auftragnehmer beauftragte Dritte mit vom Auftraggeber zur Verfügung gestellten personenbezogenen Daten in Berührung kommen können.

1. Definitionen

  1. Personenbezogene Daten sind alle vom Auftraggeber zur Verfügung gestellten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (Art. 4 Nr. 1 DSGVO).
  2. Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO).
  3. Weisungen sind alle Anweisungen, die der Auftraggeber dem Auftragnehmer erteilt und mit denen der Auftragnehmer zur Verarbeitung personenbezogener Daten aufgefordert wird. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach durch einzelne Weisungen geändert, ergänzt oder ersetzt werden („Einzelweisungen“).

2. Gegenstand des Vertrages, Verantwortlichkeit

Der Auftragnehmer verarbeitet die personenbezogenen Daten im Auftrag des Auftraggebers. Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Weitergabe der personenbezogenen Daten an den Auftragnehmer sowie die Rechtmäßigkeit der Verarbeitung dieser allein verantwortlich („Verantwortlicher“ im Sinne Art. 4 Nr. 7 DSGVO).

3. Dauer

Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Das Recht zur außerordentlichen Kündigung bleibt hiervon unberührt.

4. Umfang, Art und Zweck der vorgesehenen Verarbeitung personenbezogener Daten

Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers sind im Hauptvertrag konkret beschrieben. Die Verarbeitung erfolgt insbesondere zum Zweck der Bereitstellung der Lunelink-Marketingplattform, einschließlich Werbekontenverwaltung, Werbemittel-Erstellung, Community-Management, Bewertungsmanagement, Analyse und Optimierung von Marketingmaßnahmen.

5. Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind insbesondere folgende Datenarten/-kategorien:

  • Kontakt- und Stammdaten von Nutzern (z.B. Namen, Kontaktdaten, Zugangsdaten).
  • Personenbezogene Daten von Kunden, Interessenten oder sonstigen Kommunikationspartnern des Auftraggebers, die im Rahmen von Marketing-, Kommunikations- oder Bewertungsprozessen verarbeitet werden (z.B. Namen, Kontaktdaten, Kommunikationsinhalte, Bewertungsinhalte).
  • Nutzungs-, Tracking- und Kampagnendaten, soweit sie sich auf identifizierte oder identifizierbare natürliche Personen beziehen.

6. Kreis der Betroffenen

Der Kreis der Betroffenen, deren personenbezogene Daten verarbeitet werden, umfasst insbesondere:

  • Nutzer (z.B. Mitarbeiter des Auftraggebers, die die Plattform verwenden).
  • Kunden, Interessenten und sonstige Kommunikationspartner des Auftraggebers.

7. Berichtigung, Löschung, Sperrung und Herausgabe von Daten

  1. Der Auftraggeber kann jederzeit während und nach Beendigung dieses Vertrages bzw. des Hauptvertrages im Rahmen einer rechtmäßigen Einzelweisung die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen.
  2. Der Auftraggeber legt die Maßnahmen zur Herausgabe der überlassenen Datenträger und/oder Löschung der gespeicherten personenbezogenen Daten nach Beendigung des Vertrages vertraglich oder durch Einzelweisung fest.

8. Technisch-organisatorische Maßnahmen

  1. Der Auftragnehmer wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der personenbezogenen Daten vor Missbrauch und Verlust treffen, die den Anforderungen der Art. 24, 32 DSGVO entsprechen. Dies beinhaltet insbesondere, sofern dies angemessen ist,

    • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),

    • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

    • dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei und nach der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

    • dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

    • dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

    • dafür Sorge zu tragen, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

    • dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

    • dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle),

    • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,

    • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,

    • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,

    • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

  2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, sind zu dokumentieren.

9. Weisungen

  1. Der Auftraggeber hat das Recht, jederzeit Einzelweisungen über Art, Umfang und Verfahren der Verarbeitung personenbezogener Daten gegenüber dem Auftragnehmer zu erteilen. Einzelweisungen müssen schriftlich erfolgen.
  2. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen des Hauptvertrages, dieses Vertrages und von Einzelweisungen verarbeiten, es sei denn, dass der Auftragnehmer nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung der personenbezogenen Daten verpflichtet ist.
  3. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Einzelweisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
  4. Der Auftragnehmer muss den Auftraggeber von Ausnahmen von der Weisungspflicht aufgrund für ihn geltendem Recht unterrichten, es sei denn, gerade dieses Recht verbietet solche Mitteilung wegen eines wichtigen öffentlichen Interesses.

10. Sonstige Rechte und Pflichten des Auftragnehmers

  1. Der Auftragnehmer bestellt – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38, 39 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme auf Anfrage mitgeteilt.
  2. Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der personenbezogenen Daten befassten Mitarbeiter auf das Datengeheimnis verpflichtet werden (Art. 29 DSGVO) und in die Schutzbestimmungen der DSGVO eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
  3. Der Auftragnehmer unterrichtet den Auftraggeber bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten. Dies gilt auch für etwaige Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Art. 51-59 DSGVO oder Ermittlungen nach Art. 83, 84 DSGVO.

  4. Es ist bekannt, dass den Auftragnehmer nach Art. 33 DSGVO Informationspflichten im Falle der unrechtmäßigen Übermittlung oder Kenntniserlangung von bestimmten personenbezogenen Daten treffen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

    • Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

    • Eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

    Der Auftragnehmer hat angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

  5. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen von einer Verletzung des Schutzes personenbezogener Daten betroffen sind. Die datenschutzkonforme Vernichtung von Material übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber auf dessen Kosten. In besonderen, vom Auftraggeber schriftlich zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.
  6. Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) wird vom Auftraggeber gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, sichert der Auftragnehmer zu, dass die Maßnahmen nach Art. 32 DSGVO auch für Tele- und Heimarbeit sichergestellt werden.
  7. Soweit der Auftragnehmer nach diesem Vertrag Leistungen erbringt, die nicht durch den Hauptvertrag vergütet werden, kann der Auftragnehmer eine angemessene Vergütung verlangen.

11. Rechte und Pflichten des Auftraggebers

  1. Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich.
  2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig schriftlich zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  3. Dem Auftraggeber obliegen die aus Art. 33 DSGVO resultierenden Informationspflichten.

12. Anfragen Betroffener

  1. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Verarbeitung dessen personenbezogenen Daten zu geben, wird der Auftragnehmer den Auftraggeber, soweit erforderlich, dabei unterstützen, diese Informationen bereitzustellen, vorausgesetzt der Auftraggeber hat den Auftragnehmer hierzu schriftlich aufgefordert.
  2. Der Auftragnehmer wird den Auftraggeber darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.

13. Zusammenarbeit mit der Aufsichtsbehörde

Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

14. Kontrollpflichten des Auftraggebers

Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis. Hierfür kann er etwa Selbstauskünfte des Auftragnehmers einholen oder auf eigene Kosten ein Audit durchführen lassen. In Falle eines Audits trägt der Auftraggeber auch die Kosten der Mitarbeiter des Auftragnehmers, die am Audit mitwirken müssen.

15. Subunternehmer

  1. Die Beauftragung von Subunternehmen ist im Rahmen dieses Vertrages und der in Ziff. 3, 4, 5, 6 konkretisierten Tätigkeiten möglich, sofern der Auftragnehmer sicherstellt, dass der Subunternehmer die Pflichten aus diesem Vertrag gegenüber dem Auftragnehmer übernimmt. Es gelten insbesondere die in diesem Vertrag festgelegten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit.
  2. Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend Ziff. 14 einzuräumen. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, von dem Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.
  3. Der Auftragnehmer ist berechtigt, Subunternehmer zu beauftragen, sofern sie den Anforderungen gem. Ziff. 15.1 und 15.2 entsprechen und der Auftragnehmer den Auftraggeber hiervon in Kenntnis setzt und dieser nicht binnen sieben Tagen schriftlich widerspricht.
  4. Für den Fall der Verarbeitung personenbezogener Daten durch Subunternehmer in einem Drittland stellt der Auftragnehmer sicher, dass dies aufgrund eines Angemessenheitsbeschlusses der EU-Kommission vorgenommen wird oder es unter Vorsehung geeigneter Garantien gem. Artt. 46 ff. geschieht und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

16. Vertraulichkeitsverpflichtung

Der Auftragnehmer ist bei der Verarbeitung von personenbezogenen Daten zur Wahrung der Vertraulichkeit verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln schriftlich mitzuteilen.

17. Allgemeine Regelungen, Informationspflichten, Schriftformklausel, Rechtswahl

  1. Sollten personenbezogene Daten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegen.
  2. Die Verarbeitung der personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44, 45, 46 DSGVO erfüllt sind. Soweit die Verarbeitung durch einen Subunternehmer erfolgt, erteilt der Auftraggeber hiermit seine Zustimmung.
  3. Änderungen und Ergänzungen dieses Vertrages und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieses Vertrages handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  4. Es gilt deutsches Recht, mit Ausnahme des Kollisionsrechts.
  5. Gerichtsstand ist der sich aus dem Hauptvertrag ergebende Gerichtsstand.
Logo
Automatisiere, optimiere, dominiere – dein Marketing, intelligenter als je zuvor.
© Lunelink GmbH
Lunelink
Funktionen