ALLGEMEINE GESCHÄFTSBEDINGUNGEN

 

(1) Das Unternehmen RIDE GmbH [Haus Watergate, Falckensteinstraße 49, 10997 Berlin, HRB 207634 B] (nachfolgend „RIDE“ oder „das Unternehmen“), vertreten durch Frau Christine Kiefer, bietet Kaufleuten im Sinne des Handelsgesetzbuchs, juristischen Personen und Verbrauchern (nachfolgend „Nutzer“) im Rahmen eines Dienstvertrages die Möglichkeit, die verschiedenen unter § 2 aufgeführten Leistungsmodule auf der von RIDE betriebenen Website ride.capital (nachfolgend: „Website“ oder „Plattform“) gemäß den Vorgaben dieser allgemeinen Geschäftsbedingungen zu nutzen.

 

(2) Diese allgemeinen Geschäftsbedingungen enthalten abschließend die zwischen RIDE und dem Nutzer geltenden Bedingungen für die von RIDE im Rahmen dieses Dienstvertrages angebotenen Leistungen; die jeweiligen Ausführungen zu „Konditionen“ auf der Website sind Bestandteil dieser allgemeinen Geschäftsbedingungen. Von diesen allgemeinen Geschäftsbedingungen abweichende Regelungen gelten nur dann, wenn diese von RIDE schriftlich bestätigt werden. Mit Vertragsschluss gem. § 3 erkennt der Nutzer diese allgemeinen Geschäftsbedingungen als maßgeblich an. Allgemeine Geschäftsbedingungen des Nutzers sind nicht Inhalt dieses Dienstvertrages, auch wenn Ihnen im Einzelnen nicht ausdrücklich widersprochen wird.

 

(3) Änderungen dieser allgemeinen Geschäftsbedingungen werden dem Nutzer von RIDE schriftlich, per Telefax oder per E-Mail mitgeteilt. Widerspricht der Nutzer solchen Änderungen nicht innerhalb von sechs Wochen nach Zugang der Mitteilung, gelten die Änderungen als vereinbart. Auf das Widerspruchsrecht und die Rechtsfolgen des Schweigens wird der Nutzer im Falle der Änderung der Nutzungsbedingungen gesondert hingewiesen.

           

 

(1) RIDE bietet über die Website/Plattform verschiedene Leistungen an, die im Detail auf der Website beschrieben sind. Die Leistungen der RIDE umfassen insbesondere:

 

RIDE bietet den Nutzern die Möglichkeit, ein Konto auf der Plattform zu eröffnen und Dokumente sowie eigene Daten, insbesondere hinsichtlich der eigenen Vermögenssituation, hochzuladen. RIDE erstellt dem Nutzer in Bezug auf die konkrete Vermögenssituation Auswertungen und Übersichten.

 

RIDE bietet den Nutzern die Möglichkeit, über die Plattform - in Zusammenarbeit mit Notaren, Rechtsanwälten und Steuerberatern - Kapitalgesellschaften zu gründen und diese weiterführend betreuen zu lassen. RIDE weist darauf hin, dass der Nutzer keinen Rechtsanspruch auf die Eröffnung eines Bank- oder Depotkontos hat.

 

RIDE bietet im Rahmen des RIDE-Accounts und des Gründungs-Services in Zusammenarbeit mit ausgewählten Steuerberatern administrative und organisatorische Tätigkeiten für die Nutzer an und ermöglicht hierdurch einen unkomplizierten Datenaustausch über die RIDE Plattform.

 

In Zusammenarbeit mit ihren Partnersteuerberatern bietet RIDE eine automatisierte Wertpapierverbuchung für ausgewählte Broker an. Die Voraussetzung für eine ordnungsgemäße Auswertung ist die Eröffnung eines RIDE Accounts.

 

e. Coachings und Webinare

RIDE bietet für die Nutzer über die Plattform Coachings und Webinare durch Steuerberater, Rechtsanwälte, Vermögens- bzw. Anlageberater oder sonstige qualifizierte Berater zu ausgewählten Themen an.

 

(2) Die Plattform verfügt über ein integriertes, teilautomatisiertes Nachrichtensystem zwecks Vereinfachung der Kommunikation zwischen RIDE und den Nutzern wie auch über umfangreiche Funktionalitäten zur Verwaltung und Überwachung aller laufenden Geschäftstransaktionen.

 

(3) RIDE führt keine Rechts- Steuer- oder Anlageberatung durch. Durch die Zusammenarbeit mit Notaren, Rechtsanwälten, Steuerberatern und Anlageberatern bzw. Vermögensverwaltern werden diese Leistungen für den Nutzer durch qualifizierte Berater über die Plattform angeboten.

 

 

 

(1) Die Darstellungen der Dienstleistungen von RIDE auf der Website stellt kein rechtlich bindendes Angebot, sondern eine Aufforderung zur Bestellung (Invitatio ad offerendum) dar.

 

(2) Durch Anklicken des „Jetzt beauftragen“-Buttons im letzten Schritt des jeweiligen Bestellprozesses gibt der Nutzer ein verbindliches Angebot zur Buchung der in der Bestellübersicht angezeigten Dienstleistung ab. Unmittelbar nach Absenden der Bestellung erhält der Nutzer eine Bestellbestätigung, die jedoch noch keine Annahme des Vertragsangebots darstellt. Ein Vertrag zwischen dem Nutzer und RIDE kommt zustande, sobald RIDE die Bestellung durch eine gesonderte E-Mail annimmt.

 

 

(1) Die Website wird gehosted von HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 United States. Die RIDE Plattform wird gehosted von Amazon Web Services EMEA 38 avenue John F. Kennedy, L-1855 Luxembourg.

 

(2) Die Kommunikation mit dem Nutzer erfolgt grundsätzlich per E-Mail und der RIDE- Plattform, sowie über unseren telefonischen Kundensupport.

 

(3) Die nachträgliche Änderung von Stammdaten im RIDE Account erfolgt über eine textförmliche Mitteilung an den Kundensupport von RIDE.

 

(1) Der Nutzer steht dafür ein, dass die von ihm gegenüber RIDE gemachten Angaben wahr und vollständig sind. Der Nutzer verpflichtet sich, RIDE alle künftigen Änderungen der gemachten Angaben unverzüglich mitzuteilen und RIDE - sofern erforderlich – bei der Ausführung der Dienstleistung zu unterstützen.

 

(2) Der Nutzer sorgt dafür, dass die von ihm angegebene E-Mail-Adresse ab dem Zeitpunkt der Registrierung erreichbar und ein Empfang von E-Mails nicht unmöglich ist. Reagiert der Nutzer auf zeitsensitive Anfragen und/oder Aufforderungen der RIDE in Zusammenhang mit der Leistungserbringung der gebuchten Dienstleistungen schuldhaft nicht nach Ablauf einer angemessenen Frist, behält sich RIDE vor, den entstandenen Schaden geltend zu machen.

 

(3) Bei einem Missbrauch des RIDE Accounts, einem entsprechenden Verdacht oder Verlust besteht eine Anzeigepflicht, die über E-Mail erfolgen kann. Unter Missbrauch ist ebenfalls die Weitergabe von Inhalten (z.B. Verträgen, exklusiven Informationen oder Informationen, die als solche gekennzeichnet sind) zu verstehen. Unterbleibt eine Anzeige, behält sich RIDE vor, den entstandenen Schaden geltend zu machen.

 

(4) Der Nutzer hat entsprechende Vorkehrungen zu treffen, die über den RIDE Account bereitgestellten Informationen regelmäßig und ordnungsgemäß zu sichern, eigene Sicherungskopien zu erstellen und bei Verlust der Daten eigenständig für deren Wiederherstellung zu sorgen.

 

 

 

RIDE haftet auf Schadensersatz aus jeglichem Rechtsgrund entsprechend diesen Bestimmungen:

 

(1) Die Haftung für Schäden, die von RIDE oder einem seiner Erfüllungsgehilfen oder gesetzlichem Vertreter vorsätzlich oder grob fahrlässig verursacht werden, ist der Höhe nach unbegrenzt.

 

(2) Bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, ist die Haftung auch bei einer einfach fahrlässigen Pflichtverletzung von RIDE oder eines gesetzlichen Vertreters oder Erfüllungsgehilfen der Höhe nach unbegrenzt.

 

(3) Unbegrenzt der Höhe nach ist die Haftung auch für Schäden, die auf schwerwiegendes Organisationsverschulden von RIDE zurückzuführen sind.

 

(4) Bei der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) haftet das RIDE, wenn keiner der in den Absätzen 1 bis 3 genannten Fälle gegeben ist, der Höhe nach begrenzt auf den vertragstypisch vorhersehbaren Schaden. Der Begriff der Kardinalpflicht bezeichnet dabei abstrakt solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglichen und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf.

 

(5) Jede weitere Haftung von RIDE auf Schadensersatz ist ausgeschlossen, insbesondere ist die Haftung ohne Verschulden ausgeschlossen.

 

(6) Ist ein Schaden sowohl auf ein Verschulden von RIDE als auch auf ein Verschulden vom Nutzer zurückzuführen, muss sich letzterer sein Mitverschulden anrechnen lassen.

 

 

(1) Der jeweils auf der Website ausgewiesene Preis wird innerhalb von 10 Tagen nach Rechnungsstellung fällig. Die Bezahlung erfolgt mittels Banküberweisung. Unsere Bankverbindung lautet:

 

RIDE GmbH
Berliner Sparkasse
IBAN DE46 1005 0000 0190 8425 55

(2) Die Zahlungsverpflichtung entsteht für die jeweils gebuchte Leistung auch dann, wenn ohne Verschulden von RIDE die vertragsgegenständliche Leistung nicht (vollständig) erbracht werden kann oder erbracht werden soll.

 

 

(1) Der diesen allgemeinen Geschäftsbedingungen zugrundeliegende Vertrag wird auf unbestimmte Zeit geschlossen. Er beginnt mit dem Vertragsschluss nach § 3.

 

(2) Der Vertrag kann von beiden Parteien mit einer Frist von drei Wochen zum Monatsende gekündigt werden.

 

(3) Jede Partei hat das Recht, den Vertrag aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist zu kündigen. Ein wichtiger Grund ist insbesondere

 

a. der Verstoß eines Nutzers gegen die Bestimmungen dieser allgemeinen Geschäftsbedingungen oder sonstigem geltenden Recht, der auch nach Fristsetzung nicht beseitigt wird;

 

b. die deliktische Handlung eines Nutzers oder der Versuch einer solchen, z.B. Betrug;

 

c. der Verzug des Nutzers mit der Zahlungspflicht gemäß der vom Nutzer gem. § 6 zu leistenden Zahlung um mehr als sechs Wochen;

 

d. andauernde Betriebsstörungen infolge von höherer Gewalt, die außerhalb der Kontrolle von RIDE liegen, wie z.B. Naturkatastrophen, Brand, unverschuldeter Zusammenbruch von Leitungsnetzen.

 

(4) Jede Kündigung muss schriftlich erfolgen. Kündigungen per E-Mail an die folgende Adresse wahren die Schriftform: kontakt@ride.capital.

 

 

(1) Eine teilweise oder vollständige Übertragung der Rechte des Nutzers aus dem Vertrag mit RIDE an Dritte ist ausgeschlossen, außer RIDE stimmt einer Übertragung schriftlich zu.

 

(2) Zur Aufrechnung gegenüber RIDE ist der Nutzer nur mit unbestrittenen oder rechtskräftigen Gegenforderungen berechtigt.

 

 

(1) Beide Parteien verpflichten sich, alle ihnen vor oder bei der Vertragsdurchführung von dem jeweils anderen Vertragspartner zugehenden oder bekannt werdenden Gegenstände (z.B. Unterlagen, Informationen) oder Daten, die rechtlich geschützt sind oder Geschäfts- oder Betriebsgeheimnisse enthalten oder als vertraulich bezeichnet sind, auch über das Vertragsende hinaus vertraulich zu behandeln, es sei denn, sie sind ohne Verstoß gegen die Geheimhaltungspflicht öffentlich bekannt. Die Vertragspartner verwahren und sichern alle Gegenstände und Passwörter so, dass ein Zugang durch Dritte ausgeschlossen ist.

 

(2) Im Übrigen gelten die Belehrungen unserer Datenschutzerklärung.

 

 

Als Verbraucher steht dem Nutzer nach Maßgabe der im Anhang aufgeführten Belehrung ein Widerrufsrecht zu. Verbraucher ist jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können.

 

 

(1) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand für alle Rechtsstreitigkeiten ist Berlin, sofern der Nutzer Kaufmann oder eine juristische Person öffentlichen Rechts ist oder keinen allgemeinen Gerichtsstand in Deutschland hat.

 

(2) Sollten einzelne Bestimmungen dieser allgemeinen Geschäftsbedingungen unwirksam sein oder werden und/oder den gesetzlichen Regelungen widersprechen, so wird hierdurch die Wirksamkeit der allgemeinen Geschäftsbedingungen im Übrigen nicht berührt. Die unwirksame Bestimmung wird von den Vertragsparteien einvernehmlich durch eine solche Bestimmung ersetzt, welche dem wirtschaftlichen Zweck der unwirksamen Bestimmung in rechtswirksamer Weise am nächsten kommt. Die vorstehende Regelung gilt entsprechend bei Regelungslücken.

 

 

Sofern der Nutzer Verbraucher ist, hat dieser bei Abschluss eines Fernabsatzgeschäfts oder eines außerhalb von Geschäftsräumen geschlossenen Vertrags grundsätzlich ein gesetzliches Widerrufsrecht, über das RIDE entsprechend dem gesetzlichen Muster nachfolgend informiert:

Sie haben das Recht, binnen vierzehn Tagen ohne Angaben von Gründen diesen Vertrag zu widerrufen.

Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsabschlusses.

Um Ihr Widerrufsrecht auszuüben, müssen Sie uns (RIDE GmbH, Haus Watergate, Falckensteinstraße 49, 10997 Berlin, kontakt@ride.capital, +49 30 629 373 00) mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief, Telefax oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.

Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

RIDE wird bereits vor Ablauf der Widerrufsfrist tätig; nicht ausgeschlossen ist, dass bereits gewährte Leistungen nach Art und Umfang in Rechnung gestellt werden können.

 

 

Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, günstigste Standardlieferung gewählt haben), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrages bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet.

Haben Sie verlangt, dass die Dienstleistung während der Widerrufsfrist beginnen soll, so haben Sie uns einen angemessenen Betrag zu zahlen, der den Anteil der bis zum Zeitpunkt, an dem Sie uns von der Ausübung Ihres Widerrufsrechts hinsichtlich dieses Vertrages unterrichten, bereits erbrachten Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.

Darüber hinaus informieren wir Sie nachfolgend über das Muster-Widerrufsformular nach den gesetzlichen Regelungen:

 

 

(Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden Sie es zurück.)

 

 

 

 

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

¹Details zum Gegenstand und der Dauer der Verarbeitung ergeben sich jeweils aus dem geschlossenen Vertrag über die Erbringung der folgenden Dienstleistungen: Admin-Service, Wertpapierverbuchungs-Service, Gründungs-Service sowie den Kauf einer Vorratsgesellschaft oder den Erwerb von nicht börsennotierten Unternehmensanteilen (nachfolgend Hauptvertrag genannt). ²Vorliegender Vertrag ist rechtlich unselbständig und teilt das rechtliche Schicksal des Hauptvertrags; eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. ³Es ist den Parteien bewusst, dass ohne Vorliegen eines gültigen Auftragsverarbeitungsvertrags keine (weitere) Auftragsverarbeitung durchgeführt werden darf. ⁴ Eine isolierte ordentliche Kündigung dieses Vertrags ist ausgeschlossen.

 

§ 2 Konkretisierung des Auftragsinhalts

(1) Art der Verarbeitung

¹Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet. ²Im Einzelnen handelt es sich dabei um das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, die Verknüpfung oder das Löschen.

 

(2) Zweck der Verarbeitung

Die Datenverarbeitung erfolgt zu folgendem Zweck:

• Zur Verbuchung der Wertpapiertransaktionen mit der RIDE-Software
• Zur Erstellung des Kundenprofils 

 

(3) Ort der Verarbeitung

¹Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in Deutschland statt. ²Jede Verlagerung in einen anderen Mitgliedstaat der Europäischen Union (EU), einen anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) oder ein Drittland bedarf einer dokumentierten Weisung des Auftraggebers. ³Eine Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO sowie die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der EU-Verordnung 2016/679 des Europäischen Parlements und des Rates erfüllt sind.

 

(4) Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:

 

• Personenstammdaten
• Kontakt-/Kommunikationsdaten (z. B. Telefon, Email)
• Auskunftsangaben (von Dritten, z. B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
• Steuerliche Daten und Vermögensdaten
• Depotdaten

 

(5) Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

 

• Kunden bzw. Mandanten
• Gesellschafter und Geschäftsführer 
• Endkunden

 

§ 3 Technische und organisatorische Maßnahmen

(1) ¹Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. ²Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. ³Soweit die Prüfung bzw. ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

 

(2) ¹Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c und lit. e Hs. 1, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, 2 DSGVO, herzustellen. ²Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme und Dienste. ³Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

 

(3) ¹Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. ²Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. ³Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. ⁴Wesentliche Änderungen sind zu dokumentieren.

 

§ 4 Qualitätssicherung und sonstige Pflichten des Auftragnehmers gem. Art. 28 Abs. 3 S. 1 DSGVO

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags eigene gesetzliche Pflichten eines Auftragsverarbeiters; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

 

1. ¹Soweit gesetzlich verpflichtet, benennt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz, die ihre Tätigkeit gemäß Art. 39, 38 DSGVO ausübt. ²Die Kontaktdaten des benannten Datenschutzbeauftragten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitgeteilt. ³Sofern der Auftragnehmer nicht zur Benennung eines Datenschutzbeauftragten verpflichtet ist, benennt er einen Ansprechpartner für Datenschutzangelegenheiten, dessen Kontaktdaten dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitgeteilt werden. ⁴Sämtliche Änderungen in der Person des Datenschutzbeauftragten bzw. des Ansprechpartners sind dem Auftraggeber unverzüglich anzuzeigen.
2. Der Auftragnehmer gewährleistet gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
3. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung (Art. 29, 32 Abs. 4 DSGVO) des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
4. Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, Art. 32 DSGVO.
5. Der Auftraggeber und der Auftragnehmer (und ggf. deren Vertreter) arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).
6. ¹Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über aufsichtsbehördliche Kontrollhandlungen und Maßnahmen zu informieren, soweit sie sich auf diesen Auftrag beziehen. ²Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
7. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
8. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
9. Der Auftragnehmer gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 6 dieses Vertrags.

 

§ 5 Unterauftragsverhältnisse gem. Art. 28 Abs. 3 S. 2 lit. d DSGVO i.V.m. Art. 28 Abs. 2 und 4 DSGVO

(1) ¹Als Unterauftragsverhältnisse sind Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. ²Nicht als Unterauftragsverhältnisse sind dagegen solche Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. ³Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen oder Bewachungsdienste. ⁴Gleichwohl ist der Auftragnehmer verpflichtet, auch bei von Dritten erbrachten Nebenleistungen Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. ⁵Die Wartung und Pflege von IT-Systemen oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogene Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.

 

(2) In Übereinstimmung mit der Regelung des Art. 28 Abs. 2 S. 1 DSGVO nimmt der Auftragnehmer keinen weiteren Auftragsverarbeiter (Unterauftragnehmer, Sub-Unterauftragnehmer) ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch, wobei die Bestimmungen zu Unterauftragsverhältnissen sowohl für den Unterauftragnehmer als auch für sämtliche in der Folge in Anspruch genommenen weiteren (Sub-)Unterauftragnehmer (entsprechende) Anwendung finden.

 

(3) Der Auftraggeber stimmt hiermit der Beauftragung nachfolgender Unterauftragnehmer zu:

 

(4) ¹Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragnehmer) durch den Auftragnehmer. ²Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. ³Dem Auftraggeber steht im Einzelfall ein Recht zu, schriftlich oder in Textform Einspruch gegen die Beauftragung eines potenziellen weiteren Auftragsverarbeiters zu erheben. ⁴Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. ⁵Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. ⁶Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung aus anderen als aus wichtigen Gründen, kann der Auftragnehmer diesen Vertrag wie auch gegebenenfalls den Hauptvertrag zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers kündigen.

 

(5) ¹Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen 2erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Insbesondere obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag nach Maßgabe des Art. 28 Abs. 4 S. 1 DSGVO auf den weiteren Auftragsverarbeiter zu übertragen.

 

(6) ¹Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. ²Gleiches gilt, wenn Dienstleister im Sinne des Abs. 1 Satz 2 eingesetzt werden sollen.

 

(7) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der vorherigen ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

 

§ 6 Kontrollrechte des Auftraggebers gem. Art. 28 Abs. 3 S. 2 lit. h DSGVO

(1) ¹Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer, die nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen dürfen, durchführen zu lassen. ²Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung der Bestimmungen dieses Vertrags durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

 

(2) ¹Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. ²Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

 

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

 

1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
2. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) und/oder
4. eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit (z. B. nach dem BSI-Grundschutz).

 

§ 7 Unterstützungs- und Mitteilungspflichten des Auftragnehmers gem. Art. 28 Abs. 3 S. 2 lit. e und f DSGVO

(1) ¹Der Auftraggeber ist für die Wahrung der Rechte der betroffenen Person verantwortlich. ²Vor diesem Hintergrund ist der Auftragnehmer gleichwohl verpflichtet, den Auftraggeber abhängig von der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner, des Auftraggebers, Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person, das heißt bei der Beantwortung von Anfragen betroffener Personen in Bezug auf die Informationspflichten des Auftraggebers gegenüber den betroffenen Personen, deren Auskunftsrecht, ihrem Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie damit im Zusammenhang stehenden Mitteilungspflichten des Auftraggebers, dem Widerspruchsrecht oder auf automatisierte Entscheidungen einschließlich Profiling zu unterstützen, wenn die betroffene Person entsprechende Rechte geltend macht. ³Soweit sich die betroffene Person zwecks Geltendmachung eines Rechts unmittelbar an den Auftragnehmer wendet, leitet dieser die Anfragen der betroffenen Person unverzüglich an den Auftraggeber weiter.

 

(2) ¹Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Auftragsverarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen außerdem bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten, also bei der Erfüllung seiner, des Auftraggebers, gesetzlichen Verpflichtungen zur Datensicherheit, zur Meldung von Datenpannen an die Aufsichtsbehörden und die betroffenen Personen, zur Durchführung von Datenschutz-Folgenabschätzungen sowie zur vorherigen Konsultation der zuständigen Aufsichtsbehörde, sofern dies im Rahmen der Datenschutz-Folgenabschätzung erforderlich ist. ²Der Auftragnehmer und der Auftraggeber arbeiten auf Anfragen der zuständigen Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben zusammen.

 

§ 8 Weisungsbefugnis des Auftraggebers

(1) ¹Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist (Art. 28 Abs. 3 S. 3 lit. a, Art. 29 DSGVO). ²Im Falle einer solchen Verpflichtung teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

 

(2) ¹Der Auftragnehmer gewährleistet, dass die Auftragsverarbeitung im Einklang mit den Weisungen des Auftraggebers erfolgt. ²Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darüber zu informieren; nach einer entsprechenden Mitteilung an den Auftraggeber ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. ³Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung beim Auftraggeber liegt.

 

(3) ¹Die Weisungen des Auftraggebers erfolgen grundsätzlich in Schrift- oder Textform. ²Bei Bedarf kann der Auftraggeber Weisungen auch (fern-)mündlich erteilen. ³(Fern-)Mündlich erteilte Weisungen bestätigt der Auftraggeber unverzüglich in Schrift- oder Textform.

 

§ 9 Löschung und Rückgabe von personenbezogenen Daten gem. Art. 28 Abs. 3 S. 2 lit. g DSGVO

(1) ¹Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. ²Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

 

(2) ¹Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. ²Gleiches gilt für Test- und Ausschussmaterial. ³Das Protokoll der Löschung ist auf Anforderung vorzulegen.

 

(3) ¹Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. ²Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

 

§ 10 Sonstige Bestimmungen 

(1) ¹Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. ²Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

 

(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

 

(3) ¹Für Nebenabreden ist die Schriftform erforderlich. ²Dies gilt in gleicher Weise für den Verzicht auf dieses Formerfordernis.

 

(4) Die Einrede des Zurückbehaltungsrechts, gleich aus welchem Rechtsgrund, wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

 

(5) Dieser Vertrag gilt auch, wenn und soweit Behörden oder Gerichte abweichend eine gemeinsame Verantwortlichkeit der Vertragsparteien nach Art. 26 DSGVO annehmen.

 

(6) ¹Sollten sich einzelne Bestimmungen des Vertrags ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen der Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, so bleiben die übrigen Vertragsbestimmungen und die Wirksamkeit des Vertrags im Ganzen hiervon unberührt. ²An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt. ³Sollte sich der Vertrag als lückenhaft erweisen, so gelten die Bestimmungen als vereinbart, die dem Sinn und Zweck des Vertrags entsprechen und im Falle des Bedachtwerdens vereinbart worden wären.

 

(7) Der Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner internationalen Verweisungsnormen.

 

(8) Ausschließlicher Gerichtsstand bei allen Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers.