Vereinbarung zur Auftragsverarbeitung

gem. Art 28 DSGVO

Vereinbarung zur Auftragsverarbeitung

gem. Art. 28 DSGVO

Für die unter § 1 fallenden Aufgaben durch den Auftragnehmer

- nachfolgend „Leistungsvereinbarung“ -

zwischen

einem Verantwortlichen im Sinne der DSGVO

Unternehmen

Vollständiger Name

Anschrift

Ort

Land

PLZ

E-Mail *

- nachfolgend „Verantwortlicher“ -

und

AudaMedia Deutschland GmbH & Co. KG, Willscheider Weg 14-24, 53560 Vettelschoß, Deutschland

- nachfolgend „Auftragsverarbeiter“ -

- beide nachfolgend gemeinsam „Vertragsparteien“ -

wird die folgende Vereinbarung zur Auftragsverarbeitung geschlossen:

Inhalt

Vereinbarung zur Auftragsverarbeitung

Inhalt

Präambel

§ 1 Anwendungsbereich und Gegenstand der Verarbeitung

§ 2 Dauer und Konkretisierung des Auftragsinhalts

§ 3 Verantwortlichkeit und Weisungsbefugnis

§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter

§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle

§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter

§ 7 Löschung und Rückgabe von Daten

§ 8 Subunternehmen

§ 9 Datenschutzkontrolle

§ 10 Geheimhaltung

§ 11 Haftung

§ 12 Schlussbestimmungen

Anhang 1 „Technisch-organisatorische Maßnahmen“

1. Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)

2. Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(Art. 32 Abs. 1 Buchst. d DSGVO; Art. 25 Abs. 1 DSGVO)

Anhang 2 „Genehmigte Unterauftragsverhältnisse“

Präambel

Die Vertragsparteien sind mit der Leistungsvereinbarung ein Auftragsverarbeitungsverhältnis eingegangen. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - DSGVO), und des Bundesdatenschutzgesetzes (BDSG) zu konkretisieren, schließen die Vertragsparteien die nachfolgende Vereinbarung.

§ 1 Anwendungsbereich und Gegenstand der Verarbeitung

(1) Diese Vereinbarung findet Anwendung auf alle Verarbeitungen personenbezogener Daten (im Folgenden „Daten“), die der Auftragsverarbeiter im Auftrag des Verantwortlichen auf Grundlage des bestehenden Vertragsverhältnisses durchführt.

(2) Gegenstand der Verarbeitung ist insbesondere die Erbringung von digitalen Dienstleistungen und technischen Systemen durch den Auftragsverarbeiter, darunter:

- Bereitstellung und Betrieb von KI-gestützten Systemen, Webseiten, CRM- und Kommunikationsplattformen, digitalen POS-Lösungen sowie begleitenden Dienstleistungen (z. B. Hosting, Support, Pflege, Datenanalyse, Tracking, Kundenservice). Soweit im Rahmen der Leistungen Schnittstellen zu Zahlungsdienstleistern, Kassensystemen, EC-Terminals, Reservierungs-, Kommunikations- oder sonstigen Drittsystemen bereitgestellt werden, umfasst die Auftragsverarbeitung auch die technische Übermittlung, Verarbeitung und Synchronisation der hierfür erforderlichen Daten im Auftrag des Verantwortlichen.

(3) Nicht Gegenstand dieser Vereinbarung sind Daten von Beschäftigten des Auftragsverarbeiters, soweit diese ausschließlich das eigene Beschäftigungsverhältnis betreffen.

(4) Die Art der verarbeiteten Daten, der Zweck der Verarbeitung sowie die betroffenen Personengruppen werden im weiteren Verlauf dieser Vereinbarung beschrieben (vgl. § 2 Abs. 4 bis 6).

§ 2 Dauer und Konkretisierung des Auftragsinhalts

(1) Die Verarbeitung personenbezogener Daten beginnt mit dem Abschluss der Leistungsvereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter und dauert so lange an, wie das Vertragsverhältnis besteht oder der Auftragsverarbeiter vom Verantwortlichen zur Verarbeitung beauftragt ist. Dies schließt die Speicherung in Backups ein.

(2) Im Falle von Widersprüchen zwischen dieser Vereinbarung und anderen vertraglichen Regelungen zwischen den Parteien geht diese Vereinbarung vorrangig vor.

(3) Zweck, Art und Umfang der Verarbeitung:

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erfüllung vertraglich vereinbarter Leistungen im Bereich digitaler Kommunikation, Marketing, Kundenmanagement, POS-Systeme, Webseitenbetrieb, KI-gestützter Systeme oder vergleichbarer digitaler Dienstleistungen.

(4) Arten der verarbeiteten personenbezogenen Daten können insbesondere sein:

- Name, Anschrift, Telefonnummer, E-Mail-Adresse

- IP-Adresse, Geräteinformationen, Cookies

- Nutzungsdaten (z. B. Klicks, Interaktionen, besuchte Seiten)

- Kommunikationsdaten (z. B. E-Mails, Chatverläufe, Supportanfragen)

- Kauf- und Transaktionsdaten

- Standortdaten (sofern technisch erforderlich)
- Bestell-, Reservierungs-, Kauf- und Transaktionsdaten

- Zahlungsstatusdaten, Zahlungsart, Zahlungsanbieter-Referenzen, Zahlungsdienstleister-IDs, Kassenreferenzen, Bonnummern, Storno- und Rückerstattungsinformationen, soweit diese zur Bestellabwicklung, Zahlungsstatusanzeige, Dokumentation oder Übergabe an angebundene Systeme erforderlich sind.
- keine vollständigen Kreditkarten-, EC-Karten- oder sonstigen Zahlungsinstrumentdaten, soweit diese unmittelbar durch den jeweiligen Zahlungsdienstleister, EC-Terminal-Anbieter oder das Kassensystem verarbeitet werden

- Interessen, Präferenzen, demografische Angaben (soweit verarbeitet)

(5) Kategorien betroffener Personen:

- Kunden und Interessenten des Verantwortlichen

- Beschäftigte des Verantwortlichen (sofern relevant)

- Lieferanten und Dienstleister des Verantwortlichen

- Websitebesucher und Nutzer digitaler Systeme

§ 3 Verantwortlichkeit und Weisungsbefugnis

(1) Der Verantwortliche ist im Sinne von Art. 4 Nr. 7 DSGVO für die Einhaltung der gesetzlichen Datenschutzvorschriften verantwortlich. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern keine anderweitige gesetzliche Verpflichtung besteht.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Wahrnehmung der Rechte betroffener Personen, insbesondere bei Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- oder Übertragbarkeitsbegehren.

(3) Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, so leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter. Ohne ausdrückliche Anweisung erfolgt keine eigenständige Reaktion gegenüber der betroffenen Person.

(4) Weisungen des Verantwortlichen erfolgen grundsätzlich schriftlich oder in einem elektronisch dokumentierten Format. Mündliche Weisungen sind nachträglich zu dokumentieren.

(5) Bestehen Zweifel an der Rechtmäßigkeit einer Weisung, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich. Der Auftragsverarbeiter ist in diesem Fall berechtigt, die Ausführung der Weisung bis zur Bestätigung oder Anpassung auszusetzen.

(6) Änderungen des Verarbeitungszwecks oder neue Verarbeitungstätigkeiten bedürfen der vorherigen schriftlichen Zustimmung des Verantwortlichen. Eine Weitergabe von Daten an Dritte oder eine Verwendung zu eigenen Zwecken ist unzulässig.
(7) Der Verantwortliche bleibt für die von ihm eingesetzten oder angebundenen Zahlungsdienstleister, Kassensysteme, EC-Terminals und sonstigen Drittsysteme verantwortlich, soweit diese von ihm ausgewählt, eingerichtet, vertraglich genutzt oder in seinem Namen betrieben werden. Der Auftragsverarbeiter verarbeitet und übermittelt Daten an solche Systeme ausschließlich im Rahmen der beauftragten technischen Leistung und auf Weisung des Verantwortlichen.

(8) Der Auftragsverarbeiter stellt sicher, dass nur autorisierte Personen Zugriff auf die Daten haben, und dass diese Personen gemäß Art. 29 DSGVO zur Vertraulichkeit verpflichtet sind.

(9) Eine Verarbeitung der Daten außerhalb der EU/des EWR ist nur nach schriftlicher Genehmigung durch den Verantwortlichen und unter Einhaltung der Art. 44 ff. DSGVO zulässig.

(10) Der Auftragsverarbeiter führt ein Verzeichnis gemäß Art. 30 Abs. 2 DSGVO und stellt dem Verantwortlichen auf Anfrage alle dafür relevanten Angaben zur Verfügung.

§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter

(1) Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.

(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere im Zusammenhang mit der Datensicherheit, der Meldung von Verletzungen des Schutzes personenbezogener Daten, der Datenschutz-Folgenabschätzung und der vorherigen Konsultation.

(3) Der Auftragsverarbeiter benennt, sofern gesetzlich vorgeschrieben, einen Datenschutzbeauftragten gemäß Art. 37 DSGVO. Dessen Kontaktdaten werden dem Verantwortlichen auf Anfrage mitgeteilt.

(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollmaßnahmen und Anfragen der zuständigen Datenschutzaufsichtsbehörden, soweit diese sich auf die Auftragsverarbeitung beziehen. Dies gilt auch, wenn eine zuständige Behörde im Rahmen eines Verwaltungs-, Bußgeld- oder Strafverfahrens ermittelt.

(5) Sofern der Auftragsverarbeiter durch eine gesetzliche Vorschrift der Union oder eines Mitgliedstaates zu einer weitergehenden Verarbeitung verpflichtet ist, teilt er dies dem Verantwortlichen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.

§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle

(1) Der Auftragsverarbeiter verpflichtet sich, die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten zu treffen. Die zum Zeitpunkt des Vertragsschlusses bestehenden Maßnahmen sind im Anhang 1 dieser Vereinbarung dokumentiert und Bestandteil dieses Vertrags.

(2) Der Auftragsverarbeiter stellt sicher, dass die getroffenen Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten, wobei insbesondere die Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten – sei es unbeabsichtigt oder unrechtmäßig – berücksichtigt werden.

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist daher berechtigt, alternative angemessene Maßnahmen umzusetzen, sofern das Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und dem Verantwortlichen auf Anfrage mitzuteilen.

(4) Der Auftragsverarbeiter ermöglicht dem Verantwortlichen nach vorheriger Abstimmung eine Überprüfung – einschließlich Inspektionen – der Einhaltung der in dieser Vereinbarung festgelegten Pflichten, insbesondere der technischen und organisatorischen Maßnahmen. Diese Überprüfung kann auch durch einen vom Verantwortlichen beauftragten unabhängigen Prüfer erfolgen. Der Auftragsverarbeiter unterstützt die Durchführung in angemessenem Umfang.

(5) Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann auch durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, durch eine Zertifizierung nach Art. 42 DSGVO oder durch Vorlage entsprechender Testate, Berichte oder Prüfungszertifikate erfolgen.

(6) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn der Schutz der Daten beeinträchtigt ist oder droht, beeinträchtigt zu werden.

§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter

(1) Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen unverzüglich zu informieren, wenn ihm Verstöße gegen Vorschriften zum Schutz personenbezogener Daten, gegen diese Vereinbarung oder gegen erteilte Weisungen des Verantwortlichen bekannt werden. Gleiches gilt bei schwerwiegenden Störungen des Betriebsablaufs, die die Sicherheit der Daten beeinträchtigen könnten, sowie bei Verdacht auf derartige Vorfälle.

(2) Der Auftragsverarbeiter stellt sicher, dass er in der Lage ist, Meldungen gemäß Art. 33 DSGVO unverzüglich an den Verantwortlichen weiterzugeben. Dazu gehören insbesondere:

– alle Informationen, die für die Bewertung und Dokumentation eines Vorfalls erforderlich sind,

– die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,

– die betroffenen Datenkategorien und ggf. betroffene Personen,

– die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalls und zur Abmilderung seiner möglichen nachteiligen Auswirkungen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei der Erfüllung seiner Pflichten nach Art. 33 und 34 DSGVO, insbesondere bei der Bewertung der Risiken und bei ggf. erforderlichen Meldungen an die Aufsichtsbehörde sowie der Benachrichtigung betroffener Personen.

(4) Meldungen an die Aufsichtsbehörde oder an betroffene Personen dürfen durch den Auftragsverarbeiter nur auf ausdrückliche Weisung des Verantwortlichen erfolgen.

§ 7 Löschung und Rückgabe von Daten

(1) Alle personenbezogenen Daten, Datenträger und Verarbeitungsergebnisse, die dem Auftragsverarbeiter im Rahmen der Auftragsverarbeitung überlassen oder durch ihn verarbeitet wurden, verbleiben im Eigentum des Verantwortlichen.

(2) Nach Abschluss der vertraglich vereinbarten Leistungen oder auf ausdrückliche Weisung des Verantwortlichen – spätestens jedoch mit Beendigung der Auftragsverarbeitung – hat der Auftragsverarbeiter sämtliche personenbezogenen Daten sowie alle Kopien davon entweder datenschutzkonform zu löschen oder dem Verantwortlichen zurückzugeben. Dies gilt auch für etwaige Test- und Ausschussdaten. Der Verantwortliche kann zwischen Löschung und Rückgabe wählen. Die Durchführung ist zu dokumentieren und dem Verantwortlichen auf Verlangen nachzuweisen.

(3) Eine gesetzlich vorgeschriebene Aufbewahrungspflicht bleibt hiervon unberührt. In diesem Fall ist die weitere Verarbeitung der betroffenen Daten auf die Erfüllung der gesetzlichen Aufbewahrungspflicht zu beschränken. Die Daten sind gegen unbefugten Zugriff zu sichern und nach Ablauf der gesetzlichen Frist unverzüglich datenschutzkonform zu löschen.

(4) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, können vom Auftragsverarbeiter über das Vertragsende hinaus aufbewahrt werden, soweit dies zur Einhaltung gesetzlicher oder vertraglicher Nachweispflichten erforderlich ist.

§ 8 Subunternehmen

(1) Der Auftragsverarbeiter setzt zur Erfüllung seiner Leistungen ggf. Subunternehmer ein. Der Verantwortliche stimmt dem Einsatz solcher Subunternehmer unter der Voraussetzung zu, dass der Auftragsverarbeiter mit diesen vertragliche Vereinbarungen gemäß Art. 28 Abs. 4 DSGVO abschließt, die sicherstellen, dass die gleichen Datenschutzpflichten wie in dieser Vereinbarung auch gegenüber dem Subunternehmer gelten.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung hinsichtlich der Hinzuziehung oder Ersetzung von Subunternehmern mit Datenzugriff. Der Verantwortliche kann dieser Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch innerhalb von 14 Tagen nach Zugang der Information, gilt die Zustimmung als erteilt.

(3) Die Verantwortung für die Einhaltung der Pflichten aus diesem Vertrag bleibt auch im Falle der Beauftragung eines Subunternehmers vollständig beim Auftragsverarbeiter.

(4) Der Auftragsverarbeiter führt eine Liste genehmigter Subunternehmer in Anhang 2. Diese Liste enthält die Namen, Anschriften und Datenverarbeitungstätigkeiten der jeweiligen Subunternehmer. Die Liste wird regelmäßig aktualisiert. Eine Verarbeitung in einem Drittland erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO.

(5) Nicht als Subunternehmer im Sinne dieser Regelung gelten Dienstleister, deren Leistungen keine spezifische Verarbeitung personenbezogener Daten im Auftrag betreffen, z. B. Telekommunikationsdienste, Post- oder Transportdienste. Der Auftragsverarbeiter verpflichtet sich dennoch, die datenschutzrechtlichen Anforderungen auch bei solchen unterstützenden Leistungen angemessen zu berücksichtigen.
(6) Nicht als Subunternehmer des Auftragsverarbeiters gelten Zahlungsdienstleister, Kassensystemanbieter, EC-Terminal-Anbieter, Reservierungsanbieter oder sonstige Drittsysteme, die der Verantwortliche selbst auswählt, einrichtet, vertraglich nutzt oder in seinem Namen betreibt. Dies gilt insbesondere, wenn der Verantwortliche eigene Konten, Verträge oder Zugänge bei diesen Anbietern verwendet. Die datenschutzrechtliche Einordnung und Einbindung solcher Anbieter obliegt dem Verantwortlichen.

§ 9 Datenschutzkontrolle

(1) Der Auftragsverarbeiter gewährleistet, dass der Verantwortliche sich jederzeit von der Einhaltung der datenschutzrechtlichen Pflichten und der vertraglich vereinbarten Maßnahmen überzeugen kann. Der Verantwortliche ist insbesondere berechtigt, nach angemessener Vorankündigung während der üblichen Geschäftszeiten Prüfungen – einschließlich Inspektionen – durchzuführen oder durch fachkundige Dritte durchführen zu lassen.

(2) Der Auftragsverarbeiter verpflichtet sich, bei der Durchführung solcher Kontrollen mitzuwirken und insbesondere die erforderlichen Auskünfte zu erteilen, Unterlagen vorzulegen sowie den Zugang zu den relevanten Datenverarbeitungsanlagen zu ermöglichen.

(3) Der Auftragsverarbeiter erklärt sich zudem bereit, der/dem Datenschutzbeauftragten des Verantwortlichen sowie der zuständigen Datenschutzaufsichtsbehörde Zugang zu gewähren, soweit dies zur Wahrnehmung deren gesetzlichen Aufgaben erforderlich ist. Dies schließt auch Einsichtnahmen in durch Berufsgeheimnisse geschützte Unterlagen ein, soweit keine gesetzliche Schweigepflicht entgegensteht.

(4) Die zur Verfügung gestellten Informationen sowie Ergebnisse aus durchgeführten Prüfungen sind vertraulich zu behandeln und dürfen ausschließlich zur Erfüllung der datenschutzrechtlichen Kontrollpflichten verwendet werden.

§ 10 Geheimhaltung

(1) Die Vertragsparteien verpflichten sich, sämtliche im Rahmen dieser Vereinbarung erlangten Informationen, Daten und Geschäftsgeheimnisse vertraulich zu behandeln. Dies gilt insbesondere für alle personenbezogenen Daten, die im Rahmen der Auftragsverarbeitung verarbeitet werden, sowie für Informationen über technische und organisatorische Maßnahmen.

(2) Die Geheimhaltungspflicht besteht sowohl während der Laufzeit dieser Vereinbarung als auch nach deren Beendigung fort.

(3) Die Verpflichtung zur Vertraulichkeit gilt nicht für Informationen, die:

a) zum Zeitpunkt der Offenlegung bereits öffentlich bekannt waren oder danach ohne Verstoß gegen diese Vereinbarung öffentlich bekannt werden;

b) dem Empfänger bereits nachweislich vor der Mitteilung durch die andere Vertragspartei bekannt waren;

c) von einem Dritten rechtmäßig ohne Geheimhaltungsverpflichtung mitgeteilt wurden;

d) aufgrund gesetzlicher Verpflichtungen oder behördlicher oder gerichtlicher Anordnung offenbart werden müssen. In diesem Fall ist die andere Vertragspartei vorab zu informieren, soweit dies rechtlich zulässig ist.

(4) Der Auftragsverarbeiter verpflichtet alle zur Verarbeitung der Daten befugten Personen auf die Vertraulichkeit und dokumentiert diese Verpflichtung in geeigneter Weise. Die Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.

§ 11 Haftung

(1) Für die Haftung der Parteien im Zusammenhang mit dieser Vereinbarung gelten die gesetzlichen Vorschriften, sofern nicht in der zugrunde liegenden Hauptvereinbarung abweichende Regelungen getroffen wurden.

(2) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch eine nicht weisungsgemäße oder unrechtmäßige Verarbeitung oder durch sonstige Verstöße gegen diese Vereinbarung oder gegen datenschutzrechtliche Vorschriften verursacht wurden, nur wenn der Auftragsverarbeiter seinen datenschutzrechtlichen Pflichten nicht nachgekommen ist oder seine Kontrollpflichten gegenüber einem Subunternehmer verletzt hat.

(3) Im Falle einer Inanspruchnahme einer Vertragspartei durch eine betroffene Person oder durch eine Aufsichtsbehörde sind sich die Vertragsparteien verpflichtet, sich gegenseitig unverzüglich zu informieren und bei der Abwehr der Ansprüche im Rahmen ihrer jeweiligen Verantwortlichkeit zu unterstützen.

(4) Die Haftung für Datenverluste wird auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien eingetreten wäre, soweit nicht vorsätzliches oder grob fahrlässiges Verhalten vorliegt.

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiters – bedürfen der Textform und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(2) Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine solche zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt bei Regelungslücken.

(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters.

Hinweis: Zahlungsdienstleister, Kassensysteme, EC-Terminals oder sonstige Drittsysteme, die der Verantwortliche selbst auswählt, einrichtet oder mit eigenen Konten nutzt, gelten nicht automatisch als Unterauftragsverarbeiter von AudaMedia. Soweit AudaMedia technische Schnittstellen zu solchen Systemen bereitstellt, erfolgt die Datenübermittlung im Auftrag und auf Weisung des Verantwortlichen.