Anlage 1 zu den AGB von Artesa - Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO

zwischen

dem verantwortlichen Nutzer der Webanwendung „Artesa“

- nachfolgend Auftraggeber genannt -

und

- nachfolgend Auftragsverarbeiter genannt -

1. Gegenstand und Dauer der Vereinbarung

Der Auftrag umfasst die Datenverarbeitung durch die Software Artesa, die vom Auftragsverarbeiter dem Verantwortlichen über das Internet zur Verfügung gestellt wird. Die Software dient zum Auftragsmanagement in digitaler Form, genauer die Auftragsplanung, Personalplanung, Zeiterfassung und Kontaktverwaltung. Die Software wird auf vom Anbieter direkt oder indirekt genutzten Servern gehostet und dem Nutzer über das Internet zugänglich gemacht (Software-as-a-Service).

Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Verantwortlichen im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Dauer des Auftrags

Die Vertragslaufzeit ist im Buchungsportal oder dem Softwarenutzungsvertrag geregelt, siehe Anlagen. Wird das Abonnement oder der Softwarenutzungsvertrag gekündigt, so wird auch dieser Vertrag gekündigt und die Datenschutzbestimmungen bei Terminierung des Vertrages setzen ein.

Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Der Leistungsumfang ist in den AGB geregelt, siehe AGB.

Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DSGVO):

Die Software verarbeitet automatisiert die vom Auftragsgeber eingegebenen Daten. Diese werden verarbeitet, gespeichert und können zu Planungszwecken organisiert werden. Mitunter können dem Auftragsgeber Möglichkeiten zur Datenübertragung gegeben werden, immer jedoch die Möglichkeit, Daten herunterzuladen oder zu löschen. Eingegebene Daten können bearbeitet oder korrigiert werden.

Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO):

Es werden personenbezogene Daten verarbeitet: Kontaktdaten zu Kunden (Name, Anschrift, Telefon, E-Mail), Daten zu Angestellten (Name, Position).

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DSGVO):

Die Personenbezogenen Daten beziehen sich auf die Mitarbeitenden, Geschäftspartner, sowie die Kunden des Auftragsgebers.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Verantwortlichen

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Verantwortliche verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Verantwortlichen gerichtet sind, unverzüglich an diesen weiterzuleiten.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Verantwortlichem und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Verantwortliche erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Verantwortliche ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Verantwortlichen, Weisungsempfänger des Auftragsverarbeiters

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Verantwortlichen nicht erstellt.

Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Verantwortlichen verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

Die Datenträger, die vom Verantwortlichen stammen bzw. für den Verantwortlichen genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.

Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung für den Verantwortlichen regelmäßig Kontrollen durchzuführen, um die Funktionsfähigkeit aller Funktionen zum Datenschutz zu gewährleisten.

Das Ergebnis der Kontrollen ist zu dokumentieren.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Verantwortlichen, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Verantwortlichen hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Verantwortlichen soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DSGVO). Er hat die dazu erforderlichen Angaben dem Verantwortlichen unverzüglich an folgende Stelle weiterzuleiten:

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Verantwortlichen nach Überprüfung bestätigt oder geändert wird.

Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Verantwortliche dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen.

Unabhängig davon hat der Auftragsverarbeiter personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Weisung des Verantwortlichen ein berechtigter Anspruch des Betroffenen aus Art. 16, 17 und 18 DSGVO zugrunde liegt.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Verantwortlichen erteilen.

Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Verantwortliche - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Verantwortlichen beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).

Der Verantwortliche kann die Einhaltung eines genehmigten Zertifizierungsverfahrens gem. Art. 42 DSGVO durch den Auftragsverarbeiter als Faktor heranziehen, um die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen zu beurteilen.

Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragsverarbeiters) ist nur mit Zustimmung des Verantwortlichen gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen.

Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind.

Berufsgeheimnisträger haben den Auftragsverarbeiter zusätzlich zu diesem Vertrag zur Verschwiegenheit nach § 203 Abs. 4 StGB zu verpflichten.

Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Verantwortlichen die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb**.**

Ein betrieblicher Datenschutzbeauftragter ist beim Auftragsverarbeiter nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt. Sofern sich dies in Zukunft ändert, wird der Auftraggeber unverzüglich über die Kontaktdaten des Datenschutzbeauftragten informiert.

6. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)

Zur Leistungserbringung nutzt der Auftragsverarbeiter Serverstrukturen von Hetzner. Mit Einwilligung dieses Vertrages stimmt der Verantwortliche dem zu. Der Auftragsverarbeiter trägt dafür Sorge, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Informationen zu Subunternehmern können vom Verantwortlichen zu jeder Zeit vom Auftragsverarbeiter angefragt werden.

Der Auftragsverarbeiter zur Leistungserbringung und Verarbeitung kundenbezogener Daten folgende Software: Lexoffice, Stripe , HubSpot und Netcup. Der Auftragsverarbeiter trägt dafür Sorge, dass die verwendete Software die Datenschutz- und Datensicherheitsbestimmungen einhält. Mit Einwilligung dieses Vertrages stimmt der Verantwortliche der Verarbeitung seiner Daten durch die explizit genannte Drittanbieter Software zu.

Der Auftragnehmer hat alle zum Zeitpunkt des Vertragsschlusses bestehenden Unterauftragsverhältnisse in der Anlage 1 zu diesem Vertrag anzugeben.

Die Beauftragung weitere Subunternehmer zur Verarbeitung von Daten des Verantwortlichen ist dem Auftragsverarbeiter nur mit Genehmigung des Verantwortlichen gestattet, Art. 28 Abs. 2 DSGVO, welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragsverarbeiter dem Verantwortlichen Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragsverarbeiter dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Verantwortlichen auf Anfrage zur Verfügung zu stellen.

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Verantwortlichem und Auftragsverarbeiter auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragsverarbeiters und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Verantwortliche berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).

Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.

Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden. Die Pflicht der Kontrolle über die Einhaltung der Datenschutzpflichten obliegt dem Auftragsverarbeiter.

Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DSGVO).

8. Technische und organisatorische Maßnahmen (insbesondere Art. 28 Abs. 3 Satz 2 lit. c und e DSGVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Niveau der Sicherheit der Verarbeitung gewährleistet. Dazu werden einerseits mindestens die Schutzziele von Art. 32 Abs. 1 DSGVO wie Vertraulichkeit, Verfügbarkeit und Integrität der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird (Art. 28 Abs. 3 lit. c). Die Formulierung in Art. 32 Abs. 1 DSGVO „diese Maßnahmen schließen unter anderem Folgendes ein“ verdeutlicht andererseits, dass die dort vorgenommene Aufzählung nicht abschließend ist. Für die Auftragsverarbeitung werden daher auch technische und organisatorische Maßnahmen umgesetzt, die die in Kapitel III der DSGVO genannten Rechte der betroffenen Personen wahren (Art. 28 Abs. 3 lit. e). Diese Maßnahmen stellen u. a. sicher, dass Daten nur für den Zweck verarbeitet und ausgewertet werden können, für den sie erhoben werden (Zweckbindung), dass Betroffene, Verantwortliche und Kontrollinstanzen u. a. erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet werden und welche Systeme und Prozesse dafür genutzt werden (Transparenz) und dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung jederzeit wirksam gewährt werden (Intervenierbarkeit). Entsprechend sind auch die Maßnahmenbereiche zu berücksichtigen, die vorrangig der Minimierung der Eingriffsintensität in die Grundrechte Betroffener dienen.

Methodik der Risikobewertung

Der Auftragsverarbeiter hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (siehe Abschnitt 8) und das Ergebnis samt vollständigem Auditbericht dem Verantwortlichen mitzuteilen.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Verantwortlichen abzustimmen.

Soweit die beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen den Anforderungen des Verantwortlichen nicht genügen, benachrichtigt er den Verantwortlichen unverzüglich.

Die Datensicherheitsmaßnahmen beim Auftragsverarbeiter können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Sicherheitsstandards nicht unterschreiten.

Wesentliche Änderungen sind vom Auftragsverarbeiter mit dem Verantwortlichen in dokumentierter Form (schriftlich, elektronisch) abzustimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

9. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DSGVO

Zum Ende der vertraglichen Arbeiten hat der Verantwortliche bis zum Vertragsende sämtliche Daten in seinem Pflichtbereich zu sichern und diese aus der Software zu exportieren.

Nach Abschluss der vertraglichen Arbeiten ist der Auftragsverarbeiter verpflichtet sämtlich in seinen und den Besitz von Subunternehmen gelangte Daten datenschutzgerecht zu löschen. Die datenschutzgerechte Löschung hat 3 Monate nach Vertragsende stattzufinden, so nicht anders vom Verantwortlichen verlangt. Innerhalb der 3-monatigen Frist können die Daten vom Verantwortlichen eingefordert werden, weitere Vereinbarungen aus AGB und anderen Softwarenutzungsvertrag sind zu beachten.

Die Löschung bzw. Vernichtung ist dem Verantwortlichen mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

10. Vergütung

Die Vergütung wird in den AGB und im Softwarenutzungsvertrag geregelt.

11. Haftung

Auf Art. 82 DSGVO wird verwiesen.

Im Übrigen wird folgendes vereinbart:

12. Sonstiges

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu verständigen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen am nächsten kommt. Entsprechendes gilt im Fall einer Vertragslücke.

Anlagen, auf die in diesem Vertrag Bezug genommen wird, sind Vertragsbestandteil. Es gelten die AGB der Artesa GmbH.

Anlage 1 - Unterauftragnehmer

Zur Erfüllung der vertraglich vereinbarten Datenverarbeitung für den Auftraggeber setzt der Auftragnehmer Drittanbieter ein, die personenbezogene Daten im Auftrag des Auftragnehmers verarbeiten („Unterauftragnehmer“). Mit den nachfolgend aufgeführten Unternehmen wurden gesonderte Vereinbarungen geschlossen, die die Verarbeitung personenbezogener Daten gemäß den gesetzlichen Bestimmungen regeln.

netcup

Wir nutzen für unsere Website das Webhosting-Service von netcup. Dienstanbieter ist das deutsche Unternehmen netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe, Deutschland.

Durch das Speichern Ihrer IP-Adresse verarbeitet netcup auch personenbezogene Daten. Wenn Sie unsere Website besuchen, werden zudem noch folgende Daten von Ihnen bzw. von Ihrem Computer bei netcup gespeichert:

• die zuvor besuchte Website (auch Referrer genannt)
• die angeforderte Website (also in diesem Fall unsere Website)
• Browsertyp und Browserversion
• Ihr verwendetes Betriebssystem und Ihr Gerätetyp
• Uhrzeit des Seitenzugriffs

Die erhobenen Daten werden verwendet, um die Sicherheit der Website zu steigern, mögliche Fehler zu erkennen und auch um anonyme statistische Analysen durchzuführen.

Von unserer Seite besteht ein berechtigtes Interesse, netcup zu verwenden, um unser Online-Service anbieten zu können. Die dafür entsprechende Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen).

Mehr über die Daten, die durch die Verwendung von netcup verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://www.netcup.de/kontakt/datenschutzerklaerung.php. Vertragsgrundlage: AVV

Stripe

Wir nutzen die Dienste von Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) zur Abwicklung von Online-Zahlungen. Stripe ermöglicht uns, Zahlungen sicher und effizient abzuwickeln.

Im Rahmen der Zahlungsabwicklung werden Daten verarbeitet. Die Daten werden in individuellen Verträgen erfasst oder vom Kunden im Buchungsportal eingegeben. Die erhobenen Daten werden genutzt, um Zahlungen abzuwickeln, Betrug zu verhindern und die Sicherheit unserer Zahlungstransaktionen zu gewährleisten. Stripe verwendet diese Daten auch zur Durchführung von Prüfungen zur Verhinderung von Betrug und zur Einhaltung gesetzlicher Verpflichtungen.

Die Verarbeitung der Daten erfolgt zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO), da diese zur Durchführung der Zahlung und damit zur Erfüllung unserer vertraglichen Verpflichtungen erforderlich sind. Zudem besteht unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einer sicheren und effizienten Zahlungsabwicklung.

Stripe kann personenbezogene Daten auch in die USA übermitteln. Stripe hat sich dem EU-US-Privacy-Shield unterworfen und garantiert dadurch die Einhaltung europäischen Datenschutzrechts. Zudem bestehen EU-Standardvertragsklauseln mit Stripe, um ein angemessenes Datenschutzniveau sicherzustellen.

Sie können der Verarbeitung Ihrer personenbezogenen Daten jederzeit widersprechen und Ihre Einwilligung zur Verarbeitung widerrufen, sofern diese erteilt wurde. Bitte kontaktieren Sie uns hierzu unter den angegebenen Kontaktinformationen. Alle bis zu diesem Zeitpunkt durchgeführten Verarbeitungen bleiben davon unberührt.

Stripe (Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland) Datenschutzerklärung: https://stripe.com/en-de/privacy. Vertragsgrundlage: AVV, aktuelle Version 15. Dezember 2023

HubSpot

Wir nutzen Dienste der HubSpot Inc., einem Softwareunternehmen aus den USA, das Marketing- und Vertriebssoftware bereitstellt. HubSpot unterstützt uns bei der Analyse und Optimierung unserer Marketingmaßnahmen sowie bei der Verwaltung unserer Kundenbeziehungen (CRM) und dem Versenden des Newsletters.

Die Verarbeitung der Daten erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), sofern diese erteilt wurde. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Daten können in die USA übermittelt werden. HubSpot hat sich dem EU-US-Privacy-Shield unterworfen und garantiert dadurch die Einhaltung europäischen Datenschutzrechts.

HubSpot (HubSpot, Inc., 25 First Street, Cambridge, MA 02141 USA) Datenschutzerklärung: https://legal.hubspot.com/de/privacy-policy. Vertragsgrundlage: AVV, aktuelle Version 18. September 2024

Hetzner

Wir nutzen für Backups unserer Website den Webhosting-Anbieter Hetzner. Dienstanbieter ist das deutsche Unternehmen Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Mehr über die Daten, die durch die Verwendung von Hetzner verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://www.hetzner.com/de/legal/privacy-policy. Vertragsgrundlage: AVV

Ionos

Wir nutzen für Backups unserer Website den Webhosting-Anbieter Ionos. Dienstanbieter ist das deutsche Unternehmen IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland.

Mehr über die Daten, die durch die Verwendung von Ionos verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://www.ionos.de/terms-gtc/datenschutzerklaerung/. Vertragsgrundlage: AVV, aktuelle Version Juni 2023

Lexware Office

Wir benutzen zum Erstellen und Verwaltung unserer Rechnungen, Angebote und Steuerunterlagen Lexoffice (Haufe-Lexware GmbH & Co. KG), Munzinger Straße 9, 79111 Freiburg im Breisgau, Deutschland.

Mehr über die Daten, die durch die Verwendung von Lexware Office verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://office.lexware.de/datenschutz/. Vertragsgrundlage: AVV, aktuelle Version 25. September 2024