fbpx
ANMELDUNG FÜR AUSSTELLER

Terms & Condition-Hinweise

§1 Grundlage, Gegenstand,Dauer und Kündigung
(a) Die Grundlage dieses Auftrags ist das akzeptierte Angebot in Verbindung mit den individuellen Vertrag bzw. mit den AGB des AN.
(b) Der Gegenstand der Datenverarbeitung ergibt sich aus der oben genannten Grundlage.
(c) Die Dauer dieses Auftrags entspricht der Laufzeit der oben genannten Grundlage.
(d) Die Möglichkeit zur ordentlichen und fristlosen Kündigung ergibt sich aus dem Vertrag oder, falls nicht vereinbart, aus den einschlägigen gesetzlichen Regelungen. Der AG kann diesen Vertrag zur Auftragsverarbeitung fristlos kündigen, sobald der AN oder dessen rechtmäßig hinzugezogene Auftragsverarbeiter wiederholt gegen die Bestimmungen dieses Vertrags zur Auftragsverarbeitung oder einschlägige datenschutzrechtliche Vorschriften verstoßen.

§2 Art und Zweck Der Verarbeitung der Daten
(a) Die Art und der Zweck der Verarbeitung der personenbezogenen Daten sind weisungsgebunden und umfassen den Auftrag (definiert im akzeptierten Angebot) des AG.
(b) Zu dem genannten Zweck dürfen die Daten auf den Systemen des AG und des AN gespeichert und ggf. händisch hinterlegt werden.

§3 Art Daten
(a) Die Arten der von der Verarbeitung erfassten Daten sind: Namen, Adressen, Telefonnummern, E-Mail-Adressen, ggf. Fotos / Videos, ggf. Mitarbeiterdaten, ggf. Bankdaten, ggf. Buchungsdaten (Hotel, etc.), ggf. Heiratsdaten (o.ä. persönliche Daten), sowie weitere persönliche Daten dem Rahmen angemessen.
(b) Die Kategorien betroffener Personen der Datenverarbeitung sind: Sie selbst, Hochzeitsgäste, Privatpersonen, Dienstleister, Geschäftspartner, Mitarbeiter, Interessenten, Kunden, Mitglieder, Nutzer

§4 Zweckbindung und
Weisungsbefugnis
(a) Die Daten des AG sind von den Daten anderer AG und denen des AN getrennt zu verarbeiten. Ferner ist es dem AN untersagt, die Daten des AG für andere als für die vertragsgemäß festgelegte Aufgabenstellung zu verarbeiten oder zu nutzen. Die Übermittlung von Daten an Dritte darf nur im Rahmen der festgelegten Vertragszwecke erfolgen. Hierzu ist vorab weiterhin die Genehmigung des AG erforderlich.
(b) Sollte der AN eine Übermittlung der personenbezogenen Daten an ein Drittland oder eine internationale Organisation vornehmen wollen, die nicht dem Recht der Europäischen Union oder der Mitgliedstaaten unterliegt, so muss dies der AG vorab genehmigen. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen dies und eventuelle rechtliche Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der AN darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des AG berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den AN wendet, wird der AN dieses Ersuchen unverzüglich an den AG weiterleiten. Der AG hat das Recht, dem AN jederzeit, insbesondere hinsichtlich der Art und des Zwecks der Datenverarbeitung, Weisungen zu erteilen. Der AN kann fordern, dass diese in Textform auf elektronischem Weg erteilt werden oder dass mündliche Weisungen durch den AG auf selbigem Wege bestätigt werden.
(c) Der AN hat den AG unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Vorschriften der DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder deren Mitgliedstaaten. Der AN ist dann berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis diese durch den AG bestätigt oder geändert wird.

§5 Datenübermittlung
in Drittstaaten
Jede Verlagerung der vereinbarten Datenverarbeitung in ein Drittland bedarf der vorherigen Genehmigung des AG. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet bis dahin ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, es sei denn, der AG gestattet die Datenverarbeitung in einem Drittland vorab und der AN hat sich davon überzeugt, dass bei der datenverarbeitenden Stelle im Drittland ein erforderliches Schutzniveau für die Datenverarbeitung im Sinne des Art. 44 Satz 2 DSGVO vorliegt oder hergestellt wurde. Der AN garantiert für Verlagerungen der vereinbarten Datenverarbeitung in ein Drittland oder Hinzuziehung dort befindlicher Auftragsverarbeiter, dass die Einhaltung der besonderen Voraussetzungen der Art. 44 – 50 DSGVO erfüllt sind. Für die Zulässigkeit der Verlagerung in ein Drittland oder die Einbeziehung von Auftragsverarbeitern in einem Drittland trägt der AN die Verantwortung. Er hat die Zulässigkeit und die Einhaltung der DSGVO auf Verlangen des AG nachzuweisen.

§6 Rückgabe und
Löschung der Daten
(a) Kopien der Daten dürfen ohne Genehmigung des AG nicht erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der AN erwirbt keinerlei Rechte an den ihm zur Verfügung gestellten Daten, verwendet die Daten für keine anderen Zwecke als die ordnungsgemäße Durchführung des Vertrags und dieser Vereinbarung und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.
(b) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den AG – spätestens nach Kündigung oder Erfüllung des Auftrags – hat der AN sämtliche in seinen Besitz gelangten digitalen Daten und Informationen sowie selbige in Papierform, die erstellten Verarbeitungs- und Nutzungsergebnisse sowie Daten und Informationen, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem AG auszuhändigen oder nach vorheriger Genehmigung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist dem AG anschließend vorzulegen oder alternativ die Löschung in Textform zu bestätigen.
(c) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den AN entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem AG übergeben.

§7 Ansprechperson
Der AN stellt eine Ansprechperson zur Verfügung. Der AG erreicht die Ansprechperson per E-Mail zu Belangen des Datenschutzes: Alexandra Williams,
alexandra.williams@williams-gauld.com
Ein Wechsel der Datenschutzbeauftragten ist dem AG unverzüglich mitzuteilen.

§8 Maßnahmen zum
Schutz der Daten
(a) Der AN unternimmt Maßnahmen gemäß Art. 32 und Art. 5 Abs. 1 und 2 DSGVO. Diese hat der AN in der Anlage 1 zu diesem Vertrag zur Auftragsverarbeitung ausführlich darzulegen. Bei Akzeptanz durch den AG werden die dokumentierten Maßnahmen Grundlage des Auftrags.
(b) Insgesamt handelt es sich bei den zu treffenden Maßnahmen um solche der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der involvierten Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 Abs. 1 DSGVO zu berücksichtigen. Hierzu hat der AN insbesondere die Räume, in denen sich die Daten des AG befinden, so zu sichern, dass Unbefugten der Zutritt verwehrt wird, und sicherzustellen, dass der Zugriff auf die personenbezogenen Daten Unbefugten verwehrt wird. Er muss auch verhindern, dass die Unterlagen des AG von Unbefugten gelesen, verändert, kopiert oder entfernt werden können, und seine innerbetriebliche Organisation so gestalten, dass diese den besonderen Ansprüchen des Datenschutzes gerecht wird und die Daten nur im Rahmen der Weisungen des AG verarbeitet werden und während einer Übertragung ausreichend geschützt sind. Den für die Auftragsverarbeitung zuständigen Mitarbeitern des AN müssen diese Weisungen bekannt gemacht werden.
(c) Der AN kontrolliert regelmäßig seine internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
(d) Der AN gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem AG im Rahmen seiner Kontrollbefugnisse dieses Vertrags und wird dem AG diese, bei längerer Beauftragung, nach jährlicher Aufforderung erneut darlegen bzw. zusichern, dass sich keine Änderungen ergeben haben.
(e) Soweit die Prüfung oder ein Audit des AG oder ein Kontrollverfahren der zuständigen Aufsichtsbehörde einen Anpassungsbedarf der getroffenen Maßnahmen aufzeigt, ist dieser einvernehmlich umzusetzen.
(e) Die getroffenen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem AN gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das vorherige Sicherheitsniveau nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§10 weitere
Auftragsverarbeiter
(a) Der AN setzt den AG darüber in Kenntnis, sofern er beabsichtigt, weitere Auftragsverarbeiter hinzuzuziehen, welche direkt mit der Verarbeitung von personenbezogenen Daten des AG beauftragt sind. Erfolgt innerhalb von 4 Wochen kein Widerspruch des AG, gilt die Beauftragung der weiteren Auftragsverarbeiter als genehmigt.
(b) Als hinzugezogene Auftragsverarbeiter im Sinne dieser Regelung sind solche Dienstleister zu verstehen, die sich unmittelbar ganz oder teilweise auf die Erbringung des Auftrags beziehen.
(c) Der AG erhält vom AN auf Aufforderung Einblick in die relevanten Vertragsunterlagen mit dem hinzugezogenen Auftragsverarbeiter, wobei der AN berechtigt ist, Preise und Vergütungen o. Ä. unkenntlich zu machen.

§10 Kontrollbefugnisse
(a) Der AG ist gesetzlich verpflichtet, sich von der Einhaltung der Weisungen und der technischen und organisatorischen Maßnahmen im Sinne des § 7 beim AN zu überzeugen. Der AG hat das Recht, im Benehmen mit dem AN Überprüfungen durchzuführen oder durch die im Einzelfall zu benennenden Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieses Vertrags zur Auftragsverarbeitung durch den AN in dessen Geschäftsbetrieb zu überzeugen. Zu diesem Zweck darf das Betriebsgelände des AN im Beisein eines Beauftragten des AN zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durch den AG oder dessen Datenschutzbeauftragten betreten werden, damit sich von der Einhaltung der Weisungen und Umsetzung der Maßnahmen überzeugt werden kann.
(b) Der AN stellt sicher, dass sich der AG von der Erfüllung der datenschutzrechtlichen Pflichten des AN überzeugen kann. Der AN verpflichtet sich, dem AG auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(c) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO erfolgen.
(d) Der AG kann bei Verstößen gegen den Datenschutz zusätzliche technische und organisatorische Maßnahmen fordern.

§12 Unterstützungspflichten
(a) Der AG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Soweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der AN nach besten Kräften zu unterstützen.
(b) Der AN unterstützt den AG angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der AN wird entsprechende Anträge nicht selbst bearbeiten bzw. beantworten, sondern diese unverzüglich an den AG weiterleiten.
(c) Der AN stellt dem AG auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(d) Der AN unterstützt den AG bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten. Hierzu wird der AN dem AG auf Anforderung den Auszug seines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zur Verfügung stellen, das sich auf die beauftragte Datenverarbeitung bezieht.

§12 Informationspflichten
(a) Der AN gewährleistet die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt.
(b) Sollten die Daten des AG bei dem AN durch Pfändung oder Beschlagnahmung, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die „Hoheit und das Eigentum“ an den Daten ausschließlich beim AG als Verantwortlichem im Sinne der DSGVO liegen.
(c) Der AN hat dem AG unverzüglich – auch bei bloßem Verdacht – alle Verletzungen der Sicherheit in seinem Haus, soweit diese Auswirkungen auf die Verarbeitung von personenbezogenen Daten des AG gehabt haben bzw. haben könnten, zu melden. Gemeldet werden müssen ferner alle Vorkommnisse, die Einfluss auf den Datenbestand des AG haben können (z. B. Einbrüche, Diebstähle, Feuerschäden usw.).
(d) Der AN meldet dem AG unverzüglich alle Verstöße gegen diesen Vertrag zur Auftragsverarbeitung und gegen datenschutzrechtliche Vorschriften.

§13 Verschwiegenheit
Der AN sichert zu, dass das von ihm eingesetzte Personal sämtliche während der Erfüllung des Auftrags auch zufällig zugänglich gewordenen Daten geheim hält, sich weder Aufzeichnungen darüber macht noch Kopien anfertigt, entsprechende Daten nicht an Dritte weitergibt oder für eigene Zwecke nutzt.

§14 Schlussbestimmungen
(a) Der AN ist sich bewusst, dass die Verletzung dieses Vertrags zur Auftragsverarbeitung einen Verstoß gegen die DSGVO, das BDSG, das UWG oder eine sonstige datenschutzrechtliche Vorschrift darstellen kann und dies eine Ordnungswidrigkeit oder Straftat darstellen kann und dass er für diese Verletzungen selbst verantwortlich sowie haftbar ist.
(b) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. An die Stelle der unwirksamen Bestimmungen wird eine andere treten, die wirksam ist und die nach Inhalt und Zweck der unwirksamen Bestimmung am nächsten kommt.
Die ungültige Bestimmung wird schnellstmöglich durch eine andere Bestimmung ersetzt, die dem wirtschaftlichen Gehalt der rechtsunwirksamen Bestimmung am nächsten kommt.