Generelle Informationen zum Vertragsabschluss für Betreiber, Hersteller und Behörden
Dieses Dokument ist in drei Teile aufgeteilt.
Im ersten Teil stehen die Allgemeinen Geschäftsbedingungen für Betreiber, die Anlage 1: Auftragsverarbeitungsvereinbarung für Betreiber, die Technisch-organisatorischen Maßnahmen für Betreiber und die Anlage 2: Datenschutzhinweise von TecCert für Betreiber.
Im zweiten Teil stehen die Allgemeinen Geschäftsbedingungen für Hersteller, die Anlage 1: Auftragsverarbeitungsvereinbarung für Hersteller, die Technisch-organisatorischen Maßnahmen für Hersteller und die Anlage 2: Datenschutzhinweise von TecCert für Herteller.
Im dritten Teil stehen die Allgemeinen Geschäftsbedingungen für Behörden, die Anlage 1: Auftragsverarbeitungsvereinbarung für Behörden, die Technisch-organisatorischen Maßnahmen für Behörden und die Anlage 2: Datenschutzhinweise von TecCert für Behörden.
Der Vertrag über die Nutzung der App kann nur online abgeschlossen werden. Für den Online-Abschluss müssen Sie auf der Registrierseite das Häkchen bei „Ich akzeptiere die Allgemeinen Geschäftsbedingungen für Betreiber“ und das Häkchen bei „Ich stimme der Auftragsdatenvereinbarung zu. Die Datenschutzhinweise habe ich zur Kenntnis genommen“ setzen. Eingabefehler können Sie vor Abgabe der Vertragserklärung in der Eingabemaske erkennen und mittels Tastatur berichtigen. Durch Anklicken des Buttons „Registrierung abschließen“ kommt der Nutzungsvertrag zustande. Die für den Vertragsschluss zur Verfügung stehende Sprache ist deutsch. Der Vertragstext wird nach dem Vertragsschluss von TecCert gespeichert die Vertragsbedingungen sind über die App einsehbar.
Allgemeine Geschäftsbedingungen für Betreiber
Präambel
Die TecCert GmbH (im Folgenden TecCert genannt) ist ein Anbieter von professionellen IT-Systemen. Betreiber betreibt ein Kosmetikstudio.
TecCert hat eine App entwickelt (im Folgenden Plattform), die es Kosmetikstudios und somit dem Betreiber ermöglicht, mit Behörden, Anbietern und Herstellern von kosmetischen Geräten (im Folgenden Hersteller) zu den regulatorischen Geräte- und Betreiberanforderungen zu kommunizieren und den gesetzlichen Anzeige- und Dokumentationspflichten nachzukommen. Nachfolgend werden die Bedingungen für die Nutzung der App festgelegt:
§ 1 Leistungen
(1) TecCert erbringt für den Betreiber folgende Leistungen:
- Kostenlose Einrichtung eines passwortgeschützten Bereiches in der App;
- Betreiber kann Dokumente (Geräte- und Wartungsdaten, Behandlungsdokumentationen, Fachkunde- und Schulungszertifikate, Mitarbeiterzeugnisse etc.) in den passwortgeschützten Bereich der App hochladen und nach Gerätearten kategorisieren. Nach gesonderter Freigabe durch den Betreiber können sie dort von den zuständigen Behörden und Herstellern der Geräte eingesehen und heruntergeladen werden. Betreiber kann auswählen, wer welche Dokumente einsehen und herunterladen kann.
- Betreiber wird über die App ein Anzeigeformular zur Verfügung gestellt, mit dem er über die App den Betrieb seiner Geräteden Nachweis von kosmetischer Fachkunde bei der Anwendung kosmetischer Geräte und der Dokumentation von Behandlungen am Kunden bei den Behörden im Rahmen seiner gesetzlichen Anzeigepflichten anzeigen kann;
- Betreiber kann mit Behörden über die App kommunizieren und andersrum, z.B. können Behörden den Betreiber über die App zur Vorlage oder Aktualisierung von Geräte- und Behandlungsdokumenten auffordern und erinnern sowie zu anderen Maßnahmen auffordern und der Betreiber kann direkt über die Plattform antworten, Betreiber kann den Behörden Vorkommnisse melden;
- Hersteller können mit Betreibern über die App kommunizieren und umgekehrt, z.B. kann der Betreiber dem Hersteller Behandlungsdaten, Gerätestörungen oder Vorkommnisse melden sowie Wartungtermine vereinbaren.
- Betreibt ein Betreiber mehrere Kosmetikstudios, kann er für jedes Studio gesonderte Bereiche einrichten und gesonderte Zugriffs- und Kommunikationsrechte für Behörden und Hersteller und Mitarbeiter erteilen.
Die Kosten für die Nutzung der App sind der jeweils aktuellen Preisliste zu entnehmen.
(2) Betreiber kann auf dem App-Server Inhalte bis zu einem Umfang von bis zu 10 GB hochladen und zum Download bereitstellen. Zugelassene Dateiformate sind in der App aufgeführt.
(3) Auf dem App-Server werden die unter § 1 (1) genannten Inhalte zum Abruf bereitgehalten. Die Leistungen von TecCert bei der Bereitstellung und Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom TecCert betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für den Betreiber bereitgestellten Serverplatz. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist TecCert nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
(4) TecCert ist berechtigt Wartungsarbeiten an der App durchzuführen. Während der Wartungsarbeiten stehen die vorgenannten Leistungen nicht zur Verfügung.
(5) Die Inhalte des für den Betreiber bestimmten Speicherplatzes werden von TecCert arbeitstäglich gesichert. Der Betreiber hat dennoch dafür Sorge zu tragen, dass er alle Inhalte, die er hochlädt oder die ihm bezüglich über die App kommuniziert werden, auch auf seinen eigenen Systemen sichert. Für hochgeladene Inhalte besteht in der App eine Downloadfunktion. TecCert gewährleistet nicht, dass dem Betreiber hochgeladene und über die App kommunizierte Inhalte zu Beweiszwecken zur Verfügung stehen.
(6) TecCert ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die vom Betreiber auf dem App-Server abgelegten Inhalte, um das Erbringen der Leistungen TecCerts zu gewährleisten, so wird TecCert dem Betreiber diese zusätzlichen Anforderungen mitteilen. Der Betreiber wird unverzüglich nach Zugang der Mitteilung darüber entscheiden, ob die zusätzlichen Anforderungen erfüllt werden sollen und bis wann dies geschehen wird. Erklärt der Betreiber nicht bis spätestens vier Wochen vor dem Umstellungszeitpunkt, dass er seine Inhalte rechtzeitig zur Umstellung, das heißt spätestens drei Werktage vor dem Umstellungszeitpunkt, an die zusätzlichen Anforderungen anpassen wird, hat TecCert das Recht, das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt zu kündigen.
§ 2 Mitwirkungspflichten des Betreibers
(1) Der Betreiber verpflichtet sich, auf dem zur Verfügung gestellten Speicherplatz keine rechtswidrigen, die Gesetze, behördlichen Auflagen oder Rechte Dritter verletzenden Inhalte abzulegen. Er wird dafür Sorge tragen, dass die von ihm gewählte Internet-Adresse, unter der die Inhalte über das Internet abgefragt werden können, ebenfalls nicht Gesetze, behördliche Auflagen oder Rechte Dritter verletzt. Der Betreiber wird ferner darauf achten, dass von ihm hochgeladenen Inhalte den Betrieb des Servers oder des Kommunikationsnetzes des TecCerts oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegten Daten nicht gefährden. Der Betreiber stellt TecCert von jeglicher Inanspruchnahme durch Dritte einschließlich der durch die Inanspruchnahme ausgelösten Kosten frei.
(2) Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die vorstehenden Verpflichtungen sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen den TecCert auf Unterlassen der vollständigen oder teilweisen Darbietung der auf dem Server abgelegten Inhalte über das Internet ist TecCert berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Betreibers die Anbindung dieser Inhalte an das Internet ganz oder teilweise mit sofortiger Wirkung vorübergehend einzustellen. TecCert wird den Betreiber über diese Maßnahme unverzüglich informieren.
(3) Gefährden oder beeinträchtigen vom Betreiber hochgeladene Inhalte den Betrieb des Servers oder des Kommunikationsnetzes von TecCert oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegter Daten, so kann TecCert diese Daten löschen oder deaktivieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist TecCert auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. TecCert wird den Betreiber über diese Maßnahme unverzüglich informieren.
(4) Für den Zugriff auf das App-Konto erhält der Betreiber eine Benutzerkennung und ein veränderbares Passwort. Das Passwort muss eine Mindestlänge von 8 Zeichen aufweisen und mindestens einen Buchstaben, eine Ziffer sowie ein Sonderzeichen enthalten. Der Betreiber darf das Passwort nur an solche Personen weitergeben, die von ihm berechtigt wurden, auf den Speicherplatz Zugriff zu nehmen. Wird das Passwort dreimal in Folge unrichtig eingegeben, so wird der Zugriff auf den Speicherplatz zum Schutz vor Missbräuchen gesperrt. Der Betreiber wird hierüber informiert. Er erhält dann von TecCert ein neues Passwort zugeteilt. TecCert ist in diesem Fall berechtigt, nicht nur das Passwort, sondern auch die Benutzerkennung neu zu vergeben. Der Betreiber hat selbst dafür zu sorgen, dass nur Berechtigte Zugang zum Konto des Betreibers erhalten.
(5) Die von dem Betreiber auf dem für ihn bestimmten Speicherplatz abgelegten Inhalte können urheberrechtlich geschützt sein. Der Betreiber räumt TecCert das Recht ein, die von ihm auf dem Server abgelegten Inhalte bei Abfragen über das Internet zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können.
§ 3 Vergütung
(1) Die Vergütung der von TecCert erbrachten Leistungen richtet sich nach der im Zeitpunkt des Vertragsschlusses gültigen Preisliste. Der Betreiber kann bei Inanspruchnahme kostenpflichtiger Leistungen zwischen den Zahlungsarten Paypal, Lastschrift, Kreditkarte und EC-Karte wählen.
(2) Der Betreiber erhält Rechnungen ausschließlich auf elektronischem Wege über die App. Er hat Einwendungen gegen die Abrechnung der von TecCert erbrachten Leistungen innerhalb von acht Wochen nach Zugang der Rechnung schriftlich bei der auf der Rechnung angegebenen Stelle zu erheben. Nach Ablauf der vorgenannten Frist gilt die Abrechnung als vom Betreiber genehmigt. TecCert wird den Kunden mit Übersendung der Rechnung auf die Bedeutung seines Verhaltens besonders hinweisen.
(3) TecCert ist berechtigt, die seinen Leistungen zugrunde liegende Preisliste zu ändern. TecCert wird den Betreiber über Änderungen in der Preisliste spätestens sechs Wochen vor Inkrafttreten der Änderungen in über die App informieren. Ist der Betreiber mit der Änderung der Preisliste nicht einverstanden, so kann er dieses Vertragsverhältnis außerordentlich zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderung der Preisliste kündigen. Die Kündigung bedarf der Textform. Kündigt der Betreiber das Vertragsverhältnis zum Zeitpunkt des Wirksamwerdens der Preisänderung nicht, so gilt die Preisänderung als von ihm genehmigt. TecCert wird den Betreiber mit der Mitteilung der Preisänderung auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
(4) Die Erbringung der Leistungen durch TecCert ist daran gebunden, dass der Betreiber seinen Zahlungsverpflichtungen rechtzeitig nachkommt. Kommt der Betreiber für zwei aufeinanderfolgende Monate mit der Entrichtung eines nicht unerheblichen Teils der geschuldeten Vergütung in Verzug, so kann TecCert das Vertragsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.
§ 4 Vertragslaufzeit
(1) Dieser Vertrag läuft unbefristet und kann nach Ablauf eines Jahres jederzeit schriftlich oder in Textform mit einer Frist von 30 Tagen zum Ende eines Kalenderquartals gekündigt werden.
(2) Die Kündigung aus wichtigem Grund bleibt unberührt.
§ 5 Mängel
(1) TecCert stellt lediglich eine Kommunikationsplattform zur Verfügung und bietet keinerlei Gewähr dafür, dass die Kommunikation über die Plattform zu irgendeinem Ergebnis oder Erfolg führt. Hinsichtlich der Einhaltung der gesetzlichen Geräte- und Betreiberpflichten und andere den Betreiber betreffenden gesetzlichen Pflichten bleibt der Betreiber allein verantwortlich. Die Verletzung dieser Pflichten führt nicht zu einem Mangel der Leistungen von TecCert. TecCert erbringt mit ihren Leistungen keinerlei Rechtsberatung.
(2) Vertraglich erfasste Mängel werden kostenlos beseitigt, sofern sie nicht vom Betreiber verschuldet wurden. Aufgetretene Mängel und Fehler sind TecCert unmittelbar nach ihrer Feststellung in schriftlicher oder elektronischer Form nachvollziehbar mitzuteilen.
(3) Für Mängel, die bereits bei Überlassung des Speicherplatzes an den Betreiber vorhanden waren, haftet TecCert nur, wenn sie diese Mängel zu vertreten hat.
§ 6 Haftung
TecCert haftet für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet TecCert nur bei Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Betreiber regelmäßig vertrauen darf sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. TecCert haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Die Haftung ist im Falle leichter Fahrlässigkeit der Höhe nach beschränkt auf 25.000, –EUR. Für den Verlust von Daten und/oder Programmen haftet TecCert insoweit nicht, als der Schaden darauf beruht, dass es der Betreiber unterlassen hat, Datensicherungen durchzuführen. Zwingende Regelungen des Telekommunikationsgesetzes bleiben vom Voranstehenden unberührt.
§ 7 Änderung der Vertragsbedingungen
Soweit nicht bereits anderweitig speziell geregelt, ist TecCert berechtigt, diese Vertragsbedingungen wie folgt zu ändern oder zu ergänzen. TecCert wird dem Betreiber die Änderungen oder Ergänzungen spätestens sechs Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist der Betreiber mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann er den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Schriftform oder der Textform. Widerspricht der Betreiber nicht, so gelten die Änderungen oder Ergänzungen der Vertragsbedingungen als von ihm genehmigt. TecCert wird den Betreiber mit der Mitteilung der Änderungen oder Ergänzungen der Vertragsbedingungen auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
§ 8 Datenschutz, Recht zur Datennutzung
(1) Der Betreiber ist Verantwortlicher im Sinne der DSGVO bezüglich der von ihm über die Plattform hochgeladenen und mitgeteilten Inhalte und prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt.
(2) Zwischen den Parteien wird die als Anlage 1 beigefügte Auftragsverarbeitungsvereinbarung (AVV) geschlossen. Ferner gelten die Datenschutzhinweise in Anlage 2.
(3) Der Betreiber räumt TecCert das Recht ein, von ihm über die Plattform hochgeladene betreiberbezogenene Daten (z.B. betreffend Häufigkeit der Gerätenutzung, Gerätealter, Wartungen, Wartungs- und Reparaturkosten, Anzahl Mitarbeiter) zu statistischen Zwecken auszuwerten und diese Daten den betroffenen Herstellern zur Verfügung zu stellen.
§ 9 Schlussbestimmungen
(1) Der Betreiber kann nur mit Forderungen aufrechnen, die rechtskräftig festgestellt oder unbestritten sind.
(2) Abweichende Bedingungen des Betreibers werden nicht anerkannt, es sei denn, TecCert stimmt ihrer Geltung zu. Alle Änderungen, Ergänzungen und Kündigungen vertraglicher Vereinbarungen bedürfen der Schriftform, ebenso die Aufhebung des Schriftformerfordernisses, soweit dieser Vertrag nicht die Textform vorsieht.
(3) Sollten einzelne Bestimmungen der Parteivereinbarungen ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahekommt. Entsprechendes gilt für etwaige Lücken der Vereinbarungen.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Bei einer mehrsprachigen Version dieses Vertrages ist für die rechtlichen Wirkungen allein der deutsche Text maßgeblich.
(5) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Anlage 1: Auftragsverarbeitungsvereinbarung für Betreiber
Zwischen der TecCert GmbH, Salvatorstr. 5, 84051 Essenbach (nachfolgend Auftragnehmer) und dem Betreiber, wie im Antragsformular der NiSV-App benannt, (nachfolgend Auftraggeber) wird folgender Vertrag geschlossen:
§ 1 Gegenstand
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers nach dessen Weisung.
§ 2 Zwecke und Dauer der Datenverarbeitung
(1) Die Zwecke der Datenverarbeitung ergeben sich aus § 1 der zwischen den Parteien vereinbarten Allgemeinen Geschäftsbedingungen für Betreiber.
(2) Die Dauer der Datenverarbeitung entspricht der Laufzeit des Nutzungsvertrages.
§ 3 Arten personenbezogener Daten, Personenkategorien
Folgende personenbezogenen Daten werden vom Auftragnehmer zu den § 2 genannten Zwecken verarbeitet:
- Personenstammdaten (Name, Anschrift)
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (z.B. Vergütung, Vertragsinhalte)
- Vertragsabrechnungs- und Zahlungsdaten
- Gesundheitsdaten (Behandlungsdokumentationen etc.)
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden/Patienten
- Mitarbeiter
- Externe Dienstleister
Der Zugriff auf die vorgenannten Daten durch den Auftragnehmer erfolgt im Rahmen der in § 1 der Allgemeinen Geschäftsbedingungen für Betreiber beschriebenen Leistungsumfangs.
§ 4 Verantwortlichkeit
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung etwaiger gesetzlicher Schweigepflichten (insbesondere § 203 StGB) verantwortlich. Die Verantwortung des Auftragnehmers in den in der DSGVO genannten Fällen bleibt unberührt.
§ 5 Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf Weisung des Auftraggebers, sofern er nicht durch gesetzliche Bestimmungen, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere anwendbare Datenschutzbestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
§ 6 Transfer in Drittstaaten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der DSGVO erfüllt sind.
§ 7 Pflichten des Auftragnehmers
Den Auftragnehmer treffen im Rahmen dieses Auftrages folgende Pflichten:
- Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
- Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten am Ende dieser AVV);
- Der Auftragnehmer informiert den Auftraggeber unverzüglich über Maßnahmen der Aufsichtsbehörden, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch für etwaige Ordnungswidrigkeiten- oder Strafverfahren, soweit sie die Auftragsverarbeitung im Rahmen dieser Vereinbarung betreffen;
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, soweit es in seinem Einflussbereich zu Datenschutzverstößen oder Datenpannen kommt. Zudem informiert er den Auftraggeber über sonstige Umstände, die zu einer Gefährdung des Auftrags führen können (z.B. drohende Pfändung, Insolvenz);
- Soweit der Auftraggeber seinerseits behördlichen Maßnahmen oder Ansprüchen Dritter im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen;
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Informationspflichten gegenüber den Aufsichtsbehörden, Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit den Aufsichtsbehörden;
- Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen;
§ 8 Unterbeauftragungen
(1) Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(2) Nimmt der Auftragnehmer die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag oder anderen Rechtsinstrument zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Pflichten des Auftragnehmers durch Kontrollen beim Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Kontrollen dürfen zu den üblichen Geschäftszeiten erfolgen und sind in der Regel rechtzeitig anzumelden.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Prüfberichte unabhängiger Instanzen (z.B. Datenschutzauditoren);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(3) Kosten etwaiger Kontrollen trägt der Auftraggeber.
§ 10 Sicherheitskopien, Löschung und Rückgabe von personenbezogenen Daten
(1) Der Auftragnehmer hat Sicherheitskopien der hochgeladenen und über die App mitgeteilten Inhalte zu erstellen.
(2) Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Kündigung
Das Recht zur Kündigung dieser Vereinbarung aus wichtigem Grund bleibt unberührt. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform oder Textform.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen des Vertrags bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
(2) Auf diesen Vertrag ist ausschließlich das deutsche Recht anzuwenden.
(3) Ausschließlicher Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
(4) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen grundsätzlich nicht. Die Vertragsparteien werden sich bemühen, anstelle der unwirksamen Bestimmung eine solche zu finden, die dem Vertragsziel rechtlich und wirtschaftlich am ehesten gerecht wird.
Technisch-organisatorische Maßnahmen für Betreiber
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; - Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; - Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden;
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anlage 2: Datenschutzhinweise von TecCert für Betreiber
Ergänzend zu den Allgemeinen Geschäftsbedingungen für Betreiber und der Auftragsverarbeitungsvereinbarung geltend folgende Datenschutzhinweise:
Die TecCert GmbH verarbeitet folgende personenbezogene Daten des Betreibers
- Vor- und Nachname,
- Firmenname,
- Anschrift,
- Geburtsdatum, Beruf,
- Elektronische Kommunikationsdaten (E-Mail, Fax, Telefonnummer, Kommunikation über die Plattform),
- Elektronische Unterschrift,
- Gerätedaten (Hersteller, Anwendungsbereiche, Chargennummern, Einstellungsparameter etc.),
- Kommunikation mit Herstellern und Behörden,
- Betreiberdaten (Anzahl und Arten von Behandlungen, Behandlungsdokumentationen, Mitarbeiter im Betrieb etc.).
Die Verarbeitung der vorgenannten Daten einschließlich der technischen Übermittlung an Behörden und Hersteller im Auftrag des Betreibers erfolgt zum Zwecke der Vertragsdurchführung. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO.
Eine Übermittlung der vorgenannten Daten an Dritte erfolgt im Übrigen nur, diese sofern zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass der Betreiber ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe der Daten habt oder falls TecCert zur Weitergabe im Zusammenhang mit behördlichen Anfragen, gerichtlichen Anordnungen oder Rechtsverfahren gesetzlich verpflichtet ist. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO.
Eine Datenübermittlung an Staaten außerhalb der EU findet nicht statt.
Die personenbezogenen Daten werden im Rahmen der steuer- und handelsrechtlichen Aufbewahrungsfristen gespeichert, jedenfalls bis Ablauf gesetzlicher Verjährungsfristen für Schadensersatzansprüche.
Der Betreiber hat im Rahmen der DSGVO folgende Rechte bezüglich der von TecCert verarbeiteten personenbezogenen Daten:
- Widerspruch hinsichtlich der aufgrund von Art. 6 Abs. 1 Satz 1 f verarbeiteten personenbezogenen Daten (Art. 21 DSGVO)
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung (Art. 18 DSGVO),
- Übertragung (Art. 20 DSGVO).
Die vorgenannten Rechte kann der Betreiber gegenüber der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach per Post oder E-Mail an info@teccert.de geltend machen. Er hat zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde in begründeten Fällen zu beschweren: poststelle@lda.bayern.de.
Teil II: Informationen zum Vertragsschluss für Hersteller
Der Vertrag über die Nutzung der App kann nur online abgeschlossen werden. Für den Online-Abschluss müssen Sie auf der Registrierseite das Häkchen „Ich akzeptiere die Allgemeinen Geschäftsbedingungen für Hersteller“ und das Häkchen bei „Ich stimme der Auftragsdatenvereinbarung zu. Die Datenschutzhinweise habe ich zur Kenntnis genommen“ setzen. Eingabefehler können Sie vor Abgabe der Vertragserklärung in der Eingabemaske erkennen und mittels Tastatur berichtigen. Durch Anklicken des Buttons „Registrierung abschließen“ kommt der Nutzungsvertrag zustande. Die für den Vertragsschluss zur Verfügung stehende Sprache ist deutsch. Der Vertragstext wird nach dem Vertragsschluss von TecCert gespeichert. Die Vertragsbedingungen sind über die App einsehbar.
Allgemeine Geschäftsbedingungen für Hersteller
Präambel
Die TecCert GmbH (im Folgenden TecCert genannt) ist ein Anbieter von professionellen IT-Systemen.
TecCert hat eine App entwickelt (im Folgenden App), die es Kosmetikstudios ermöglicht, mit Behörden, Anbietern und Herstellern von kosmetischen Geräten (im Folgenden der oder die Hersteller) zu den regulatorischen Geräte- und Betreiberanforderungen zu kommunizieren und den gesetzlichen Anzeige- und Dokumentationspflichten nachzukommen. Nachfolgend werden die Bedingungen für die Nutzung der App durch Hersteller festgelegt:
§ 1 Leistungen
(1) TecCert erbringt für Hersteller folgende Leistungen:
- Kostenlose Einrichtung eines passwortgeschützten Bereiches in der App;
- Der Hersteller kann Gerätedaten, Gerätebilder und Produktkataloge in den passwortgeschützten Bereich der App hochladen, nach Gerätearten kategorisieren und für Gerätebetreiber bereitstellen. Über entstehende Kosten wird der Hersteller in der App informiert;
- Der Hersteller kann mit Kosmetikstudios und Behörden über die App kommunizieren und andersrum, z.B. können gegenseitig Gerätedaten ausgetauscht und Wartungstermine vereinbart werden. Behörden können den Hersteller über die App zur Vorlage oder Aktualisierung von Gerätedaten auffordern und erinnern sowie zu anderen Maßnahmen auffordern und der Hersteller kann direkt über die Plattform antworten. Der Hersteller kann den Kosmetikstudios und/oder Behörden Vorkommnisse melden;
- Der Hersteller kann gesonderte Zugriffs- und Kommunikationsrechte für bestimmte Kosmetikstudios, deren Mitarbeiter und Behörden erteilen.
Die Kosten für die Nutzung der App sind der jeweils aktuellen Preisliste zu entnehmen.
(2) Der Hersteller kann auf dem App-Server Inhalte bis zu einem Umfang von bis zu 10 GB hochladen und zum Download bereitstellen. Zugelassene Dateiformate sind in der App aufgeführt.
(3) Auf dem App-Server werden die unter § 1 (1) genannten Inhalte zum Abruf bereitgehalten. Die Leistungen von TecCert bei der Bereitstellung und Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom TecCert betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für den Hersteller bereitgestellten Serverplatz. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist TecCert nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
(4) TecCert ist berechtigt Wartungsarbeiten an der App durchzuführen. Während der Wartungsarbeiten stehen die vorgenannten Leistungen nicht zur Verfügung.
(5) Die Inhalte des für den Hersteller bestimmten Speicherplatzes werden von TecCert arbeitstäglich gesichert. Der Hersteller hat dennoch dafür Sorge zu tragen, dass er alle Inhalte, die er hochlädt oder die ihm bezüglich über die App kommuniziert werden, auch auf seinen eigenen Systemen sichert. Für hochgeladene Inhalte besteht in der App eine Downloadfunktion. TecCert gewährleistet nicht, dass dem Hersteller hochgeladene und über die App kommunizierte Inhalte zu Beweiszwecken zur Verfügung stehen.
(5) TecCert ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die vom Hersteller auf dem App-Server abgelegten Inhalte, um das Erbringen der Leistungen TecCerts zu gewährleisten, so wird TecCert dem Hersteller diese zusätzlichen Anforderungen mitteilen. Der Hersteller wird unverzüglich nach Zugang der Mitteilung darüber entscheiden, ob die zusätzlichen Anforderungen erfüllt werden sollen und bis wann dies geschehen wird. Erklärt der Hersteller nicht bis spätestens vier Wochen vor dem Umstellungszeitpunkt, dass er seine Inhalte rechtzeitig zur Umstellung, das heißt spätestens drei Werktage vor dem Umstellungszeitpunkt, an die zusätzlichen Anforderungen anpassen wird, hat TecCert das Recht, das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt zu kündigen.
§ 2 Mitwirkungspflichten des Herstellers
(1) Der Hersteller verpflichtet sich, auf dem zur Verfügung gestellten Speicherplatz keine rechtswidrigen, die Gesetze, behördlichen Auflagen oder Rechte Dritter verletzenden Inhalte abzulegen. Er wird dafür Sorge tragen, dass die von ihm gewählte Internet-Adresse, unter der die Inhalte über das Internet abgefragt werden können, ebenfalls nicht Gesetze, behördliche Auflagen oder Rechte Dritter verletzt. Der Hersteller wird ferner darauf achten, dass von ihm hochgeladenen Inhalte den Betrieb des Servers oder des Kommunikationsnetzes des TecCerts oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegten Daten nicht gefährden. Der Hersteller stellt TecCert von jeglicher Inanspruchnahme durch Dritte einschließlich der durch die Inanspruchnahme ausgelösten Kosten frei.
(2) Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die vorstehenden Verpflichtungen sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen den TecCert auf Unterlassen der vollständigen oder teilweisen Darbietung der auf dem Server abgelegten Inhalte über das Internet ist TecCert berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Herstellers die Anbindung dieser Inhalte an das Internet ganz oder teilweise mit sofortiger Wirkung vorübergehend einzustellen. TecCert wird den Hersteller über diese Maßnahme unverzüglich informieren.
(3) Gefährden oder beeinträchtigen vom Hersteller hochgeladene Inhalte den Betrieb des Servers oder des Kommunikationsnetzes von TecCert oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegter Daten, so kann TecCert diese Daten löschen oder deaktivieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist TecCert auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. TecCert wird den Hersteller über diese Maßnahme unverzüglich informieren.
(5) Die von dem Hersteller auf dem für ihn bestimmten Speicherplatz abgelegten Inhalte können urheberrechtlich geschützt sein. Der Hersteller räumt TecCert das Recht ein, die von ihm auf dem Server abgelegten Inhalte bei Abfragen über das Internet zu den Vertragszwecken zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können.
§ 3 Vergütung
(1) Die Vergütung der von TecCert erbrachten Leistungen richtet sich nach der im Zeitpunkt des Vertragsschlusses gültigen Preisliste. Der Hersteller kann bei Inanspruchnahme kostenpflichtiger Leistungen zwischen den Zahlungsarten Paypal, Lastschrift, Kreditkarte und EC-Karte wählen.
(2) Der Hersteller erhält Rechnungen ausschließlich auf elektronischem Wege über die App. Er hat Einwendungen gegen die Abrechnung der von TecCert erbrachten Leistungen innerhalb von acht Wochen nach Zugang der Rechnung schriftlich bei der auf der Rechnung angegebenen Stelle zu erheben. Nach Ablauf der vorgenannten Frist gilt die Abrechnung als vom Hersteller genehmigt. TecCert wird den Hersteller mit Übersendung der Rechnung auf die Bedeutung seines Verhaltens besonders hinweisen.
(3) TecCert ist berechtigt, die seinen Leistungen zugrunde liegende Preisliste zu ändern. TecCert wird den Hersteller über Änderungen in der Preisliste spätestens sechs Wochen vor Inkrafttreten der Änderungen in der Preisliste über die App informieren. Ist der Hersteller mit der Änderung der Preisliste nicht einverstanden, so kann er dieses Vertragsverhältnis außerordentlich zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderung der Preisliste kündigen. Die Kündigung bedarf der Schriftform oder der Textform. Kündigt der Hersteller das Vertragsverhältnis zum Zeitpunkt des Wirksamwerdens der Preisänderung nicht, so gilt die Preisänderung als von ihm genehmigt. TecCert wird den Hersteller mit der Mitteilung der Preisänderung auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
(4) Die Erbringung der Leistungen durch TecCert ist daran gebunden, dass der Hersteller seinen Zahlungsverpflichtungen rechtzeitig nachkommt. Kommt der Hersteller für zwei aufeinanderfolgende Monate mit der Entrichtung eines nicht unerheblichen Teils der geschuldeten Vergütung in Verzug, so kann TecCert das Vertragsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.
§ 4 Vertragslaufzeit
(1) Der Vertrag läuft unbefristet und kann nach Ablauf eines Jahres jederzeit schriftlich oder in Textform mit einer Frist von 30 Tagen zum Ende eines Kalenderquartals gekündigt werden.
(2) Die Kündigung aus wichtigem Grund bleibt unberührt.
§ 5 Mängel
(1) TecCert stellt lediglich eine Kommunikationsplattform zur Verfügung und bietet keinerlei Gewähr dafür, dass die Kommunikation über die App zu irgendeinem Ergebnis oder Erfolg führt. Hinsichtlich der Einhaltung der den Hersteller treffenden gesetzlichen Gerätepflichten bleibt dieser allein verantwortlich. Die Verletzung dieser Pflichten führt nicht zu einem Mangel der Leistungen von TecCert. TecCert erbringt mit ihren Leistungen keinerlei Rechtsberatung.
(2) Vertraglich erfasste Mängel werden kostenlos beseitigt, sofern sie nicht vom Hersteller verschuldet wurden. Aufgetretene Mängel und Fehler sind TecCert unmittelbar nach ihrer Feststellung in schriftlicher oder elektronischer Form nachvollziehbar mitzuteilen.
(3) Für Mängel, die bereits bei Überlassung des Speicherplatzes an den Hersteller vorhanden waren, haftet TecCert nur, wenn sie diese Mängel zu vertreten hat.
§ 6 Haftung
TecCert haftet für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet TecCert nur bei Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Hersteller regelmäßig vertrauen darf sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. TecCert haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Die Haftung ist im Falle leichter Fahrlässigkeit der Höhe nach beschränkt auf 25.000, –EUR. Für den Verlust von Daten und/oder Programmen haftet TecCert insoweit nicht, als der Schaden darauf beruht, dass es der Hersteller unterlassen hat, Datensicherungen. Zwingende Regelungen des Telekommunikationsgesetzes bleiben vom Voranstehenden unberührt.
§ 7 Änderung der Vertragsbedingungen
Soweit nicht bereits anderweitig speziell geregelt, ist TecCert berechtigt, diese Vertragsbedingungen wie folgt zu ändern oder zu ergänzen. TecCert wird dem Hersteller die Änderungen oder Ergänzungen spätestens sechs Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist der Hersteller mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann er den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Schriftform oder der Textform. Widerspricht der Hersteller nicht, so gelten die Änderungen oder Ergänzungen der Vertragsbedingungen als von ihm genehmigt. TecCert wird den Hersteller mit der Mitteilung der Änderungen oder Ergänzungen der Vertragsbedingungen auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
§ 8 Datenschutz, Recht zur Datennutzung
(1) Der Hersteller ist Verantwortlicher im Sinne der DSGVO bezüglich der von ihm über die App hochgeladenen und mitgeteilten Inhalte und prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt.
(2) Zwischen den Parteien wird die als Anlage 1 beigefügte Auftragsverarbeitungsvereinbarung (AVV) geschlossen. Ferner gelten die Datenschutzhinweise in Anlage 2.
(3) Der Hersteller räumt TecCert das Recht ein, von ihm über die App hochgeladene herstellerbezogenenen Daten (z.B. betreffend Häufigkeit der Gerätenutzung, Gerätealter, Wartungen, Wartungs- und Reparaturkosten) in anonymisierter Form zu statistischen Zwecken auszuwerten und zu verarbeiten.
§ 9 Schlussbestimmungen
(1) Der Hersteller kann nur mit Forderungen aufrechnen, die rechtskräftig festgestellt oder unbestritten sind.
(2) Abweichende Bedingungen des Herstellers werden nicht anerkannt, es sei denn, TecCert stimmt ihrer Geltung zu. Alle Änderungen, Ergänzungen und Kündigungen vertraglicher Vereinbarungen bedürfen der Schriftform, ebenso die Aufhebung des Schriftformerfordernisses, soweit dieser Vertrag nicht die Textform vorsieht.
(3) Sollten einzelne Bestimmungen der Parteivereinbarungen ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahekommt. Entsprechendes gilt für etwaige Lücken der Vereinbarungen.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Bei einer mehrsprachigen Version dieses Vertrages ist für die rechtlichen Wirkungen allein der deutsche Text maßgeblich.
(5) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Anlage 1: Auftragsverarbeitungsvereinbarung für Hersteller
Zwischen der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach (nachfolgend Auftragnehmer) und dem Hersteller, wie im Antragsformular der NiSV-App benannt, (nachfolgend Auftraggeber) wird folgender Vertrag geschlossen:
§ 1 Gegenstand
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers nach dessen Weisung.
§ 2 Zwecke und Dauer der Datenverarbeitung
(1) Die Zwecke der Datenverarbeitung ergeben sich aus § 1 der zwischen den Parteien vereinbarten Allgemeinen Geschäftsbedingungen für Hersteller.
(2) Die Dauer der Datenverarbeitung entspricht der Laufzeit des Nutzungsvertrages.
§ 3 Arten personenbezogener Daten, Personenkategorien
Folgende personenbezogenen Daten werden vom Auftragnehmer zu den in Ziffer 2. genannten Zwecken verarbeitet:
- Personenstammdaten (Name, Anschrift)
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (z.B. Vergütung, Vertragsinhalte)
- Gerätedaten
- Vertragsabrechnungs- und Zahlungsdaten
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden des Herstellers und deren Mitarbeiter
- Mitarbeiter von Herstellern
Der Zugriff auf die vorgenannten Daten durch den Auftragnehmer erfolgt im Rahmen der § 1 der Allgemeinen Geschäftsbedingungen für Hersteller beschriebenen Leistungsumfangs.
§ 4 Verantwortlichkeit
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung etwaiger gesetzlicher Schweigepflichten (insbesondere § 203 StGB) verantwortlich. Die Verantwortung des Auftragnehmers in den in der DSGVO genannten Fällen bleibt unberührt.
§ 5 Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf Weisung des Auftraggebers, sofern er nicht durch gesetzliche Bestimmungen, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere anwendbare Datenschutzbestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
§ 6 Transfer in Drittstaaten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der DSGVO erfüllt sind.
§ 7 Pflichten des Auftragnehmers
Den Auftragnehmer treffen im Rahmen dieses Auftrages folgende Pflichten:
- Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
- Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten am Ende dieser AVV);
- Der Auftragnehmer informiert den Auftraggeber unverzüglich über Maßnahmen der Aufsichtsbehörden, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch für etwaige Ordnungswidrigkeiten- oder Strafverfahren, soweit sie die Auftragsverarbeitung im Rahmen dieser Vereinbarung betreffen;
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, soweit es in seinem Einflussbereich zu Datenschutzverstößen oder Datenpannen kommt. Zudem informiert er den Auftraggeber über sonstige Umstände, die zu einer Gefährdung des Auftrags führen können (z.B. drohende Pfändung, Insolvenz);
- Soweit der Auftraggeber seinerseits behördlichen Maßnahmen oder Ansprüchen Dritter im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen;
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Informationspflichten gegenüber den Aufsichtsbehörden, Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit den Aufsichtsbehörden;
- Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen;
§ 8 Unterbeauftragungen
(1) Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(2) Nimmt der Auftragnehmer die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag oder anderen Rechtsinstrument zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Pflichten des Auftragnehmers durch Kontrollen beim Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Kontrollen dürfen zu den üblichen Geschäftszeiten erfolgen und sind in der Regel rechtzeitig anzumelden.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Prüfberichte unabhängiger Instanzen (z.B. Datenschutzauditoren);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(3) Kosten etwaiger Kontrollen trägt der Auftraggeber.
§ 10 Sicherheitskopien, Löschung und Rückgabe von personenbezogenen Daten
(1) Der Auftragnehmer Der Auftragnehmer hat Sicherheitskopien der hochgeladenen und über die App mitgeteilten Inhalte zu erstellen.
(2) Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Kündigung
Das Recht zur Kündigung dieser Vereinbarung aus wichtigem Grund bleibt unberührt. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform oder Textform.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen des Vertrags bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
(2) Auf diesen Vertrag ist ausschließlich das deutsche Recht anzuwenden.
(4) Ausschließlicher Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
(5) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen grundsätzlich nicht. Die Vertragsparteien werden sich bemühen, anstelle der unwirksamen Bestimmung eine solche zu finden, die dem Vertragziel rechtlich und wirtschaftlich am ehesten gerecht wird.
Technisch-organisatorische Maßnahmen für Hersteller
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; - Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; - Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden;
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anlage 2: Datenschutzhinweise von TecCert für Hersteller
Ergänzend zu den Allgemeinen Geschäftsbedingungen für Hersteller und der Auftragsverarbeitungsvereinbarung geltend folgende Datenschutzhinweise:
TecCert verarbeitet folgende personenbezogene Daten des Herstellers
- Vor- und Nachname von Mitarbeitern,
- Firmenname,
- Anschrift,
- Geburtsdatum, Beruf,
- Elektronische Kommunikationsdaten (E-Mail, Fax, Telefonnummer, Kommunikation über die App),
- Elektronische Unterschrift,
- Gerätedaten (Hersteller, Anwendungsbereiche, Chargennummern, Einstellungsparameter etc.),
- Kommunikation mit Kosmetikstudios und Behörden.
Die Verarbeitung der vorgenannten Daten einschließlich der technischen Übermittlung an Kosmetikstudios und Behörden im Auftrag des Herstellers erfolgt zum Zwecke der Vertragsdurchführung. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO.
Eine Übermittlung der vorgenannten Daten an Dritte erfolgt im Übrigen nur, diese sofern zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass der Hersteller ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe der Daten habt oder falls TecCert zur Weitergabe im Zusammenhang mit behördlichen Anfragen, gerichtlichen Anordnungen oder Rechtsverfahren gesetzlich verpflichtet ist, Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO.
Eine Datenübermittlung an Staaten außerhalb der EU findet nicht statt.
Die personenbezogenen Daten werden im Rahmen der steuer- und handelsrechtlichen Aufbewahrungsfristen gespeichert, jedenfalls bis Ablauf gesetzlicher Verjährungsfristen für Schadensersatzansprüche.
Personen des Herstellers, deren personenbezogene Daten verarbeitet werden, haben im Rahmen der DSGVO folgende Rechte bezüglich der von TecCert verarbeiteten personenbezogenen Daten:
- Widerspruch hinsichtlich der aufgrund von Art. 6 Abs. 1 Satz 1 f verarbeiteten personenbezogenen Daten (Art. 21 DSGVO)
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung (Art. 18 DSGVO),
- Übertragung (Art. 20 DSGVO).
Die vorgenannten Rechte können die Betroffenen gegenüber der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach per Post oder E-Mail an info@teccert.de geltend machen. Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde in begründeten Fällen zu beschweren: poststelle@lda.bayern.de.
Teil III: Informationen zum Vertragsschluss für Behörden
Der Vertrag über die Nutzung der App kann nur online abgeschlossen werden. Für den Online-Abschluss müssen Sie auf der Registrierseite das Häkchen „Ich akzeptiere die Allgemeinen Geschäftsbedingungen für Behörden“ und das Häkchen bei „Ich stimme der Auftragsdatenvereinbarung zu. Die Datenschutzhinweise habe ich zur Kenntnis genommen“ setzen. Eingabefehler können Sie vor Abgabe der Vertragserklärung in der Eingabemaske erkennen und mittels Tastatur berichtigen. Durch Anklicken des Buttons „Absenden“ kommt der Nutzungsvertrag zustande. Die für den Vertragsschluss zur Verfügung stehende Sprache ist deutsch. Der Vertragstext wird nach dem Vertragsschluss von TecCert gespeichert die Vertragsbedingungen sind über die App einsehbar.
Allgemeine Geschäftsbedingungen für Behörden
Präambel
Die TecCert GmbH (im Folgenden TecCert genannt) ist ein Anbieter von professionellen IT-Systemen.
TecCert hat eine App entwickelt (im Folgenden App), die es Kosmetikstudios ermöglicht, mit Behörden, Anbietern und Herstellern von kosmetischen Geräten (im Folgenden Hersteller) zu den regulatorischen Geräte- und Betreiberanforderungen zu kommunizieren und den gesetzlichen Anzeige- und Dokumentationspflichten nachzukommen. Nachfolgend werden die Bedingungen für die Nutzung der App durch die den Nutzungsvertrag schließende Behörde festgelegt:
§ 1 Leistungen
(1) TecCert erbringt für die Behörde folgende Leistungen:
- Kostenlose Einrichtung eines passwortgeschützten Bereiches in der App;
- Die Behörde kann von Kosmetikstudios und/oder Herstellern in die App hochgeladene Geräte- und Wartungsdaten, Gerätebilder, Behandlungsdokumentationen, Fachkunde- und Schulungszertifikate und Mitarbeiterzeugnisse einsehen und herunterladen.
- Die Behörde kann mit Kosmetikstudios und Herstellern über die App kommunizieren und andersrum, z.B. kann die Behörde die Kosmetikstudios und/oder den Hersteller über die App zur Vorlage oder Aktualisierung von Gerätedaten und weiteren Unterlagen auffordern und erinnern sowie zu anderen Maßnahmen auffordern und Kosmetikstudios und/oder Hersteller können direkt über die App antworten. Die Behörde kann den Kosmetikstudios und/oder Herstellern ihr bekannt werdende Vorkommnisse melden;
Die Behörde kann gesonderte Zugriffs- und Kommunikationsrechte für bestimmte Kosmetikstudios, deren Mitarbeiter und Hersteller erteilen.
Die Kosten für die Nutzung der App sind der jeweils aktuellen Preisliste zu entnehmen.
(2) Zugelassene Dateiformate sind in der App aufgeführt.
(3) Auf dem App-Server werden die unter § 1 (1) genannten Inhalte zum Abruf bereitgehalten. Die Leistungen von TecCert bei der Bereitstellung und Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom TecCert betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für die Behörde bereitgestellten Serverplatz. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist TecCert nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
(4) TecCert ist berechtigt, Wartungsarbeiten an der App durchzuführen. Während der Wartungsarbeiten stehen die vorgenannten Leistungen nicht zur Verfügung.
(5) Die Inhalte des für die Behörde bestimmten Speicherplatzes werden von TecCert arbeitstäglich gesichert. Die Behörde hat dennoch dafür Sorge zu tragen, dass sie alle Inhalte, die sie hochlädt oder die ihr bezüglich über die App kommuniziert werden, auch auf ihren eigenen Systemen sichert. Für hochgeladene Inhalte besteht in der App eine Downloadfunktion. TecCert gewährleistet nicht, dass der Behörde hochgeladene und über die App kommunizierte Inhalte zu Beweiszwecken zur Verfügung stehen.
(6) TecCert ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die von den Behörden auf dem App-Server abgelegten Inhalte, um das Erbringen der Leistungen TecCerts zu gewährleisten, so wird TecCert der Behörde diese zusätzlichen Anforderungen mitteilen. Die Behörden werden unverzüglich nach Zugang der Mitteilung darüber entscheiden, ob die zusätzlichen Anforderungen erfüllt werden sollen und bis wann dies geschehen wird. Erklären die Behörden nicht bis spätestens vier Wochen vor dem Umstellungszeitpunkt, dass er seine Inhalte rechtzeitig zur Umstellung, das heißt spätestens drei Werktage vor dem Umstellungszeitpunkt, an die zusätzlichen Anforderungen anpassen wird, hat TecCert das Recht, das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt zu kündigen.
§ 2 Mitwirkungspflichten der Behörden
(1) Gefährden oder beeinträchtigen von der Behörde hochgeladene Inhalte den Betrieb des Servers oder des Kommunikationsnetzes von TecCert oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegter Daten, so kann TecCert diese Daten löschen oder deaktivieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist TecCert auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. TecCert wird die Behörde über diese Maßnahme unverzüglich informieren.
(2) Für den Zugriff auf das App-Konto erhält die Behörde eine Benutzerkennung und ein veränderbares Passwort. Die Behörde sollte das Passwort in regelmäßigen Abständen ändern. Das Passwort muss eine Mindestlänge von 8 Zeichen aufweisen und mindestens einen Buchstaben, eine Ziffer sowie ein Sonderzeichen enthalten. Die Behörde darf das Passwort nur an solche Personen weitergeben, die von ihr berechtigt wurden, auf den Speicherplatz Zugriff zu nehmen. Wird das Passwort dreimal in Folge unrichtig eingegeben, so wird der Zugriff auf den Speicherplatz zum Schutz vor Missbräuchen gesperrt. Die Behörde wird hierüber informiert. Sie erhält dann von TecCert ein neues Passwort zugeteilt. TecCert ist in diesem Fall berechtigt, nicht nur das Passwort, sondern auch die Benutzerkennung neu zu vergeben. Die Behörde hat selbst dafür zu sorgen, dass nur Berechtigte Zugang zum Konto der Behörde erhalten.
(3) Die von der Behörde auf dem für sie bestimmten Speicherplatz abgelegten Inhalte können urheberrechtlich geschützt sein. Die Behörde räumt TecCert das Recht ein, die von ihr auf dem Server abgelegten Inhalte bei Abfragen über das Internet zu den Vertragszwecken zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können.
§ 3 Vergütung
(1) Die Vergütung der von TecCert erbrachten Leistungen richtet sich nach der im Zeitpunkt des Vertragsschlusses gültigen Preisliste. Die Behörde kann bei Inanspruchnahme kostenpflichtiger Leistungen zwischen den Zahlungsarten Paypal, Lastschrift, Rechnung wählen.
(2) Die Behörde erhält Rechnungen ausschließlich auf elektronischem Wege über die App.
(3) TecCert ist berechtigt, die seinen Leistungen zugrunde liegende Preisliste zu ändern. TecCert wird die Behörde über Änderungen in der Preisliste spätestens sechs Wochen vor Inkrafttreten der Änderungen in über die App informieren. Ist die Behörde mit der Änderung der Preisliste nicht einverstanden, so kann sie dieses Vertragsverhältnis außerordentlich zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderung der Preisliste kündigen. Die Kündigung bedarf der Schriftform oder der Textform. Kündigt die Behörde das Vertragsverhältnis zum Zeitpunkt des Wirksamwerdens der Preisänderung nicht, so gilt die Preisänderung als von ihr genehmigt. TecCert wird die Behörde mit der Mitteilung der Preisänderung auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
§ 4 Vertragslaufzeit
(1) Der Vertrag läuft unbefristet und kann nach Ablauf eines Jahres jederzeit schriftlich oder in Textform mit einer Frist von 30 Tagen zum Ende eines Kalenderquartals gekündigt werden.
(2) Die Kündigung aus wichtigem Grund bleibt unberührt.
§ 5 Mängel
(1) TecCert stellt lediglich eine Kommunikationsplattform zur Verfügung und bietet keinerlei Gewähr dafür, dass die Kommunikation über die App zu irgendeinem Ergebnis oder Erfolg führt.
(2) Vertraglich erfasste Mängel werden kostenlos beseitigt, sofern sie nicht von der Behörde verschuldet wurden. Aufgetretene Mängel und Fehler sind TecCert unmittelbar nach ihrer Feststellung in schriftlicher oder elektronischer Form nachvollziehbar mitzuteilen.
(3) Für Mängel, die bereits bei Überlassung des Speicherplatzes an die Behörde vorhanden waren, haftet TecCert nur, wenn sie diese Mängel zu vertreten hat.
§ 6 Haftung
TecCert haftet für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet TecCert nur bei Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung die Behörde regelmäßig vertrauen darf sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. TecCert haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Die Haftung ist im Falle leichter Fahrlässigkeit der Höhe nach beschränkt auf 25.000, – EUR. Für den Verlust von Daten und/oder Programmen haftet TecCert insoweit nicht, als der Schaden darauf beruht, dass es die Behörde unterlassen hat, Datensicherungen durchzuführen. Zwingende Regelungen des Telekommunikationsgesetzes bleiben vom Voranstehenden unberührt.
§ 7 Änderung der Vertragsbedingungen
Soweit nicht bereits anderweitig speziell geregelt, ist TecCert berechtigt, diese Vertragsbedingungen wie folgt zu ändern oder zu ergänzen. TecCert wird der Behörde die Änderungen oder Ergänzungen spätestens sechs Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist die Behörde mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann sie den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Schriftform oder der Textform. Widerspricht die Behörde nicht, so gelten die Änderungen oder Ergänzungen der Vertragsbedingungen als von ihr genehmigt. TecCert wird die Behörde mit der Mitteilung der Änderungen oder Ergänzungen der Vertragsbedingungen auf die vorgesehene Bedeutung ihres Verhaltens besonders hinweisen.
§ 8 Datenschutz, Recht zur Datennutzung
(1) Der Behörde ist Verantwortlicher im Sinne der DSGVO bezüglich der von ihr über die App hochgeladenen und mitgeteilten Inhalte und prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch sie datenschutzrechtlichen Anforderungen genügt.
(2) Zwischen den Parteien wird die als Anlage 1 beigefügte Auftragsverarbeitungsvereinbarung (AVV) geschlossen. Ferner gelten die Datenschutzhinweise in Anlage 2.
§ 9 Schlussbestimmungen
(1) Abweichende Bedingungen der Behörde werden nicht anerkannt, es sei denn, TecCert stimmt ihrer Geltung zu. Alle Änderungen, Ergänzungen und Kündigungen vertraglicher Vereinbarungen bedürfen der Schriftform, ebenso die Aufhebung des Schriftformerfordernisses, soweit dieser Vertrag nicht die Textform vorsieht.
(2) Sollten einzelne Bestimmungen der Parteivereinbarungen ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahekommt. Entsprechendes gilt für etwaige Lücken der Vereinbarungen.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Bei einer mehrsprachigen Version dieses Vertrages ist für die rechtlichen Wirkungen allein der deutsche Text maßgeblich.
(4) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Anlage 1: Auftragsverarbeitungsvereinbarung für Behörden
Zwischen der TecCert GmbH, Salvatorstraße 5 in 84051 Essenbach (nachfolgend Auftragnehmer) und der Behörde, wie im Antragsformular der NiSV-App benannt, (nachfolgend Auftraggeber) wird folgender Vertrag geschlossen:
§ 1 Gegenstand
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers nach dessen Weisung.
§ 2 Zwecke und Dauer der Datenverarbeitung
(1) Die Zwecke der Datenverarbeitung ergeben sich aus § 1 der zwischen den Parteien vereinbarten Allgemeinen Geschäftsbedingungen für Behörden.
(2) Die Dauer der Datenverarbeitung entspricht der Laufzeit des Nutzungsvertrages.
§ 3 Arten personenbezogener Daten, Personenkategorien
Folgende personenbezogenen Daten werden vom Auftragnehmer zu den in Ziffer 2. genannten Zwecken verarbeitet:
- Personenstammdaten (Name, Anschrift)
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (z.B. Vergütung, Vertragsinhalte)
- Vertragsabrechnungs- und Zahlungsdaten
- Personenbezogene Daten aus Akteninhalten, die in die App hochgeladen bzw. über diese kommuniziert werden
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Behördenmitarbeiter
- Kosmetikstudios und deren Mitarbeiter
Der Zugriff auf die vorgenannten Daten durch den Auftragnehmer erfolgt im Rahmen in § 1 der Allgemeinen Geschäftsbedingungen für Behörden beschriebenen Leistungsumfangs.
§ 4 Verantwortlichkeit
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung etwaiger gesetzlicher Schweigepflichten (insbesondere § 203 StGB) verantwortlich. Die Verantwortung des Auftragnehmers in den in der DSGVO genannten Fällen bleibt unberührt.
§ 5 Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf Weisung des Auftraggebers, sofern er nicht durch gesetzliche Bestimmungen, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere anwendbare Datenschutzbestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
§ 6 Transfer in Drittstaaten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der DSGVO erfüllt sind.
§ 7 Pflichten des Auftragnehmers
Den Auftragnehmer treffen im Rahmen dieses Auftrages folgende Pflichten:
- Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
- Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten am Ende dieser AVV);
- Der Auftragnehmer informiert den Auftraggeber unverzüglich über Maßnahmen der Aufsichtsbehörden, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch für etwaige Ordnungswidrigkeiten- oder Strafverfahren, soweit sie die Auftragsverarbeitung im Rahmen dieser Vereinbarung betreffen;
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, soweit es in seinem Einflussbereich zu Datenschutzverstößen oder Datenpannen kommt. Zudem informiert er den Auftraggeber über sonstige Umstände, die zu einer Gefährdung des Auftrags führen können (z.B. drohende Pfändung, Insolvenz);
- Soweit der Auftraggeber seinerseits behördlichen Maßnahmen oder Ansprüchen Dritter im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen;
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Informationspflichten gegenüber den Aufsichtsbehörden, Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit den Aufsichtsbehörden;
- Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen;
§ 8 Unterbeauftragungen
(1) Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(2) Nimmt der Auftragnehmer die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag oder anderen Rechtsinstrument zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Pflichten des Auftragnehmers durch Kontrollen beim Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Kontrollen dürfen zu den üblichen Geschäftszeiten erfolgen und sind in der Regel rechtzeitig anzumelden.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Prüfberichte unabhängiger Instanzen (z.B. Datenschutzauditoren);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(3) Kosten etwaiger Kontrollen trägt der Auftraggeber.
§ 10 Sicherheitskopien, Löschung und Rückgabe von personenbezogenen Daten
(1) Der Auftragnehmer hat Sicherheitskopien der hochgeladenen und über die App mitgeteilten Inhalte zu erstellen.
(2) Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Kündigung
Das Recht zur Kündigung dieser Vereinbarung aus wichtigem Grund bleibt unberührt. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform oder Textform.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen des Vertrags bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
(2) Auf diesen Vertrag ist ausschließlich das deutsche Recht anzuwenden.
(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen grundsätzlich nicht. Die Vertragsparteien werden sich bemühen, anstelle der unwirksamen Bestimmung eine solche zu finden, die dem Vertragsziel rechtlich und wirtschaftlich am ehesten gerecht wird.
(4) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Technisch-organisatorische Maßnahmen für Behörden
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; - Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; - Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden;
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anlage 2: Datenschutzhinweise von TecCert für Behörden
Ergänzend zu den Allgemeinen Geschäftsbehörden für Behörden und der Auftragsverarbeitungsvereinbarung geltend folgende Datenschutzhinweise:
TecCert verarbeitet folgende personenbezogene Daten von Behörden
- Vor- und Nachname von Mitarbeitern,
- Ggf. Anschrift,
- Geburtsdatum, Beruf,
- Elektronische Kommunikationsdaten (E-Mail, Fax, Telefonnummer, Kommunikation über die App),
- Elektronische Unterschrift,
- Gerätedaten (Hersteller, Anwendungsbereiche, Chargennummern, Einstellungsparameter etc.)
- Kommunikation mit Kosmetikstudios, Herstellern und Behörden.
Die Verarbeitung der vorgenannten Daten einschließlich der technischen Übermittlung an Kosmetikstudios und Hersteller im Auftrag der Behörde erfolgt zum Zwecke der Vertragsdurchführung. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO.
Eine Übermittlung der vorgenannten Daten an Dritte erfolgt im Übrigen nur, diese sofern zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass der Hersteller ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe der Daten habt oder falls TecCert zur Weitergabe im Zusammenhang mit behördlichen Anfragen, gerichtlichen Anordnungen oder Rechtsverfahren gesetzlich verpflichtet ist, Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO.
Die personenbezogenen Daten werden im Rahmen der steuer- und handelsrechtlichen Aufbewahrungsfristen gespeichert, jedenfalls bis Ablauf gesetzlicher Verjährungsfristen für Schadensersatzansprüche.
Behördenmitarbeiter, deren personenbezogene Daten verarbeitet werden, hab im Rahmen der DSGVO folgende Rechte bezüglich der von TecCert verarbeiteten personenbezogenen Daten:
- Widerspruch hinsichtlich der aufgrund von Art. 6 Abs. 1 Satz 1 f verarbeiteten personenbezogenen Daten (Art. 21 DSGVO)
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung (Art. 18 DSGVO),
- Übertragung (Art. 20 DSGVO).
Die vorgenannten Rechte können die Betroffenen gegenüber der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach per Post oder E-Mail an info@teccert.de geltend machen. Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde in begründeten Fällen zu beschweren: poststelle@lda.bayern.de.
Generelle Informationen zum Vertragsabschluss für Betreiber, Hersteller und Behörden
Dieses Dokument ist in drei Teile aufgeteilt.
Im ersten Teil stehen die Allgemeinen Geschäftsbedingungen für Betreiber, die Anlage 1: Auftragsverarbeitungsvereinbarung für Betreiber, die Technisch-organisatorischen Maßnahmen für Betreiber und die Anlage 2: Datenschutzhinweise von TecCert für Betreiber.
Im zweiten Teil stehen die Allgemeinen Geschäftsbedingungen für Hersteller, die Anlage 1: Auftragsverarbeitungsvereinbarung für Hersteller, die Technisch-organisatorischen Maßnahmen für Hersteller und die Anlage 2: Datenschutzhinweise von TecCert für Herteller.
Im dritten Teil stehen die Allgemeinen Geschäftsbedingungen für Behörden, die Anlage 1: Auftragsverarbeitungsvereinbarung für Behörden, die Technisch-organisatorischen Maßnahmen für Behörden und die Anlage 2: Datenschutzhinweise von TecCert für Behörden.
Der Vertrag über die Nutzung der App kann nur online abgeschlossen werden. Für den Online-Abschluss müssen Sie auf der Registrierseite das Häkchen bei „Ich akzeptiere die Allgemeinen Geschäftsbedingungen für Betreiber“ und das Häkchen bei „Ich stimme der Auftragsdatenvereinbarung zu. Die Datenschutzhinweise habe ich zur Kenntnis genommen“ setzen. Eingabefehler können Sie vor Abgabe der Vertragserklärung in der Eingabemaske erkennen und mittels Tastatur berichtigen. Durch Anklicken des Buttons „Registrierung abschließen“ kommt der Nutzungsvertrag zustande. Die für den Vertragsschluss zur Verfügung stehende Sprache ist deutsch. Der Vertragstext wird nach dem Vertragsschluss von TecCert gespeichert die Vertragsbedingungen sind über die App einsehbar.
Allgemeine Geschäftsbedingungen für Betreiber
Präambel
Die TecCert GmbH (im Folgenden TecCert genannt) ist ein Anbieter von professionellen IT-Systemen. Betreiber betreibt ein Kosmetikstudio.
TecCert hat eine App entwickelt (im Folgenden Plattform), die es Kosmetikstudios und somit dem Betreiber ermöglicht, mit Behörden, Anbietern und Herstellern von kosmetischen Geräten (im Folgenden Hersteller) zu den regulatorischen Geräte- und Betreiberanforderungen zu kommunizieren und den gesetzlichen Anzeige- und Dokumentationspflichten nachzukommen. Nachfolgend werden die Bedingungen für die Nutzung der App festgelegt:
§ 1 Leistungen
(1) TecCert erbringt für den Betreiber folgende Leistungen:
- Kostenlose Einrichtung eines passwortgeschützten Bereiches in der App;
- Betreiber kann Dokumente (Geräte- und Wartungsdaten, Behandlungsdokumentationen, Fachkunde- und Schulungszertifikate, Mitarbeiterzeugnisse etc.) in den passwortgeschützten Bereich der App hochladen und nach Gerätearten kategorisieren. Nach gesonderter Freigabe durch den Betreiber können sie dort von den zuständigen Behörden und Herstellern der Geräte eingesehen und heruntergeladen werden. Betreiber kann auswählen, wer welche Dokumente einsehen und herunterladen kann.
- Betreiber wird über die App ein Anzeigeformular zur Verfügung gestellt, mit dem er über die App den Betrieb seiner Geräteden Nachweis von kosmetischer Fachkunde bei der Anwendung kosmetischer Geräte und der Dokumentation von Behandlungen am Kunden bei den Behörden im Rahmen seiner gesetzlichen Anzeigepflichten anzeigen kann;
- Betreiber kann mit Behörden über die App kommunizieren und andersrum, z.B. können Behörden den Betreiber über die App zur Vorlage oder Aktualisierung von Geräte- und Behandlungsdokumenten auffordern und erinnern sowie zu anderen Maßnahmen auffordern und der Betreiber kann direkt über die Plattform antworten, Betreiber kann den Behörden Vorkommnisse melden;
- Hersteller können mit Betreibern über die App kommunizieren und umgekehrt, z.B. kann der Betreiber dem Hersteller Behandlungsdaten, Gerätestörungen oder Vorkommnisse melden sowie Wartungtermine vereinbaren.
- Betreibt ein Betreiber mehrere Kosmetikstudios, kann er für jedes Studio gesonderte Bereiche einrichten und gesonderte Zugriffs- und Kommunikationsrechte für Behörden und Hersteller und Mitarbeiter erteilen.
Die Kosten für die Nutzung der App sind der jeweils aktuellen Preisliste zu entnehmen.
(2) Betreiber kann auf dem App-Server Inhalte bis zu einem Umfang von bis zu 10 GB hochladen und zum Download bereitstellen. Zugelassene Dateiformate sind in der App aufgeführt.
(3) Auf dem App-Server werden die unter § 1 (1) genannten Inhalte zum Abruf bereitgehalten. Die Leistungen von TecCert bei der Bereitstellung und Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom TecCert betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für den Betreiber bereitgestellten Serverplatz. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist TecCert nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
(4) TecCert ist berechtigt Wartungsarbeiten an der App durchzuführen. Während der Wartungsarbeiten stehen die vorgenannten Leistungen nicht zur Verfügung.
(5) Die Inhalte des für den Betreiber bestimmten Speicherplatzes werden von TecCert arbeitstäglich gesichert. Der Betreiber hat dennoch dafür Sorge zu tragen, dass er alle Inhalte, die er hochlädt oder die ihm bezüglich über die App kommuniziert werden, auch auf seinen eigenen Systemen sichert. Für hochgeladene Inhalte besteht in der App eine Downloadfunktion. TecCert gewährleistet nicht, dass dem Betreiber hochgeladene und über die App kommunizierte Inhalte zu Beweiszwecken zur Verfügung stehen.
(6) TecCert ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die vom Betreiber auf dem App-Server abgelegten Inhalte, um das Erbringen der Leistungen TecCerts zu gewährleisten, so wird TecCert dem Betreiber diese zusätzlichen Anforderungen mitteilen. Der Betreiber wird unverzüglich nach Zugang der Mitteilung darüber entscheiden, ob die zusätzlichen Anforderungen erfüllt werden sollen und bis wann dies geschehen wird. Erklärt der Betreiber nicht bis spätestens vier Wochen vor dem Umstellungszeitpunkt, dass er seine Inhalte rechtzeitig zur Umstellung, das heißt spätestens drei Werktage vor dem Umstellungszeitpunkt, an die zusätzlichen Anforderungen anpassen wird, hat TecCert das Recht, das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt zu kündigen.
§ 2 Mitwirkungspflichten des Betreibers
(1) Der Betreiber verpflichtet sich, auf dem zur Verfügung gestellten Speicherplatz keine rechtswidrigen, die Gesetze, behördlichen Auflagen oder Rechte Dritter verletzenden Inhalte abzulegen. Er wird dafür Sorge tragen, dass die von ihm gewählte Internet-Adresse, unter der die Inhalte über das Internet abgefragt werden können, ebenfalls nicht Gesetze, behördliche Auflagen oder Rechte Dritter verletzt. Der Betreiber wird ferner darauf achten, dass von ihm hochgeladenen Inhalte den Betrieb des Servers oder des Kommunikationsnetzes des TecCerts oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegten Daten nicht gefährden. Der Betreiber stellt TecCert von jeglicher Inanspruchnahme durch Dritte einschließlich der durch die Inanspruchnahme ausgelösten Kosten frei.
(2) Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die vorstehenden Verpflichtungen sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen den TecCert auf Unterlassen der vollständigen oder teilweisen Darbietung der auf dem Server abgelegten Inhalte über das Internet ist TecCert berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Betreibers die Anbindung dieser Inhalte an das Internet ganz oder teilweise mit sofortiger Wirkung vorübergehend einzustellen. TecCert wird den Betreiber über diese Maßnahme unverzüglich informieren.
(3) Gefährden oder beeinträchtigen vom Betreiber hochgeladene Inhalte den Betrieb des Servers oder des Kommunikationsnetzes von TecCert oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegter Daten, so kann TecCert diese Daten löschen oder deaktivieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist TecCert auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. TecCert wird den Betreiber über diese Maßnahme unverzüglich informieren.
(4) Für den Zugriff auf das App-Konto erhält der Betreiber eine Benutzerkennung und ein veränderbares Passwort. Das Passwort muss eine Mindestlänge von 8 Zeichen aufweisen und mindestens einen Buchstaben, eine Ziffer sowie ein Sonderzeichen enthalten. Der Betreiber darf das Passwort nur an solche Personen weitergeben, die von ihm berechtigt wurden, auf den Speicherplatz Zugriff zu nehmen. Wird das Passwort dreimal in Folge unrichtig eingegeben, so wird der Zugriff auf den Speicherplatz zum Schutz vor Missbräuchen gesperrt. Der Betreiber wird hierüber informiert. Er erhält dann von TecCert ein neues Passwort zugeteilt. TecCert ist in diesem Fall berechtigt, nicht nur das Passwort, sondern auch die Benutzerkennung neu zu vergeben. Der Betreiber hat selbst dafür zu sorgen, dass nur Berechtigte Zugang zum Konto des Betreibers erhalten.
(5) Die von dem Betreiber auf dem für ihn bestimmten Speicherplatz abgelegten Inhalte können urheberrechtlich geschützt sein. Der Betreiber räumt TecCert das Recht ein, die von ihm auf dem Server abgelegten Inhalte bei Abfragen über das Internet zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können.
§ 3 Vergütung
(1) Die Vergütung der von TecCert erbrachten Leistungen richtet sich nach der im Zeitpunkt des Vertragsschlusses gültigen Preisliste. Der Betreiber kann bei Inanspruchnahme kostenpflichtiger Leistungen zwischen den Zahlungsarten Paypal, Lastschrift, Kreditkarte und EC-Karte wählen.
(2) Der Betreiber erhält Rechnungen ausschließlich auf elektronischem Wege über die App. Er hat Einwendungen gegen die Abrechnung der von TecCert erbrachten Leistungen innerhalb von acht Wochen nach Zugang der Rechnung schriftlich bei der auf der Rechnung angegebenen Stelle zu erheben. Nach Ablauf der vorgenannten Frist gilt die Abrechnung als vom Betreiber genehmigt. TecCert wird den Kunden mit Übersendung der Rechnung auf die Bedeutung seines Verhaltens besonders hinweisen.
(3) TecCert ist berechtigt, die seinen Leistungen zugrunde liegende Preisliste zu ändern. TecCert wird den Betreiber über Änderungen in der Preisliste spätestens sechs Wochen vor Inkrafttreten der Änderungen in über die App informieren. Ist der Betreiber mit der Änderung der Preisliste nicht einverstanden, so kann er dieses Vertragsverhältnis außerordentlich zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderung der Preisliste kündigen. Die Kündigung bedarf der Textform. Kündigt der Betreiber das Vertragsverhältnis zum Zeitpunkt des Wirksamwerdens der Preisänderung nicht, so gilt die Preisänderung als von ihm genehmigt. TecCert wird den Betreiber mit der Mitteilung der Preisänderung auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
(4) Die Erbringung der Leistungen durch TecCert ist daran gebunden, dass der Betreiber seinen Zahlungsverpflichtungen rechtzeitig nachkommt. Kommt der Betreiber für zwei aufeinanderfolgende Monate mit der Entrichtung eines nicht unerheblichen Teils der geschuldeten Vergütung in Verzug, so kann TecCert das Vertragsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.
§ 4 Vertragslaufzeit
(1) Dieser Vertrag läuft unbefristet und kann nach Ablauf eines Jahres jederzeit schriftlich oder in Textform mit einer Frist von 30 Tagen zum Ende eines Kalenderquartals gekündigt werden.
(2) Die Kündigung aus wichtigem Grund bleibt unberührt.
§ 5 Mängel
(1) TecCert stellt lediglich eine Kommunikationsplattform zur Verfügung und bietet keinerlei Gewähr dafür, dass die Kommunikation über die Plattform zu irgendeinem Ergebnis oder Erfolg führt. Hinsichtlich der Einhaltung der gesetzlichen Geräte- und Betreiberpflichten und andere den Betreiber betreffenden gesetzlichen Pflichten bleibt der Betreiber allein verantwortlich. Die Verletzung dieser Pflichten führt nicht zu einem Mangel der Leistungen von TecCert. TecCert erbringt mit ihren Leistungen keinerlei Rechtsberatung.
(2) Vertraglich erfasste Mängel werden kostenlos beseitigt, sofern sie nicht vom Betreiber verschuldet wurden. Aufgetretene Mängel und Fehler sind TecCert unmittelbar nach ihrer Feststellung in schriftlicher oder elektronischer Form nachvollziehbar mitzuteilen.
(3) Für Mängel, die bereits bei Überlassung des Speicherplatzes an den Betreiber vorhanden waren, haftet TecCert nur, wenn sie diese Mängel zu vertreten hat.
§ 6 Haftung
TecCert haftet für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet TecCert nur bei Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Betreiber regelmäßig vertrauen darf sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. TecCert haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Die Haftung ist im Falle leichter Fahrlässigkeit der Höhe nach beschränkt auf 25.000, –EUR. Für den Verlust von Daten und/oder Programmen haftet TecCert insoweit nicht, als der Schaden darauf beruht, dass es der Betreiber unterlassen hat, Datensicherungen durchzuführen. Zwingende Regelungen des Telekommunikationsgesetzes bleiben vom Voranstehenden unberührt.
§ 7 Änderung der Vertragsbedingungen
Soweit nicht bereits anderweitig speziell geregelt, ist TecCert berechtigt, diese Vertragsbedingungen wie folgt zu ändern oder zu ergänzen. TecCert wird dem Betreiber die Änderungen oder Ergänzungen spätestens sechs Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist der Betreiber mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann er den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Schriftform oder der Textform. Widerspricht der Betreiber nicht, so gelten die Änderungen oder Ergänzungen der Vertragsbedingungen als von ihm genehmigt. TecCert wird den Betreiber mit der Mitteilung der Änderungen oder Ergänzungen der Vertragsbedingungen auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
§ 8 Datenschutz, Recht zur Datennutzung
(1) Der Betreiber ist Verantwortlicher im Sinne der DSGVO bezüglich der von ihm über die Plattform hochgeladenen und mitgeteilten Inhalte und prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt.
(2) Zwischen den Parteien wird die als Anlage 1 beigefügte Auftragsverarbeitungsvereinbarung (AVV) geschlossen. Ferner gelten die Datenschutzhinweise in Anlage 2.
(3) Der Betreiber räumt TecCert das Recht ein, von ihm über die Plattform hochgeladene betreiberbezogenene Daten (z.B. betreffend Häufigkeit der Gerätenutzung, Gerätealter, Wartungen, Wartungs- und Reparaturkosten, Anzahl Mitarbeiter) zu statistischen Zwecken auszuwerten und diese Daten den betroffenen Herstellern zur Verfügung zu stellen.
§ 9 Schlussbestimmungen
(1) Der Betreiber kann nur mit Forderungen aufrechnen, die rechtskräftig festgestellt oder unbestritten sind.
(2) Abweichende Bedingungen des Betreibers werden nicht anerkannt, es sei denn, TecCert stimmt ihrer Geltung zu. Alle Änderungen, Ergänzungen und Kündigungen vertraglicher Vereinbarungen bedürfen der Schriftform, ebenso die Aufhebung des Schriftformerfordernisses, soweit dieser Vertrag nicht die Textform vorsieht.
(3) Sollten einzelne Bestimmungen der Parteivereinbarungen ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahekommt. Entsprechendes gilt für etwaige Lücken der Vereinbarungen.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Bei einer mehrsprachigen Version dieses Vertrages ist für die rechtlichen Wirkungen allein der deutsche Text maßgeblich.
(5) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Anlage 1: Auftragsverarbeitungsvereinbarung für Betreiber
Zwischen der TecCert GmbH, Salvatorstr. 5, 84051 Essenbach (nachfolgend Auftragnehmer) und dem Betreiber, wie im Antragsformular der NiSV-App benannt, (nachfolgend Auftraggeber) wird folgender Vertrag geschlossen:
§ 1 Gegenstand
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers nach dessen Weisung.
§ 2 Zwecke und Dauer der Datenverarbeitung
(1) Die Zwecke der Datenverarbeitung ergeben sich aus § 1 der zwischen den Parteien vereinbarten Allgemeinen Geschäftsbedingungen für Betreiber.
(2) Die Dauer der Datenverarbeitung entspricht der Laufzeit des Nutzungsvertrages.
§ 3 Arten personenbezogener Daten, Personenkategorien
Folgende personenbezogenen Daten werden vom Auftragnehmer zu den § 2 genannten Zwecken verarbeitet:
- Personenstammdaten (Name, Anschrift)
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (z.B. Vergütung, Vertragsinhalte)
- Vertragsabrechnungs- und Zahlungsdaten
- Gesundheitsdaten (Behandlungsdokumentationen etc.)
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden/Patienten
- Mitarbeiter
- Externe Dienstleister
Der Zugriff auf die vorgenannten Daten durch den Auftragnehmer erfolgt im Rahmen der in § 1 der Allgemeinen Geschäftsbedingungen für Betreiber beschriebenen Leistungsumfangs.
§ 4 Verantwortlichkeit
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung etwaiger gesetzlicher Schweigepflichten (insbesondere § 203 StGB) verantwortlich. Die Verantwortung des Auftragnehmers in den in der DSGVO genannten Fällen bleibt unberührt.
§ 5 Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf Weisung des Auftraggebers, sofern er nicht durch gesetzliche Bestimmungen, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere anwendbare Datenschutzbestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
§ 6 Transfer in Drittstaaten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der DSGVO erfüllt sind.
§ 7 Pflichten des Auftragnehmers
Den Auftragnehmer treffen im Rahmen dieses Auftrages folgende Pflichten:
- Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
- Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten am Ende dieser AVV);
- Der Auftragnehmer informiert den Auftraggeber unverzüglich über Maßnahmen der Aufsichtsbehörden, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch für etwaige Ordnungswidrigkeiten- oder Strafverfahren, soweit sie die Auftragsverarbeitung im Rahmen dieser Vereinbarung betreffen;
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, soweit es in seinem Einflussbereich zu Datenschutzverstößen oder Datenpannen kommt. Zudem informiert er den Auftraggeber über sonstige Umstände, die zu einer Gefährdung des Auftrags führen können (z.B. drohende Pfändung, Insolvenz);
- Soweit der Auftraggeber seinerseits behördlichen Maßnahmen oder Ansprüchen Dritter im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen;
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Informationspflichten gegenüber den Aufsichtsbehörden, Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit den Aufsichtsbehörden;
- Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen;
§ 8 Unterbeauftragungen
(1) Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(2) Nimmt der Auftragnehmer die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag oder anderen Rechtsinstrument zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Pflichten des Auftragnehmers durch Kontrollen beim Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Kontrollen dürfen zu den üblichen Geschäftszeiten erfolgen und sind in der Regel rechtzeitig anzumelden.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Prüfberichte unabhängiger Instanzen (z.B. Datenschutzauditoren);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(3) Kosten etwaiger Kontrollen trägt der Auftraggeber.
§ 10 Sicherheitskopien, Löschung und Rückgabe von personenbezogenen Daten
(1) Der Auftragnehmer hat Sicherheitskopien der hochgeladenen und über die App mitgeteilten Inhalte zu erstellen.
(2) Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Kündigung
Das Recht zur Kündigung dieser Vereinbarung aus wichtigem Grund bleibt unberührt. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform oder Textform.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen des Vertrags bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
(2) Auf diesen Vertrag ist ausschließlich das deutsche Recht anzuwenden.
(3) Ausschließlicher Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
(4) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen grundsätzlich nicht. Die Vertragsparteien werden sich bemühen, anstelle der unwirksamen Bestimmung eine solche zu finden, die dem Vertragsziel rechtlich und wirtschaftlich am ehesten gerecht wird.
Technisch-organisatorische Maßnahmen für Betreiber
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; - Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; - Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden;
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anlage 2: Datenschutzhinweise von TecCert für Betreiber
Ergänzend zu den Allgemeinen Geschäftsbedingungen für Betreiber und der Auftragsverarbeitungsvereinbarung geltend folgende Datenschutzhinweise:
Die TecCert GmbH verarbeitet folgende personenbezogene Daten des Betreibers
- Vor- und Nachname,
- Firmenname,
- Anschrift,
- Geburtsdatum, Beruf,
- Elektronische Kommunikationsdaten (E-Mail, Fax, Telefonnummer, Kommunikation über die Plattform),
- Elektronische Unterschrift,
- Gerätedaten (Hersteller, Anwendungsbereiche, Chargennummern, Einstellungsparameter etc.),
- Kommunikation mit Herstellern und Behörden,
- Betreiberdaten (Anzahl und Arten von Behandlungen, Behandlungsdokumentationen, Mitarbeiter im Betrieb etc.).
Die Verarbeitung der vorgenannten Daten einschließlich der technischen Übermittlung an Behörden und Hersteller im Auftrag des Betreibers erfolgt zum Zwecke der Vertragsdurchführung. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO.
Eine Übermittlung der vorgenannten Daten an Dritte erfolgt im Übrigen nur, diese sofern zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass der Betreiber ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe der Daten habt oder falls TecCert zur Weitergabe im Zusammenhang mit behördlichen Anfragen, gerichtlichen Anordnungen oder Rechtsverfahren gesetzlich verpflichtet ist. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO.
Eine Datenübermittlung an Staaten außerhalb der EU findet nicht statt.
Die personenbezogenen Daten werden im Rahmen der steuer- und handelsrechtlichen Aufbewahrungsfristen gespeichert, jedenfalls bis Ablauf gesetzlicher Verjährungsfristen für Schadensersatzansprüche.
Der Betreiber hat im Rahmen der DSGVO folgende Rechte bezüglich der von TecCert verarbeiteten personenbezogenen Daten:
- Widerspruch hinsichtlich der aufgrund von Art. 6 Abs. 1 Satz 1 f verarbeiteten personenbezogenen Daten (Art. 21 DSGVO)
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung (Art. 18 DSGVO),
- Übertragung (Art. 20 DSGVO).
Die vorgenannten Rechte kann der Betreiber gegenüber der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach per Post oder E-Mail an info@teccert.de geltend machen. Er hat zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde in begründeten Fällen zu beschweren: poststelle@lda.bayern.de.
Teil II: Informationen zum Vertragsschluss für Hersteller
Der Vertrag über die Nutzung der App kann nur online abgeschlossen werden. Für den Online-Abschluss müssen Sie auf der Registrierseite das Häkchen „Ich akzeptiere die Allgemeinen Geschäftsbedingungen für Hersteller“ und das Häkchen bei „Ich stimme der Auftragsdatenvereinbarung zu. Die Datenschutzhinweise habe ich zur Kenntnis genommen“ setzen. Eingabefehler können Sie vor Abgabe der Vertragserklärung in der Eingabemaske erkennen und mittels Tastatur berichtigen. Durch Anklicken des Buttons „Registrierung abschließen“ kommt der Nutzungsvertrag zustande. Die für den Vertragsschluss zur Verfügung stehende Sprache ist deutsch. Der Vertragstext wird nach dem Vertragsschluss von TecCert gespeichert. Die Vertragsbedingungen sind über die App einsehbar.
Allgemeine Geschäftsbedingungen für Hersteller
Präambel
Die TecCert GmbH (im Folgenden TecCert genannt) ist ein Anbieter von professionellen IT-Systemen.
TecCert hat eine App entwickelt (im Folgenden App), die es Kosmetikstudios ermöglicht, mit Behörden, Anbietern und Herstellern von kosmetischen Geräten (im Folgenden der oder die Hersteller) zu den regulatorischen Geräte- und Betreiberanforderungen zu kommunizieren und den gesetzlichen Anzeige- und Dokumentationspflichten nachzukommen. Nachfolgend werden die Bedingungen für die Nutzung der App durch Hersteller festgelegt:
§ 1 Leistungen
(1) TecCert erbringt für Hersteller folgende Leistungen:
- Kostenlose Einrichtung eines passwortgeschützten Bereiches in der App;
- Der Hersteller kann Gerätedaten, Gerätebilder und Produktkataloge in den passwortgeschützten Bereich der App hochladen, nach Gerätearten kategorisieren und für Gerätebetreiber bereitstellen. Über entstehende Kosten wird der Hersteller in der App informiert;
- Der Hersteller kann mit Kosmetikstudios und Behörden über die App kommunizieren und andersrum, z.B. können gegenseitig Gerätedaten ausgetauscht und Wartungstermine vereinbart werden. Behörden können den Hersteller über die App zur Vorlage oder Aktualisierung von Gerätedaten auffordern und erinnern sowie zu anderen Maßnahmen auffordern und der Hersteller kann direkt über die Plattform antworten. Der Hersteller kann den Kosmetikstudios und/oder Behörden Vorkommnisse melden;
- Der Hersteller kann gesonderte Zugriffs- und Kommunikationsrechte für bestimmte Kosmetikstudios, deren Mitarbeiter und Behörden erteilen.
Die Kosten für die Nutzung der App sind der jeweils aktuellen Preisliste zu entnehmen.
(2) Der Hersteller kann auf dem App-Server Inhalte bis zu einem Umfang von bis zu 10 GB hochladen und zum Download bereitstellen. Zugelassene Dateiformate sind in der App aufgeführt.
(3) Auf dem App-Server werden die unter § 1 (1) genannten Inhalte zum Abruf bereitgehalten. Die Leistungen von TecCert bei der Bereitstellung und Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom TecCert betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für den Hersteller bereitgestellten Serverplatz. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist TecCert nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
(4) TecCert ist berechtigt Wartungsarbeiten an der App durchzuführen. Während der Wartungsarbeiten stehen die vorgenannten Leistungen nicht zur Verfügung.
(5) Die Inhalte des für den Hersteller bestimmten Speicherplatzes werden von TecCert arbeitstäglich gesichert. Der Hersteller hat dennoch dafür Sorge zu tragen, dass er alle Inhalte, die er hochlädt oder die ihm bezüglich über die App kommuniziert werden, auch auf seinen eigenen Systemen sichert. Für hochgeladene Inhalte besteht in der App eine Downloadfunktion. TecCert gewährleistet nicht, dass dem Hersteller hochgeladene und über die App kommunizierte Inhalte zu Beweiszwecken zur Verfügung stehen.
(5) TecCert ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die vom Hersteller auf dem App-Server abgelegten Inhalte, um das Erbringen der Leistungen TecCerts zu gewährleisten, so wird TecCert dem Hersteller diese zusätzlichen Anforderungen mitteilen. Der Hersteller wird unverzüglich nach Zugang der Mitteilung darüber entscheiden, ob die zusätzlichen Anforderungen erfüllt werden sollen und bis wann dies geschehen wird. Erklärt der Hersteller nicht bis spätestens vier Wochen vor dem Umstellungszeitpunkt, dass er seine Inhalte rechtzeitig zur Umstellung, das heißt spätestens drei Werktage vor dem Umstellungszeitpunkt, an die zusätzlichen Anforderungen anpassen wird, hat TecCert das Recht, das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt zu kündigen.
§ 2 Mitwirkungspflichten des Herstellers
(1) Der Hersteller verpflichtet sich, auf dem zur Verfügung gestellten Speicherplatz keine rechtswidrigen, die Gesetze, behördlichen Auflagen oder Rechte Dritter verletzenden Inhalte abzulegen. Er wird dafür Sorge tragen, dass die von ihm gewählte Internet-Adresse, unter der die Inhalte über das Internet abgefragt werden können, ebenfalls nicht Gesetze, behördliche Auflagen oder Rechte Dritter verletzt. Der Hersteller wird ferner darauf achten, dass von ihm hochgeladenen Inhalte den Betrieb des Servers oder des Kommunikationsnetzes des TecCerts oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegten Daten nicht gefährden. Der Hersteller stellt TecCert von jeglicher Inanspruchnahme durch Dritte einschließlich der durch die Inanspruchnahme ausgelösten Kosten frei.
(2) Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die vorstehenden Verpflichtungen sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen den TecCert auf Unterlassen der vollständigen oder teilweisen Darbietung der auf dem Server abgelegten Inhalte über das Internet ist TecCert berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Herstellers die Anbindung dieser Inhalte an das Internet ganz oder teilweise mit sofortiger Wirkung vorübergehend einzustellen. TecCert wird den Hersteller über diese Maßnahme unverzüglich informieren.
(3) Gefährden oder beeinträchtigen vom Hersteller hochgeladene Inhalte den Betrieb des Servers oder des Kommunikationsnetzes von TecCert oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegter Daten, so kann TecCert diese Daten löschen oder deaktivieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist TecCert auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. TecCert wird den Hersteller über diese Maßnahme unverzüglich informieren.
(5) Die von dem Hersteller auf dem für ihn bestimmten Speicherplatz abgelegten Inhalte können urheberrechtlich geschützt sein. Der Hersteller räumt TecCert das Recht ein, die von ihm auf dem Server abgelegten Inhalte bei Abfragen über das Internet zu den Vertragszwecken zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können.
§ 3 Vergütung
(1) Die Vergütung der von TecCert erbrachten Leistungen richtet sich nach der im Zeitpunkt des Vertragsschlusses gültigen Preisliste. Der Hersteller kann bei Inanspruchnahme kostenpflichtiger Leistungen zwischen den Zahlungsarten Paypal, Lastschrift, Kreditkarte und EC-Karte wählen.
(2) Der Hersteller erhält Rechnungen ausschließlich auf elektronischem Wege über die App. Er hat Einwendungen gegen die Abrechnung der von TecCert erbrachten Leistungen innerhalb von acht Wochen nach Zugang der Rechnung schriftlich bei der auf der Rechnung angegebenen Stelle zu erheben. Nach Ablauf der vorgenannten Frist gilt die Abrechnung als vom Hersteller genehmigt. TecCert wird den Hersteller mit Übersendung der Rechnung auf die Bedeutung seines Verhaltens besonders hinweisen.
(3) TecCert ist berechtigt, die seinen Leistungen zugrunde liegende Preisliste zu ändern. TecCert wird den Hersteller über Änderungen in der Preisliste spätestens sechs Wochen vor Inkrafttreten der Änderungen in der Preisliste über die App informieren. Ist der Hersteller mit der Änderung der Preisliste nicht einverstanden, so kann er dieses Vertragsverhältnis außerordentlich zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderung der Preisliste kündigen. Die Kündigung bedarf der Schriftform oder der Textform. Kündigt der Hersteller das Vertragsverhältnis zum Zeitpunkt des Wirksamwerdens der Preisänderung nicht, so gilt die Preisänderung als von ihm genehmigt. TecCert wird den Hersteller mit der Mitteilung der Preisänderung auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
(4) Die Erbringung der Leistungen durch TecCert ist daran gebunden, dass der Hersteller seinen Zahlungsverpflichtungen rechtzeitig nachkommt. Kommt der Hersteller für zwei aufeinanderfolgende Monate mit der Entrichtung eines nicht unerheblichen Teils der geschuldeten Vergütung in Verzug, so kann TecCert das Vertragsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.
§ 4 Vertragslaufzeit
(1) Der Vertrag läuft unbefristet und kann nach Ablauf eines Jahres jederzeit schriftlich oder in Textform mit einer Frist von 30 Tagen zum Ende eines Kalenderquartals gekündigt werden.
(2) Die Kündigung aus wichtigem Grund bleibt unberührt.
§ 5 Mängel
(1) TecCert stellt lediglich eine Kommunikationsplattform zur Verfügung und bietet keinerlei Gewähr dafür, dass die Kommunikation über die App zu irgendeinem Ergebnis oder Erfolg führt. Hinsichtlich der Einhaltung der den Hersteller treffenden gesetzlichen Gerätepflichten bleibt dieser allein verantwortlich. Die Verletzung dieser Pflichten führt nicht zu einem Mangel der Leistungen von TecCert. TecCert erbringt mit ihren Leistungen keinerlei Rechtsberatung.
(2) Vertraglich erfasste Mängel werden kostenlos beseitigt, sofern sie nicht vom Hersteller verschuldet wurden. Aufgetretene Mängel und Fehler sind TecCert unmittelbar nach ihrer Feststellung in schriftlicher oder elektronischer Form nachvollziehbar mitzuteilen.
(3) Für Mängel, die bereits bei Überlassung des Speicherplatzes an den Hersteller vorhanden waren, haftet TecCert nur, wenn sie diese Mängel zu vertreten hat.
§ 6 Haftung
TecCert haftet für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet TecCert nur bei Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Hersteller regelmäßig vertrauen darf sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. TecCert haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Die Haftung ist im Falle leichter Fahrlässigkeit der Höhe nach beschränkt auf 25.000, –EUR. Für den Verlust von Daten und/oder Programmen haftet TecCert insoweit nicht, als der Schaden darauf beruht, dass es der Hersteller unterlassen hat, Datensicherungen. Zwingende Regelungen des Telekommunikationsgesetzes bleiben vom Voranstehenden unberührt.
§ 7 Änderung der Vertragsbedingungen
Soweit nicht bereits anderweitig speziell geregelt, ist TecCert berechtigt, diese Vertragsbedingungen wie folgt zu ändern oder zu ergänzen. TecCert wird dem Hersteller die Änderungen oder Ergänzungen spätestens sechs Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist der Hersteller mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann er den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Schriftform oder der Textform. Widerspricht der Hersteller nicht, so gelten die Änderungen oder Ergänzungen der Vertragsbedingungen als von ihm genehmigt. TecCert wird den Hersteller mit der Mitteilung der Änderungen oder Ergänzungen der Vertragsbedingungen auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
§ 8 Datenschutz, Recht zur Datennutzung
(1) Der Hersteller ist Verantwortlicher im Sinne der DSGVO bezüglich der von ihm über die App hochgeladenen und mitgeteilten Inhalte und prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt.
(2) Zwischen den Parteien wird die als Anlage 1 beigefügte Auftragsverarbeitungsvereinbarung (AVV) geschlossen. Ferner gelten die Datenschutzhinweise in Anlage 2.
(3) Der Hersteller räumt TecCert das Recht ein, von ihm über die App hochgeladene herstellerbezogenenen Daten (z.B. betreffend Häufigkeit der Gerätenutzung, Gerätealter, Wartungen, Wartungs- und Reparaturkosten) in anonymisierter Form zu statistischen Zwecken auszuwerten und zu verarbeiten.
§ 9 Schlussbestimmungen
(1) Der Hersteller kann nur mit Forderungen aufrechnen, die rechtskräftig festgestellt oder unbestritten sind.
(2) Abweichende Bedingungen des Herstellers werden nicht anerkannt, es sei denn, TecCert stimmt ihrer Geltung zu. Alle Änderungen, Ergänzungen und Kündigungen vertraglicher Vereinbarungen bedürfen der Schriftform, ebenso die Aufhebung des Schriftformerfordernisses, soweit dieser Vertrag nicht die Textform vorsieht.
(3) Sollten einzelne Bestimmungen der Parteivereinbarungen ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahekommt. Entsprechendes gilt für etwaige Lücken der Vereinbarungen.
(4) Es gilt das Recht der Bundesrepublik Deutschland. Bei einer mehrsprachigen Version dieses Vertrages ist für die rechtlichen Wirkungen allein der deutsche Text maßgeblich.
(5) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Anlage 1: Auftragsverarbeitungsvereinbarung für Hersteller
Zwischen der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach (nachfolgend Auftragnehmer) und dem Hersteller, wie im Antragsformular der NiSV-App benannt, (nachfolgend Auftraggeber) wird folgender Vertrag geschlossen:
§ 1 Gegenstand
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers nach dessen Weisung.
§ 2 Zwecke und Dauer der Datenverarbeitung
(1) Die Zwecke der Datenverarbeitung ergeben sich aus § 1 der zwischen den Parteien vereinbarten Allgemeinen Geschäftsbedingungen für Hersteller.
(2) Die Dauer der Datenverarbeitung entspricht der Laufzeit des Nutzungsvertrages.
§ 3 Arten personenbezogener Daten, Personenkategorien
Folgende personenbezogenen Daten werden vom Auftragnehmer zu den in Ziffer 2. genannten Zwecken verarbeitet:
- Personenstammdaten (Name, Anschrift)
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (z.B. Vergütung, Vertragsinhalte)
- Gerätedaten
- Vertragsabrechnungs- und Zahlungsdaten
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden des Herstellers und deren Mitarbeiter
- Mitarbeiter von Herstellern
Der Zugriff auf die vorgenannten Daten durch den Auftragnehmer erfolgt im Rahmen der § 1 der Allgemeinen Geschäftsbedingungen für Hersteller beschriebenen Leistungsumfangs.
§ 4 Verantwortlichkeit
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung etwaiger gesetzlicher Schweigepflichten (insbesondere § 203 StGB) verantwortlich. Die Verantwortung des Auftragnehmers in den in der DSGVO genannten Fällen bleibt unberührt.
§ 5 Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf Weisung des Auftraggebers, sofern er nicht durch gesetzliche Bestimmungen, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere anwendbare Datenschutzbestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
§ 6 Transfer in Drittstaaten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der DSGVO erfüllt sind.
§ 7 Pflichten des Auftragnehmers
Den Auftragnehmer treffen im Rahmen dieses Auftrages folgende Pflichten:
- Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
- Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten am Ende dieser AVV);
- Der Auftragnehmer informiert den Auftraggeber unverzüglich über Maßnahmen der Aufsichtsbehörden, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch für etwaige Ordnungswidrigkeiten- oder Strafverfahren, soweit sie die Auftragsverarbeitung im Rahmen dieser Vereinbarung betreffen;
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, soweit es in seinem Einflussbereich zu Datenschutzverstößen oder Datenpannen kommt. Zudem informiert er den Auftraggeber über sonstige Umstände, die zu einer Gefährdung des Auftrags führen können (z.B. drohende Pfändung, Insolvenz);
- Soweit der Auftraggeber seinerseits behördlichen Maßnahmen oder Ansprüchen Dritter im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen;
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Informationspflichten gegenüber den Aufsichtsbehörden, Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit den Aufsichtsbehörden;
- Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen;
§ 8 Unterbeauftragungen
(1) Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(2) Nimmt der Auftragnehmer die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag oder anderen Rechtsinstrument zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Pflichten des Auftragnehmers durch Kontrollen beim Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Kontrollen dürfen zu den üblichen Geschäftszeiten erfolgen und sind in der Regel rechtzeitig anzumelden.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Prüfberichte unabhängiger Instanzen (z.B. Datenschutzauditoren);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(3) Kosten etwaiger Kontrollen trägt der Auftraggeber.
§ 10 Sicherheitskopien, Löschung und Rückgabe von personenbezogenen Daten
(1) Der Auftragnehmer Der Auftragnehmer hat Sicherheitskopien der hochgeladenen und über die App mitgeteilten Inhalte zu erstellen.
(2) Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Kündigung
Das Recht zur Kündigung dieser Vereinbarung aus wichtigem Grund bleibt unberührt. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform oder Textform.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen des Vertrags bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
(2) Auf diesen Vertrag ist ausschließlich das deutsche Recht anzuwenden.
(4) Ausschließlicher Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
(5) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen grundsätzlich nicht. Die Vertragsparteien werden sich bemühen, anstelle der unwirksamen Bestimmung eine solche zu finden, die dem Vertragziel rechtlich und wirtschaftlich am ehesten gerecht wird.
Technisch-organisatorische Maßnahmen für Hersteller
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; - Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; - Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden;
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anlage 2: Datenschutzhinweise von TecCert für Hersteller
Ergänzend zu den Allgemeinen Geschäftsbedingungen für Hersteller und der Auftragsverarbeitungsvereinbarung geltend folgende Datenschutzhinweise:
TecCert verarbeitet folgende personenbezogene Daten des Herstellers
- Vor- und Nachname von Mitarbeitern,
- Firmenname,
- Anschrift,
- Geburtsdatum, Beruf,
- Elektronische Kommunikationsdaten (E-Mail, Fax, Telefonnummer, Kommunikation über die App),
- Elektronische Unterschrift,
- Gerätedaten (Hersteller, Anwendungsbereiche, Chargennummern, Einstellungsparameter etc.),
- Kommunikation mit Kosmetikstudios und Behörden.
Die Verarbeitung der vorgenannten Daten einschließlich der technischen Übermittlung an Kosmetikstudios und Behörden im Auftrag des Herstellers erfolgt zum Zwecke der Vertragsdurchführung. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO.
Eine Übermittlung der vorgenannten Daten an Dritte erfolgt im Übrigen nur, diese sofern zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass der Hersteller ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe der Daten habt oder falls TecCert zur Weitergabe im Zusammenhang mit behördlichen Anfragen, gerichtlichen Anordnungen oder Rechtsverfahren gesetzlich verpflichtet ist, Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO.
Eine Datenübermittlung an Staaten außerhalb der EU findet nicht statt.
Die personenbezogenen Daten werden im Rahmen der steuer- und handelsrechtlichen Aufbewahrungsfristen gespeichert, jedenfalls bis Ablauf gesetzlicher Verjährungsfristen für Schadensersatzansprüche.
Personen des Herstellers, deren personenbezogene Daten verarbeitet werden, haben im Rahmen der DSGVO folgende Rechte bezüglich der von TecCert verarbeiteten personenbezogenen Daten:
- Widerspruch hinsichtlich der aufgrund von Art. 6 Abs. 1 Satz 1 f verarbeiteten personenbezogenen Daten (Art. 21 DSGVO)
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung (Art. 18 DSGVO),
- Übertragung (Art. 20 DSGVO).
Die vorgenannten Rechte können die Betroffenen gegenüber der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach per Post oder E-Mail an info@teccert.de geltend machen. Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde in begründeten Fällen zu beschweren: poststelle@lda.bayern.de.
Teil III: Informationen zum Vertragsschluss für Behörden
Der Vertrag über die Nutzung der App kann nur online abgeschlossen werden. Für den Online-Abschluss müssen Sie auf der Registrierseite das Häkchen „Ich akzeptiere die Allgemeinen Geschäftsbedingungen für Behörden“ und das Häkchen bei „Ich stimme der Auftragsdatenvereinbarung zu. Die Datenschutzhinweise habe ich zur Kenntnis genommen“ setzen. Eingabefehler können Sie vor Abgabe der Vertragserklärung in der Eingabemaske erkennen und mittels Tastatur berichtigen. Durch Anklicken des Buttons „Absenden“ kommt der Nutzungsvertrag zustande. Die für den Vertragsschluss zur Verfügung stehende Sprache ist deutsch. Der Vertragstext wird nach dem Vertragsschluss von TecCert gespeichert die Vertragsbedingungen sind über die App einsehbar.
Allgemeine Geschäftsbedingungen für Behörden
Präambel
Die TecCert GmbH (im Folgenden TecCert genannt) ist ein Anbieter von professionellen IT-Systemen.
TecCert hat eine App entwickelt (im Folgenden App), die es Kosmetikstudios ermöglicht, mit Behörden, Anbietern und Herstellern von kosmetischen Geräten (im Folgenden Hersteller) zu den regulatorischen Geräte- und Betreiberanforderungen zu kommunizieren und den gesetzlichen Anzeige- und Dokumentationspflichten nachzukommen. Nachfolgend werden die Bedingungen für die Nutzung der App durch die den Nutzungsvertrag schließende Behörde festgelegt:
§ 1 Leistungen
(1) TecCert erbringt für die Behörde folgende Leistungen:
- Kostenlose Einrichtung eines passwortgeschützten Bereiches in der App;
- Die Behörde kann von Kosmetikstudios und/oder Herstellern in die App hochgeladene Geräte- und Wartungsdaten, Gerätebilder, Behandlungsdokumentationen, Fachkunde- und Schulungszertifikate und Mitarbeiterzeugnisse einsehen und herunterladen.
- Die Behörde kann mit Kosmetikstudios und Herstellern über die App kommunizieren und andersrum, z.B. kann die Behörde die Kosmetikstudios und/oder den Hersteller über die App zur Vorlage oder Aktualisierung von Gerätedaten und weiteren Unterlagen auffordern und erinnern sowie zu anderen Maßnahmen auffordern und Kosmetikstudios und/oder Hersteller können direkt über die App antworten. Die Behörde kann den Kosmetikstudios und/oder Herstellern ihr bekannt werdende Vorkommnisse melden;
Die Behörde kann gesonderte Zugriffs- und Kommunikationsrechte für bestimmte Kosmetikstudios, deren Mitarbeiter und Hersteller erteilen.
Die Kosten für die Nutzung der App sind der jeweils aktuellen Preisliste zu entnehmen.
(2) Zugelassene Dateiformate sind in der App aufgeführt.
(3) Auf dem App-Server werden die unter § 1 (1) genannten Inhalte zum Abruf bereitgehalten. Die Leistungen von TecCert bei der Bereitstellung und Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom TecCert betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für die Behörde bereitgestellten Serverplatz. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist TecCert nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
(4) TecCert ist berechtigt, Wartungsarbeiten an der App durchzuführen. Während der Wartungsarbeiten stehen die vorgenannten Leistungen nicht zur Verfügung.
(5) Die Inhalte des für die Behörde bestimmten Speicherplatzes werden von TecCert arbeitstäglich gesichert. Die Behörde hat dennoch dafür Sorge zu tragen, dass sie alle Inhalte, die sie hochlädt oder die ihr bezüglich über die App kommuniziert werden, auch auf ihren eigenen Systemen sichert. Für hochgeladene Inhalte besteht in der App eine Downloadfunktion. TecCert gewährleistet nicht, dass der Behörde hochgeladene und über die App kommunizierte Inhalte zu Beweiszwecken zur Verfügung stehen.
(6) TecCert ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die von den Behörden auf dem App-Server abgelegten Inhalte, um das Erbringen der Leistungen TecCerts zu gewährleisten, so wird TecCert der Behörde diese zusätzlichen Anforderungen mitteilen. Die Behörden werden unverzüglich nach Zugang der Mitteilung darüber entscheiden, ob die zusätzlichen Anforderungen erfüllt werden sollen und bis wann dies geschehen wird. Erklären die Behörden nicht bis spätestens vier Wochen vor dem Umstellungszeitpunkt, dass er seine Inhalte rechtzeitig zur Umstellung, das heißt spätestens drei Werktage vor dem Umstellungszeitpunkt, an die zusätzlichen Anforderungen anpassen wird, hat TecCert das Recht, das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt zu kündigen.
§ 2 Mitwirkungspflichten der Behörden
(1) Gefährden oder beeinträchtigen von der Behörde hochgeladene Inhalte den Betrieb des Servers oder des Kommunikationsnetzes von TecCert oder die Sicherheit und Integrität anderer auf den Servern des TecCerts abgelegter Daten, so kann TecCert diese Daten löschen oder deaktivieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist TecCert auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. TecCert wird die Behörde über diese Maßnahme unverzüglich informieren.
(2) Für den Zugriff auf das App-Konto erhält die Behörde eine Benutzerkennung und ein veränderbares Passwort. Die Behörde sollte das Passwort in regelmäßigen Abständen ändern. Das Passwort muss eine Mindestlänge von 8 Zeichen aufweisen und mindestens einen Buchstaben, eine Ziffer sowie ein Sonderzeichen enthalten. Die Behörde darf das Passwort nur an solche Personen weitergeben, die von ihr berechtigt wurden, auf den Speicherplatz Zugriff zu nehmen. Wird das Passwort dreimal in Folge unrichtig eingegeben, so wird der Zugriff auf den Speicherplatz zum Schutz vor Missbräuchen gesperrt. Die Behörde wird hierüber informiert. Sie erhält dann von TecCert ein neues Passwort zugeteilt. TecCert ist in diesem Fall berechtigt, nicht nur das Passwort, sondern auch die Benutzerkennung neu zu vergeben. Die Behörde hat selbst dafür zu sorgen, dass nur Berechtigte Zugang zum Konto der Behörde erhalten.
(3) Die von der Behörde auf dem für sie bestimmten Speicherplatz abgelegten Inhalte können urheberrechtlich geschützt sein. Die Behörde räumt TecCert das Recht ein, die von ihr auf dem Server abgelegten Inhalte bei Abfragen über das Internet zu den Vertragszwecken zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können.
§ 3 Vergütung
(1) Die Vergütung der von TecCert erbrachten Leistungen richtet sich nach der im Zeitpunkt des Vertragsschlusses gültigen Preisliste. Die Behörde kann bei Inanspruchnahme kostenpflichtiger Leistungen zwischen den Zahlungsarten Paypal, Lastschrift, Rechnung wählen.
(2) Die Behörde erhält Rechnungen ausschließlich auf elektronischem Wege über die App.
(3) TecCert ist berechtigt, die seinen Leistungen zugrunde liegende Preisliste zu ändern. TecCert wird die Behörde über Änderungen in der Preisliste spätestens sechs Wochen vor Inkrafttreten der Änderungen in über die App informieren. Ist die Behörde mit der Änderung der Preisliste nicht einverstanden, so kann sie dieses Vertragsverhältnis außerordentlich zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderung der Preisliste kündigen. Die Kündigung bedarf der Schriftform oder der Textform. Kündigt die Behörde das Vertragsverhältnis zum Zeitpunkt des Wirksamwerdens der Preisänderung nicht, so gilt die Preisänderung als von ihr genehmigt. TecCert wird die Behörde mit der Mitteilung der Preisänderung auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
§ 4 Vertragslaufzeit
(1) Der Vertrag läuft unbefristet und kann nach Ablauf eines Jahres jederzeit schriftlich oder in Textform mit einer Frist von 30 Tagen zum Ende eines Kalenderquartals gekündigt werden.
(2) Die Kündigung aus wichtigem Grund bleibt unberührt.
§ 5 Mängel
(1) TecCert stellt lediglich eine Kommunikationsplattform zur Verfügung und bietet keinerlei Gewähr dafür, dass die Kommunikation über die App zu irgendeinem Ergebnis oder Erfolg führt.
(2) Vertraglich erfasste Mängel werden kostenlos beseitigt, sofern sie nicht von der Behörde verschuldet wurden. Aufgetretene Mängel und Fehler sind TecCert unmittelbar nach ihrer Feststellung in schriftlicher oder elektronischer Form nachvollziehbar mitzuteilen.
(3) Für Mängel, die bereits bei Überlassung des Speicherplatzes an die Behörde vorhanden waren, haftet TecCert nur, wenn sie diese Mängel zu vertreten hat.
§ 6 Haftung
TecCert haftet für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet TecCert nur bei Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung die Behörde regelmäßig vertrauen darf sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. TecCert haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Die Haftung ist im Falle leichter Fahrlässigkeit der Höhe nach beschränkt auf 25.000, – EUR. Für den Verlust von Daten und/oder Programmen haftet TecCert insoweit nicht, als der Schaden darauf beruht, dass es die Behörde unterlassen hat, Datensicherungen durchzuführen. Zwingende Regelungen des Telekommunikationsgesetzes bleiben vom Voranstehenden unberührt.
§ 7 Änderung der Vertragsbedingungen
Soweit nicht bereits anderweitig speziell geregelt, ist TecCert berechtigt, diese Vertragsbedingungen wie folgt zu ändern oder zu ergänzen. TecCert wird der Behörde die Änderungen oder Ergänzungen spätestens sechs Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist die Behörde mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann sie den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Schriftform oder der Textform. Widerspricht die Behörde nicht, so gelten die Änderungen oder Ergänzungen der Vertragsbedingungen als von ihr genehmigt. TecCert wird die Behörde mit der Mitteilung der Änderungen oder Ergänzungen der Vertragsbedingungen auf die vorgesehene Bedeutung ihres Verhaltens besonders hinweisen.
§ 8 Datenschutz, Recht zur Datennutzung
(1) Der Behörde ist Verantwortlicher im Sinne der DSGVO bezüglich der von ihr über die App hochgeladenen und mitgeteilten Inhalte und prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch sie datenschutzrechtlichen Anforderungen genügt.
(2) Zwischen den Parteien wird die als Anlage 1 beigefügte Auftragsverarbeitungsvereinbarung (AVV) geschlossen. Ferner gelten die Datenschutzhinweise in Anlage 2.
§ 9 Schlussbestimmungen
(1) Abweichende Bedingungen der Behörde werden nicht anerkannt, es sei denn, TecCert stimmt ihrer Geltung zu. Alle Änderungen, Ergänzungen und Kündigungen vertraglicher Vereinbarungen bedürfen der Schriftform, ebenso die Aufhebung des Schriftformerfordernisses, soweit dieser Vertrag nicht die Textform vorsieht.
(2) Sollten einzelne Bestimmungen der Parteivereinbarungen ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahekommt. Entsprechendes gilt für etwaige Lücken der Vereinbarungen.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Bei einer mehrsprachigen Version dieses Vertrages ist für die rechtlichen Wirkungen allein der deutsche Text maßgeblich.
(4) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Anlage 1: Auftragsverarbeitungsvereinbarung für Behörden
Zwischen der TecCert GmbH, Salvatorstraße 5 in 84051 Essenbach (nachfolgend Auftragnehmer) und der Behörde, wie im Antragsformular der NiSV-App benannt, (nachfolgend Auftraggeber) wird folgender Vertrag geschlossen:
§ 1 Gegenstand
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers nach dessen Weisung.
§ 2 Zwecke und Dauer der Datenverarbeitung
(1) Die Zwecke der Datenverarbeitung ergeben sich aus § 1 der zwischen den Parteien vereinbarten Allgemeinen Geschäftsbedingungen für Behörden.
(2) Die Dauer der Datenverarbeitung entspricht der Laufzeit des Nutzungsvertrages.
§ 3 Arten personenbezogener Daten, Personenkategorien
Folgende personenbezogenen Daten werden vom Auftragnehmer zu den in Ziffer 2. genannten Zwecken verarbeitet:
- Personenstammdaten (Name, Anschrift)
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (z.B. Vergütung, Vertragsinhalte)
- Vertragsabrechnungs- und Zahlungsdaten
- Personenbezogene Daten aus Akteninhalten, die in die App hochgeladen bzw. über diese kommuniziert werden
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Behördenmitarbeiter
- Kosmetikstudios und deren Mitarbeiter
Der Zugriff auf die vorgenannten Daten durch den Auftragnehmer erfolgt im Rahmen in § 1 der Allgemeinen Geschäftsbedingungen für Behörden beschriebenen Leistungsumfangs.
§ 4 Verantwortlichkeit
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung etwaiger gesetzlicher Schweigepflichten (insbesondere § 203 StGB) verantwortlich. Die Verantwortung des Auftragnehmers in den in der DSGVO genannten Fällen bleibt unberührt.
§ 5 Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf Weisung des Auftraggebers, sofern er nicht durch gesetzliche Bestimmungen, denen der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere anwendbare Datenschutzbestimmungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
§ 6 Transfer in Drittstaaten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die Voraussetzungen der DSGVO erfüllt sind.
§ 7 Pflichten des Auftragnehmers
Den Auftragnehmer treffen im Rahmen dieses Auftrages folgende Pflichten:
- Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
- Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
- Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten am Ende dieser AVV);
- Der Auftragnehmer informiert den Auftraggeber unverzüglich über Maßnahmen der Aufsichtsbehörden, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch für etwaige Ordnungswidrigkeiten- oder Strafverfahren, soweit sie die Auftragsverarbeitung im Rahmen dieser Vereinbarung betreffen;
- Der Auftragnehmer informiert den Auftraggeber unverzüglich, soweit es in seinem Einflussbereich zu Datenschutzverstößen oder Datenpannen kommt. Zudem informiert er den Auftraggeber über sonstige Umstände, die zu einer Gefährdung des Auftrags führen können (z.B. drohende Pfändung, Insolvenz);
- Soweit der Auftraggeber seinerseits behördlichen Maßnahmen oder Ansprüchen Dritter im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen;
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Informationspflichten gegenüber den Aufsichtsbehörden, Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit den Aufsichtsbehörden;
- Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen;
§ 8 Unterbeauftragungen
(1) Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(2) Nimmt der Auftragnehmer die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag oder anderen Rechtsinstrument zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
§ 9 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, die Einhaltung der Pflichten des Auftragnehmers durch Kontrollen beim Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Kontrollen dürfen zu den üblichen Geschäftszeiten erfolgen und sind in der Regel rechtzeitig anzumelden.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Prüfberichte unabhängiger Instanzen (z.B. Datenschutzauditoren);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(3) Kosten etwaiger Kontrollen trägt der Auftraggeber.
§ 10 Sicherheitskopien, Löschung und Rückgabe von personenbezogenen Daten
(1) Der Auftragnehmer hat Sicherheitskopien der hochgeladenen und über die App mitgeteilten Inhalte zu erstellen.
(2) Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Kündigung
Das Recht zur Kündigung dieser Vereinbarung aus wichtigem Grund bleibt unberührt. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform oder Textform.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen des Vertrags bedürfen der Schriftform oder Textform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
(2) Auf diesen Vertrag ist ausschließlich das deutsche Recht anzuwenden.
(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, berührt dies die Gültigkeit der übrigen Bestimmungen grundsätzlich nicht. Die Vertragsparteien werden sich bemühen, anstelle der unwirksamen Bestimmung eine solche zu finden, die dem Vertragsziel rechtlich und wirtschaftlich am ehesten gerecht wird.
(4) Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
Technisch-organisatorische Maßnahmen für Behörden
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen; - Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen; - Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden;
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne; - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anlage 2: Datenschutzhinweise von TecCert für Behörden
Ergänzend zu den Allgemeinen Geschäftsbehörden für Behörden und der Auftragsverarbeitungsvereinbarung geltend folgende Datenschutzhinweise:
TecCert verarbeitet folgende personenbezogene Daten von Behörden
- Vor- und Nachname von Mitarbeitern,
- Ggf. Anschrift,
- Geburtsdatum, Beruf,
- Elektronische Kommunikationsdaten (E-Mail, Fax, Telefonnummer, Kommunikation über die App),
- Elektronische Unterschrift,
- Gerätedaten (Hersteller, Anwendungsbereiche, Chargennummern, Einstellungsparameter etc.)
- Kommunikation mit Kosmetikstudios, Herstellern und Behörden.
Die Verarbeitung der vorgenannten Daten einschließlich der technischen Übermittlung an Kosmetikstudios und Hersteller im Auftrag der Behörde erfolgt zum Zwecke der Vertragsdurchführung. Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe b DSGVO.
Eine Übermittlung der vorgenannten Daten an Dritte erfolgt im Übrigen nur, diese sofern zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass der Hersteller ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe der Daten habt oder falls TecCert zur Weitergabe im Zusammenhang mit behördlichen Anfragen, gerichtlichen Anordnungen oder Rechtsverfahren gesetzlich verpflichtet ist, Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO.
Die personenbezogenen Daten werden im Rahmen der steuer- und handelsrechtlichen Aufbewahrungsfristen gespeichert, jedenfalls bis Ablauf gesetzlicher Verjährungsfristen für Schadensersatzansprüche.
Behördenmitarbeiter, deren personenbezogene Daten verarbeitet werden, hab im Rahmen der DSGVO folgende Rechte bezüglich der von TecCert verarbeiteten personenbezogenen Daten:
- Widerspruch hinsichtlich der aufgrund von Art. 6 Abs. 1 Satz 1 f verarbeiteten personenbezogenen Daten (Art. 21 DSGVO)
- Auskunft (Art. 15 DSGVO),
- Berichtigung (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung (Art. 18 DSGVO),
- Übertragung (Art. 20 DSGVO).
Die vorgenannten Rechte können die Betroffenen gegenüber der TecCert GmbH, Salvatorstraße 5, 84051 Essenbach per Post oder E-Mail an info@teccert.de geltend machen. Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde in begründeten Fällen zu beschweren: poststelle@lda.bayern.de.