Allgemeine Geschäftsbedingungen (AGB) für die Auftragsverarbeitung

Allgemeine Geschäftsbedingungen für die Auftragsverarbeitung gemäß Art. 28 DSGVO von Claus Pescha, im Folgenden mit netzwerk.design bezeichnet.

1. Allgemeine Bestimmungen und Auftragsgegenstand
   1. Gegenstand dieser AGB ist die Verarbeitung personenbezogener Daten im Auftrag durch netzwerk.design gemäß Art. 28 DSGVO. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Auftraggeber.
   2. Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Vereinbarung sind in Anlage 1 festgehalten.
   3. Die Verarbeitung der Daten durch netzwerk.design findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung des Auftraggebers.
2. Vertragslaufzeit und Kündigung
   • Diese AGB gelten auf unbestimmte Zeit und können von jeder Vertragspartei mit einer Frist von drei Monaten ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Weisungen des Auftraggebers
   1. Der Auftraggeber hat ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung gegenüber netzwerk.design. netzwerk.design informiert den Auftraggeber unverzüglich, falls netzwerk.design der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit netzwerk.design substantiiert anzweifelt, ist netzwerk.design berechtigt, deren Ausführung vorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigt oder ändert. Besteht die Möglichkeit, dass netzwerk.design durch das Befolgen der Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchführung der Weisung bis zur Klärung der Haftung im Innenverhältnis ausgesetzt werden.
   2. Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z.B. per E-Mail) zu erteilen. Mündliche Weisungen sind in begründeten Einzelfällen zulässig und werden vom Auftraggeber unverzüglich schriftlich oder in einem elektronischen Format bestätigt. In der Bestätigung ist ausdrücklich zu begründen, warum keine Weisung in Textform erfolgen konnte. netzwerk.design hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren.
   3. Der Auftraggeber benennt auf Verlangen von netzwerk.design eine oder mehrere weisungsberechtigte Personen. Personelle Änderungen sind netzwerk.design unverzüglich mitzuteilen.
4. Kontrollbefugnisse des Auftraggebers
   1. Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslaufzeit regelmäßig im erforderlichen Umfang zu kontrollieren. Der Auftraggeber hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und den Betrieb von netzwerk.design nicht mehr als erforderlich beeinträchtigen.
   2. Die Ergebnisse der Kontrollen und Weisungen sind vom Auftraggeber in geeigneter Weise zu protokollieren.
5. Allgemeine Pflichten von netzwerk.design
   1. Die Verarbeitung der vertragsgegenständlichen Daten durch netzwerk.design erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen und der Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung ist nur aufgrund zwingender europäischer oder mitgliedsstaatlicher Rechtsvorschriften zulässig (z.B. im Falle von Ermittlungen durch Strafverfolgungs- oder Staatsschutzbehörden). Ist eine Verarbeitung aufgrund zwingenden Rechts erforderlich, teilt netzwerk.design dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
   2. netzwerk.design hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggeber überlassenen personenbezogenen Daten erhalten.
6. Technische und organisatorische Maßnahmen
   • netzwerk.design hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und diese in Anlage 2 festgehalten. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben nach Art. 32 DSGVO ausgewählt. netzwerk.design wird die technischen und organisatorischen Maßnahmen bei Bedarf und/oder anlassbezogen überprüfen und anpassen.
7. Unterstützungspflichten von netzwerk.design
   1. netzwerk.design unterstützt den Auftraggeber gem. Art. 28 Abs. 3 lit. e DSGVO bei dessen Pflichten zur Wahrung der Betroffenenrechte aus Kapitel III, Art. 12 – 22 DSGVO. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten.
   2. netzwerk.design unterstützt den Auftraggeber ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32 – 36 DSGVO (insb. Meldepflichten). Die Reichweite dieser Unterstützungspflichten bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der Informationen, die netzwerk.design zur Verfügung stehen.
8. Einsatz von Unterauftragsverarbeitern (Subunternehmern)
   1. netzwerk.design ist zum Einsatz von Unterauftragsverarbeitern (Subunternehmern) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Subunternehmerverhältnisse von netzwerk.design sind in Anlage 3 aufgeführt. Für die in Anlage 3 aufgezählten Subunternehmer gilt die Zustimmung mit Abschluss dieser AGB als erteilt.
   2. Beabsichtigt netzwerk.design den Einsatz weiterer Subunternehmer, wird netzwerk.design dies dem Auftraggeber rechtzeitig — spätestens jedoch zwei Wochen vor deren Einsatz in schriftlicher oder elektronischer Form anzeigen. Der Auftraggeber hat nach dieser Mitteilung zwei Wochen Zeit, der Hinzuziehung des/der Subunternehmer zu widersprechen. Erfolgt innerhalb dieser Frist kein Widerspruch, gilt die Hinzuziehung des/der Subunternehmer(s) als genehmigt. In dringenden Fällen (z.B. bei kurzfristig benötigten Fehleranalysen oder Mängelbeseitigungen), kann netzwerk.design die Anzeige- und Widerspruchsfrist für Subunternehmer angemessen verkürzen. Erfolgt ein fristgerechter Widerspruch, dürfen die betroffenen Subunternehmer nicht eingesetzt werden. Widersprüche sind nur zulässig, wenn der Auftraggeber begründete Anhaltspunkte dafür hat, dass durch den Einsatz des Unterauftragnehmers die Datensicherheit oder der Datenschutz eingeschränkt würde, die Einhaltung gesetzlicher oder vertraglicher Bestimmungen gefährdet wäre und/oder sonstige berechtigte Interessen des Auftraggebers entgegenstehen; die entsprechenden Verdachtsmomente sind dem Widerspruch beizufügen.
   3. Subunternehmer werden von netzwerk.design unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Sämtliche Verträge zwischen netzwerk.design und Unterauftragsverarbeitern müssen den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Nebenleistungen, welche netzwerk.design zur Ausübung von geschäftlichen Tätigkeiten in Anspruch nimmt, stellen keine Unterauftragsverhältnisse im Sinne des Art. 28 DSGVO dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen sowie sonstige Maßnahmen, welche die Vertraulichkeit und/oder Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. netzwerk.design wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards (insbesondere durch entsprechende Vertraulichkeitsvereinbarungen) sicherstellen.
   4. Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.
9. Mitteilungspflichten von netzwerk.design
   1. Verstöße gegen diese AGB, gegen Weisungen des Auftraggebers oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß von netzwerk.design selbst, einer bei netzwerk.design angestellten Person, einem Unterauftragsverarbeiter oder einer sonstigen Person, die netzwerk.design zur Erfüllung vertraglicher Pflichten eingesetzt hat, begangen wurde.
   2. Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter netzwerk.design um Auskunft, Berichtigung, Einschränkung der Verarbeitung oder Löschung, wird netzwerk.design die Anfrage unverzüglich an den Auftraggeber weiterleiten und das weitere Vorgehen mit ihm abstimmen.
   3. netzwerk.design wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von denen auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat netzwerk.design den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch welche die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.
10. Vertragsbeendigung, Löschung und Rückgabe der Daten
    • Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung dieser AGB hat netzwerk.design alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine rechtliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z.B. gesetzliche Aufbewahrungsfristen).
11. Datengeheimnis und Vertraulichkeit
    • netzwerk.design ist unbefristet und über das Ende dieser AGB hinaus verpflichtet, die im Rahmen der Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln. netzwerk.design verpflichtet sich, Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit bei netzwerk.design aufnehmen.
12. Haftung
    1. 12.1. netzwerk.design haftet gegenüber dem Auftraggeber im Innenverhältnis nicht, wenn die haftungsauslösende Datenverarbeitung/Maßnahme infolge einer Weisung des Auftraggebers durchgeführt wurde. Das gleiche gilt für Maßnahmen, die mit dem Auftraggeber abgestimmt wurden (z.B. technische und organisatorische Maßnahmen nach Art. 32 DSGVO). Als Abstimmung gilt es auch, wenn eine Regelung in diesen AGB auf Verlangen des Auftraggebers eingefügt wurde.
    2. 12.2. Der Auftraggeber hat dafür zu sorgen, dass die originäre Erhebung der im Auftrag verarbeiteten Daten rechtmäßig erfolgt. Insbesondere hat er die ggf. erforderlichen Einwilligungen vollständig und korrekt einzuholen. Sofern netzwerk.design im Außenverhältnis wegen eines Verstoßes gegen diese Pflicht in Anspruch genommen wird, haftet der Auftraggeber netzwerk.design gegenüber im Innenverhältnis und stellt netzwerk.design vom ggf. entstandenen Schaden frei.
13. Schlussbestimmungen
    1. 13.1. Änderungen dieser AGB und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.
    2. 13.2. Sind die Vertragsparteien Kaufleute, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist der Sitz von netzwerk.design Gerichtsstand für alle Streitigkeiten aus diesen AGB, sofern insoweit hierfür ein ausschließlicher Gerichtsstand nicht begründet wird.
    3. 13.3. Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.
    4. 13.4. Sollten einzelne Teile dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
    5. 13.5. Sämtliche Anlagen zu diesen AGB sind Vertragsbestandteil.

Diese AGB für die Auftragsverarbeitung sind integrierter Bestandteil der vertraglichen Vereinbarungen zwischen dem Auftraggeber und netzwerk.design. Mit der Annahme unserer Leistungen erklären Sie sich mit diesen AGB einverstanden.

Anlage 1 – Auftragsdetails

Leistungen, bei denen Daten verarbeitet werden

1. Erstellung von Webseiten
   • Verarbeitete Datenarten: Bestandsdaten des Auftraggebers, die in die neuen Webseiten eingespielt werden (z.B. Kundenlisten des Auftraggebers).
   • Betroffene Personenkategorien: Webseitenbesucher des Auftraggebers, Kunden des Auftraggebers.
2. Wartung von Webseiten / Online-Shops
   • Verarbeitete Datenarten: IP-Adressen von Webseitenbesuchern, Eingaben in Kontaktformulare, Analysen zum Nutzerverhalten, Transaktionsdaten (Zahlungsdaten), Kundendaten.
   • Betroffene Personenkategorien: Webseitenbesucher des Auftraggebers, Kunden des Auftraggebers.
3. SEO-Marketing
   • Verarbeitete Datenarten: Nutzerdaten von Webseitenbesuchern, Keyword-Analysen.
   • Betroffene Personenkategorien: Webseitenbesucher.
4. SEA-Marketing
   • Verarbeitete Datenarten: Nutzerdaten von Webseitenbesuchern, Keyword-Analysen.
   • Betroffene Personenkategorien: Webseitenbesucher.
5. Social-Media-Marketing
   • Verarbeitete Datenarten: Analysedaten von Besuchern der Social-Media-Profile.
   • Betroffene Personenkategorien: Social-Media-Nutzer.

Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO

netzwerk.design setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt. 

1. Sicherung der Arbeitsstätte des Auftragsverarbeiters (Zutrittskontrolle)
   • Die Arbeitsstätte des Auftragsverarbeiters wird in folgender Weise gegen Einbruch und sonstige unbefugte Zutritte gesichert: 
     • Manuelles Schließsystem / Türschlösser
     • Sicherheitsschlösser
     • Absicherung von Gebäudeschächten
     • Zutrittskonzept / Besucherregelung
2. Sicherung der IT-Systeme des Auftragsverarbeiters (Zugangskontrolle)
   • Die IT-Systeme des Auftragsverarbeiters werden in folgender Weise gegen unbefugte Zugriffe (z.B. Hackerangriffe) gesichert:
     • Passwortvergabe 
     • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
     • Login in die IT-Systeme mit individuellem Benutzernamen und Passwort
     • Zugriffsregeln für Benutzer / Benutzergruppen in den IT-Systemen (Berechtigungskonzept)
     • Verwaltung der Berechtigungen durch Systemadministratoren
     • Anzahl der Systemadministratoren ist auf das „Notwendigste“ reduziert
     • regelmäßige und anlassbezogene Aktualisierung und Überprüfung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
     • Einsatz einer Software-Firewall
     • Festplattenverschlüsselung
     • Verschlüsselung mobiler Datenträger (Handys, Laptops etc.)
     • Verschlüsselung externer Datenträger (externe Festplatten, USB-Sticks etc.)
     • Verschlüsselung der Datensicherungssysteme
     • Sichere Aufbewahrung von Datenträgern
3. Protokollierung von Datenverarbeitungsprozessen (Eingabekontrolle)
   • Folgende Maßnahmen stellen sicher, dass der Auftragsverarbeiter jederzeit erkennen kann, welche Datenverarbeitungsprozesse in seinen Datenverarbeitungssystemen stattgefunden haben (z.B. Eingabe, Veränderung, Sperrung oder Löschung): 
     • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen.
     • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind.
4. Sichere Löschung von Daten
   • Folgende Maßnahmen stellen die ordnungsgemäße Löschung der vertragsgegenständlichen Daten sicher: 
     • Löschkonzept
     • Einsatz von Aktenvernichtern (mindestens Stufe P-4)
     • ordnungsgemäße Bereinigung von Datenträgern vor Wiederverwendung
5. Datenschutz bei den Subunternehmern des Auftragsverarbeiters
   • Folgende Maßnahmen stellen sicher, dass sich die vom Auftragsverarbeiter ausgewählten Subunternehmer datenschutzkonform verhalten: 
     • Auswahl der Subunternehmer unter Sorgfaltsgesichtspunkten (insb. hinsichtlich Datensicherheit).
     • Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen mit dem Subunternehmer.
6. Sicherung von Daten bei Transport und Übermittlung (Weitergabekontrolle)
   • Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) vor unbefugten Dritten geschützt werden:  
     • Verschlüsselung des E-Mail-Verkehrs.
     • Verschlüsselung der sonstigen Kommunikationswege.
     • Verschlüsselung physischer Datenträger beim Transport.
7. Datensicherung und Backups (Verfügbarkeit und Wiederherstellbarkeit)
   • Folgende Maßnahmen stellen sicher, dass die vertragsgegenständlichen Daten jederzeit verfügbar sind: 
     • Backup- & Wiederherstellungskonzept.
     • Testen der Datenwiederherstellung.
     • Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort.
     • Feuer- und Rauchmeldeanlagen in Serverräumen.
     • Serverräume nicht unter sanitären Anlagen.
8. Sonstige Datenschutzmaßnahmen
   • Folgende weitere Datenschutzmaßnahmen wurden implementiert: 
     • Logische Mandantentrennung (softwareseitig).
     • Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden.
     • Trennung von Produktiv- und Testsystem.
9. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
   • Der Auftragsverarbeiter wird die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen. 

Anlage 3 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses

keine

Stand: Juli 2024