Impressum

simple system GmbH & Co.KG

Bodenseestraße 29
81241 München
Deutschland

Tel.: +49 89-8208-196-0

E-Mail:
info(at)simplesystem.com
www.simplesystem.com

Geschäftsführer: Andreas Moser, Markus Decker
 
Ust-IdNr.: DE214450309
Sitz: München, Amtsgericht München, HRA 77206

Haftungsausschluss

Die Inhalte der Webseiten "simple system" werden regelmäßig gepflegt, aktualisiert und dienen der allgemeinen Information. Es wird keine Gewähr für die Richtigkeit, die Vollständigkeit oder die Verfügbarkeit der im Rahmen des Dienstes abrufbaren Informationen übernommen.


Für externe Links wird keine Verantwortung übernommen. Für den Inhalt der verlinkten Seiten ist ausschließlich der jeweilige Betreiber verantwortlich.

Vereinbarung

Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

zwischen

Kunde
(siehe Kundendaten)
- im Folgenden auch Auftraggeber -

und

simple system GmbH & Co. KG
Bodenseestraße 29
81241 München
- im Folgenden auch simple system -
- Auftraggeber und simple system zusammen im Folgenden auch Parteien -

 

1. Gegenstand und Dauer der Vereinbarung

1.1 Gegenstand und Dauer

  1. Der Auftraggeber nutzt die Internet-Plattform von simple system als virtuellen Marktplatz zur Beschaffung von Waren (nachfolgend „Internet-Plattform“). Zur Nutzung der Plattform ist es erforderlich, dass für jeden Mitarbeiter des Auftraggebers ein individueller, personalisierter Zugang erstellt wird. Hierfür ist die Eingabe des Namens, sowie von Kontaktdaten nötig.  Als Bereitsteller der Plattform hat simple system die theoretische Möglichkeit, auf diese Daten zuzugreifen.
  2. Die Laufzeit und Kündigung dieser Vereinbarung richten sich nach der Vereinbarung der Parteien über die Nutzung der Internet-Plattform. Eine Kündigung der Nutzungsvereinbarung bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

 

2. Konkretisierung des Gegenstands der Vereinbarung, Verantwortlichkeit

2.1 Art und Zweck der Verarbeitung

  1. Der Auftraggeber nutzt die Internet-Plattform, indem er über das Internet auf die Server von simple system zugreift. Zu diesem Zweck ist es erforderlich, dass der Auftraggeber die in diesem Vertrag benannten Daten auf die Server von simple system übermittelt, dort speichert, weiterverarbeitet und im Zuge der Benutzung der Software vom Auftraggeber abgerufen werden.
  2. simple system wird die Daten des Auftraggebers ausschließlich zur Bereitstellung, zur Administrierung und zur Wartung der Internetplattform nutzen. simple system hat bei der Wartung und Pflege der Systeme, die Möglichkeit, auf die Daten des Auftraggebers zuzugreifen und ggf. bei Bedarf zur Fehlerbehebung und Datensicherung Kopien davon anzulegen.
  3. Bei den zu verarbeitenden Daten, die der Auftraggeber auf dem System speichern möchte, handelt es sich um folgende Arten personenbezogener Daten und Kategorien betroffener Personen:
    1. Beschäftigte des Auftraggebers: Vor- und Zuname, Kontaktdaten
    2. Ansprechpartner der Lieferanten des Auftraggebers: Vor- und Zuname, Kontaktdaten
  4. Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Unabhängig davon ist es simple system gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten. Soweit die Daten durch simple system oder dessen Unterauftragnehmer in Drittländern außerhalb der EU verarbeitet werden, verpflichtet sich simple system, die Vorgaben von Kapitel V der DSGVO (Art. 44 bis 50 DSGVO) einzuhalten und für ein ausreichendes Datenschutzniveau beim Datenempfänger zu sorgen.

 

2.2 Verantwortlichkeit

  1. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

 

3. Weisungsbefugnis des Auftraggebers

  1. Die in dieser Vereinbarung beschriebene Datenverarbeitung erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers. Ausgenommen hiervon sind Sachverhalte, in denen simple system eine Verarbeitung aus zwingenden rechtlichen Gründen auferlegt wird. In diesem Fall teilt simple system dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
  2. Weisungen des Auftraggebers sollen grundsätzlich mindestens in Textform erfolgen. Bei Bedarf kann der Auftraggeber Weisungen auch mündlich erteilen. Mündlich erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung in Textform durch den Auftraggeber.
  3. simple system hat den Auftraggeber zu informieren, wenn sie der Meinung ist, eine Weisung des Auftraggebers verstoße gegen geltende datenschutzrechtliche Bestimmungen. simple system ist berechtigt, die Durchführung einer Weisung solange auszusetzen, bis die Weisung durch den Weisungsberechtigten des Auftraggebers in Textform bestätigt oder geändert wird.
  4. Verletzt eine Weisung des Auftraggebers Vorschriften zum Schutz von personenbezogenen Daten und entsteht simple system durch diese Weisung ein Schaden, so stellt der Auftraggeber simple system von allen Ansprüchen Dritter frei.

 

4. Pflichten der simple system

4.1 Technische und organisatorische Maßnahmen

  1. simple system wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass diese den besonderen Anforderungen des Datenschutzes gerecht wird.
  2. simple system  stellt sicher, bei der Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen und während der Dauer dieser Vereinbarung aufrecht zu erhalten. Die von simple system getroffenen Maßnahmen sind in 
Anlage 1 zu dieser Vereinbarung beschrieben.
  3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es simple system gestattet, alternative adäquate technische und organisatorische Maßnahmen umzusetzen, sofern das Sicherheitsniveau der in Anlage 1 festgelegten technischen und organisatorischen Maßnahmen nicht unterschritten wird.

 

4.2 Weitere Pflichten des Auftragsverarbeiters

  1. simple system ist verpflichtet, alle im Rahmen dieser Vereinbarung erlangten Kenntnisse von Betriebsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu behandeln.
  2. simple system gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden.
  3. Als externer  Datenschutzbeauftragter ist bei simple system die Firma MKM Datenschutz GmbH, Äußere Sulzbacher Str. 124 a, 90491 Nürnberg, bestellt Ansprechpartner ist Herr RA Fabian Dechent, info@mkm-datenschutz.de; 0911 / 669577-55. 
  4. simple system unterrichtet den Auftraggeber unverzüglich in Textform bei Verstößen gegen Vorschriften zum Schutz personenbezogener Daten sowie bei Verstößen gegen die in dieser Vereinbarung getroffenen Festlegungen. simple system wird, in Absprache mit dem Auftraggeber, erforderliche Maßnahmen zur Sicherung der Daten und zur Minderung von möglichen nachteiligen Folgen für die Betroffenen treffen.
  5. Ist der Auftraggeber aufgrund einer gesetzlichen Verpflichtung gegenüber einer betroffenen Person zur Auskunft verpflichtet, wird simple system den Auftraggeber dabei unterstützen, indem er erforderliche Informationen bereitstellt.
  6. simple system informiert den Auftraggeber über Kontrollen und Maßnahmen sowie bei Ermittlungen einer Aufsichtsbehörde soweit Daten des Auftraggebers betroffen sind.
  7. simple system informiert den Auftraggeber unverzüglich, wenn er Fehler oder Unregelmäßigkeiten feststellt, die bei der Wartung aufgetreten sind oder die einen Zugriff durch Unbefugte möglich machen.
  8. Sollten die Daten des Auftraggebers durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet sein, so hat simple system den Auftraggeber textförmlich darüber zu informieren. simple system wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichen für die Verarbeitung liegen.
  9. simple system führt für die Verarbeitung ein Verzeichnis das den Anforderungen des Art. 30 Abs. 2, Abs. 3 DSGVO entspricht.
  10. simple system unterstützt im Rahmen des Zumutbaren und nur soweit dies den Betriebsablauf nicht stört den Auftraggeber bei der Erfüllung der Informationspflichten gegenüber der jeweils zuständigen Aufsichtsbehörde bzw. den von einer Verletzung des Schutzes personenbezogener Daten Betroffenen nach Art. 33 und 34 DSGVO.
  11. simple system unterstützt den Auftraggeber im Rahmen des Zumutbaren und nur soweit dies den Betriebsablauf von simple system nicht stört bei der Erstellung einer Datenschutzfolgeabschätzung im Sinne des Art. 35 DSGVO mit allen ihm zur Verfügung stehenden Informationen, sofern dies aufgrund gesetzlicher Vorgaben erfolgen muss. Im Falle der Notwendigkeit einer vorherigen Konsultation der zuständigen Aufsichtsbehörde gemäß Art. 36 DSGVO unterstützt simple system den Auftraggeber auch hierbei.
  12. Entsteht simple system durch die Unterstützungsleistung nach Abs. 10 oder Abs. 11 ein Mehraufwand, so wird der Auftraggeber diesen angemessen vergüten.

 

4.3 Berichtigung, Einschränkung und Löschung

  1. simple system hat den Auftraggeber nur nach Weisung in angemessenem und für den Auftraggeber erforderlichem Umfang bei der Berichtigung, Löschung oder Einschränkung von personenbezogenen Daten, sowie bei der Wahrung der Betroffenenrechte zu unterstützen.
  2. Soweit eine betroffene Person sich diesbezüglich unmittelbar an simple system wendet, wird simple system dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

 

5. Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, die gesetzlich vorgesehene Auftragskontrolle auf eigene Kosten im Benehmen mit dem simple system durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.
  2. Der Auftraggeber ist während der üblichen Geschäftszeiten berechtigt, diejenigen Geschäftsräume von simple system zu betreten und Vor-Ort-Kontrollen durchzuführen, in denen die Daten des Auftraggebers verarbeitet werden. Die Vor-Ort-Besichtigungen werden vom Auftraggeber rechtzeitig, in der Regel mindestens 2 Kalenderwochen vorher, angemeldet.
  3. simple system ist verpflichtet, den Auftraggeber bei den Kontrollen zu unterstützen.
  4. simple system verpflichtet sich insbesondere, dem Auftraggeber Zugang zu den Datenverarbeitungseinrichtungen, Dateien und anderen Dokumenten zu gewähren, um die Kontrolle und Überprüfung der relevanten Datenverarbeitungseinrichtungen, Dateien und anderer Dokumentationen zu ermöglichen, die mit der Erhebung oder Verwendung von Daten des Auftraggebers im Zusammenhang stehen.
  5. Die Kontrolle ist so durchzuführen, dass keine Betriebsabläufe von simple system gestört werden, und dass die Geheimhaltung von Betriebs- und Geschäftsgeheimnissen strikt gewahrt bleiben.
  6. Nimmt der Auftraggeber seine Kontrollrechte durch einen Dritten wahr, so, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie der Auftraggeber gegenüber simple system verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Der Auftraggeber hat simple system die Verpflichtungsvereinbarungen mit dem Dritten vor Durchführung der Kontrolle vorzulegen. Der Auftraggeber darf keinen Konkurrenten und Wettbewerber von simple system mit der Kontrolle beauftragen.

 

6. Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragsverhältnisse)

  1. simple system ist berechtigt weitere Unterauftragnehmer zu beauftragen. Zum Zeitpunkt des Vertragsschlusses sind die in Anlage 2 gelisteten Unterauftragnehmer durch simple system beauftragt. simple system wird den Auftraggeber vorab über jede beabsichtigte Hinzuziehung oder die Ersetzung eines bereits beauftragten Unterauftragnehmers unterrichten.
  2. Wenn Unterauftragnehmer durch simple system eingeschaltet werden, müssen die vertraglichen Vereinbarungen mit den Unterauftragnehmern so gestaltet werden, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages entsprechen. Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung in diesen Verträgen mit den Unterauftragnehmern in der Weise einzuräumen, dass sie den Auftraggeber unmittelbar auch gegenüber den Unterauftragnehmern berechtigen. simple system ist verpflichtet, dem Auftraggeber auf Anforderung hin Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen durch die Unterauftragnehmer zu erteilen.

 

7. Mitteilung bei Verstößen

  1. simple system informiert den Auftraggeber, wenn durch sie oder die bei ihr beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die in dieser Vereinbarung getroffenen Festlegungen vorgefallen sind oder wenn Anhaltspunkte dafür bestehen, dass ein Dritter unrechtmäßig Kenntnis von Daten des Auftraggebers erlangt haben könnte, oder wenn in sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Daten des Auftraggebers eingetreten ist.
  2. Die Information über den Verstoß (Datensicherheitsvorfall) hat Angaben über den Zeitpunkt und die Art des Vorfalls (einschließlich einer Information, welche Daten des Auftraggebers wie betroffen sind), das betroffene IT-System, die betroffenen Personen, den Zeitpunkt der Entdeckung sowie die von simple system daraufhin ergriffenen Maßnahmen zu enthalten.
  3. Eine erste Information durch simple system hat unverzüglich nach  Kenntnis von dem Datensicherheitsvorfall zu erfolgen. simple system hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
  4. simple system wird den Auftraggeber bei Meldungen von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO unterstützen. Der Auftraggeber wird simple system den dadurch entstehenden Mehraufwand angemessen vergüten.

 

8. Löschung und Rückgabe von personenbezogenen Daten

  1. Kopien oder Duplikate der Daten werden nur im Rahmen der in dieser Vereinbarung beschriebenen Aufgaben erstellt. Nach Abschluss der vertraglich vereinbarten Arbeiten, oder früher nach schriftlicher Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Projektvertrags – hat simple system sämtliche Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang dieser Vereinbarung stehen, dem Auftraggeber auszuhändigen oder nach vorheriger schriftlicher Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.
  2. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch simple system entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. simple system kann diese zur Entlastung bei Vertragsende dem Auftraggeber übergeben.

 

9. Haftung

  1. Entsteht simple system ein Schaden (inklusive eines Bußgeldes)  durch die Verletzung von Bestimmungen zum Umgang mit personenbezogenen Daten, die nicht in ihrem eigenen Verantwortungs- und/oder Aufgabenbereich entstanden ist, so haftet der Auftraggeber gegenüber simple system unbeschränkt. Dies gilt nicht, wenn der Auftraggeber die Verletzungshandlung nicht zu vertreten hat. Eine Exkulpation des Auftraggebers für von diesem anderweitig eingesetzte Dritte ist jedoch nur möglich, soweit dem Auftragnehmer die Ansprüche gegen diesen Dritten abgetreten werden.
  2. simple system haftet ausschließlich für Schäden, die auf einer von ihr durchgeführten Verarbeitung beruhen, wenn sie gegen eine aus der DSGVO speziell für Auftragsverarbeiter auferlegten Pflicht nicht oder nicht rechtzeitig nachkommt oder entgegen einer rechtmäßigen Weisung des Auftraggebers handelt.
  3. Die Parteien haben sich gegenseitig von sämtlichen Ansprüchen, die auf einer Verletzung einer gesetzlichen Bestimmungen zum Schutz personenbezogener Daten, einer Verletzung von Pflichten aus dieser Vereinbarung oder von datenschutzrechtlich relevanten Bestimmungen eines Leistungsvertrags durch den jeweils anderen, dessen Erfüllungsgehilfen und etwaige Zulieferer oder Lieferanten beruhen freizustellen. Die Freistellungspflicht umfasst insbesondere von Dritten geltend gemachten Schadensersatz einschließlich Kosten und Aufwendungen, die dem jeweils anderen im Zusammenhang mit der Pflichtverletzung und der Abwehr von Ansprüchen Dritter entstehen.
  4. Im Übrigen richtet sich die Haftung nach der EU Datenschutzgrundverordnung (DSGVO).

 

10. Sonstige Regelungen

  1. Änderungen und/oder Ergänzungen dieser Vereinbarung bedürfen einer schriftlichen Vereinbarung, welche ebenso in einem elektronischen Format abgeschlossen werden kann. Dies gilt auch für die Änderung dieser Klausel.
  2. Die teilweise oder vollständige Abtretung oder Übertragung von Rechten und Pflichten aus dieser Vereinbarung durch den Auftraggeber ist unzulässig, es sei denn, der Auftragnehmer hat zuvor schriftlich zugestimmt; § 354a HGB bleibt unberührt.
  3. Auf das Vertragsverhältnis und seine Durchführung findet ausschließlich das Recht der Bundesrepublik Deutschland Anwendung. Die Anwendung des CISG oder Teilen daraus ist ausgeschlossen. Gerichtsstand für alle Streitigkeiten in Zusammenhang mit dieser Vereinbarung ist München.

 

Anlagen:

Anlage 1 - Technisch-organisatorische Maßnahmen (TOM)
Anlage 1. A - Technische und organisatorische Maßnahmen des Rechenzentrumsdienstleisters
Anlage 2: Eingesetzte Unterauftragnehmer

Download Anlagen