Direkt zum Hauptinhalt
Last revision date: February 2026

Vereinbarung zur Datenverarbeitung.

Schön, dass du dich für unser Kleingedrucktes zur Datenverarbeitung interessierst. Hier findest du alle Informationen darüber, wie wir Daten verarbeiten, sowie einige ausführliche Erläuterungen zu den Bezeichnungen und Definitionen. Wenn du Kontakt aufnehmen möchtest, schreib einfach eine Email an [email protected].

Unsere Datenverarbeitung.

everstox GmbH, Ganghoferstr. 68b, 80339 München, Deutschland („everstox“) betreibt die digitale Plattform https://everstox.com, ein Online-Portal für Beschaffung, Beratung und Softwarelösungen für Lager-, Versand- und damit verbundene Logistikdienstleistungen („Plattform“).

Die folgenden Datenverarbeitungsvereinbarungen („DPA“) gelten für die Nutzung der Plattform durch Händler und Logistikdienstleister.

everstox, Händler und/oder Logistikdienstleister können jeweils als „Partei“ oder gemeinsam als „die Parteien“ bezeichnet werden.

Datenverarbeitungsvereinbarung („DPA“)

Zwischen

Bezugnahme auf die Partei, an die das kommerzielle Angebot gerichtet ist (im Folgenden „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO genannt)

Und

everstox (im Folgenden „Auftragsverarbeiter/Auftragnehmer“ im Sinne von Art. 4 Nr. 8 DSGVO)

(jeweils eine „Partei“ und gemeinsam die „Parteien“)

1. Gegenstand und Dauer der Bestellung oder des Vertrags

Der Gegenstand der Bestellung oder des Vertrags ergibt sich aus dem Software-Servicevertrag, der hier als Hauptvertrag bezeichnet wird. Diese Vereinbarung (im Folgenden auch die oder diese „Vereinbarung“ oder „Vertrag“) ist rechtlich unabhängig und hat dieselbe rechtliche Bestimmung wie die Hauptvereinbarung; die Kündigung der Hauptvereinbarung hat die automatische Kündigung dieser Vereinbarung zur Folge. Die Vertragsparteien sind sich bewusst, dass eine Datenverarbeitung ohne eine gültige Datenverarbeitungsvereinbarung nicht durchgeführt werden kann. Eine isolierte Kündigung dieser Vereinbarung ist nicht zulässig.

2. Spezifikation des Inhalts

2.1 Art der Verarbeitung

Im Rahmen der Bestellung werden personenbezogene Daten organisiert/strukturiert, gespeichert, gelesen, verwendet, offengelegt, abgeglichen, verknüpft oder gelöscht

2.2 Zweck der Verarbeitung

Die Daten werden für den folgenden Zweck verarbeitet:

  • Ermöglichen Sie die Kontrolle, Verwaltung, Optimierung und Ausführung von Erfüllungs- und Versandaufträgen

2.3 Ort der Verarbeitung

Die Durchführung der vertraglich vereinbarten Datenverarbeitung erfolgt ausschließlich in einem Mitgliedstaat der EU oder in einem Mitgliedstaat des EWR. Jede Übertragung von Daten in einen Staat, der weder ein Mitgliedstaat der EU noch des EWR ist, bedarf der dokumentierten Zustimmung des Kunden und erfolgt nur, wenn die spezifischen Bedingungen der Artikel 44 ff. vorliegen. Die DSGVO wurde erfüllt.

2.4 Art der Daten

Die folgenden Arten/Kategorien personenbezogener Daten werden verarbeitet:

  • Persönliche Stammdaten
  • Kontakt-/Kommunikationsdaten (z.B. Telefon, E-Mail)
  • Vertragsstammdaten

2.5 Kategorien der betroffenen Personen

Zu den Kategorien der betroffenen Personen gehören:

  • Kunden des Controllers
  • Mitarbeiter des für die Verarbeitung Verantwortlichen
  • Lieferanten des Controllers
  • Lagerlogistik- und Versanddienstleister des für die Verarbeitung Verantwortlichen

3. Technische und organisatorische Maßnahmen

  1. Vor Beginn der Bearbeitung, insbesondere im Hinblick auf die Ausführung des konkreten Auftrags, dokumentiert der Auftragnehmer die Umsetzung der notwendigen technischen und organisatorischen Maßnahmen, die vor der Auftragserteilung festgelegt wurden, und leitet diese an den für die Verarbeitung Verantwortlichen zur Überprüfung weiter. Nach Annahme durch den für die Verarbeitung Verantwortlichen bilden die dokumentierten Maßnahmen die Grundlage des Auftrags. Sind nach der Überprüfung oder einem Audit durch den für die Verarbeitung Verantwortlichen Änderungen erforderlich, werden diese einvernehmlich umgesetzt.
  2. Der Auftragnehmer gewährleistet die Sicherheit gemäß Art. 28 (3) (c) und (e) Untersatz 1, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 (1) und (2) DSGVO. Bei den zu ergreifenden Maßnahmen handelt es sich um Maßnahmen zur Sicherung der Daten und zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus in Bezug auf die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Dabei sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Kontext und Zwecke der Verarbeitung sowie das Risiko unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
  3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative angemessene Maßnahmen zu ergreifen. Das Sicherheitsniveau der definierten Maßnahmen muss aufrechterhalten werden. Signifikante Änderungen müssen dokumentiert werden.

4. Qualitätssicherung und weitere Pflichten des Auftragnehmers gemäß Art. 28 Abs. 3 S. 1 DS-GVO

Neben der Einhaltung der Vorschriften dieser Bestellung hat der Auftragnehmer als Auftragsverarbeiter auch gesetzliche Verpflichtungen; daher stellt der Auftragnehmer sicher, dass die folgenden Anforderungen eingehalten werden:

  1. Soweit gesetzlich vorgeschrieben, benennt der Auftragnehmer eine kompetente und zuverlässige Person als Datenschutzbeauftragten, der die Aufgaben gemäß den Art. 38 und 39 DS-GVO wahrnimmt. Die Kontaktinformationen des bestellten Datenschutzbeauftragten werden dem für die Verarbeitung Verantwortlichen zum Zwecke der direkten Kontaktaufnahme zur Verfügung gestellt. Ist der Auftragnehmer nicht verpflichtet, einen Datenschutzbeauftragten zu benennen, wird ein Ansprechpartner für Datenschutzangelegenheiten benannt, dessen Kontaktdaten dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt werden, um den direkten Kontakt herzustellen. Jede Änderung des Datenschutzbeauftragten oder der Kontaktstelle ist dem für die Verarbeitung Verantwortlichen unverzüglich mitzuteilen.
  2. Gemäß Art. 28 (3) (2) (b) DSGVO stellt der Auftragnehmer sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und zuvor über die für sie relevanten Datenschutzbestimmungen informiert wurden.
  3. Der Auftragnehmer und jede Person, die unter der Aufsicht des Auftragnehmers handelt und Zugang zu personenbezogenen Daten hat, dürfen diese Daten nur auf Anweisung (Art. 29, 32 (4) DSGVO) des für die Verarbeitung Verantwortlichen verarbeiten, einschließlich der im Rahmen dieses Vertrags erteilten Befugnis, es sei denn, dies ist gesetzlich vorgeschrieben.
  4. Der Auftragnehmer sorgt für die Durchführung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 (3) (2) (c), Art. 32 (DSGVO).
  5. Der für die Verarbeitung Verantwortliche und der Auftragnehmer (und gegebenenfalls ihre Vertreter) arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).
  6. Der Auftragnehmer verpflichtet sich, den für die Verarbeitung Verantwortlichen unverzüglich über behördliche Inspektionen und Maßnahmen zu informieren, soweit sie für diesen Auftrag gelten. Dies gilt auch, wenn eine zuständige Behörde im Rahmen einer Ordnungswidrigkeit oder eines Strafverfahrens im Hinblick auf die Verarbeitung personenbezogener Daten Ermittlungen gegen den Auftragnehmer durchführt.
  7. Unterliegt der für die Verarbeitung Verantwortliche der Überwachung durch die Aufsichtsbehörde, einer Ordnungswidrigkeit oder einem Strafverfahren, einem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Verarbeitung durch den Auftragnehmer, wird der Auftragnehmer den für die Verarbeitung Verantwortlichen nach besten Kräften unterstützen.
  8. Der Auftragnehmer überwacht regelmäßig die internen Abläufe und die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Daten, für die er verantwortlich ist, im Einklang mit den Anforderungen des geltenden Datenschutzrechts verarbeitet werden und die Rechte der betroffenen Person geschützt werden.
  9. Der Auftragnehmer stellt sicher, dass er dem für die Verarbeitung Verantwortlichen die vereinbarten technischen und organisatorischen Maßnahmen im Rahmen seiner Überwachungsrechte gemäß § 6 dieses Vertrags nachweisen kann.

5. Unterauftragsvergabe gemäß Art. 28 Abs. 3 S. 2 lit. d DS-GVO in Verbindung mit Art. 28 Abs. 2 und 4 DS-GVO

  1. Unterauftragsleistungen sind Dienstleistungen, die in direktem Zusammenhang mit der Erbringung der Hauptdienstleistung stehen. Dienstleistungen, die der Auftragnehmer ausschließlich als Nebenleistungen Dritter zur Ausübung seiner Geschäftstätigkeit in Anspruch nimmt, gelten nicht als Unteraufträge.

    Dazu gehören beispielsweise Reinigungsdienste, reine Telekommunikationsdienstleistungen ohne besonderen Bezug zu Dienstleistungen, die der Auftragnehmer für den für die Verarbeitung Verantwortlichen erbringt, Post- und Kurierdienste, Transportdienste oder Sicherheitsdienste.

    Der Auftragnehmer ist auch verpflichtet, auch für zusätzliche Dienstleistungen Dritter, sicherzustellen, dass angemessene Vorkehrungen sowie technische und organisatorische Maßnahmen vereinbart wurden, um den Schutz personenbezogener Daten zu gewährleisten.

    Die Wartung und Instandhaltung von IT-Systemen oder Anwendungen gilt als genehmigungs- und verarbeitungspflichtige Unteraufträge im Sinne von Art. 28 DSGVO, wenn sich die Wartung und Inspektion auf Systeme bezieht, die im Zusammenhang mit der Erbringung von Dienstleistungen für den für die Verarbeitung Verantwortlichen verwendet werden, und personenbezogene Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, während der Wartung abgerufen werden können.
  2. Gemäß der Regelung des Art. 28 (2) (1) DSGVO setzt der Auftragnehmer ohne vorherige gesonderte oder allgemeine schriftliche Zustimmung des für die Verarbeitung Verantwortlichen keine anderen Auftragsverarbeiter (Unterauftragnehmer, Subunternehmer) ein; die Unterauftragsbestimmungen gelten (entsprechend) sowohl für den Unterauftragnehmer als auch für alle anderen beauftragten (Unter-) Unterauftragnehmer.
  3. Der für die Verarbeitung Verantwortliche stimmt hiermit der Beauftragung der folgenden Subunternehmer zu:

Cloud-Hosting und -Infrastrukturdienste

Amazon Web Services, Inc. (AWS)

410 Terry Avenue Nord

Seattle WA 98109

Vereinigte Staaten

Cloud-Computing-Plattform und Hosting-Dienste

Google Cloud EMEA Ltd.

Gordon House, Barrow Street

Dublin 4

Irland

Websicherheit, DDoS-Schutz und CDN-Dienste

Cloudflare Deutschland GmbH

Rosental 7, c/o Mindspace

80331 München

Deutschland

Cloud-Überwachung, Leistungsmessung und Observability-Tools

Datadog, Inc.

620 8TH AVE FL 45

NY 10018 New York

Vereinigte Staaten

Software für Sendungsverfolgung und Kundenerlebnis nach dem Kauf

Automizely Pte. Ltd. (Aftership)

120 ROBINSON ROAD #13-01

068913

Singapur

Plattform für Last-Mile-Datenanalysen

Senvo GmbH

Müllenhoffstr. 2

10967 Berlin

Deutschland

Plattform für Einblicke in Last-Mile-Daten

Parcel Perform Europe PPE

Brunnenstraße 194

10119 Berlin

Deutschland

Buchhaltungs-, Lohn- und Steuer-Software für Unternehmen

DATEV eG

Paumgartnerstr. 6-14

90429 Nürnberg

Deutschland

CRM- und Marketing-Automatisierungs-Software

HubSpot Germany GmbH

Am Postbahnhof 17

10243 Berlin

Deutschland

Enterprise-CRM

salesforce.com Germany GmbH

Erika-Mann-Straße 31-37

80636 München

Deutschland

Cloud-basierte Rechnungs- und Abrechnungssoftware

easybill GmbH

Düsselstr. 21

41564 Kaarst

Deutschland

  1. Der für die Verarbeitung Verantwortliche genehmigt hiermit generell die Beauftragung weiterer Auftragsverarbeiter (Subunternehmer) durch den Auftragnehmer. Der Auftragnehmer wird den für die Verarbeitung Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter informieren. Der für die Verarbeitung Verantwortliche ist berechtigt, im Einzelfall der Beauftragung eines weiteren potenziellen Auftragsverarbeiters in Schrift- oder Textform zu widersprechen. Ein Widerspruch kann vom für die Verarbeitung Verantwortlichen nur aus wichtigem Grund erhoben werden, der dem Auftragnehmer nachzuweisen ist. Erhebt der für die Verarbeitung Verantwortliche nicht innerhalb von 14 Tagen nach Erhalt der Mitteilung Einspruch, erlischt sein Widerspruchsrecht in Bezug auf die entsprechende Bestellung. Verweigert der für die Verarbeitung Verantwortliche durch seinen Widerspruch aus anderen als wichtigen Gründen die Zustimmung, kann der Auftragnehmer diesen Vertrag sowie gegebenenfalls den Hauptvertrag zum Zeitpunkt des geplanten Einsatzes des Subunternehmers kündigen.
  2. Die personenbezogenen Daten des für die Verarbeitung Verantwortlichen dürfen nur dann an den Unterauftragnehmer übermittelt werden, und dieser wird zum ersten Mal beauftragt, wenn alle Bedingungen für eine Unterauftragsvergabe erfüllt sind. Insbesondere ist der Auftragnehmer dafür verantwortlich, seine in diesem Vertrag festgelegten datenschutzrechtlichen Verpflichtungen gemäß Art. 28 (4) (1) DSGVO auf den anderen Auftragsverarbeiter zu übertragen.
  3. Erbringt der Subunternehmer die vereinbarte Leistung außerhalb der EU/des EWR, trifft der Auftragnehmer angemessene Maßnahmen, um die datenschutzrechtliche Zulässigkeit gemäß Art. 44 ff. sicherzustellen. GDPR. Entsprechendes gilt, wenn Dienstleister im Sinne von Absatz 1 Satz 2 eingesetzt werden sollen. Der Auftragnehmer hat die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 in den Vertrag mit Subunternehmern aus Drittländern aufgenommen.
  4. Der Auftragnehmer erteilt dem Kunden auf dessen schriftliche Anfrage (Textform ausreichend) Auskunft über den wesentlichen Vertragsinhalt (Leistungen ohne Preise) und die Umsetzung der datenschutzrelevanten Pflichten des jeweiligen Subunternehmers.
  5. Jede weitere Auslagerung durch den Subunternehmer bedarf der vorherigen ausdrücklichen Zustimmung des Hauptauftragnehmers (mindestens in Textform); alle vertraglichen Bestimmungen in der Vertragskette sind auch dem weiteren Subunternehmer aufzuerlegen.

6. Kontrollrechte des für die Verarbeitung Verantwortlichen gemäß Art. 28 Abs. 3 S. 2 lit. h DS-GVO

  1. Der für die Verarbeitung Verantwortliche hat das Recht, in Absprache mit dem Auftragnehmer Audits durchzuführen oder Audits durch jeweils zu benennende Auditoren durchführen zu lassen; diese Auditoren dürfen keine Konkurrenten des Auftragnehmers sein. Der für die Verarbeitung Verantwortliche hat das Recht, durch stichprobenartige Inspektionen sicherzustellen, dass der Auftragnehmer die Bestimmungen dieses Vertrags in seinem Geschäftsbetrieb einhält; über solche Inspektionen ist der Auftragnehmer rechtzeitig zu informieren.
  2. Der Auftragnehmer stellt sicher, dass der für die Verarbeitung Verantwortliche davon überzeugt werden kann, dass der Auftragnehmer seinen Verpflichtungen gemäß Art. 28 DSGVO nachkommt. Der Auftragnehmer verpflichtet sich, dem für die Verarbeitung Verantwortlichen auf Anfrage die erforderlichen Informationen zur Verfügung zu stellen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
  3. Solche Maßnahmen, die sich nicht ausschließlich auf die konkrete Bestellung beziehen, können nachgewiesen werden durch
  • Einhaltung des genehmigten Verhaltenskodex gemäß Art. 40 DSGVO;
  • Zertifizierung nach einem zugelassenen Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
  • aktuelle Bescheinigungen, Berichte oder Auszüge aus Berichten unabhängiger Stellen (z. B. Auditoren, Prüfungsabteilung, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsprüfer) und/oder
  • geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit (z. B. nach dem BSI-Grundschutz).

7. Unterstützungs- und Meldepflichten des Auftragnehmers gemäß Art. 28 Absatz 3 Satz 2 Buchstaben e und f DSGVO — Meldepflicht bei Datenschutzverletzungen

  1. Der für die Verarbeitung Verantwortliche ist für die Wahrung der Rechte der betroffenen Person verantwortlich. Unter Berücksichtigung der Art der Verarbeitung ist der Auftragnehmer verpflichtet, den für die Verarbeitung Verantwortlichen, soweit möglich, durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtung des für die Verarbeitung Verantwortlichen zu unterstützen, Anfragen zur Ausübung der in Kapitel III der DSGVO festgelegten Rechte der betroffenen Person zu beantworten; dies bedeutet, Anfragen von betroffenen Personen in Bezug auf die Informationspflichten des für die Verarbeitung Verantwortlichen gegenüber den betroffenen Personen, ihr Auskunftsrecht, Recht auf Berichtigung, Löschung, Einschränkung zu beantworten der Verarbeitung, Datenübertragbarkeit sowie die damit verbundenen Mitteilungspflichten des für die Verarbeitung Verantwortlichen, das Widerspruchsrecht oder das Recht auf automatisierte Entscheidungsfindung einschließlich Profilerstellung, sofern die betroffene Person solche Rechte geltend macht. Wenn sich die betroffene Person zur Geltendmachung eines Rechts direkt an den Auftragnehmer wendet, leitet der Auftragnehmer die Anfragen der betroffenen Person unverzüglich an den für die Verarbeitung Verantwortlichen weiter.
  2. Der Auftragnehmer unterstützt den für die Verarbeitung Verantwortlichen dabei, die Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen sicherzustellen; dies bedeutet die Erfüllung der gesetzlichen Verpflichtungen des für die Verarbeitung Verantwortlichen zur Datensicherung, zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörden und die betroffenen Personen, zur Durchführung von Datenschutzfolgenabschätzungen sowie zur vorherigen Konsultation der zuständigen Aufsichtsbehörde, sofern dies im Rahmen der Datenschutzfolgenabschätzung erforderlich ist. Der Auftragnehmer und der für die Verarbeitung Verantwortliche arbeiten auf Anfrage mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

8. Weisungsbefugnis des für die Verarbeitung Verantwortlichen

  1. Der Auftragnehmer verarbeitet personenbezogene Daten nur im Rahmen der getroffenen Vereinbarungen und auf dokumentierte Anweisungen des für die Verarbeitung Verantwortlichen, es sei denn, dies ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, dazu verpflichtet (Art. 28 (3) (3) (a) DSGVO). 2In einem solchen Fall informiert der Auftragnehmer den für die Verarbeitung Verantwortlichen vor der Verarbeitung über die gesetzliche Verpflichtung, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
  2. Der Auftragnehmer stellt sicher, dass die Daten gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden. Ist der Auftragnehmer der Ansicht, dass eine Anweisung des für die Verarbeitung Verantwortlichen gegen diesen Vertrag oder gegen geltendes Datenschutzrecht verstößt, hat der Auftragnehmer den für die Verarbeitung Verantwortlichen unverzüglich darüber zu informieren; nach Unterrichtung des für die Verarbeitung Verantwortlichen ist der Auftragnehmer berechtigt, die Ausführung der Anweisung auszusetzen, bis die Anweisung vom für die Verarbeitung Verantwortlichen bestätigt oder geändert wurde. Die Parteien sind sich einig, dass der für die Verarbeitung Verantwortliche allein für die gemäß der Anweisung durchgeführte Verarbeitung verantwortlich ist.
  3. Die Anweisungen des für die Verarbeitung Verantwortlichen werden in Schrift- oder Textform erteilt. Falls erforderlich, kann der für die Verarbeitung Verantwortliche mündlich (telefonisch) Anweisungen erteilen. Der für die Verarbeitung Verantwortliche bestätigt mündlich oder telefonisch erteilte Anweisungen unverzüglich in Schrift- oder Textform.

9. Löschung und Rückgabe personenbezogener Daten gemäß Art. 28 (3) (2) (g) DSGVO

  1. Kopien oder Duplikate von Daten dürfen ohne Wissen des für die Verarbeitung Verantwortlichen nicht erstellt werden. Davon ausgenommen sind Sicherungskopien, sofern diese zur Sicherstellung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher auf Wunsch des für die Verarbeitung Verantwortlichen, spätestens jedoch bei Beendigung des Dienstleistungsvertrags, hat der Auftragnehmer alle in seinem Besitz befindlichen Unterlagen, die bei der Verarbeitung und Nutzung erstellten Verarbeitungs- und Nutzungsergebnisse sowie die mit dem Auftrag zusammenhängenden Dateien an den für die Verarbeitung Verantwortlichen zurückzugeben oder diese nach vorheriger Zustimmung des für die Verarbeitung Verantwortlichen datenschutzkonform zu vernichten. Das Gleiche gilt für Test- und Ausschussmaterial. Das Protokoll über die Löschung ist auf Anfrage vorzulegen.
  3. Unterlagen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung gemäß der Bestellung dienen, werden vom Auftragnehmer über das Vertragsende hinaus gemäß den jeweiligen Aufbewahrungsfristen aufbewahrt. Sie können dem für die Verarbeitung Verantwortlichen bei Vertragsende ausgehändigt werden.

10. Haftung

  1. Die Haftung des Auftragnehmers im Rahmen dieser Vereinbarung richtet sich nach den im Software-Servicevertrag vorgesehenen Haftungsausschlüssen und Haftungsbeschränkungen. Soweit Dritte gegen den Auftragnehmer Ansprüche geltend machen, die darauf zurückzuführen sind, dass der für die Verarbeitung Verantwortliche diese Vereinbarung oder eine ihn betreffende datenschutzrechtliche Verpflichtung als für die Verarbeitung Verantwortlicher schuldhaft verletzt hat, hat der Verantwortliche den Auftragnehmer auf erstes Anfordern schad- und klaglos zu halten.
  2. Der für die Verarbeitung Verantwortliche verpflichtet sich, den Auftragnehmer auf erstes Anfordern von allen möglichen Bußgeldern zu entschädigen, die dem Teil der Verantwortung des für die Verarbeitung Verantwortlichen für den mit der Geldbuße sanktionierten Verstoß entsprechen.

11. Andere Bestimmungen

  1. Beide Parteien sind verpflichtet, alle während des Vertragsverhältnisses, auch nach Beendigung des Vertrags, erlangten Kenntnisse über Geschäftsgeheimnisse und Datensicherheitsmaßnahmen der jeweils anderen Partei vertraulich zu behandeln. Wenn Zweifel darüber bestehen, ob Informationen der Vertraulichkeit unterliegen, sind diese vertraulich zu behandeln, bis sie von der anderen Partei schriftlich veröffentlicht wurden.
  2. Wenn das Eigentum des für die Verarbeitung Verantwortlichen beim Auftragnehmer durch Maßnahmen Dritter (wie Pfändung oder Pfändung), Insolvenz- oder ähnliche Verfahren oder andere Ereignisse gefährdet ist, hat der Auftragnehmer den für die Verarbeitung Verantwortlichen unverzüglich zu benachrichtigen.
  3. Für Nebenabreden ist die Schriftform erforderlich. Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis.
  4. Die Verteidigung des Zurückbehaltungsrechts, gleich aus welchem Rechtsgrund, ist in Bezug auf die im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten Daten und den verwendeten Datenträger ausgeschlossen.
  5. Dieser Vertrag gilt auch, wenn und soweit Behörden oder Gerichte eine Vereinbarung über die gemeinsame Verarbeitung von Daten zwischen den Parteien gemäß Art. 26 DSGVO akzeptieren.
  6. Sollten sich einzelne Bestimmungen dieses Vertrags ganz oder teilweise als unwirksam oder nicht durchsetzbar erweisen oder aufgrund von Gesetzesänderungen nach Vertragsschluss unwirksam oder undurchführbar werden, so bleiben die übrigen Bestimmungen des Vertrags oder die Gültigkeit des Vertrags insgesamt davon unberührt. Die unwirksame oder undurchführbare Bestimmung ist durch eine gültige und durchführbare Bestimmung zu ersetzen, die dem Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt. Enthält der Vertrag Regelungslücken, gelten die Bestimmungen als vereinbart, die dem Sinn und Zweck des Vertrags entsprechen und vereinbart worden wären, wenn die Parteien die Regelungslücke berücksichtigt hätten.
  7. Der Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner Bestimmungen über das Kollisionsrecht.
  8. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers.