AGB & ADV
Stand 04.2019
- Allgemeines, Geltungsbereich
- Die nachfolgenden Allgemeinen Geschäftsbedingungen (nachfolgend „Geschäftsbedingungen“) der Socialwave GmbH, Dürrstraße 1, 80992 München (nachfolgend „Socialwave“) gelten für die Bestellung, Bereitstellung und Nutzung der Leistungen von Socialwave, d.h. insbesondere für die Bestellung, Überlassung von Hardware und Software zum Anbieten einer kabellosen Verbindung ins Internet für die Kunden des Anbieters (nachfolgend „Hotspot“).
- Unsere Geschäftsbedingungen gelten ausschließlich; entgegenstehende oder von unseren Geschäftsbedingungen abweichende Bedingungen des Anbieters erkennen wir nicht an, es sei denn, wir hätten ausdrücklich schriftlich ihrer Geltung zugestimmt.
- Unsere Geschäftsbedingungen gelten auch für alle künftigen Geschäfte mit dem Anbieter. Sie gelten nur gegenüber Unternehmern im Sinne des § 14 BGB.
- Definitionen
- „Software“ ist die Socialwave Plattform im Objektcode, über die der Betreiber die Hardware verwalten und Informationen zur Nutzung des Hotspots einsehen kann.
- “Hardware“ ist der vorkonfigurierte Socialwave-Router, der dem Anbieter gegen Einmalzahlung zur Verfügung gestellt wird und für die Nutzung der Leistungen von Socialwave erforderlich ist..
- „Kunden“ sind die Nutzer des Hotspots, d.h. insbesondere Kunden, Gäste, Mitglieder und Interessenten des Anbieters.
- „Anbieter“ ist der im Bestellformular angegeben Vertragspartner von Socialwave, der den Hotspot den Kunden zur Verfügung stellt.
- Vertragsschluss
- Alle Angebote von Socialwave sind freibleibend.
- Durch Anklicken des Bestellbuttons gibt der Anbieter ein verbindliches Vertragsangebot ab. Vor Abschicken der Bestellung kann der Anbieter die Daten jederzeit ändern und einsehen. Eventuelle Eingabefehler kann der Kunde dann erkennen und vor der verbindlichen endgültigen Abgabe seiner Bestellung gegebenenfalls berichtigen.
- Sofern sich aus der Bestellung nichts anderes ergibt, sind wir berechtigt, dieses Vertragsangebot innerhalb von 1 Woche nach ihrem Zugang bei uns anzunehmen.
- Der Anbieter erhält unverzüglich nach Eingang der Bestellung eine Bestätigung über den Eingang der Bestellung. Diese stellt die Annahme der Bestellung dar, es sei wir teilen dem Anbieter etwas anderes mit.
- Die Vertragsbedingungen, einschließlich dieser Geschäftsbedingungen können vom Anbieter bei Vertragsschluss abgerufen, ausgedruckt und gespeichert werden.
- Der Webshop steht in deutscher und englischer Sprache zur Verfügung. Der Vertragstext wird von Socialwave gespeichert. Bestelldaten werden dem Anbieter per E-Mail zugesandt; diese Geschäftsbedingungen können auch nach Vertragsschluss unter www.social-wave.de abgerufen werden.
- Überlassung der Software
- Gegenstand der Leistungen ist die auf die Vertragslaufzeit befristete Überlassung der Software nebst Einräumung der zu deren vertragsgemäßen Nutzung erforderlichen Rechte nach Maßgabe dieser Geschäftsbedingungen.
- Der Betreiber werden die Zugangsdaten zur Nutzung der Software gesondert zugestellt. Er hat die Zugangsdaten stets geheim und vertraulich zu behandeln und aufzubewahren.
- Socialwave stellt dem Anbieter die Software als „Software as a Service“ Lösung zur zeitlich befristeten Nutzung Verfügung. Der Anbieter erhält mit vollständiger Bezahlung des vereinbarten Entgelts das nicht-ausschließliche, zeitlich auf die Laufzeit des Vertrages beschränkte, nicht übertragbare und nicht unterlizenzierbare Recht zur Nutzung der Software für eigene betriebliche Zwecke in der beauftragten Anzahl an Filialen. Die vertragsgemäße Nutzung umfasst das Laden, Anzeigen und Ablaufenlassen der Software.
- Verstößt der Anbieter gegen eine der vorstehenden Bestimmungen, werden sämtliche im Rahmen dieses Vertrags erteilten Nutzungsrechte sofort unwirksam und fallen automatisch an Socialwave zurück. In diesem Fall hat der Anbieter die Nutzung der Software unverzüglich und vollständig einzustellen.
- Die Vergütung versteht sich zuzüglich Umsatzsteuer.
- Übergabe der Hardware; Eigentumsvorbehalt
- Socialwave übergibt dem Anbieter die bestellte Hardware. Die Lieferung erfolgt auf Gefahr des Anbieters zum vereinbarten Standort.
- Bis zur vollständigen Zahlung der Hardware verbleibt diese im Eigentum von Socialwave.
- Die Hardware ermöglicht den Zugriff zum Hotspot durch Kunden ausschließlich im vereinbarten Umfang, je nach bestellter Option.
- Die Gewährleistungsfrist für Mängel an der Hardware beträgt 12 Monate ab Übergabe der Hardware
- Weitere Leistungen durch Socialwave; Drittwerbung
- Socialwave stellt dem Betreiber eine personalisierte Begrüßungsseite für die Hardware zur Verfügung. Die Einzelheiten werden die Parteien gesondert vereinbaren.
- Socialwave bietet die Möglichkeit zum kostenlosen Verschicken automatisierter oder einzelner E-Mail-Kampagnen bis zu einem Volumen von 1000 E-Mails pro Monat pro Lizenz (Standort). Nach Überschreitung des Volumens kann kostenpflichtig eine extra Anzahl E-Mails zu gebucht werden. Das Restvolumen am Ende jedes Monats verfällt und ist nicht auf den nächsten Monat übertragbar.
- Die Hardware wird vorkonfiguriert an den Betreiber geliefert. Der Betreiber hat grundsätzlich keine weiteren Einstellungen an der Hardware vorzunehmen. Installations- und Konfigurationsleistungen, sowie Internet- und Strom-Anschluss sind nicht Gegenstand dieses Vertrags.
- Socialwave sorgt für die Dauer der Vertragslaufzeit für die Funktionsfähigkeit der Hardware und die Aktualität der Hardware-Betriebssoftware, vorausgesetzt die Hardware wurde entsprechend der Bedienungsanleitung genutzt.
- Socialwave leistet während der Geschäftszeiten (Ausnahme Feiertage in Bayern) Anwendersupport bei Problemen bei der Installation oder während des Betriebs. Der Support ist von 9.00 Uhr bis 17.00 Uhr von Montag bis Freitag unter der Telefonnummer (+49 (0)89 21546472) oder der E-Mail-Adresse(service@social-wave.com) erreichbar.
- Socialwave ist berechtigt, (Dritt-)Werbung dem Kunden des Anbieters zuzuspielen, sofern und soweit dies die berechtigten Interessen des Anbieters nicht unverhältnismäßig beeinträchtigt.
- Sonstige Pflichten des Anbieters
- Der Anbieter hat sicherzustellen, dass die Kunden vor Zugang zum Hotspot über die Verarbeitung personenbezogener Daten und die Nutzungsbedingungen für Hotspots informiert wird.
- Er hat ferner sicherzustellen, dass eine Identifizierung der Kunden erfolgt. Socialwave wird die Identifizierungsdaten der Kunden im Schutzinteresse des Betreibers im gesetzlich zulässigen Umfang speichern.
- Preise und Zahlungsbedingungen
- Sofern im Einzelfall nichts anderes vereinbart ist, gelten unsere jeweils zum Zeitpunkt des Vertragsschlusses aktuellen Preise, und zwar ab Lager, zzgl. gesetzlicher Umsatzsteuer als Vorkasse.
- Zahlungen sind fällig und zu zahlen innerhalb von 14 Tagen ab Rechnungsstellung.
- Kommt der Kunde mit mindestens zwei Monatsbeträgen (bei monatlicher Zahlweise) in Verzug, wird der gesamte Restbetrag fällig.
- Datenschutz
- Beide Parteien werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen datenschutzrechtlichen Bestimmungen beachten und ihre im Zusammenhang mit dem Vertrag eingesetzten Beschäftigten auf das Datengeheimnis verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind.
- Die vom Anbieter auf den Servern von Socialwave eingestellten Daten werden in Deutschland gespeichert.
- Socialwave erhebt, verarbeitet oder nutzt im Rahmen der Erbringung der Leistungen personenbezogenen Daten ausschließlich im Auftrag des Anbieters und hat hierauf nur nach Weisung des Anbieters Zugriff. Die Einzelheiten hierzu haben die Parteien gesondert in einer Anlage zur Auftragsverarbeitung abgeschlossen (Anlage 1).
- Der Anbieter ist als verantwortliche Stelle im Sinne des BDSG und als Dienstanbieter verantwortlich für die rechtzeitige Unterrichtung der Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten. Der Anbieter ist ferner dafür verantwortlich, etwaige personenbezogene Daten nur so lange aufzubewahren, bis sie zur Erreichung des angestrebten Zwecks erforderlich sind, es sei denn der Anbieter hat vorab die Einwilligung des Nutzers zur Verarbeitung der Daten eingeholt.
- Sofern dem Anbieter durch Socialwave Erklärungen (z.B. Datenschutzerklärungen, Nutzungsbedingungen, Einwilligungstexte) zur Verfügung gestellt werden, stellen diese unverbindliche Templates dar. Die Templates sind nicht in der Lage eine adäquate Rechtsberatung zu ersetzen.
- Verwendet der Anbieter die erhobenen Daten auch zu Werbezwecken, hat er die ggf. erforderliche Einwilligung des Nutzers einzuholen und etwaige Widersprüche zu dokumentieren. Der Anbieter kann zur Protokollierung der Einwilligungen die Software nutzen, sowie zum Einholen der Einwilligung die Landing-Page des Hotspots.
- Erhebt, verarbeitet oder nutzt der Anbieter personenbezogene Daten der Kunden über die Hardware, Software und/oder den Hotspot, so steht er dafür ein, dass er dazu nach den anwendbaren, insb. datenschutzrechtlichen und wettbewerbsrechtlichen Bestimmungen berechtigt ist. Der Anbieter stellt Socialwave von sämtlichen Ansprüchen und Kosten der Kunden frei, die aus oder im Zusammenhang mit einer schuldhaften Verletzung datenschutzrechtlicher Bestimmungen (insbesondere aus dem BDSG, UWG und TKG) gegenüber Socialwave geltend gemacht werden.
- Der Anbieter stellt insbesondere sicher, dass er die Rechte von Betroffenen (z.B. auf Datenauskunft, Portabilität, Berichtigung, Löschung) gemäß den geltenden Datenschutzbestimmungen wahrt.
- Laufzeit und Kündigung
- Wählt der Anbieter das Monatspaket beträgt die Mindestlaufzeit 1 Monat und verlängert sich automatisch um jeweils einen Monat, falls der Vertrag nicht 14 Tage vor Ablauf der regulären Vertragslaufzeit gekündigt wird.
- Wählt der Anbieter das Jahrespaket beträgt die Mindestvertragslaufzeit 12 Monate und verlängert sich automatisch um jeweils 12 Monate, falls der Vertrag nicht 3 Monate vor Ablauf der regulären Vertragslaufzeit gekündigt wird.
- Wählt der Anbieter das 2-Jahrespaket beträgt die Mindestvertragslaufzeit 24 Monate und verlängert sich automatisch um jeweils 24 Monate, falls der Vertrag nicht 3 Monate vor Ablauf der regulären Vertragslaufzeit gekündigt wird.
- Die Kündigung bedarf der Textform (E-Mail ausreichend).
- Haftung
- Socialwave haftet unbeschränkt
- bei Vorsatz oder grober Fahrlässigkeit,
- für die Verletzung von Leben, Leib oder Gesundheit,
- nach den Vorschriften des Produkthaftungsgesetzes sowie
- im Umfang einer von Socialwave übernommenen Garantie.
- Bei leicht fahrlässiger Verletzung einer Pflicht, die wesentlich für die Erreichung des Vertragszwecks ist (Kardinalpflicht), ist die Haftung von Socialwave der Höhe nach begrenzt auf den Schaden, der nach der Art des fraglichen Geschäfts vorhersehbar und typisch ist.
- Eine weitergehende Haftung von Socialwave besteht nicht. Insbesondere besteht keine Haftung des Lizenzgebers für anfängliche Mängel, soweit nicht die Voraussetzungen der Ziff. 10.1 oder 10.2 vorliegen.
- Die vorstehende Haftungsbeschränkung gilt auch für die persönliche Haftung der Mitarbeiter, Vertreter und Organe von Socialwave.
- Socialwave haftet unbeschränkt
- Sonstiges
- Der Anbieter ist mit seiner Nennung als Referenzkunde in der werblichen Kommunikation von Socialwave online wie offline einverstanden.
- Der Anbieter darf Rechte und Pflichten aus oder im Zusammenhang mit dem Vertrag nur nach schriftlicher Zustimmung von Socialwave auf Dritte übertragen.
- Eine Aufrechnung ist nur gegenüber unbestrittenen oder rechtskräftig festgestellten Forderungen von Socialwave statthaft.
- Änderungen und Ergänzungen des Vertrags bedürfen der Schriftform. Dies gilt auch für die Änderung oder Aufhebung dieser Klausel.
- Auf diesen Vertrag ist ausschließlich das deutsche Recht unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenverkauf vom 11.4.1980 (UN-Kaufrecht) anzuwenden.
- Erfüllungsort ist München. Ausschließlicher Gerichtsstand ist München, sofern jede Partei Kaufmann oder juristische Person des öffentlichen Rechts ist.
- Besondere Vertragsvereinbarung
-
- Für die Dauer des Vertragsverhältnisses verpflichtet sich der Betreiber des Gastronomiebetriebs über seine WLAN-Werbeflächen keine rechts- oder sittenwidrigen, anstößigen, fremdenfeindlichen, sexistischen, gewaltverherrlichenden Inhalte oder sonstige Inhalte zu verbreiten, die geeignet sein könnten, dem Ansehen der Bitburger Braugruppe (BBG) (nachfolgend „Bitburger“ genannt) und ihren Marken zu schaden.
- Ebenso verpflichtet sich der Betreiber des Gastronomiebetriebs bei der Nutzung des Socialwave Hotspots bestehende Rechte Dritter, insbesondere Urheber-, Marken-, Namens-, Persönlichkeits- und Kennzeichenrechte Dritter zu beachten.
- Der dieser Anlage beigefügte „Kodex zur verantwortungsvollen Produktvermarktung“ wird vom Betreiber des Gastronomiebetriebs akzeptiert.
- Ein Verstoß gegen die obigen und im Kodex zur verantwortungsvollen Produktvermarktung beschriebenen Bestimmungen kann zu einer außerordentlichen Kündigung des Betreibervertrages führen.
- Der Vertragsgastronom von Bitburger räumt Bitburger das Recht ein, die von Socialwave auf den Zugangsseiten der Accesspoints zur Verfügung gestellten Werbeflächen zu nutzen. Die Werbung kann vor oder nach dem Login-Verfahren in Form eines sogenannten „Popups“, auf der Login-Seite selbst und über eine Weiterleitungsseite geschaltet werden. Die Gestaltung der Werbeflächen erfolgt in Abstimmung mit Bitburger.
- Der Vertragsgastronom von Bitburger räumt Bitburger zudem das Recht ein, die anonymisierten WLAN-Daten zu statistischen Analysezwecken zu nutzen.
Anlage 1 – Auftragsverarbeitung
Diese Anlage legt die Einzelheiten der Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Erbringung von WiFi-Diensten und der damit einhergehenden Nutzerverwaltung fest. Mit heutigem Datum haben der Anbieter (nachfolgend auch „Auftraggeber“) und Socialwave (nachfolgend auch „Auftragnehmer“) einen Dienstleistungsvertrag nebst darin referenzierter Dokumente, einschließlich dieser Anlage, geschlossen („Hauptvertrag“). Soweit die von Socialwave im Rahmen des Hauptvertrags zu erbringenden Leistungen die Verarbeitung von personenbezogenen Daten umfassen bzw. erfordern, erfolgt die Verarbeitung solcher Daten ausschließlich auf der Grundlage dieser Anlage und im Auftrag des Auftraggebers.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
- Konkretisierung des Auftrags
- Der Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag. Die Dauer des Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrags. Art und Zweck der Verarbeitung personenbezogener Daten durch Socialwave für den Auftraggeber sind im Hauptvertrag festgelegt:
- Art der Daten: Anmeldedaten und freiwillige Angaben von Kunden und Besuchern des Auftraggebers, d.h. Name, Geschlecht, Alter, verwendetes Betriebssystem und Browser, E-Mail Adresse und Telefonnummer.
- Zweck der Datenerhebung, -verarbeitung oder –nutzung: Bereitstellung der WiFi-Leistungen und Software zur Verwaltung der WiFi-Leistungen; Datenhosting durch den Auftragnehmer für die entsprechenden Daten. Die Server befinden sich hierbei ausschließlich in Deutschland.
- Kreis der Betroffenen: Kunden, Besucher des Auftraggebers.
- Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben. Soweit der Hauptvertrag keine Regelungen zur Vertragsdauer enthält, gilt folgendes: Diese Anlage wird auf unbestimmte Zeit geschlossen. Sie ist mit einer Frist von 6 Monaten zum Jahresende kündbar. Soweit die Einzelaufträge keine Regelungen zur Vertragsdauer enthalten, können diese vom Auftraggeber mit einer Frist von 3 Monaten gekündigt werden. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
- Der Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag. Die Dauer des Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrags. Art und Zweck der Verarbeitung personenbezogener Daten durch Socialwave für den Auftraggeber sind im Hauptvertrag festgelegt:
- Technische und organisatorische Maßnahmen
- Socialwave hat die Sicherheit der Verarbeitung gemäß Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Die insoweit zu treffenden Maßnahmen sind zum Zeitpunkt des Vertragsschlusses in Unteranlage 1 zu dieser Anlage konkret festgelegt.
- Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Daher ist es Socialwave gestattet, alternative adäquate Maßnahmen umzusetzen, welche die gesetzlichen Bestimmungen und die Regelung dieses Vertrages erfüllen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
- Berichtigung, Einschränkung und Löschung von Daten
- Socialwave darf personenbezogene Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken (soweit technisch möglich).
- Soweit eine betroffene Person sich hinsichtlich der Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner personenbezogenen Daten unmittelbar an Socialwave wendet, wird Socialwave dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
- Sonstige Pflichten von Socialwave
- Socialwave hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet Socialwave insbesondere die Einhaltung folgender Vorgaben:
- Socialwave ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner bei Socialwave wird Herr Mario Schilling, Geschäftsführer, +498921546472, datenschutz@social-wave.com benannt.
- Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 lit. b, 29, 32 Abs. 4 DS-GVO. Socialwave setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Socialwave und jede Socialwave unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend den Weisungen des Auftraggebers verarbeiten, einschließlich der im Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen nach Maßgabe der Unteranlage 1 „Technische und Organisatorische Vorgaben“.
- Der Auftraggeber und Socialwave arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Auftragsverarbeitung bei Socialwave ermittelt.
- Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei Socialwave ausgesetzt ist, hat ihn Socialwave nach besten Kräften im Rahmen des Angemessenen zu unterstützen.
- Unterauftragsverhältnisse
- Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die Socialwave beispielsweise als Telekommunikationsleistungen, Post- und Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Socialwave ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen, sofern und soweit dies erforderlich ist.
- Der Auftraggeber stimmt der Beauftragung von Unterauftragnehmern unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DS-GVO zu. Die zu Beginn dieser Vereinbarung eingesetzten Subunternehmer sind: Host Europe
- Socialwave wird die von ihm zum Einsatz als Unterauftragnehmer vorgesehenen Unternehmen unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Socialwave hat außerdem die Einhaltung der Bestimmungen dieser Vereinbarung und der anwendbaren gesetzlichen Anforderungen durch von ihm eingesetzte Unterauftragnehmer sicherzustellen.
- Im Fall der Hinzuziehung oder Ersetzung eines Unterauftragnehmers wird Socialwave den Auftraggeber rechtzeitig, mindestens 4 (vier) Wochen im Voraus darüber informieren. Der Auftraggeber kann gegen derartige Änderungen aus wichtigem Grund Einspruch erheben. Wichtige Gründe können etwa eine begründete Besorgnis hinsichtlich der Zulässigkeit des Unterauftragnehmers, Verdacht auf Datenschutzverletzungen, erhebliche Sicherheitsbedenken oder Verbringen von Daten außerhalb der EU/des EWR sein. Erhebt der Auftraggeber Einspruch und erfüllt der von Socialwave in Aussicht genommene Unterauftragnehmer tatsächlich nicht die Anforderungen der DSGVO und/oder dieser Anlage, ist der Auftraggeber berechtigt, den Vertrag aus wichtigem Grund zu kündigen.
- Auf Anfrage teilt Socialwave dem Auftraggeber den Namen, die Anschrift und die Rolle eines jeden Unterauftragnehmers per E-Mail mit, der zur Bereitstellung des Hotspots herangezogen wird.
- Nachweise und Kontrollen
- Socialwave stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten von Socialwave nach Art. 28 DS-GVO überzeugen kann. Socialwave verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
- Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch (i) die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; (ii) die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; (iii) aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); oder (iv) eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (beispielsweise nach BSI-Grundschutz).
- Socialwave wird etwaige Kontrollen durch den Auftraggeber in angemessenem Umfang unterstützen. Socialwave ist berechtigt, dafür eine angemessene Vergütung vom Auftraggeber zu verlangen.
- Mitteilung bei Verstößen
- Socialwave unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören unter anderem
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;
- die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber der betroffenen Person zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
- die angemessene Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung; sowie
- die angemessene Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
- Socialwave unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören unter anderem
- Weisungsbefugnisse des Auftraggebers
- Mündliche Weisungen bestätigt der Auftraggeber unverzüglich in Textform.
- Socialwave hat den Auftraggeber unverzüglich zu informieren, wenn Socialwave der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Socialwave ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
- Löschung und Rückgabe von personenbezogenen Daten
- Kopien oder Duplikate personenbezogener Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie personenbezogene Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
- Nach Beendigung des Vertrags oder nach Aufforderung durch den Auftraggeber hat Socialwave sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber innerhalb von neunzig (90) Tagen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
- Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch Socialwave entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
Unteranlage 1 – Technische und organisatorische Maßnahmen
- Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, elektrische Türöffner - Zugangskontrolle
Keine unbefugte Systembenutzung, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern - Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems - Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, Live System und Sandbox
- Zutrittskontrolle
- Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch elektronische Signatur - Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch Protokollierung, Dokumentenmanagement;
- Weitergabekontrolle
- Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
- Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch wöchentliche Backups off-site unterbrechungsfreie Stromversorgung (USV), Virenschutz - Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
- Verfügbarkeitskontrolle
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Datenschutz-Management;
- Incident-Response-Management;
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.