Datenschutz

3.3 Registrierung und Anlegen eines Kundenkontos auf unserer Webseite

1. Wenn Sie unsere Dienstleistungen nutzen möchten, müssen Sie sich auf unsere Webseite registrieren und ein Kundenkonto anlegen. Das Anlegen eines Kundenkontos ist nur für Unternehmen möglich. Zur Registrierung müssen Sie den Namen des Unternehmens, für das die Registrierung erfolgt, Ihren Namen, Ihre E-Mail-Adresse, die postalischen Adresse des Unternehmens und ein selbst gewähltes Passwort angeben. Wenn mehrere Personen Zugang zu den über ein Kundenkonto gebuchten Dienstleistungen erhalten sollen, müssen Sie für jede Person, die Zugang erhalten soll, den Namen, ein frei wählbares Passwort und eine E-Mail-Adresse angeben. Die Angabe der zuvor genannten Daten ist für die Nutzung unserer Dienstleistung verpflichtend. Diese verpflichtenden Angaben sind gesondert markiert, weitere Informationen können Sie uns freiwillig in Ihrem Kundenkonto bereitstellen.

2. Wenn Sie unser kostenpflichtiges Angebot nutzen möchten, müssen Sie zusätzlich Angaben zur Zahlungsabwicklung (je nach gewählter Zahlungsart bspw. Kontonummer, Bankleitzahl oder Kreditkartennummer) in Ihrem Kundenkonto hinterlegen. Zur Zahlungsabwicklung arbeiten wir mit dem Paymentdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, zusammen, an den wir Ihre im Rahmen des Bestellvorgangs mitgeteilten Informationen nebst den Informationen über Ihre Bestellung (Name, Anschrift, Kontonummer, Bankleitzahl, evtl. Kreditkartennummer, Rechnungsbetrag, Währung und Transaktionsnummer) zur Vertragserfüllung weitergeben. Nähere Informationen zum Datenschutz von Stripe finden Sie unter der URL  https://stripe.com/en-de/privacy

3. Die von Ihnen angegebenen Daten verarbeiten wir zur Vertragserfüllung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Wenn Sie ein Benutzerkonto mit aktuell kostenloser Nutzung der Dienstleistungen nutzen, speichern wir Ihre Daten, bis Sie ihr Konto über den Button „Konto löschen" endgültig löschen. Wenn Sie unsere kostenpflichtigen Dienstleistungen nutzen, speichern wir Ihre Daten bis zum Ablauf der handels- und steuerrechtlicher Aufbewahrungspflichten. Allerdings nehmen wir nach Kündigung und Ablauf der kostenpflichtigen Buchungsperiode eine Einschränkung der Verarbeitung vor, d. h. Ihre Daten werden nur zur Einhaltung der gesetzlichen Verpflichtungen eingesetzt.
   
   Wenn Sie ein Benutzerkonto mit aktuell kostenloser Nutzung der Dienstleistungen nutzen, speichern wir Ihre Daten, bis Sie ihr Konto über den Button „Konto löschen" endgültig löschen.
   
   Wenn Sie unsere kostenpflichtigen Dienstleistungen nutzen, speichern wir Ihre Daten bis zum Ablauf der handels- und steuerrechtlicher Aufbewahrungspflichten. Allerdings nehmen wir nach Kündigung und Ablauf der kostenpflichtigen Buchungsperiode eine Einschränkung der Verarbeitung vor, d. h. Ihre Daten werden nur zur Einhaltung der gesetzlichen Verpflichtungen eingesetzt.

4. Um unberechtigte Zugriffe Dritter auf Ihre persönlichen Daten, insbesondere Finanzdaten, zu verhindern, wird die Verbindung mittels eine SSL- bzw. TLS-Verschlüsselung gesichert.

3.4 Kontaktaufnahme

1. Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen zu beantworten.

2. Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In den übrigen Fällen ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen haben. Die in diesem Zusammenhang anfallenden Daten werden für maximal 8 Wochen gespeichert und anschließend gelöscht, nachdem die Speicherung nicht mehr erforderlich ist. Bestehen gesetzliche Aufbewahrungspflichten schränken wir die Verarbeitung entsprechend ein.

3. Auf unserer Website haben Sie die Möglichkeit, Termine mit uns zu vereinbaren. Für die Terminbuchung nutzen wir das Tool „Calendly“. Anbieter ist die Calendly LLC, 271 17th St NW, 10th Floor, Atlanta, Georgia 30363, USA (nachfolgend „Calendly“).Zum Zweck der Terminbuchung geben Sie die abgefragten Daten und den Wunschtermin in die dafür vorgesehene Maske ein. Die eingegebenen Daten werden für die Planung, Durchführung und ggf. für die Nachbereitung des Termins verwendet. Die von Ihnen eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an einer möglichst unkomplizierten Terminvereinbarung mit Interessenten und Kunden. Sofern eine Einwilligung abgefragt wurde ist Art. 6 Abs. 1 lit. a DSGVO die Rechtsgrundlage für die Datenverarbeitung; die Einwilligung ist jederzeit widerrufbar. Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier:  https://calendly.com/pages/dpa.

3.5 Externes Hosting

Unsere Webseite wird bei einem externen Dienstleister gehostet (Hoster). Die personenbezogenen Daten, die auf unserer Webseite erfasst werden, werden auf den Servern des Hosters gespeichert. Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen. Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit unserem Hoster geschlossen.

3.6 Nutzung unserer App und des LMS

1. Beim Herunterladen unserer App werden die erforderlichen Informationen an den jeweiligen App Store übertragen, also insbesondere Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads und die individuelle Gerätekennziffer. Auf diese Datenerhebung haben wir keinen Einfluss und sind nicht dafür verantwortlich. Wir verarbeiten die Daten nur, soweit es für das Herunterladen der App auf Ihr mobiles Endgerät notwendig ist.

2. Bei Nutzung der App oder des LMS erheben wir die nachfolgend beschriebenen personenbezogenen Daten, um die komfortable Nutzung unserer Dienste zu ermöglichen. Die Daten sind für uns technisch erforderlich, um Ihnen die Funktionen der App und des LMS anzubieten und die Stabilität und Sicherheit des Angebots zu gewährleisten:

   • IP-Adresse Datum und Uhrzeit der Anfrage

   • Zeitzonendifferenz zur Greenwich Mean Time (GMT)

   • Inhalt der Anforderung (konkrete Seite)

   • Zugriffsstatus/HTTP-Statuscode

   • jeweils übertragene Datenmenge

   • Browser

   • Betriebssystem und dessen Oberfläche

   • Sprache und Version der Browsersoftware.
     
     Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO.

3. Wenn Sie die entsprechenden Einstellungen auf Ihrem Gerät ausgewählt haben, können wir Ihnen Push-Benachrichtigungen an Ihr Mobilgerät senden, um Sie über Updates der App und andere relevante Nachrichten, beispielsweise die Information, dass ein Kurs gestartet wurde, bald abläuft oder neu überarbeitet wurde, zu informieren. Sie können Push-Benachrichtigungen auf der Seite „Optionen" oder „Einstellungen" in der App oder in den Einstellungen Ihres Geräts verwalten. Die Nachrichten werden bis zu 21 Tage in unserem Push-Gateway, für Sie als eventuelles Backup gespeichert. Die Nachrichten werden auch in anonymisierter Form auf unbestimmte Zeit in unserem Event-Tracking-System gespeichert. Nach unserem Kenntnisstand können Nachrichten vom Anbieter Ihres Mobilgeräts gespeichert werden.

4. Sie können die Push-Benachrichtigungen wie folgt ausschalten:
   a) Android
   Öffnen Sie Einstellungen> Apps & Benachrichtigungen> Benachrichtigungen> App-Benachrichtigungen> Name der App. Auf diesem Bildschirm können Sie steuern, ob und wie Push-Benachrichtigungen angezeigt werden.
   
   b) iOS
   Öffnen Sie Einstellungen> Benachrichtigungen> Name der App. Auf diesem Bildschirm können Sie steuern, ob und wie Push-Benachrichtigungen angezeigt werden.

3.7 Speicherung des Lernfortschritts

Wenn Sie unsere Dienstleistungen per App, LMS oder der Online Lernapplikation nutzen, speichern wir Ihren Lernfortschritt und die absolvierten Zertifikate in Verbindung mit Ihrem Benutzernamen in unserer Datenbank. Diese Daten stellen wir im Rahmen unserer Vertragserfüllung auf Anfrage auch dem Unternehmen zur Verfügung, das Inhaber des Kundenkontos ist, über das die Dienstleistung gebucht wurde. Rechtsgrundalge ist Art. 6 Abs. 1 lit. b DSGVO. Wir speichern den Lernfortschritt bis Sie Ihren Zugang endgültig löschen.

3.8 Google Analytics

Unsere Webseite verwendet Google Analytics, um die Webseiten-Nutzung zu analysieren. Die daraus gewonnenen Daten werden genutzt, um unsere Webseite sowie Werbemaßnahmen zu optimieren. Während Ihres Webseiten-Besuchs werden u.a. folgende Daten aufgezeichnet:

• Aufgerufene Seiten

• Bestellungen inkl. des Umsatzes und der bestellten Produkte

• Die Erreichung von "Webseiten-Zielen" (z.B. Kontaktanfragen und Newsletter-Anmeldungen)

• Ihr Verhalten auf den Seiten (beispielsweise Klicks, Scroll-Verhalten und Verweildauer)

• Ihr ungefährer Standort (Land und Stadt)

• Ihre IP-Adresse (in gekürzter Form, sodass keine eindeutige Zuordnung möglich ist)

• Technische Informationen wie Browser, Internetanbieter, Endgerät und Bildschirmauflösung

• Herkunftsquelle Ihres Besuchs (d.h. über welche Webseite bzw. über welches Werbemittel Sie zu uns gekommen sind)

Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligun gemäß Art. 6 Abs. 1 lit. a DSGVO, sofern Sie Ihre Einwilligung über unser Banner abgegeben haben. Die Übermittlung in ein Drittland erfolgt auf Grundlage von Art. 49 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen. Bitte folgen Sie hierzu diesem Link und treffen die entsprechenden Einstellungen über unser Banner. Google Analytics ist ein Webanalysedienst, der von Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, United States) betrieben und bereitgestellt wird. Die Datenverarbeitung kann daher auch außerhalb der EU bzw. des EWR stattfinden. Im Hinblick auf Google LLC kann aufgrund der Verarbeitung in den USA kein angemessenes Datenschutzniveau angenommen werden. Es besteht das Risiko, dass Behörden auf die Daten zu Sicherheits- und Überwachungszwecken zugreifen, ohne dass Sie hierüber informiert werden oder Rechtsmittel einlegen können. Bitte beachten Sie dies, wenn Sie sich dazu entscheiden, Ihre Einwilligung in unsere Nutzung von Google Analytics abzugeben. .

3.9 Google Ads

Diese Webseite nutzt weiterhin das Online Marketing Tool Google Ads von Google. Google Ads setzt Cookies ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Über eine Cookie-ID erfasst Google, welche Anzeigen in welchem Browser geschaltet werden und kann so verhindern, dass diese mehrfach angezeigt werden. Darüber hinaus kann mithilfe von Cookie-IDs sog. Conversions erfassen, die Bezug zu Anzeigenanfragen haben. Das ist etwa der Fall, wenn ein Nutzer eine Google Ads-Anzeige sieht und später mit demselben Browser die Website des Werbetreibenden aufruft und dort etwas kauft. Aufgrund der eingesetzten Marketing-Tools baut Ihr Browser automatisch eine direkte Verbindung mit dem Server von Google auf. Wir haben keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools durch Google erhoben werden und informieren Sie daher entsprechend unserem Kenntnisstand: Durch die Einbindung von Google Ads erhält Google die Information, dass Sie den entsprechenden Teil unseres Internetauftritts aufgerufen oder eine Anzeige von uns angeklickt haben. Sofern Sie bei einem Dienst von Google registriert sind, kann Google den Besuch Ihrem Account zuordnen. Selbst wenn Sie nicht bei Google registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter Ihre IP-Adresse in Erfahrung bringt und speichert. Darüber hinaus ermöglichen uns die eingesetzten Cookies zu verstehen, ob Sie bestimmte Aktionen auf unserer Website durchführen, nachdem Sie eine unserer Anzeigen auf Google aufgerufen oder diese geklickt (Conversion-Tracking) haben. Google Ads verwendet dieses Cookie, um den Inhalt zu verstehen, mit dem Sie auf unseren Websites interagiert haben. Verarbeitungsunternehmen ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (sofern Sie in der EU ansässig sind), ansonsten: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Wir weisen darauf hin, dass die USA nach aktuellem Sachstand keinen iSd DSGVO (Datenschutzgrundverordnung) ausreichenden Schutz Ihrer persönlichen Daten gewährleisten. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, sofern Sie Ihre Einwilligung über unser Banner abgegeben haben. Die Übermittlung in ein Drittland erfolgt auf Grundlage von Art. 49 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen. Bitte folgen Sie hierzu diesem Link und treffen die entsprechenden Einstellungen über unser Banner. Alternativ können Sie die Teilnahme an diesem Tracking-Verfahren auch wie folgt Weise verhindern: a) durch eine entsprechende Einstellung Ihrer Browser-Software, insbesondere führt die Unterdrückung von Drittcookies dazu, dass Sie keine Anzeigen von Drittanbietern erhalten;

b) durch Deaktivierung der Cookies für Conversion-Tracking, indem Sie Ihren Browser so einstellen, dass Cookies von der Domain googleadservices.com blockiert werden, https://www.google.de/settings/ads, wobei diese Einstellung gelöscht werden, wenn Sie Ihre Cookies löschen; 

c) durch Deaktivierung der interessenbezogenen Anzeigen der Anbieter, die Teil der Selbstregulierungs-Kampagne „About Ads“ sind, über den Link http://www.aboutads.info/choices, wobei diese Einstellung gelöscht wird, wenn Sie Ihre Cookies löschen; 

d) durch dauerhafte Deaktivierung in Ihren Browsern Firefox, Internetexplorer oder Google Chrome unter dem Link http://www.google.com/settings/ads/plugin, 

e) mittels entsprechender Cookie-Einstellung 🡪 Weiterleitung zu Ziffer X von der DS-Erklärung des Kunden. Wir weisen Sie darauf hin, dass Sie in diesem Fall gegebenenfalls nicht alle Funktionen dieses Angebots vollumfänglich nutzen können.

Weitere Informationen zu Google Ads erhalten Sie unter  https://ads.google.com/intl/en/home/sowie zum Datenschutz bei Google allgemein: https://www.google.de/intl/de/policies/privacy . Alternativ können Sie die Webseite der Network Advertising Initiative (NAI) unter http://www.networkadvertising.org besuchen. Google hat sich dem EU-US Privacy Shield unterworfen, https://www.privacyshield.gov/EU-US-Framework.

Die Daten werden gelöscht, sobald sie für die vorgenannten Verarbeitungszwecke nicht mehr von Nöten sind.

Rechtsgrundlage: Art. 6 (1) a DS

3.10 Webfonts

Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Die Google Fonts sind lokal installiert. Eine Verbindung zu Servern von Google findet dabei nicht statt.

Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de .

4. Ihre Rechte

Verarbeiten wir Ihre Daten auf Basis Ihrer ausdrücklichen Einwilligung, so können Sie die erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an datenschutz@smart-aware.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Sie haben außerdem uns gegenüber, die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft,

• Recht auf Berichtigung oder Löschung,

• Recht auf Einschränkung der Verarbeitung,

• Recht auf Widerspruch gegen die Verarbeitung,

• Recht auf Datenübertragbarkeit.

Möchten Sie Ihre Rechte geltend machen, wenden Sie sich bitte per E-Mail an: datenschutz@smart-aware.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Vereinbarung über eine DSGVO konforme Auftragsverarbeitung ​​​​​​

Der Vertrag über Auftragsverarbeitung (AVV) zwischen Kunde nachfolgend „Verantwortlicher“ genannt und smartAware® - Smart Healthcare Solutions GmbH, Osterbekstr. 86a, 22083 Hamburg– nachfolgend „Auftragsverarbeiter“ genannt und gemeinsam als „Vertragsparteien“ bezeichnet – wird Folgendes vereinbart:

§1 Gegenstand der Vereinbarung

(1) Gegenstand dieses Auftrages ist die Bereitstellung einer mobilen Lernapplikation inklusive eines umfassenden Lernmanagementsystems (LMS). Im letzteren werden e-Kurse samt Lerninhalten administriert und die Mitarbeiter verwaltet. Diese erhalten dann Zugriff auf die mobile Lernapplikation. Der Auftragsverarbeiter stellt somit die gesamte softwareseitige Lösung zur Verfügung, damit Beschäftigte des Verantwortlichen mobil lernen können.

(2) Der Auftragsverarbeiter übernimmt folgende Bereitstellungs-, Administrations- und Supportdienstleistungen:

• Bereitstellung und Administration der Daten (Vor- und Nachnamen, sowie der Mailadresse und/oder ggf. Personalnummer der User des Verantwortlichen oder andere entsprechende Kennzeichen) zur eindeutigen Identifizierung.
• Bereitstellung und Administration von Nutzungsinformationen über den Konsum von digitalem Lern- und Wissenscontent des Auftraggebers in Form von z. B. PDFs, Videos, Web-based-Trainings, Podcasts, News oder Lernvideos etc. und die Ergebnisse von Wissenstests und Zertifizierungen, sowie den Hinweis auf den Ablauf von Zertifizierungen für die weitere Verwendung durch den Verantwortlichen.
• Bereitstellung und Administration von Informationen über Zeitpunkte und Dauer (Login und Logout) der Verwendung der Lernapplikation und des Lernmanagementsystems und der Geräte, über die auf die Lern-App zugegriffen wird (insbesondere also Tablet, Smartphone, PC, verwendetes Betriebssystem), um z. B. im Falle einer Support- und Serviceanfrage die technischen Rahmenbedingungen schnell und detailliert nachvollziehen und entsprechende Hilfestellung leisten zu können.

(3) Folgende personenbezogene Daten können dabei verarbeitet bzw. auf folgende personenbezogene Daten kann dabei zugegriffen werden:

• Vorname,
• Nachname,
• Mailadresse,
• ggf. Personalnummer (falls Identifizierung nicht über Mailadresse erfolgt),

(4) Von der Verarbeitung betroffen sind folgende Kategorien von Personen:

• Mitarbeiter des Auftragsverarbeiters,
• Mitarbeiter des Verantwortlichen
• Schulungsteilnehmer seitens des Verantwortlichen

(5) Die Verarbeitung beruht auf dem abgeschlossenen Abonnement bzw. dem individuellen Abonnement-Angebot vom.

(6) Die Dauer dieses Auftrags entspricht der Laufzeit des entsprechenden Abonnements.

§2 Weisungen der Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur für in § 1 (2) aufgeführte Zwecke bzw. nur auf Grund dokumentierter Weisungen des Verant-wortlichen, es sei denn, er ist nach Unionsrecht zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforder¬ungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine erteilte Weisung gegen geltende Datenschutzbestim¬mungen der Union oder eines Mitgliedstaats verstößt.

(3) Eine Verarbeitung der überlassenen personenbezogenen Daten durch den Auftragsverarbeiter für andere, insbesondere für eigene Zwecke ist unzulässig.

§3 Technisch-organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft mindestens die im Anhang 1 aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personen¬bezogenen Daten zu gewährleisten. Die Maßnahmen haben ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Beurteilung des angemes¬senen Schutzniveaus tragen die Vertragsparteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen, den Zwecken der Verarbeitung und der Datenkategorien (insbesondere nach Art. 9 Abs. 1 bzw. Art. 10 DSGVO) sowie den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die betroffenen Personen gebührend Rechnung.

(2) Die in Anhang 1 aufgeführten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Diese sind durch den Auftragsverarbeiter anzupassen, wenn das bei Vertragsschluss festgelegte Sicherheitsniveau nicht mehr gewährleistet werden kann. Durch die Anpassung muss mindestens das Schutzniveau der bisherigen Maßnahmen erreicht werden. Soweit nichts anderes bestimmt ist, teilt der Auftragsverarbeiter die Anpassungen dem Verantwortlichen unaufgefordert mit.

§4 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrecht-lichen Vorschriften bekannt sind. Er gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass er den besonderen Anforderungen des Datenschutzes gerecht wird.

(2) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der erhalten¬en personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Soweit gesetzlich vorgeschrieben, bestellt der Auftragsverarbeiter einen Beauf-tragten für den Datenschutz und teilt dessen Kontaktdaten auf Anfrage mit. Der Auftragsverarbeiter informiert unverzüglich und unaufgefordert über den Wechsel des Datenschutzbeauftragten.

(4) Der Auftragsverarbeiter erbringt die Auftragsverarbeitung im Gebiet der Bundes-republik Deutschland, in einem Mitgliedstaat der Europäischen Union oder inner-halb des Europäischen Wirtschaftsraums. Die Verarbeitung von personen-bezogenen Daten in einem Drittland bedarf stets der vorherigen dokumentierten Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen der DSGVO erfüllt sind.

(5) Sofern der Auftragsverarbeiter Daten des Verantwortlichen im Auftrag verarbeitet, die dem Schutzbereich des § 203 StGB bzw. einem Berufsgeheimnis unterliegen, darf der Auftragsverarbeiter nur dann auf derartige Daten zugreifen, soweit dies im Einzelfall erforderlich ist. Der Auftragsverarbeiter verpflichtet sich in diesem Zusammenhang, alle Personen, die im Rahmen der beauftragten Tätigkeit die in Satz 1 genannten Daten verarbeiten, auf die Geheimhaltung nach § 203 StGB zu verpflichten. Dem Auftragsverarbeiter ist bekannt, dass hinsichtlich der Daten, die dem Schutzbereich des § 203 StGB unterliegen, ein Zeugnisverweigerungsrecht nach § 53a StPO besteht. Über die Ausübung des Rechtes auf Zeugnisverweige-rung entscheidet der Berufsgeheimnisträger der Verantwortlichen. Dem Auftrags-verarbeiter ist bekannt, dass die dem Berufsgeheimnis unterliegenden Daten, die sich im Gewahrsam des Auftragsverarbeiters zur Erhebung, Verarbeitung oder Nutzung befinden, dem Beschlagnahmeverbot des § 97 Abs. 1, 3 StPO unterliegen. Einer Sicherstellung ist zu widersprechen. Der Verantwortliche ist unverzüglich zu informieren, wenn eine Beschlagnahme der Daten zu erwarten ist oder bevorsteht.

§5  Unterstützungspflichten des Auftragsverarbeiters

(1) Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragsverarbeiter bei der Durch-führung einer Datenschutz-Folgenabschätzung sowie einer ggf. erforderlichen Konsultation der Aufsichtsbehörden und bei Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Der Auftrags¬verarbeiter unterrichtet den Verantwortlichen unverzüglich über jede Geltend¬machung von Rechten durch die von den Datenverarbeitungen betroffenen Personen.

(2) Eine Unterstützung sichert der Auftragsverarbeiter bei der Prüfung von Daten-schutzverletzungen und der Umsetzung etwaiger Melde- und Benachrichtigungs¬pflichten zu sowie bei der Einhaltung der Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind.

(3) Ferner unterstützt der Auftragsverarbeiter mit geeigneten technischen und organisatorischen Maßnahmen, damit der Verantwortliche seine bestehenden Pflichten gegenüber der betroffenen Person erfüllen kann.

§6 Berechtigung zur Begründung von Unterauftragsverhältnissen

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Der Auftragsverarbeiter ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftragsverarbeiter darf Unterauftragnehmer (weitere Auftragsverarbeitung) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Die Zustimmungsfrist beträgt 4 Wochen ab Ankündigung und gilt danach als stillschweigend erteilt. Bei fehlender Zustimmung besteht für beide Parteien ein außerordentliches Sonderkündigungsrecht. Als mit Unterzeichnung dieses Vertrages genehmigt gilt die Unterbeauftragung folgender Unterauftragsverarbeiter: - Service Anbieter Lemon Systems GmbH, Beim Alten Gaswerk 1, 22761 Hamburg - Cloud Anbieter AWS Ltd. (Serverstandort in Frankfurt am Main), Amazon Web Services Germany GmbH Krausenstr. 38 10117 Berlin - CRM Software Anbieter 42he GmbH, Marktstraße 10, Gebäude E8, 50968 Köln - Dienstleister für Support- und Serviceleistungen MEDIFOX DAN GmbH, Junkersstraße 1, 31137 Hildesheim

(3) Ein Zugriff auf personenbezogene Daten durch den Unterauftragsverarbeiter darf erst erfolgen, wenn der Auftragsverarbeiter durch einen schriftlichen Vertrag, der auch in einem elektronischen Format abgeschlossen werden kann, mit dem Unterauftragsverarbeiter sicherstellt, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber dem Unterauftragsverarbeiter gelten. Diesen Vertrag kann der Auftraggeber auf Nachfrage einsehen.

(4) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen vollumfänglich dafür, dass der Unterauftrags¬verarbeiter seinen vertraglichen Pflichten nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen über vertragliche Pflichtverletzungen des Unterauftragsverarbeiters.

(5) Der Auftragsverarbeiter stellt bei einer Unterbeauftragung, die eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhaltet, die Einhaltung der Regelungen der Artikel 44 ff. DSGVO sicher, indem – sofern erforderlich - geeignete Garantien gemäß Artikel 46 DSGVO getroffen werden.

(6) Der Auftragsverarbeiter verpflichtet sich in den Fällen, in denen er einen Unterauftragsverarbeiter in Anspruch nimmt und in denen die Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten, mit dem Unterauftragsverarbeiter Standardvertragsklauseln nach Art. 46 DSGVO zu schließen, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

(7) Der Auftragsverarbeiter hat die Verpflichtung der weiteren mitwirkenden Personen und der Unterauftragsverarbeiter auf die Geheimhaltung gem. § 203 StGB und § 4 Abs. 5 dieses Vertrages sicherzustellen.

§7 Kontrollrechte des Verantwortlichen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfü-gung, die für den Nachweis der Einhaltung der in diesem Vertrag festgelegten oder sich unmittelbar aus der DSGVO ergebenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diesen Vertrag fallenden Verarbeitungstätigkeiten in angemes-senen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen im Sinne des Art. 28 Abs. 5 DSGVO des Auftragsverarbeiters berücksichtigen.

(2) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängi-gen Prüfer beauftragen. Die Prüfungen können gegebenenfalls auch Inspektionen in den Räum¬lichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden mit angemessener Vorankündigung und unter Einhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters sowie nach Möglichkeit ohne Störung des Betriebsablaufs durchgeführt.

(3) Die Vertragsparteien stellen den zuständigen Aufsichtsbehörden die in diesem Vertrag genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

§8 Mitzuteilende Verstöße

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten des Verantwortlichen mit sich bringen, sowie bei Bekanntwerden von Datenschutzverletzungen im Zusammenhang mit den Daten des Verantwortlichen. Gleiches gilt, wenn der Auftragsverarbeiter feststellt, dass die bei ihm getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht genügen.

(2) Dem Auftragsverarbeiter ist bekannt, dass der Verantwortliche verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu doku-mentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person zu melden. Er wird Verletzungen an den Verantwortlichen unverzüglich melden und hierbei zumindest folgende Informationen mitteilen:

• Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze,
• Name und Kontaktdaten von Kontaktpersonen für weitere Informationen,
• Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung oder zur Abmilderung der sich daraus ergebenden nachteiligen Auswirkungen.

§9 Beendigung des Auftrags

(1) Mit Beendigung der Auftragsverarbeitung hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, soweit nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht, dies gilt auch für etwaige Sicherungs¬kopien nach Maßgabe der getroffenen technischen und organisatorischen Maßnahmen. Die Löschung hat der Auftragsverarbeiter dem Verantwortlichen in Textform anzuzeigen.

(2) Der Verantwortliche kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn der Auftragsverarbeiter einen schwerwiegenden Verstoß gegen die Bestimmungen dieses Vertrags oder gegen datenschutzrechtliche Bestim-mungen begeht und dem Verantwortlichen aufgrund dessen die Fortsetzung der Auftragsverarbeitung bis zum Ablauf der Kündigungsfrist oder bis zu der verein-barten Beendigung des Auftrags nicht zugemutet werden kann.

(3) Der Auftragsverarbeiter kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn der Verantwortliche auf die Erfüllung seiner Weisungen besteht, obwohl diese Weisungen gegen geltende rechtliche Anforderungen oder gegen diesen Vertrag verstoßen und der Auftragsverarbeiter den Verantwortlichen darüber in Kenntnis gesetzt hat.

§10 Schlussbestimmungen

(1) Sollte das Eigentum des Verantwortlichen bei dem Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände des Verantwortlichen ausgeschlossen.

(2) Die Vertragsbegründung, Vertragsänderungen und Nebenabreden sind schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(3) Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.