Allgemeine Geschäftsbedingungen im Rahmen von Verträgen die über die Plattform PlanBar365.com zwischen Planbar 365 GbR, In der Ziegelheide 107 46397 Bocholt - im Folgenden „Anbieter“ - und den in dem Vertrag bezeichneten Kunden - im Folgenden „Kunde“ - geschlossen werden. 1. Allgemeines Die nachstehenden Geschäftsbedingungen gelten für alle Lieferungen, Leistungen und Angebote der PlanBar365.com. 1.2 Entgegenstehende Geschäftsbedingungen des Kunden werden auch ohne ausdrücklichen Widerspruch selbst im Falle der Lieferung nicht Vertragsbestandteil. 1.3 Abweichungen von diesen Geschäftsbedingungen und/oder Ergänzungen sowie Änderungen und Ergänzungen abgeschlossener Verträge und der auf diese anwendbaren Geschäftsbedingungen der PlanBar365.com bedürfen der Schriftform. 1.4 Die AGB gelten unabhängig davon, ob der Kunde Verbraucher, Unternehmer oder Kaufmann ist. Maßgebend ist die jeweils bei Abschluss des Vertrags gültige Fassung der AGB. 2. Angebot und Vertragsschluss 2.1 Angebote der PlanBar365.com sind - insbesondere hinsichtlich der Preise, Menge, Lieferfrist, Liefermöglichkeiten und Nebenleistungen - freibleibend und unverbindlich. 2.2 Der Umfang der von der PlanBar365.com zu erbringenden Leistungen wird allein durch die schriftlichen Angebote und Verträge festgelegt. 2.3 PlanBar365.com behält sich durch die Berücksichtigung zwingender, durch rechtliche oder technische Normen bedingte Abweichungen von den Angebotsunterlagen bzw. von der Auftragsbestätigung vor. 3. Installation, Schulung und Beratung, Nutzung 3.1 Der Kunde ist für die ordnungsgemäße Installation gelieferter Software selbst verantwortlich. Sowohl die Installation durch PlanBar365.com als auch Schulung und Einweisung des Kunden oder seiner Bedienungskräfte in die Bedienung der gelieferten Software gehören nicht zum Leistungsumfang. Diese Leistungen erfolgen nur aufgrund einer entsprechenden Vereinbarung und werden gesondert berechnet. 3.2 Sofern PlanBar365.com Schulungs-, Beratungs- oder Installationsleistungen erbringt, hat der Kunde dafür zu sorgen, dass die erforderlichen kundenseitigen Voraussetzungen erfüllt sind, insbesondere die erforderlichen Räumlichkeiten und Infrastruktur, Unterlagen und Personal bereitgestellt sind. Erfüllt der Kunde seine Mitwirkungspflichten nach Satz 1 nicht ordnungsgemäß, so verlängern sich die vertraglich vereinbarten Ausführungsfristen von PlanBar365.com entsprechend um die Zeit, in der der Kunde seine Mitwirkungspflicht nicht erfüllt. PlanBar365.com kann den durch die Verzögerung verursachten Mehraufwand insbesondere für die verlängerte Bereitstellung des eigenen Personals oder der eigenen Sachmittel in Rechnung stellen. Ansprüche von PlanBar365.com aus § 843 BGB bleiben unberührt. 3.3 Auskünfte bedürfen der schriftlichen Bestätigung. 3.4 Ein Benutzerkonto darf jeweils nur von einer natürlichen Person im Sinne des Gesetzes verwendet werden. 4. Untersuchungs- und Rügepflicht; Leistungsumfang 4.1 Der Kunde ist verpflichtet, gelieferte Software oder Softwareteile und andere Ware nach Erhalt unverzüglich auf Fehler zu testen und erkennbare Fehler PlanBar365.com unverzüglich schriftlich anzuzeigen. 4.2 PlanBar365.com ist berechtigt, von ihr geschuldete Leistungen von geeigneten Dritten erbringen zu lassen. 4.3 PlanBar365.com ist in zumutbarem Umfang zu Teillieferungen und Teilleistungen berechtigt. 4.4 Zu Testzwecken gelieferte Produkte (Hardware, Software, Datenträger, Unterlagen etc.) bleiben Eigentum von PlanBar365.com. PlanBar365.com behält sich vor, Software so auszurüsten, dass die Programme nach Ablauf der vereinbarten Testdauer nicht mehr voll einsatzfähig sind. Der Kunde kann hieraus keinerlei Ansprüche herleiten. 5. Lieferfrist 5.1 Von PlanBar365.com angegebene Lieferzeiten sind nur annähernd und unverbindlich. Für den Fall, dass der vereinbarte Liefertermin von PlanBar365.com um mehr als 4 Wochen überschritten wird, ist der Kunde berechtigt, PlanBar365.com eine angemessene Nachfrist zur Lieferung zu setzen und im Falle des fruchtlosen Ablaufes der Nachfrist vom Vertrag zurückzutreten. 5.2 Auftragsänderungen führen zur Aufhebung vereinbarter Termine und Fristen, soweit nichts anderes vereinbart ist. 5.3 Liefer- und Leistungsfristen verlängern sich entsprechend um den Zeitraum, in welchem ein Hindernis vorliegt, im Falle höherer Gewalt und aller sonst von PlanBar365.com nicht zu vertretender Hindernisse, welche auf die Lieferung oder Leistung von erheblichem Einfluss sind, insbesondere bei Streik und Aussperrung bei PlanBar365.com, ihren Lieferanten oder deren Unterlieferanten. 6. Preise 6.1 Die Preise verstehen sich netto ausschließlich Verpackungs- und Frachtspesen. Maßgebend sind die Preise der aktuellen Preisliste zuzüglich der jeweiligen gesetzlichen Umsatzsteuer. Lieferungen und Leistungen, für die nicht ausdrücklich feste Preise vereinbart sind, werden zu den am Tage der Erbringung gültigen Listenpreisen berechnet. 6.2 Dienstleistungen und Produkterweiterungskosten werden, soweit kein Festpreis vereinbart wurde, nach der bei Auftragsannahme jeweils gültigen Preisliste nach Aufwand berechnet. 6.3 PlanBar365.com behält sich das Recht vor, den Preis angemessen zu erhöhen, wenn nach Vertragsschluss Kostenerhöhungen, insbesondere infolge von Preiserhöhungen der Lieferanten oder von Wechselkursschwankungen, eintreten. Diese wird PlanBar365.com dem Kunden auf Verlangen nachweisen. 7. Zahlung 7.1 Soweit nichts anderes vereinbart ist, sind unsere Rechnungen nach 10 Tagen netto zu begleichen. Bei Zahlungsverzug des Kunden ist PlanBar365.com berechtigt, 8% Verzugszinsen über dem jeweils gültigen Basiszinssatz der Europäischen Zentralbank zu verlangen, sofern nicht der Kunde einen geringeren Schaden oder PlanBar365.com einen höheren Schaden nachweist. 7.2 Soweit der Kunde Kaufmann ist, darf er Zurückbehaltungsrechte (§ 273 BGB) nur wegen von PlanBar365.com anerkannten oder rechtskräftig festgestellten Gegenansprüchen des Kunden geltend machen. Bei laufenden Geschäftsbeziehungen gilt jede einzelne Bestellung als gesondertes Vertragsverhältnis. 7.3 Schuldet der Kunde PlanBar365.com mehrere Zahlungen gleichzeitig, wird - sofern der Kunde keine Tilgungsbestimmung getroffen hat - zunächst die fällige Schuld, unter mehreren fälligen Schulden die jeweils ältere Schuld, getilgt. 7.4 Bei ausbleibender Zahlung durch den Kunden behält sich PlanBar365.com vor die Zugangsdaten zu sperren. Alle vorher gespeicherten Daten werden weitere 90 Tage gespeichert und danach behält sich der Anbieter vor diese unwiderruflich zu löschen. Der Kunde hat die Möglichkeit bei Zahlung der kompletten Restschuld innerhalb der 90 Tage wieder das Produkt im vorherigen Umfang zu nutzen. 8. Annahmeverzug des Kunden Kommt ein Kunde mit der Annahme bestellter Ware in Verzug, so ist PlanBar365.com nach Setzung einer angemessenen Nachfrist von höchstens 14 Tagen berechtigt, vom Vertrag zurückzutreten oder Schadensersatz wegen Nichterfüllung zu verlangen. Verlangt PlanBar365.com Schadensersatz, so beträgt dieser 50 % des Auftragswertes, wenn nicht der Kunde einen geringeren oder PlanBar365.com einen höheren Schaden nachweist. 9. Gefahrübergang; Abnahme von Leistungen, Gewährleistung; Nachbesserung bei Dienstleistungen 9.1 Soweit nichts anderes vereinbart ist, erfolgen alle Lieferungen auf Kosten und Gefahr des Kunden. 9.2 Von PlanBar365.com auftragsgemäß installierten Produkten wird der Kunde, ggf. gemeinsam mit einem Mitarbeiter von PlanBar365.com, unverzüglich testen. Funktionieren die Produkte im Wesentlichen vertragsgerecht, wird der Kunde unverzüglich schriftlich die Abnahme erklären. Verweigert der Kunde die Abnahme, hat er PlanBar365.com unverzüglich, spätestens aber innerhalb von 10 Werktagen nach Installation, konkrete Fehler mit genauer Beschreibung in einem Fehlerprotokoll zu melden. Geht innerhalb des genannten Zeitraums weder eine Abnahmeerklärung noch eine Fehlermeldung bei PlanBar365.com ein, gilt das Werk als abgenommen. Bei unwesentlichen Mängeln darf der Kunde die Abnahme nicht verweigern. 9.3 PlanBar365.com gewährleistet, dass die Vertragsprodukte nicht mit wesentlichen Mängeln behaftet sind und für die nach dem Vertrag vorausgesetzte Verwendung geeignet sind bzw. sich für die gewöhnliche Verwendung eignen. Dabei ist sich der Kunde bewusst, dass es nach dem Stand der Technik nicht möglich ist, Fehler der Software unter allen Anwendungsbedingungen auszuschließen. Es werden daher keine Kompatibilitätszusagen gemacht. 9.4 Sachmängelansprüche bestehen nicht bei nur unerheblicher Abweichung von der vereinbarten Beschaffenheit oder bei nur unerheblicher Beeinträchtigung der Brauchbarkeit, wenn das Produkt durch den Kunden oder Dritte verändert, unsachgemäß installiert, gewartet, repariert, benutzt oder Umgebungsbedingungen ausgesetzt wird, die nicht den Installationsanforderungen der Hersteller entsprechen, es sei denn, der Kunde weist nach, dass diese Umstände nicht ursächlich für den gerügten Mangel sind. Die Sachmängelhaftung entfällt ferner, wenn Seriennummer, Typbezeichnung oder ähnliche Kennzeichen entfernt oder unleserlich gemacht werden. Eine Haftung für Sachmängel besteht nur, sofern die Ursache des Sachmangels bereits im Zeitpunkt des Gefahrübergangs vorlag. 9.4.1 PlanBar365.com gewährleistet, dass die Software der in der Anwenderdokumentation enthaltenen Leistungsbeschreibung entspricht und auf geprüften und fehlerfreien Datenträgern ausgeliefert wird. Der Kunde hat Mängel unverzüglich nach Entdeckung schriftlich unter detaillierter Darlegung der aufgetretenen Fehler zu melden. 9.4.2 PlanBar365.com behält sich vor, Mängel nach Wahl durch Nachbesserung, Austausch mit fehlerfreier Ware oder durch Änderung der Leistung zu beseitigen. Falls PlanBar365.com Mängelbeseitigung durch Änderung der Leistung vornimmt, wird PlanBar365.com den ursprünglich vereinbarten Leistungsumfang nicht in für den Kunden wesentlichen Aspekten ändern. Der Kunde wird PlanBar365.com bei der Beseitigung im erforderlichen Umfang unterstützen. Ersetzte Teile gehen in das Eigentum von PlanBar365.com über. 9.4.3 Der Kunde kann erst bei endgültigem Fehlschlagen der Mängelbeseitigung Herabsetzung der Vergütung oder Rückgängigmachung des Vertrages verlangen. 9.4.4 Bei nur unerheblicher Minderung des Wertes oder der Tauglichkeit der Leistung ist der Rücktritt ausgeschlossen. 9.5 Sachmängelansprüche verjähren in 24 Monaten und die Verjährung beginnt mit Ablieferung bzw. Installation beim Kunden vor Ort. Sachmängelansprüche sind nur mit Zustimmung von PlanBar365.com übertragbar. 9.6 Der Kunde ist nicht berechtigt, Mängel selbst oder durch Dritte zu beseitigen und Ersatz der erforderlichen Aufwendungen zu verlangen. 9.7 Bei schuldhafter Verletzung von Beratungs-, Schulungs- oder sonstigen Dienstleistungspflichten ist PlanBar365.com zunächst zur kostenlosen Nachbesserung berechtigt. 9.8 Ergibt die Überprüfung einer Mängelanzeige, dass ein Sachmangel nicht vorliegt, werden die Kosten der Überprüfung und Reparatur zu den jeweils gültigen Verrechnungssätzen von PlanBar365.com berechnet. 10. Kündigung 10.1 Die Kündigung der Produkte, empfangenen Leistungen und abgeschlossenen Verträgen bedarf der Schriftform. 10.2 Die Kündigung muss der jeweils anderen Partei spätestens einen Monat vor Ende der Mindestvertragslaufzeit zugegangen sein, sofern nicht eine andere Frist Inhalt der Bestellung wurde. Andernfalls wird das Vertragsverhältnis zu denselben Konditionen fortgesetzt, wobei die vereinbarte Mindestvertragslaufzeit erneut beginnt. Das Recht auf außerordentliche Kündigung aus wichtigem Grund bleibt stets für beide Parteien unberührt. 10.3 Nach der Kündigung der Berechtigung zur Nutzung von PlanBar365.com werden sämtliche im Nutzerprofil gespeicherten Daten gelöscht, sofern nicht zwingende gesetzliche Vorschriften eine längere Aufbewahrung vorschreiben. 11. Eigentumsvorbehalt 11.1 PlanBar365.com behält sich das Eigentum an der gelieferten Ware bis zur restlosen Bezahlung des Kaufpreises vor. Ist der Kunde Kaufmann, so gelten die vorstehenden Vorbehalte bis zur restlosen Bezahlung sämtlicher aus der Geschäftsbeziehung entstandenen oder entstehenden Forderungen. Das gilt auch dann, wenn einzelne oder sämtliche Forderungen von PlanBar365.com in eine laufende Rechnung aufgenommen wurden und der Saldo gezogen und anerkannt ist. 11.2 Der Kunde hat die Vorbehaltsware mit kaufmännischer Sorgfalt für PlanBar365.com zu verwahren und auf seine Kosten ausreichend gegen Feuer, Wasser, Diebstahl und sonstige Schadensrisiken zu versichern. Der Kunde tritt seine entsprechenden Ansprüche aus den Versicherungsverträgen bereits mit dem Abschluss dieser Vereinbarung an PlanBar365.com ab. PlanBar365.com nimmt die Abtretung an. 11.3 Die Ausübung der Rechte aus dem Eigentumsvorbehalt oder ein Herausgabeverlangen gelten nicht als Rücktritt vom Vertrag. 11.4 Der Eigentumsvorbehalt wird auf Anforderung des Kunden freigegeben, wenn der Sicherungswert die zu sichernden Forderungen um mehr als 10 % übersteigt. 12. Widerrufsbelehrung 12.1 Verbraucher haben bei Abschluss eines Fernabsatzgeschäfts grundsätzlich ein gesetzliches Widerrufsrecht, über das der Anbieter nach Maßgabe des gesetzlichen Musters nachfolgend informiert. Die Ausnahmen vom Widerrufsrecht sind in 12.2 geregelt. In 12.3 findet sich ein Muster-Widerrufsformular. Widerrufsbelehrung Widerrufsrecht Sie haben das Recht, binnen vierzehn Tagen ohne Angaben von Gründen diesen Vertrag zu widerrufen. Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag, an dem Sie oder ein von Ihnen benannter Dritter, der nicht Beförderer ist, die Waren in Besitz genommen haben bzw. hat. Um Ihr Widerrufsrecht auszuüben, müssen Sie uns, Planbar 365 GbR, In der Ziegelheide 107, 46397 Bocholt, mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief, Telefax oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist. Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden. Folgen des Widerrufs Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, günstige Standardlieferung gewählt haben), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzuzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrages bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet. Wir können die Rückzahlung verweigern, bis wir die Ware wieder zurückerhalten haben oder bis Sie den Nachweis erbracht haben, dass Sie die Waren zurückgesandt haben, je nachdem, welches der frühere Zeitpunkt ist. Sie haben die Waren unverzüglich und in jedem Fall spätestens binnen vierzehn Tagen ab dem Tag, an dem Sie uns über den Widerruf dieses Vertrages unterrichten, an uns zurückzusenden oder zu übergeben. Die Frist ist gewahrt, wenn Sie die Waren vor Ablauf der Frist von vierzehn Tagen absenden. Sie tragen die unmittelbaren Kosten der Rücksendung der Waren. Sie müssen für einen etwaigen Wertverlust der Waren nur aufkommen, wenn dieser Wertverlust auf einen zur Prüfung der Beschaffenheit, Eigenschaften und Funktionsweise der Waren nicht notwendigen Umgang mit ihnen zurückzuführen ist. 12.2 Das Widerrufsrecht besteht nicht bei Verträgen zur Lieferung von Ton- oder Videoaufnahmen oder Computersoftware in einer versiegelten Packung, wenn die Versiegelung nach der Lieferung entfernt wurde. 12.3 Über das Muster-Widerrufsformular informiert der Anbieter nach der gesetzlichen Regelung wie folgt: Muster-Widerrufsformular (Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden Sie es zurück.) — An [hier ist der Name, die Anschrift und gegebenenfalls die Faxnummer und E-Mail-Adresse des Unternehmers durch den Unternehmer einzufügen]: — Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag über den Kauf der folgenden Waren (*)/ die Erbringung der folgenden Dienstleistung (*) — Bestellt am (*)/erhalten am (*) — Name des/der Verbraucher(s) — Anschrift des/der Verbraucher(s) — Unterschrift des/der Verbraucher(s) (nur bei Mitteilung auf Papier) — Datum (*) Unzutreffendes streichen 13. Umfang der Rechtseinräumung PlanBar365.com behält an der gelieferten PlanBar365.com Software die Urheber- und gewerblichen Schutzrechte sowie die Verwertungsrechte. Die auf dem Programmträger oder der Verpackung angebrachten Schutzrechtshinweise - auch Dritter - sind zu beachten. Soweit nicht ausdrücklich etwas anderes vereinbart, erwirbt der Kunde ein einfaches Nutzungsrecht an der Software. Im Übrigen richtet sich das Nutzungsrecht des Kunden nach den Lizenzbedingungen für die jeweiligen Produkte. 14. Haftung besser 14.1 Ansprüche des Kunden auf Schadensersatz sind ausgeschlossen. Hiervon ausgenommen sind Schadensersatzansprüche des Kunden aus der Verletzung des Lebens, des Körpers, der Gesundheit oder aus der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) sowie die Haftung für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung des Anbieters, seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen. Wesentliche Vertragspflichten sind solche, deren Erfüllung zur Erreichung des Ziels des Vertrags notwendig ist. 14.2 Bei der Verletzung wesentlicher Vertragspflichten haftet der Anbieter nur auf den vertragstypischen, vorhersehbaren Schaden, wenn dieser einfach fahrlässig verursacht wurde, es sei denn, es handelt sich um Schadensersatzansprüche des Kunden aus einer Verletzung des Lebens, des Körpers oder der Gesundheit. 14.3 Die Einschränkungen der 14.1 und 14.2 gelten auch zugunsten der gesetzlichen Vertreter und Erfüllungsgehilfen des Anbieters, wenn Ansprüche direkt gegen diese geltend gemacht werden. 14.4 Die sich aus 14.1 und 14.2 ergebenden Haftungsbeschränkungen gelten nicht, soweit der Anbieter den Mangel arglistig verschwiegen oder eine Garantie für die Beschaffenheit der Sache übernommen hat. Das gleiche gilt, soweit der Anbieter und der Kunde eine Vereinbarung über die Beschaffenheit der Sache getroffen haben. Die Vorschriften des Produkthaftungsgesetzes bleiben unberührt. 15. Ermächtigung zur Nutzung von Kundendaten Der Anbieter ist berechtigt, die im Zusammenhang mit der Geschäftsbeziehung erhaltenen personenbezogenen Daten über den Kunden, gleich ob diese vom Kunden selbst oder von Dritten stammen, im Sinne des Bundesdatenschutzgesetzes und im Rahmen der Zweckbestimmung des Vertragsverhältnisses zu erheben, zu verarbeiten und zu nutzen. Alle personenbezogenen Daten werden vertraulich behandelt. Eine Weitergabe der Daten an Dritte erfolgt nur zu Inkasso- und Bonitätsprüfungszwecke. 16. Schlussbestimmungen 16.1 Diese Bedingungen bleiben im Zweifel auch bei rechtlicher Unwirksamkeit einzelner oder mehrerer Bestimmungen in ihren übrigen Teilen verbindlich. Sollten Bestimmungen ganz oder teilweise unwirksam sein oder werden, so soll an deren Stelle eine Bestimmung treten, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt. 16.2 Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN Kaufrechts (UN-Übereinkommens über Verträge über den internationalen Warenkauf vom 11.04.1980). 16.3 Erfüllungsort für alle Lieferungen und Leistungen von PlanBar365.com ist Bocholt / Deutschland. 16.4 Falls der Kunde im Sinne der gesetzlichen Bestimmungen Kaufmann ist oder seinen Sitz im Ausland hat, wird als ausschließlicher Gerichtsstand Malta vereinbart. PlanBar365.com ist jedoch berechtigt, den Kunden an jedem anderen gesetzlichen Gerichtsstand zu verklagen.

Vertrag über die Verarbeitung von Daten im Auftrag zwischen dem sich registrierenden Unternehmen - Auftraggeber - und planbar GbR In der Ziegelheide 107 46397 Bocholt - Auftragnehmer – 1. Allgemeines (1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftrag-gebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Par-teien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten. (2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt. 2. Gegenstand des Auftrags Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der per-sonenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt. 3. Rechte und Pflichten des Auftraggebers (1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbei-tung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach Ziff. 4 Abs. 6 das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist. (2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber infor-mieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer gel-tend machen. (3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Um-fang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen. (4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergän-zende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unbe-rührt. (5) Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern wei-sungsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftragge-ber ändern, wird der Auftraggeber dies dem Auftragnehmer in Textform mitteilen. (6) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt. (7) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Melde-pflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich. 4. Allgemeine Pflichten des Auftragnehmers (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rah-men der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftrag-geber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Re-gelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflich-ten. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtli-chen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine sol-che Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abwei-chende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat. (2) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mit-gliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen. (3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maß-nahmen zu. (4) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer wird Änderungen in der Organisation der Daten-verarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen. (5) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betref-fenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbei-tung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen. (6) Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Be-triebsstätten des Auftragnehmers oder Subunternehmern ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig. (7) Der Auftragnehmer wird die Daten, die er im Auftrag für den Auftraggeber verar-beitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich. (8) Der Auftragnehmer kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Sofern weisungsemp-fangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen beim Auftragnehmer ändern, wird der Auftragnehmer dies dem Auftraggeber in Textform mitteilen. 5. Datenschutzbeauftragter des Auftragnehmers (1) Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat, insofern ein interner oder externer Datenschutzbeauftragter gefordert ist. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Da-tenschutzbeauftragten gesondert in Textform mitteilen. (2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten. 6. Meldepflichten des Auftragnehmers (1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen daten-schutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarun-gen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbei-tung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers ver-arbeitet. (2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informie-ren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragneh-mer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann. (3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragneh-mers an den Auftraggeber muss insbesondere folgende Informationen beinhalten: – eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Da-ten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der be-troffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der be-troffenen personenbezogenen Datensätze; – eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachtei-ligen Auswirkungen. 7. Mitwirkungspflichten des Auftragnehmers (1) Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwor-tung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSG-VO. Es gelten die Regelungen von Ziff. 11 dieses Vertrages. (2) Der Auftragnehmer wirkt an der Erstellung der Verzeichnisse von Verarbeitungs-tätigkeiten durch den Auftraggeber mit. Er hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen. (3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhal-tung der in Art. 32-36 DSGVO genannten Pflichten. 8. Kontrollbefugnisse (1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertragli-chen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren. (2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung ver-pflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist. (3) Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auf-traggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen. 9. Unterauftragsverhältnisse (1) Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist jederzeit möglich, solange sich der Unterauftragnehmer zur Einhaltung der DSGVO verpflichtet und ein gültiger Auftragsverarbeitungsvertrag vorliegt. (2) Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragneh-mer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unter-auftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatori-schen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergeb-nis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auf-traggeber zu übermitteln. (3) Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bzw. Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragnehmer den Auftragge-ber hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbe-auftragte zu benennen. (4) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten. (5) Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungs-vertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Dar-über hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auf-tragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsver-trag auf Anfrage in Kopie zu übermitteln. (6) Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 5 dieses Vertrages) des Auftragge-bers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden verein-bart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat. (7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reini-gungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leis-tungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflich-tet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tra-gen, dass angemessene Vorkehrungen und technische und organisatorische Maß-nahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleis-ten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustim-mungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden. 10. Vertraulichkeitsverpflichtung (1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnis-schutzregeln mitzuteilen. (2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtli-chen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeb-lichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit ver-pflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informiert hat. (3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf An-frage nachzuweisen. 11. Wahrung von Betroffenenrechten (1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftrag-nehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderli-chen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann. (2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrech-ten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maß-nahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auf-traggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maß-nahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahr-nehmung von Betroffenenrechten nachzukommen. (3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwir-kungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt. 12. Geheimhaltungspflichten (1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu be-handeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist be-rechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genann-ten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen. (2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind. 13. Vergütung Die Vergütung des Auftragnehmers wird gesondert vereinbart. 14. Technische und organisatorische Maßnahmen zur Datensicherheit (1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzu-wendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO. (2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 3 zu diesem Vertrag beigefügt. Die Par-teien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Ge-gebenheiten Änderungen der technischen und organisatorischen Maßnahmen erfor-derlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht ne-gativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftrag-geber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen an-fordern. (3) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatori-schen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kon-trollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber informieren. 15. Dauer des Auftrags (1) Der Vertrag beginnt mit der Onlinebestätigung und wird auf unbestimmte Zeit ge-schlossen. (2) Er endet drei Monate nach Kündigung des Online abgeschlossenen Abos bei planbar365.com (3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auf-tragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert. 16. Beendigung (1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftragge-bers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Wei-se zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt. (2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. 17. Zurückbehaltungsrecht Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird. 18. Schlussbestimmungen (1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auf-traggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unver-züglich informieren. (2) Für Nebenabreden ist die Schriftform erforderlich. (3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirk-samkeit der übrigen Regelungen des Vertrages nicht. Anlage 1 - Gegenstand des Auftrags 1. Gegenstand und Zweck der Verarbeitung Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen: Es wird eine Cloudanwendung zur Onlinedisposition von Mitarbeiter sowie Equipment bereitgestellt. 2. Art(en) der personenbezogenen Daten Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung: • Mandatendaten o Vor- und Zuname des Mandanten o E-Mail Adresse o Anschrift o Firmenname • Kundendaten des Mandanten o Vor- und Zuname / Firmenname o Anschrift o E-Mail Adresse o Telefonnummer • Mitarbeiterdaten o Vor- und Zuname o E-Mail Adresse o Urlaubstage 3. Kategorien betroffener Person Kreis der von der Datenverarbeitung betroffenen Personen: Auftraggeber, Kunden des Auftraggebers, Mitarbeiter des Auftraggebers   Anlage 2 - Unterauftragnehmer Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftragge-bers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“). Dabei handelt es sich um nachfolgende(s) Unternehmen: KRANKIKOM – Alexander Kranki Kommunikation GmbH Schifferstraße 200 47059 Duisburg Telefon 0203/30597-0 Telefax 0203/30597-99 Interoute Germany GmbH Weismüllerstraße 26 D-60314 Frankfurt am Main Deutschland Tel: +49 69 48007 0 Fax: +49 69 4800 7249 info@interoute.de myLoc – IT AG (Housing Farm) Am Gateherhof 44, 40472 Düsseldorf InterXion (Housing Farm) In der Steele 29, 40599 Düsseldorf Microsft Ireland 1, One Microsoft Place South County Business Park Leopardstown Dublin 18, D18 P521 Irland MailChimp The Rocket Science Group, LLC 675 Ponce de Leon Ave NE Suite 5000 Atlanta, GA 30308 USA ZENDESK 1019 Market St San Francisco, CA 94103 USA Google Germany GmbH ABC-Strasse 19 20354 Hamburg Telefon: +49 40-80-81-79-000 Fax: +49 40-4921-9194   Anlage 3 Technische und organisatorische Maßnahmen des Auftragnehmers Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO. 1. Vertraulichkeit Zutrittskontrolle Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Auszug aus dem Vertrag: A. Krankikom Büro- und Serverräume Die Räume der Krankikom GmbH befinden sich in der 4. und 5. Etage des Gebäudes Schifferstr. 200. Besucher müssen sich am Empfang anmelden, werden erfasst und mit einem Besucherbatch zwecks Identifikation ausgestatte und werden am Empfang abgeholt oder gebeten im Konferenzraum zu warten. Die Mitarbeiter der Krankikom sind sensibilisiert, Personen, die Ihnen nicht bekannt sind anzusprechen und ihre Hilfe anzubieten. Der Umgang mit Besuchern ist in einer verbindlichen Richtlinie festgehalten. In sensiblen Sicherheitsbereichen, wie den Serverräumen, wird Fremdpersonal nur nach terminlicher Vereinbarung eingelassen. Die Mitarbeiter sind mit einem Transponder ausgestattet. Das Gebäude ist in verschiedene Sicherheitsbereiche aufgeteilt. Es liegt ein Schließplan zugrunde, indem die Zutrittsberechtigungen dokumentiert sind. Die Serverräume sind ständig verschlossen. Der Kreis der Zutrittsberechtigten ist auf die notwendi-ge Anzahl beschränkt. Der Serverraum ist mit einem Codeschloss versehen. Es ist eine Einbruchmeldeanlage installiert. Die Mitarbeiter sind schriftlich über den Umgang (Aktivierung und Deaktivierung) mit der Einbruchmeldeanlage informiert. B. Rechenzentrum InterXion (Housing Farm) In der Steele 29, 40599 Düsseldorf Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter (Admins / IT-Abteilung) zugänglich. Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal, von dem aus sich die Mitarbeiter mit einer personalisierten Keycard Zutritt verschaffen können. Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung (CCTV). Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30 Uhr ist zusätzlich Sicherheitspersonal anwesend. C. Rechenzentrum myLoc – IT AG (Housing Farm) Am Gateherhof 44, 40472 Düsseldorf Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter (Admins / IT-Abteilung) zugänglich. Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal von dem aus sich die Mitarbei-ter mit einer personalisierten Keycard Zutritt verschaffen können. Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung (CCTV). Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30 Uhr ist zusätzlich Sicherheitspersonal anwesend. Zugangskontrolle Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Auszug aus dem Vertrag: Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Für den Zugang zu den Datenverarbeitungssystemen werden Passwörter vergeben. Jeder Anwen-der erhält einen eigenen Benutzernamen und ein eigenes, nur ihm bekanntes Passwort. Die Anforderungen an das Passwort sind in einer Passwort-Richtlinie hinterlegt und werden systemtechnisch überprüft. Das Passwort muss mindestens 8-stellig sein und aus einer Kombination von Groß- und Kleinbuchstaben und Ziffern oder Sonderzeichen bestehen. Der Passwortwechsel wird vom Anmeldeserver automatisch alle 90 Tage initiiert. Über die aktivierte Einstellung der Passwort-Historie am Anmeldeserver ist die Nutzung der letzten 5 verwendeten Passworte ausgeschlossen. Die Administrator-Passworte sind in einem Passwort-Safe softwaremäßig sicher hinterlegt. Die Nutzung der Zugangsberechtigungen wird vom Server protokolliert und bei Bedarf ausgewertet. Die Zugangsberechtigungen werden über den Active Directory Service am Anmeldeserver vergeben und dokumentiert. Über alle Aktivitäten der Datenverarbeitungsanlage werden Protokolle erstellt und bei Bedarf ausgewertet. Zugriffskontrolle Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Auszug aus dem Vertrag: Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Über das Berechtigungskonzept wird sichergestellt, das nur Berechtigte auf Daten zugreifen kön-nen, die ihrer Berechtigung unterliegen. Die Zugriffe sind differenziert erteilt. So liegt ein Konzept vor, das die Zugriffe auf Betriebssysteme, Anwendungsprogramme, Dateien, Datensätze und Datenfelder regelt. Die Verarbeitungsmöglichkei-ten sind für die Rechte Lesen, Schreiben und Löschen definiert. Trennung Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Auszug aus dem Vertrag: Personenbezogenen Daten werden mandantenbezogen verarbeitet. Die personenbezogenen Daten werden nach Mandanten getrennt gespeichert. Pseudonymisierung & Verschlüsselung Die vom Auftragnehmer bereitgestellten Dienste sind SSL Verschlüsselt. Die folgenden Daten des Auftraggebers werden verschlüsselt in der Datenbank gespeichert: • Passwort • Bankdaten 2. Integrität Eingabekontrolle Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Auszug aus dem Vertrag: Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Über die Log-Files der Server, lässt sich nachvollziehen, wer sich an den Systemen an und abge-meldet hat. Über Log-Files der Anwendungen ist es möglich nachzuverfolgen, von welchem Anwender Daten eingegeben, verändert oder gelöscht worden sind. Die Protokolle können bei Bedarf ausgewertet werden. Weitergabekontrolle Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Des Weiteren nutzt die PlanBar GbR Mail-, Speicher- und andere IT Dienste aus der Microsoft Office365 Cloud für die Bürokommunikation. Auszug aus dem Vertrag: Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Die Weitergabe von personenbezogenen Daten im Rahmen der Auftragsdatenverarbeitung erfolgt nach den Vorgaben der Auftraggeber. Es bestehen folgende Verfahren: • Datenverschlüsselung durch Archiv-Dateien mit Passwort • E-Mail Verschlüsselung mit öffentlichem Schlüssel (PKI) • Botentransport durch Auftragnehmer oder Auftraggeber • Post- oder Kurierversand • Hochladen auf einen ftp/sftp-Server Datenträger werden über definierte Verfahren vernichtet. Magnetische Datenträger wie Festplatten oder Sicherungsbänder, die nicht mehr verwendet werden, werden überschrieben und physisch vernichtet. Ein Zugriff auf gespeicherte Information ist somit ausgeschlossen. Optische Datenträ-ger, wie CDs oder DVDs werden mit einem Shredder zerstört. Papier, das vertrauliche oder personenbezogene Daten enthält wird im firmeneigenen Shredder entsprechend DIN 32757 Stufe 3 vernichtet. Elektronisch gespeicherte personenbezogene Daten werden nach den Vorgaben des Auftraggebers gelöscht, überlassene Datenträger nach den definierten Verfahren vernichtet. Zum Ausschluss der Weitergabe von personenbezogenen Daten im Rahmen von Wartungen sind vor-Ort-Services für die Datenverarbeitungssysteme abgeschlossen worden. 3. Verfügbarkeit und Belastbarkeit Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Auszug aus dem Vertrag: Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auf-trag verarbeitet werden, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Die Daten der Krankikom GmbH werden regelmäßig gesichert. Es liegt ein Datensicherungskonzept vor. Einmal wöchentlich wird eine komplette Sicherung erstellt. Täglich werden veränderte Daten gesichert. Die Wiederherstellbarkeit der Daten wird sporadisch überprüft. Im Datensicherungskonzept werden die Art der zu sichernden Daten, die Intervalle und die Art der Speicherung festgelegt. Die Verantwortlichkeit für die Datensicherung ist festgelegt. Die Durchführung der Datensicherung wird protokolliert und die Protokolle werden ausgewertet. Die Datensicherungen werden räumlich getrennt aufbewahrt. Die Verfügbarkeit der Serversysteme und der darauf befindlichen Daten ist durch die Systemkonfiguration und den Einsatz einer unterbrechungsfreien Stromversorgung gesichert. In den Serverräumen sind Rauchmelder installiert, die im Brandfall einen Alarm auslösen. Für den Brandfall sind ausreichende geeignete Feuerlöscher vorhanden; der Serverraum ist mit einem Kohlendioxid-Feuerlöscher ausgestattet. Durch die vorhandenen Klimageräte kann eine Temperatur zwischen 20° - 22° Celsius eingehalten werden. Die Klimageräte sind redundant ausgelegt. Mit den Herstellern der Systeme und IT-Dienstleistern sind Wartungs- und Serviceverträge abgeschlossen worden, um die Verfügbarkeit der Systeme sicherzustellen. Es werden regelmäßig Sicherheitsupdates und Sicherheitspatches der eingesetzten Produkte durchgeführt. Die durchgeführten Patches und Updates werden dokumentiert. Zum Schutz gegen Schadsoftware sind die Server und die Client-Systeme soweit erforderlich mit einer Virenschutzsoftware ausgestattet.