ADV

Vereinbarung zur Auftragsdatenverarbeitung

Präambel Der Auftragnehmer bietet seinen Kunden verschiedene Rechenzentrumsdienstleistungen an (sogenannte Cloud-IT-Dienstleistungen), insbesondere fällt darunter der Betrieb virtueller Server-, Netzwerk- und Datenspeicher-Infrastrukturen (IaaS). Diese Cloud-IT-Dienstleistungen erbringt der Auftragnehmer auf Basis der mit dem Auftraggeber vereinbarten Nutzungsbedingungen und Leistungsbeschreibungen.
Soweit die Parteien ein Auftragsdatenverarbeitungsverhältnis gemäß § 11 Bundesdatenschutzgesetz (BDSG) bzw. - ab dem Anwendungszeitpunkt der Neufassung des BDSG (im Folgenden "BDSG neu") entsprechend den Vorgaben der Datenschutzgrundverordnung (EU-Verordnung 2016/679, im Folgenden "DSGVO") - gemäß Art. 28 DSGVO eingehen, konkretisiert diese Vereinbarung zur Auftragsdatenverarbeitung ("ADV") die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus den einzelnen, vom Auftraggeber beim Auftragnehmer gebuchten Leistungen (nachfolgend zusammengefasst "Hauptvertrag" genannt) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragsnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser ADV-Vereinbarung. Eine isolierte Kündigung dieser ADV-Vereinbarung ist ausgeschlossen. Eine Kündigung aus wichtigem Grund bleibt unberührt.
In anderen Worten, wir bieten dir unterschiedliche Dienstleistungen aus der Cloud an. Dazu hast du mit uns ein Vertragsverhältnis geschlossen. Solltest du nun mit unseren Dienstleistungen selber personenbezogene Daten erheben, verarbeiten und speichern, so möchten wir dir diese "Vereinbarung zur Auftragsdatenverarbeitung" anbieten. Diese Vereinbarung regelt wichtige Rechte und Pflichten zwischen uns, damit du nachweisen kannst, dass du dich gesetzeskonform verhältst.
1. Anwendungsbereich und Verantwortlichkeit 1.1. Die Vereinbarung findet Anwendung auf alle Tätigkeiten, die Gegenstand der Leistungsvereinbarung sind und bei deren Verrichtung Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer nach Maßgabe dieser Vereinbarung beauftragte Dritte mit personenbezogenen Daten in Berührung kommen, für die der Auftraggeber die gemäß § 3 Abs. 7 BDSG verantwortliche Stelle bzw. der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist.
1.2. Im Falle von Regelungswidersprüchen zwischen der Leistungsvereinbarung und der ADV-Vereinbarung gehen die Bestimmungen der ADV-Vereinbarung vor.
In anderen Worten, diese Vereinbarung gilt ergänzend zu unserem abgeschlossenen Vertragsverhältnis immer dann, wenn wir für dich irgendeine Tätigkeit ausführen oder durch einen Auftragnehmer ausführen lassen und dabei die Möglichkeit besteht, dass wir oder jemand anderes mit personenbezogenen Daten in Berührung kommt.
2. Begriffsbestimmung 2.1. Diese Vereinbarung bezieht sich nur auf die Durchführung der technischen Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Sinne des § 3 Abs. 1 BDSG bzw. Verarbeitung nach Art. 4 Nr. 2 DSGVO (nachfolgend "Daten" genannt) durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Erfüllung der Leistungsvereinbarung (Auftragsdatenverarbeitung oder Auftragsverarbeitung). Eine weitergehende inhaltliche Übertragung von Aufgaben wird mit dieser Vereinbarung nicht getroffen. In anderen Worten, diese Vereinbarung umfasst nur bestimmte Vorgänge in Zusammenhang mit personenbezogenen Daten, für die du uns explizit beauftragst.
3. Konkretisierung des Auftragsinhalts, der Art, Umfang und Zweck der Auftragsdatenverarbeitung
3.1. Der Gegenstand und die Dauer der Auftragsdatenverarbeitung sowie Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten sind im Hauptvertrag geregelt.
3.2. Gegenstand der Erhebung, Verarbeitung und/oder Nutzung durch den Auftragnehmer sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
3.3. Folgende Datenarten oder -kategorien sind Gegenstand der Erhebung, Verarbeitung und/oder Nutzung durch den Auftragnehmer:
Personenstammdaten, z.B.:
  • Name, Adresse, Geburtsdatum, Arbeitgeber, Position
  • Kundenstammdaten, z.B.:
  • Name, Adresse, Geburtsdatum
  • Kommunikationsdaten, z.B.:
  • Telefonnummern, E-Mail-Adressen
  • Unternehmensdaten, z.B.:
  • Mitarbeiter, Adressen, Bankverbindungen, Geschäftsbereiche
  • Lieferantenstammdaten, z.B.:
  • Mitarbeiter, Adressen, Bankverbindungen, Bewertungen
  • Vertragsstammdaten, z.B.:
  • Ansprechpartner, Vertragsbeziehungen
  • Vertragsbezogene Dokumente, z.B.:
  • AGB, Verträge, Bestellungen, Rechnungen
  • Logdaten, z.B.:
  • Änderungshistorie, Bestellhistorie, Anmeldehistorie, Legitimationen
  • Kommunikationsdaten, z.B.:
  • Chats, Notizen zu Gesprächen und Telefonaten, E-Mail-Verkehr, sonstiger Schriftverkehr
  • In anderen Worten, Die Dauer der Gültigkeit dieser ADV richtet sich nach der Laufzeit unseres Vertragsverhältnisses. Aus unserem Vertragsverhältnis und aus den von dir gebuchten Cloud-Leistungen ergibt sich im Einzelnen, für welchen Zweck und zu welcher Nutzung personenbezogene Daten gespeichert werden.
    Neben personenbezogenen Daten, die du mit Hilfe unserer Services speicherst oder verarbeitest, erheben wir selber personenbezogene Daten über dich und über jede Person, die du beauftragst mit uns zusammen zu arbeiten.
    4. Verantwortlichkeit und Weisungen des Auftraggebers 4.1. Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er kann jederzeit die Herausgabe, Berichtigung, Löschung und Sperrung der Daten verlangen. Soweit ein Betroffener sich zwecks Löschung oder Berichtung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen schnellstmöglich an den Auftraggeber weiterleiten.
    4.2. Der Auftragnehmer darf Daten ausschließlich im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Eine Weisung ist die auf einen bestimmten Umgang des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche gesetzeskonforme Anordnung des Auftraggebers. Die Weisungen werden zunächst durch den Hauptvertrag definiert und können von dem Auftraggeber danach in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden (Einzelanweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
    4.3. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich bestätigt oder geändert wird.
    4.4. Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist nicht berechtigt, sie an Dritte weiterzugeben. Kopien werden ohne Wissen des Auftraggebers nicht erstellt.
    4.5. Der Auftraggeber führt das Verfahrensverzeichnis gem. § 4g Abs. 2 Satz 2 BDSG bzw. Art. 30 DSGVO. Der Auftragnehmer stellt dem Auftraggeber auf dessen Aufforderung die notwendigen Informationen zur Aufnahme in das Verfahrensverzeichnis zur Verfügung.
    4.6. Die Personen des Auftraggebers, welche berechtigt sind, Weisungen gemäß dieser Regelung zu erteilen, werden durch den Auftraggeber bestimmt. Ist eine der genannten Personen auf längere Zeit verhindert, scheidet aus dem Unternehmen aus oder steht aus sonstigen Gründen nicht mehr zur Verfügung, ist rechtzeitig eine Ersatzperson zu bestellen und der anderen Vertragspartei unverzüglich in Textform mitzuteilen.
    4.7. Die Meldung von Weisungen gemäß dieser Regelung erfolgt an compliance@gridscale.io
    In anderen Worten, bist du dafür verantwortlich, was du im Detail mit unseren Angeboten machst, welche personenbezogene Daten du erhebst, verarbeitest oder speicherst. Wir stellen dir APIs und Tools bereit, die dir jederzeit die volle Kontrolle über alle von dir auf unseren Services gespeicherten Daten geben.
    Wir werden niemals ohne deinen expliziten Auftrag Daten für dich erheben, verarbeiten oder verändern.
    Niemals werden wir deine Daten (ob vertraulich, personenbezogen oder nicht) für Zwecke verwenden, zu denen du uns nicht beauftragt hast oder irgendeiner Dritten Partei aushändigen.
    5. Pflichten des Auftragnehmers 5.1. Neben den vertraglichen Regelungen dieser Vereinbarung und dem Hauptvertrag wird der Auftragnehmer im Rahmen der Auftragsdatenverarbeiten und der Auftragsverarbeitung alle einschlägigen gesetzlichen Pflichten einhalten.
    5.2. Der Auftragnehmer ist verpflichtet, das Datengeheimnis zu wahren. Er stellt ferner sicher, dass seine mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter entsprechend zur Vertraulichkeit, insbesondere auf das Datengeheimnis sowie die Einhaltung der Rechte und Pflichten dieser ADV verpflichtet werden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und in die Schutzbestimmungen des BDSG bzw. BDSG neu eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsdatenverarbeitungsverhältnis bestehenden Weisungs- und Zweckbindung. Auf Anforderung des Auftraggebers wird der Auftragnehmer eine explizite Erklärung nach § 5 BDSG bzw. Art. 28 Abs. 3 S. 2 lit. b) DSGVO vorlegen (bspw. durch explizite Bestätigung, dass arbeitsvertragliche Regelungen geschlossen worden sind).
    5.3. Der Auftragnehmer hat nach Maßgabe des § 4f BDSG bzw. Art. 37 DSGVO einen Datenschutzbeauftragten zu bestellen, der seine Tätigkeit gemäß §§ 4f und 4g BDSG bzw. Art. 39 DSGVO ausübt, sofern eine gesetzliche Verpflichtung besteht. Sofern der Auftragnehmer keinen Datenschutzbeauftragten bestellt hat, benennt er einen für den Datenschutz zuständigen Mitarbeiter. Die Kontaktdaten eines bestellten Datenschutzbeauftragten bzw. des für den Datenschutz zuständigen Mitarbeiters werden dem Auftraggeber auf Nachfrage mitgeteilt.
    5.4. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen, Ermittlungen und Maßnahmen durch die Aufsichtsbehörden. Der Auftragnehmer ist verpflichtet, Anfragen von den Datenschutzaufsichtsbehörden unverzüglich an den Datenschutzbeauftragten des Auftraggebers oder an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber bei der Erstellung erforderlicher Datenschutzdokumentationen sowie der Beantwortung von Anfragen von Datenschutzaufsichtsbehörden nach seinen Möglichkeiten gegen Entgelt nach vorherigem Angebot und Beauftragung durch den Auftraggeber unterstützen.
    5.5. Der Auftragnehmer ist vorbehaltlich einer gesetzlichen oder behördlichen Verpflichtung ohne entsprechende Weisung des Auftraggebers nicht befugt, Dritten oder dem Betroffenen Auskunft über die verarbeiteten Daten zu geben. Auskunftsersuchen wird der Auftragnehmer unverzüglich an den Auftraggeber weiterleiten. Für die Wahrung der Betroffenenrechte ist der Auftraggeber verantwortlich. Der Auftragnehmer wird jedoch angesichts der Art der Verarbeitung den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte in Kapitel III der DSGVO nachzukommen.
    5.6. Der Auftragnehmer wird den Auftraggeber nach dem Anwendungszeitpunkt der DSGVO bzw. des BDSG neu unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten nach seinen Möglichkeiten gegen Entgelt nach vorherigem Angebot und Beauftragung durch den Auftraggeber unterstützen.
    In anderen Worten, wir halten uns an das Gesetz. Wir verpflichten uns, das Datengeheimnis zu wahren und gewährleisten dir, dass alle unsere Mitarbeiter geschult und besonders sensibilisiert sind. Wenn das Gesetz es verlangt, bestellen wir einen Datenschutzbeauftragten. Andernfalls benennen wir einen für den Datenschutz zuständigen Mitarbeiter. Sollten wir einmal in ein Ermittlungsverfahren durch die zuständigen Aufsichtsbehörden geraten, dann informieren wir dich unverzüglich darüber. Wir helfen dir weiter, wenn du selber Auskünfte (bspw. einer Behörde gegenüber) erteilen musst. Sollten uns dadurch Aufwände erstellen, werden wir uns vorher mit dir über die Kosten abstimmen.
    Du bist für die sogenannten Betroffenenrechte verantwortlich. Damit sind die Rechte der Person gemeint, deren Daten du speicherst oder verarbeitest. Wenn sich ein Betroffener bei uns meldet, können wir keine Auskünfte erteilen oder Weisungen entgegennehmen. Stattdessen leiten wir das an uns herangetragene Anliegen umgehend an dich weiter.
    6.Technisch-organisatorische Maßnahmen und deren Kontrolle 6.1. Die Vertragsparteien vereinbaren die im Anhang "Technisch-organisatorische Maßnahmen" zu dieser Verarbeitung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen.
    6.2. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Einzelheiten im Anhang "Technisch-organisatorische Maßnahmen".
    6.3. Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang "Technisch-organisatorische Maßnahmen" festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
    6.4. Der Auftragnehmer wird dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte geben und die Implementierung der vereinbarten technischen und organisatorischen Maßnahmen bestätigen.
    6.5. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig (in der Regel mit mindestens 20 Werktagen Vorlauf) anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überprüfen. Eine Überprüfung hat ohne Störung des Betriebsablaufs innerhalb der üblichen Geschäftszeiten zu erfolgen. Dies gilt auch für die Überprüfung von Unterauftragnehmern, die mit der (vollständigen oder teilweisen) Erbringung der vom Auftragnehmer geschuldeten Leistungen beauftragt worden sind. Der Auftraggeber hat hierbei angemessene Rücksicht auf die Betriebsabläufe zu nehmen sowie Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse des Auftragnehmers zu wahren. Der Auftragnehmer wird den Auftraggeber bei der Auftragskontrolle angemessen unterstützen und auf Anforderung hierfür erforderliche Auskünfte bereitstellen. Eine Überprüfung durch Dritte für den Auftraggeber bedarf der vorherigen schriftlichen Zustimmung des Auftragnehmers. Beauftragt der Auftraggeber mit Zustimmung des Auftragnehmers einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich zur Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Geheimhaltungsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich, vor Beginn der der Überprüfung, vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.
    In anderen Worten, wir vereinbaren mit dir sogenannte Technisch-organisatorische Maßnahmen, die unsere Vorkehrungen zum Schutz deiner Daten konkretisieren. Wir orientieren uns mit unseren Technisch-organisatorischen Maßnahmen an dem aktuellen Stand der Technik und gewährleisten ein sehr hohes Schutzniveau deiner bei uns gespeicherten Daten. Damit unsere Maßnahmen wirksam bleiben, passen wir diese von Zeit- zu Zeit etwas an und entwickeln diese stetig weiter. Du hast das Recht die bei uns installierten Maßnahmen zu kontrollieren. Hierfür bitten wir dich um etwas Vorlauf für die Planung deiner Überprüfung.
    7. Mitteilung bei Verstößen durch den Auftragnehmer 7.1. Bei datenschutzrelevanten Störungen oder Verdacht auf Datenschutzverletzungen bei der Verarbeitung der personenbezogenen Daten ist der Auftragnehmer verpflichtet, den Auftraggeber oder den Datenschutzbeauftragten des Auftraggebers unverzüglich zu informieren. Der Auftraggeber wird auf entsprechenden Hinweis des Auftragnehmers erforderliche Weisungen schriftlich erteilen.
    7.2. Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber im Zusammenhang mit den in dieser ADV-Vereinbarung zu verarbeitenden Daten Informations- oder Mitteilungspflichten nach § 42a BDSG oder Art. 33, 34 DSGVO treffen, wird der Auftragnehmer den Auftraggeber hierbei nach seinen Möglichkeiten gegen Entgelt nach separater Beauftragung unterstützen.
    7.3. Die Personen des Auftraggebers, welche im Falle eines solchen Verstoßes zu informieren sind, werden dem Auftragnehmer separat mitgeteilt. Ist eine der darin genannten Personen auf längere Zeit verhindert, scheidet aus dem Unternehmen aus oder steht aus sonstigen Gründen nicht mehr zur Verfügung, ist rechtzeitig eine Ersatzperson zu bestellen und dem Auftragnehmer über eine E-Mail an compliance@gridscale.io unverzüglich mitzuteilen.
    In anderen Worten, kommt es zu einem Vorfall, bei dem wir gegen unsere Vereinbarung zur Auftragsdatenverarbeitung verstoßen, dann verpflichten wir uns dich unverzüglich zu informieren.
    Sollte es zu einem solchen Vorfall kommen, unternehmen wir alles in unserer Macht stehende um Folgen für Betroffene zu minimieren und deine Daten zu schützen.
    8. Löschung und Rückgabe von Daten 8.1. Kopien oder Duplikate vertragsgegenständlich überlassener Datenträger oder Datensätze werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
    8.2. Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Auftraggeber - spätestens mit Beendigung des Hauptvertrages - hat der Auftragnehmer sämtliche in seinem Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Die datenschutzgerechte Vernichtung ist dem Auftraggeber auf Anforderung zu bestätigen. Ein Protokoll der Löschung stellt der Auftragnehmer dem Auftraggeber auf Anforderung und gegen Entgelt nach separater, vor Beginn des Löschvorgangs erfolgter Beauftragung zur Verfügung.
    8.3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
    In anderen Worten, Daten, die du auf Cloud-Diensten von gridscale speicherst, werden wir ohne dein Wissen niemals vervielfältigen und spätestens nach Kündigung unseres Vertrages oder wenn du uns dazu aufforderst, unwiderruflich löschen.
    9. Unterauftragsverhältnisse 9.1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung des Hauptvertrages beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistung, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Sicherstellung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
    9.2. Der Auftragnehmer ist nur nach vorheriger schriftlicher Zustimmung des Auftraggebers berechtigt, Dritte mit der (vollständigen oder teilweisen) Erbringung der von ihm geschuldeten Leistungen zu beauftragen (Unterauftragsverhältnisse). Der Auftraggeber wird die Zustimmung aus unbilligen Gründen nicht verweigern. Die Zustimmung gilt als erteilt, sofern der Auftraggeber nicht binnen einer Frist von drei Werktagen auf die Mitteilung des Auftragnehmers über die vorgesehene Beauftragung eines Unterauftragnehmers die begründete Ablehnung der Zustimmung zumindest in Textform erklärt.
    9.3. Wenn Unterauftragnehmer durch den Auftragnehmer eingeschaltet werden, hat der Auftragnehmer sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Unterauftragnehmer so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Auftraggeber und dem Auftragnehmer entspricht und alle gesetzlichen sowie vertraglichen Pflichten beachtet werden. Ab dem Anwendungszeitpunkt der DSGVO wird der Auftragnehmer die in Art. 28 Abs. 2 und 4 DSGVO beschriebenen Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhalten. Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers wie für sein eigenes Handeln.
    9.4. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
    In anderen Worten, im Alltag greifen wir auf verschiedene Dienstleister zurück, die wir mit sogenannten Nebenleistungen - also zum Beispiel der Reinigung unseres Büros oder Postdienstleistungen - beauftragen. Nebendienstleister wählen wir sorgfältig aus und verpflichten sie auf Datenschutz und Vertraulichkeit. Über Nebendienstleister hinaus kann es im Einzelfall angebracht sein, Dienstleister mit der Erfüllung eines Teils der Leistungen zu beauftragen, die du bei uns in Auftrag gibst. Also sogenannte Unterauftragsverhältnisse. In diesem Fall informieren wir dich über die Beauftragung eines solchen Dienstleisters, damit du der Beauftragung zustimmen kannst.
    Wir stellen in jedem Fall sicher, dass ein Unterauftragnehmer mindestens einen Sicherheitsstandard gewährleistet, der dieser Vereinbarung entspricht. Wir gewährleisten durch Kontrolle und vertragliche Vereinbarung, dass der Unterauftragnehmer sich an gesetzliche Regelungen hält und deine Interessen wahrt. Wenn ein Unterauftragnehmer die beauftragten Leistungen außerhalb Europas erbringen möchte, stellen wir die datenschutzrechtliche Konformität sicher.
    10. Kontrollpflichten 10.1. Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte des Auftragnehmers einholen, sich vom Auftragnehmer eingeholte Sachverständigenberichte oder Prüfzertifikate vorlegen lassen oder auf eigene Kosten eine Prüfung durch einen zur Berufsverschwiegenheit verpflichteten Sachverständigen durchführen lassen. Eine solche Prüfung muss zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs erfolgen und bedarf einer angemessenen Vorankündigung.
    10.2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung in Textform (§ 126b BGB) innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Prüfung erforderlich sind.
    In anderen Worten, vor dem Beginn der Datenverarbeitung auf gridscale sollst du uns gewissenhaft auf Eignung für dein Vorhaben überprüfen. Starte zum Beispiel damit, dass du dir unsere Technisch-organisatorischen Maßnahmen durchließt und dich bei uns meldest, wenn du Fragen hast. Prüfe die Zertifikate unserer Rechenzentren und vergewissere dich davon, dass wir für dein Vorhaben der beste Anbieter sind. Wir werden dich bei alledem jederzeit gerne unterstützen.
    11. Schriftformklausel, Rechtswahl, Schlussbestimmungen 11.1. Gerichtsstand für alle Streitigkeiten aus dieser ADV-Vereinbarung ist Köln.
    11.2. Auf diese Vereinbarung findet das deutsche Recht unter Ausschluss des internationalen Privatrechts Anwendung.
    11.3. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
    11.4. Der Auftraggeber sowie jeder Nutzer erklärt sich damit einverstanden, dass der Auftragnehmer system- oder produktrelevante Information per E-Mail versendet. Diese Einwilligung kann jederzeit widerrufen werden.
    11.5. Sollten einzelne Bestimmungen dieser ADV-Vereinbarung ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Vertragsparteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahe kommt. Entsprechendes gilt für etwaige Lücken der ADV-Vereinbarung.
    11.6. Der Anhang "Technisch-organisatorische Maßnahmen" ist Bestandteil dieser Vereinbarung.
    In anderen Worten, wir leben in Köln. Für diese Vereinbarung gilt deutsches Recht. Alle Änderungen an dieser Vereinbarung musst du mit uns schriftlich vereinbaren. Der Anhang "Technisch-organisatorische Maßnahmen" ist ein wichtiger Bestandteil dieser Vereinbarung.