Learn more

AVV = Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Wenn wir für Sie personenbezogene Daten als Auftragsverarbeiter nach Art. 28 DSGVO (Datenschutzgrundverordnung) verarbeiten, sollten Sie mit uns eine Vereinbarung zur Auftragsverarbeitung abschließen. Bitte prüfen Sie, ob Sie mit den von uns bereitgestellten Leistungen personenbezogene Daten im Sinne der DSGVO verarbeiten. Sollte dies der Fall sein, schließen Sie bitte diese Vereinbarung mit uns ab. Sie können diese Vereinbarung im Falle einer Kontrolle durch Ihre Datenschutzaufsichtsbehörde vorlegen.

Das Auslagern von Datenverarbeitungsprozessen, etwa aus Kostengründen, ist längst nicht mehr nur Thema in größeren Online-Shops. Auch kleine und mittelständische Händler geben ihre Daten an Dritte weiter, ohne sich der datenschutzrechtlichen Folgen bewusst zu sein. Findet eine Auslagerung von persönlichen Daten an externe Dienstleister statt, muss mit ihnen ein Vertrag über die Auftragsverarbeitung geschlossen werden.

Charakteristisch für die Auftragsverarbeitung ist, dass die weitergegeben Daten nur anhand der konkreten Weisungen des Auftraggebers genutzt werden dürfen. Der Auftraggeber weist und kontrolliert somit jeden Schritt der Datenverarbeitung und bleibt der „Herr der Daten“.

Success We have received your request, and will be contacting you soon.
Error Semething went wrong, we will check as soon as possible.
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz-Grundverordnung

(AV-Vertrag)

zwischen

Auftraggeber:
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________

Vertreten durch: ___________________________________________

und

Auftragnehmer:

SemiTimeS UG - (haftungsbeschränkt)
Landshuter Allee 94 – 80637 München

Postanschrift:
SemiTimeS - Postfach: 19 08 18 - D-80608 München - Germany

Vertreten durch: Semir Sabotic – Geschäftsführender Gesellschafter

1 - Einleitung, Geltungsbereich, Definitionen

(1) Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden
„Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.
(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU DatenschutzGrundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2 - Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragnehmer übernimmt folgende Verarbeitungen:
a) |___| Ticketreservierung und Ticketerkauf – Agentur
b) |___| Online Payment
c) |___| Buchführung und Steueraufbereitung
d) |___| ____________________________________________

Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag (im Folgenden „Hauptvertrag“).

2.2 Dauer

Die Verarbeitung beginnt am 25.05.2018 und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.

3 - Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:

3.1 Art und Zweck der Verarbeitung

Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten. Die Verarbeitung dient folgendem Zweck: dem Ticketverkauf, der Buchführung, der Aufbereitung der Daten für den Steuerberater.

3.2 Art der Daten

Es werden folgende Daten verarbeitet:
• Vorname, Nachname, Adresse, Hausnummer, Postleitzahl, Ort, Land, Telefon Office, Telefon
Mobil, Telefax, eMail, USt-ID Nummer
3.2.1 Kategorien der betroffenen Personen
Von der Verarbeitung betroffen sind:

• Passagiere mit jeglichen Verkehrsmitteln
• Alle Rechnungsempfänger
• Alle Kunden im Vertragsverhältnis mit der SemiTimeS
• Alle Personen welche eine Bürgschaft an die SemiTimeS abgegeben haben
• Alle Schuldner
• Alle Linien-Genehmigungspartner im Nationalen und im Internationalem Personenverkehr

4 - Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
(2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
(3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
(4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich
schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
(5) Der Auftragnehmer sichertzu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
(6) Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
(7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die
Verarbeitung im Auftrag betroffen ist.
(8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger
Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er
unverzüglich an den Auftraggeber weiterleiten.
(9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige
Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten
keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den
Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die
Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter
bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
(10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche
Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
(11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen
verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-
Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der
Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

5 - Technische und organisatorische Maßnahmen

(1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen
Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht
unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen
hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber
unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
(3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
(4) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen
Datenbeständen strikt getrennt werden.
(5) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier
vereinbarten Datenschutzniveaus ausgeschlossen ist.
(6) Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
(7) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt
werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind
jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Einund Ausgänge werden dokumentiert.

6 - Regelungen zur Berichtigung, Löschung und Sperrung von Daten

(1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der
getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen,
löschen oder sperren.
(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

7 - Unterauftragsverhältnisse

(1) Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers im Einzelfall zugelassen.
(2) Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens
Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.
(3) Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.
(4) Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig
voneinander abzugrenzen.
(5) Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.
(6) Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
(7) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation unaufgefordert vorzulegen.
(8) Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.
(9) Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber unaufgefordert vorzulegen.
(10) Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der
Auftragnehmer gegenüber dem Auftraggeber.
(11) Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten
Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten
Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen
Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.
(12) Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von
Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des
Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit
sicherzustellen, bleibt unberührt.

8 - Rechte und Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen
können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber
unverzüglich dokumentiert bestätigen.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(4) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die
gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit
erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche
Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
(5) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

9 - Mitteilungspflichten

(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit
möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen,
der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen
Datensätze;
b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen
Anlaufstelle für weitere Informationen;
c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes
personenbezogener Daten;
d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen
Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und
gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
(2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen
datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
(4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34
Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

10 Weisungen
(1) Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes
Weisungsrecht vor.
(2) Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen
ausschließlich befugten Personen in Anlage 3.
(3) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
(4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
(5) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

11 Beendigung des Auftrags
(1) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399.
(2) Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei
Subunternehmern herbeizuführen.
(3) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen.
(4) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

12 Vergütung
Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte
Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht. Kostenfrei, sofern das Vertragsmuster des Auftragnehmers verwendet wird. Kostenpflichtig nach Vereinbarung, sofern der Vertrag individuell verhandelt werden soll. Kostenfrei, sofern das Vertragsmuster des Auftragnehmers und der online zur Verfügung gestellte Vertragstext (PDF-Dokument) verwendet werden. Der Auftragnehmer ist berechtigt, dem Auftraggeber eine  Aufwandspauschale in Höhe von 25,00 Euro (inkl. der gesetzlichen Umsatzsteuer) zu  berechnen, wenn der Kunde ein im Original unterschriebenes Vertragsdokument über den Postverkehr oder per Telefax erhalten möchte. Soweit der Kunde den Text des
Auftragsverarbeitungsvertrags verhandeln möchte, behält sich der Auftragnehmer die Vereinbarung einer aufwandsbezogenen Vergütung vor. Erfolgen Tätigkeiten der Verarbeitung des Auftragnehmers im Datenbestand des Kunden durch technische Zugriffe auf ausdrücklichen Wunsch und nach Weisung des Kunden, so weist der Auftragnehmer den Kunden auf eine eventuelle Kostenpflicht vor Annahme und Durchführung des Auftrags hin und vereinbart die Vergütung hierfür. Alle übrigen Leistungen des Kunden-Support sind in der Vergütung des Tarifs gemäß Hauptvertrag inbegriffen. Für die Mitwirkung eines Beschäftigten bei Überprüfungen/Inspektionen beim Auftragnehmer vor Ort ist der Auftragnehmer berechtigt, dem Kunden eine zeitaufwandsabhängige Vergütung nach einem Stundensatz in Höhe von 220,00 Euro (inkl. der gesetzlichen Umsatzsteuer) zu berechnen.

13 Haftung
(1) Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen
Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und
Auftragnehmer als Gesamtschuldner.
(2) Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung
verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den
Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der
Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen
ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der
Rechtsverteidigung.
(3) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine
Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm
eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten
vertraglichen Leistung schuldhaft verursachen.
(4) Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der
beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

14 Vertragsstrafe
(1) Bei Verstoß gegen die Abmachungen dieses Vertrages wird eine verschuldensunabhängige
Vertragsstrafe von € 100,00 je Einzelfall vereinbart. Die Vertragsstrafe wird insbesondere bei
Mängeln in der Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen
verwirkt. Bei dauerhaften Verstößen gilt jeder Kalendermonat, in dem der Verstoß ganz oder
teilweise vorliegt, als Einzelfall. Die Einrede des Fortsetzungszusammenhangs ist ausgeschlossen.
(2) Die Vertragsstrafe hat keinen Einfluss auf andere Ansprüche des Auftraggebers.

15 Sonderkündigungsrecht
(1) Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. (2) Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
(3) Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.
(4) Der Auftragnehmer hat dem Auftraggeber alle Kosten zu erstatten, die diesem durch die verfrühte Beendigung des Hauptvertrages oder dieses Vertrages in Folge einer außerordentlichen Kündigung durch den Aufraggeber entstehen.

16 Sonstiges
(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
(3) Für Nebenabreden ist die Schriftform erforderlich.
(4) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag
verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
(6) Erfüllungsort und Gerichtsstand wird München vereinbart.


Auftraggeber:

Ort: _______________den ________.


______________________________


______________________________
Auftragnehmer:

München, den


München, 25.05.2018 Semir Sabotic
______________________________
SemiTimeS UG (haftungsbeschränkt)
Semir Sabotic – Geschäftsführender Gesellschafter



Anlage 1 – Technische und organisatorische Maßnahmen

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

0. Auftragsverarbeiter
1. Zutrittskontrolle
2. Zugangskontrolle
3. Datenträgerkontrolle
4. Speicherkontrolle
5. Benutzerkontrolle
6. Übertragungskontrolle
7. Zugriffskontrolle
8. Eingabekontrolle
9. Transportkontrolle
10. Pseudonymisierung
11. Klassifikationsschema für Daten
12. Datenintegrität
13. Verfügbarkeitskontrolle
14. Wiederherstellbarkeit
15. Trennbarkeit
16. Zuverlässigkeit
17. Auftragskontrolle
18. Prüfung, Bewertung Evaluierung

Anlage 2 – Zugelassene Subdienstleister

PayPal:

Der Dienst PayPal wird von der PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg
bereitgestellt. Bei der Bezahlung mit PayPal wird man per Link auf die Webseite von PayPal weitergeleitet. Für die Nutzung dieses Dienstes erhebt, speichert und verarbeitet PayPal personenbezogenen Daten wie Namen, Adresse, Telefonnummer und E-Mail-Adresse sowie Kreditkarten- oder Bankkontodaten. Für den Schutz und den Umgang der von PayPal erhobenen Daten ist allein PayPal verantwortlich. Es gelten insofern die PayPal-Nutzungsbedingungen, die man
unter www.PayPal.com aufrufen kann. Weitere Informationen zum Umgang mit den Daten und die eventuelle Beauftragung Dritter findet man in der Datenschutzerklärung von PayPal, die unter dem folgenden Link abrufbar
ist: https://www.paypal.com/de/webapps/mpp/ua/privacy-full - Die SemiTimeS UG (haftungsbeschränkt) speichert keine
Finanzdaten des Kunden, diese werden ausschließlich durch den Paymentprovider erhoben, gespeichert und ggf. verarbeitet!

semiPAY:

Dienstleistungen für die Zahlung „semiPAY“ werden im Auftrag der SemiTimeS UG (haftungsbeschränkt) durch
FinTecSystems GmbH - Gottfried-Keller-Str. 33 - 81245 München - Deutschland, ausgeführt. Für die Nutzung dieser Dienste erheben, speichern und verarbeiten SemiTimeS UG (haftungsbeschränkt) und FinTecSystems GmbH personenbezogene Daten gemäß der SemiTimeS UG (haftungsbeschränkt) und der FinTecSystems GmbH  Nutzungsbedingungen, und sind für den rechtmäßigen Umgang mit diesen verantwortlich. Weitere Informationen hierzu
findet man in den Datenschutzrichtlinien von SemiTimeS UG (haftungsbeschränkt) unter http://dsgvo.link und von
FinTecSystems GmbH unter https://fintecsystems.com/datenschutz - Die SemiTimeS UG (haftungsbeschränkt) speichert
keine Finanzdaten des Kunden, diese werden ausschließlich durch den Paymentprovider erhoben, gespeichert und ggf.
verarbeitet!

Cash Payment Solutions GmbH:

Dienstleistungen für die Zahlung „barzahlen“ werden durch die Cash Payment Solution GmbH - Wallstr. 14a - 10179 Berlin – Deutschland, erbracht.
Für die Nutzung dieser Dienste erhebt, speichert und verarbeitet Cash Payment Solution GmbH personenbezogene Daten gemäß der Cash Payment Solution GmbH Nutzungsbedingungen, und ist für den rechtmäßigen Umgang mit diesen verantwortlich. Weitere Informationen hierzu findet man in den Datenschutzrichtlinien von Cash Payment Solution GmbH unter https://www.barzahlen.de/de/datenschutz - Die SemiTimeS UG (haftungsbeschränkt) speichert keine Finanzdaten des Kunden, diese werden ausschließlich durch den Paymentprovider erhoben, gespeichert und ggf. verarbeitet!

SumUp Payments Limited:

Dienstleistungen für die Zahlungen „VISA“, „MasterCard“, „maestro“, „American Express“, „Apple Pay“ und für „Android
Pay“ werden durch SumUp Payments Limited 32 - 34 Great Marlborough St W1F 7JB London, UK, erbracht.
Für die Nutzung dieser Dienste erhebt, speichert und verarbeitet SumUp Payments Limited personenbezogene Daten gemäß der SumUp Payments Limited Nutzungsbedingungen, und ist für den rechtmäßigen Umgang mit diesen verantwortlich. Weitere Informationen hierzu findet man in den Datenschutzrichtlinien von SumUp Payments Limited unter
https://sumup.de/datenschutzbestimmungen - Die SemiTimeS UG (haftungsbeschränkt) speichert keine Finanzdaten des
Kunden, diese werden ausschließlich durch den Paymentprovider erhoben, gespeichert und ggf. verarbeitet!

myPOS World Ltd.:

Dienstleistungen für die Zahlungen "VISA", "MasterCard", "maestro", "American Express", "UnionPay", "JCB", "Bancontact", "Apple Pay", "Android Pay" und "Krypto" werden durch myPOS World Ltd. - 36 Knightsbridge, London, SW1X 7JN, United Kingdom, erbracht.
Für die Nutzung dieser Dienste erhebt, speichert und verarbeitet myPOS World Ltd. personenbezogene Daten gemäß der
myPOS World Ltd. Nutzungsbedingungen, und ist für den rechtmäßigen Umgang mit diesen verantwortlich. Weitere
Informationen hierzu findet man in den Datenschutzrichtlinien von myPOS World Ltd. unter  https://www.mypos.eu/de/terms-conditions - Die SemiTimeS UG (haftungsbeschränkt) speichert keine Finanzdaten des Kunden, diese werden ausschließlich durch den Paymentprovider erhoben, gespeichert und ggf. verarbeitet!

Sofort GmbH:

Dienstleistungen für die Zahlungen“ Klarna – SOFORT“ für Sofortüberweisung werden durch Sofort GmbH - Theresienhöhe 12 - 80339 München - Deutschland, erbracht.
Für die Nutzung dieser Dienste erhebt, speichert und verarbeitet Sofort GmbH personenbezogene Daten gemäß der Sofort GmbH Nutzungsbedingungen, und ist für den rechtmäßigen Umgang mit diesen verantwortlich. Weitere Informationen hierzu findet man in den Datenschutzrichtlinien von Sofort GmbH unter https://www.sofort.de/datenschutz.html - Die SemiTimeS UG (haftungsbeschränkt) speichert keine Finanzdaten des Kunden, diese werden ausschließlich durch den Paymentprovider erhoben, gespeichert und ggf. verarbeitet!

PHCOM Informatik:

PHCOM Informatik: - Badstr. 38 - 70372 Stuttgart, namentlich Philipp Stäbler, speichert, als SUB-Unternehmen der SemiTimeS UG (haftungsbeschränkt), Personenbezogenedaten zum Zweck der Ticket-Erstellung, welche durch den Auftraggeber bestimmt ist. Die Daten werden auf dem Server der Firma Hetzner Online GmbH - Industriestr. 25 - 91710 Gunzenhausen in Deutschland gehostet. Durch den Auftraggeber, die SemiTimeS UG (haftungsbeschränkt) werden durch PHCOM – Informatik, namentlich Philipp Stäbler folgende Daten erfasst: Vorname, Nachname, Telefon-Nr. und eMail Adresse. Wenn der Kunde eine Rechnung wünscht, so werden hierfür die Adressendaten: Straße, Hausnummer, Postleitzahl, Ort, Land und ggf. die USt. ID erfasst. Weitere Informationen hierzu findet man in den Datenschutzrichtlinien von PHCOM Informatik unter https://www.phcom.de/datenschutzerklaerung.html Die Daten werden unverändert an die SemiTimeS über die System-API zur Abholung bereitgestellt. Die SemiTimeS UG (haftungsbeschränkt) verarbeitet diese Daten zum Zwecke der Rechnungstellung an den Fahrgast und zum Zwecke der Betreiberabrechnung sowie zur Erstellung Finanzberichte zur Auszahlung an Affiliatepartner und Agenturen und gibt diese Daten an das  Beförderungsunternehmen als Auftraggeber der SemiTimeS UG (haftungsbeschränkt) weiter.

SR Buchungsservice München UG (haftungsbeschränkt):

Zum Zweck der Buchführung und der Datenaufbereitung für den Steuerberater leitet die SemiTimeS UG (haftungsbeschränkt) Personenbezogenedaten an „SR Buchungsservice München UG (haftungsbeschränkt) -
Morassistr. 8 - 80469 München“ weiter. Bei den Weitergeleiteten Daten handelt es sich ausschließlich um Rechnungsrelevantendaten welche den Rechnungsaufbewahrungsfristen unterliegen. Die Daten werden auf dem Server der Firma Wolters Kluwer Software und Service GmbH - Stuttgarter Straße 35 - 71638 Ludwigsburg in Deutschland, gehostet. Weitere Informationen hierzu findet man in den Datenschutzrichtlinien von SR Buchungsservice München
UG (haftungsbeschränkt) unter https://www.buchhalter-in-münchen.de/datenschutz.php Wenn die Buchführung durch die SemiTimeS UG (haftungsbeschränkt) aufbereitet wird, werden die Kundendaten des Kunden der SemiTimeS, welcher die Buchführungsaufbereitung beauftragt hat, an SR Buchungsservice München UG (haftungsbeschränkt) zur weiteren Bearbeitung zum Zwecke der Erstellung der Buchführung, weitergeleitet.

Anlage 3 – Weisungsberechtige Personen

Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen befugt:

SemiTimeS UG (haftungsbeschränkt)
Weisungsbefugt ggü. Sub-Unternehmer: Semir Sabotic
Für Entgegennahme von Weisungen für die SemiTimeS befugt: Semir Sabotic



Vertragspartner:

Weisungsbefugter:

Für Weisungsentgegennahme befugt:
____________________________________

____________________________________

____________________________________