Allgemeine Geschäftsbedingungen (AGB) mit Auftragsverarbeitungsvertrag (AVV)
für die Leistungen von

Jan Froboese - LeaderLogic, TheExpertSystem, MarketLeaders.App

Im Mediapark 12, 50670 Köln

1. Geltungsbereich und Vertragspartner

Diese AGB gelten für alle Verträge über die von Jan Froboese – handelnd unter den Marken

LeaderLogic und TheExpertSystem – angebotenen strategischen Marketingberatungen und

„Done-for-You“-Marketing-Dienstleistungen sowie die optionale Nutzung der MarketLeaders App durch den Kunden. Jan Froboese wird nachfolgend als „Anbieter" bezeichnet, der Vertragspartner als „Kunde“. Die Leistungen richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB (keine Verbraucher). Einbeziehung des AVV: Soweit der Anbieter im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeitet, gelten zusätzlich die Bestimmungen des integrierten

Auftragsverarbeitungsvertrags (AVV)

gemäß Art. 28 DSGVO unter Abschnitt 7. Dieser AVV bildet einen Bestandteil des Vertrags mit dem Kunden.

Eigenständige Datenverarbeitung des Anbieters:

Diese AGB und der AVV gelten ausschließlich für die Auftragsverarbeitung von Daten im Rahmen der vom Kunden beauftragten Leistungen. Nicht erfasst ist die Verarbeitung personenbezogener Daten, die der Anbieter in eigener Verantwortlichkeit

durchführt – etwa der Betrieb seiner eigenen Website oder die eigene Kundenverwaltung. Für solche eigenen Verarbeitungen gelten die Datenschutzhinweise des Anbieters und die jeweils anwendbaren Datenschutzgesetze, nicht dieser Vertrag.

2. Vertragsgegenstand und Leistungsumfang
Leistungsbeschreibung:

Der Anbieter erbringt für den Kunden umfassende Leistungen im Bereich

Marketing und Vertrieb

, insbesondere: strategische Marketing- und Vertriebsberatung, Konzeption und Umsetzung von

Performance-Marketing-Kampagnen

(z. B. Google Ads, Meta/Facebook Ads), Aufbau von Marketing-Funnels,

Copywriting

für Werbetexte, Erstellung verkaufspsychologisch optimierter

Landing Pages

, Implementierung von

E-Mail-Marketing

-Kampagnen und vergleichbare

„Done-for-You“

-Marketingdienstleistungen. Diese Aufzählung ist beispielhaft; der konkrete Leistungsumfang ergibt sich aus dem jeweiligen Angebot oder Projektvertrag zwischen Anbieter und Kunde. Der Anbieter schuldet die sorgfältige Erbringung der vereinbarten Dienstleistungen,

nicht jedoch einen bestimmten werblichen Erfolg

(z. B. bestimmte Umsatzziele).

Optional: MarketLeaders App:

Auf

Wunsch des Kunden

kann der Anbieter dem Kunden als zusätzlichen Service Zugang zur

MarketLeaders App

bereitstellen. Hierbei handelt es sich um eine technische Plattform, welche bestimmte Marketingprozesse (z. B. Lead-Management, Kommunikation oder Analysen) unterstützen kann. Die Nutzung der App ist

freiwillig

und

kein notwendiger Bestandteil

der Beratungs- und Marketingdienstleistungen. Sie wird nur bereitgestellt, wenn und solange der Kunde dies wünscht. Im Vertrag wird die App nur insoweit erwähnt, wie es für Transparenz und Datenschutz erforderlich ist – insbesondere in Abschnitt 7 (Datenschutz/AVV).

Leistungserbringung:

Der Anbieter erbringt die Leistungen in enger Abstimmung mit dem Kunden. Soweit erforderlich, erstellt der Anbieter zunächst ein Konzept oder einen Plan, den der Kunde freigibt. Anschließend führt der Anbieter die operativen Maßnahmen (Kampagnenschaltung, Erstellung von Inhalten etc.) durch oder unterstützt den Kunden dabei. Der Anbieter ist berechtigt, zur Leistungserbringung nach Rücksprache mit dem Kunden

Dritte

(Mitarbeiter, freie Mitarbeiter oder technische Dienstleister) heranzuziehen, bleibt aber gegenüber dem Kunden verantwortlich für die ordnungsgemäße Erfüllung der Leistungen.

3. Mitwirkungspflichten und Verantwortlichkeit des Kunden
Der Kunde trägt die volle Verantwortung für alle Inhalte der Website sowie für alle in den Marketing- und Werbemaßnahmen verwendeten Materialien. Dies umfasst insbesondere, aber nicht ausschließlich, Texte, Bilder, Grafiken, Videos, Produktbeschreibungen und alle anderen Werbemittel. Der Kunde stellt sicher, dass alle von ihm gelieferten oder freigegebenen Inhalte

rechtmäßig

sind, keine Rechte Dritter (z. B. Urheberrechte, Markenrechte) verletzen und den geltenden

gesetzlichen Bestimmungen

(insbesondere Datenschutz-, Wettbewerbs- und Medienrecht) entsprechen.

Der Anbieter übernimmt keine Verantwortung für die

Rechtmäßigkeit der Inhalte

und übernimmt auch keine Haftung für die Veröffentlichung von Inhalten, die der Kunde zur Nutzung auf der Website oder in Werbemaßnahmen bereitstellt. Der Kunde ist verpflichtet,

selbstständig zu kontrollieren

, welche Werbemittel und Inhalte er öffentlich zugänglich macht und zu überprüfen, dass diese in Übereinstimmung mit den gesetzlichen Vorgaben stehen.

Zugang und Informationen: Der Kunde stellt alle für das Projekt nötigen Informationen rechtzeitig zur Verfügung. Er sorgt für erforderliche Zugänge (z. B. zu Werbeplattformen, bestehenden Webseiten, CRM-Systemen) und erteilt dem Anbieter die nötigen Berechtigungen, um Kampagnen in seinem Namen durchzuführen.Kooperation: Der Kunde wird Anfragen des Anbieters zeitnah beantworten und Zwischenstände (z. B. Entwürfe von Werbetexten oder Layouts) innerhalb angemessener Frist prüfen sowie freigeben oder Änderungswünsche mitteilen. Verzögerungen, die auf eine ausbleibende Mitwirkung des Kunden zurückzuführen sind (z. B. verspätete Freigaben oder fehlende Informationen), verlängern vereinbarte Fristen entsprechend; der Anbieter haftet nicht für daraus resultierende Verzögerungen oder Nichterreichen von Zielen.Inhalte und rechtliche Zulässigkeit: Der Kunde trägt die volle inhaltliche und rechtliche Verantwortung für die vom Anbieter im Rahmen des Auftrags erstellten oder verwendeten Inhalte und Kampagnen. Der Kunde stellt sicher, dass sämtliche Materialien, die er dem Anbieter zur Verfügung stellt oder dessen Einsatz er veranlasst (Text, Bild, Video, Grafiken, Produktangaben, Keywords etc.), rechtmäßig verwendet werden dürfen. Insbesondere liegt es in der Verantwortung des Kunden, dass:keine Rechte Dritter (z. B. Urheberrechte, Markenrechte, Persönlichkeitsrechte) verletzt werden,die Inhalte wahrheitsgemäß und nicht irreführend sind sowie den wettbewerbsrechtlichen Vorgaben (z. B. UWG) entsprechen, undetwaige erforderliche Pflichtangaben oder -hinweise (z. B. Impressum, Werbekennzeichnung, Disclaimer) bei den eingesetzten Werbemitteln enthalten sind.Keine Rechts- oder Datenschutzberatung: Der Anbieter weist ausdrücklich darauf hin, dass er keine Rechtsberatung oder Datenschutzberatung erbringt. Die Prüfung der rechtlichen Zulässigkeit der vom Kunden gewünschten Marketing-Maßnahmen (inkl. Datenschutzkonformität) obliegt allein dem Kunden. Der Kunde hat selbstständig dafür zu sorgen, dass z. B. Werbeaussagen zulässig sind und dass beim Einsatz personenbezogener Daten (für E-Mail-Marketing, Targeting etc.) die Datenschutzanforderungen erfüllt sind (z. B. Einwilligungen der Betroffenen liegen vor). Gegebenenfalls sollte der Kunde hierfür fachkundigen rechtlichen Rat einholen.Datenschutz und Einwilligungen: Sofern der Kunde dem Anbieter personenbezogene Daten Dritter (etwa Kunden- oder Interessentendaten, E-Mail-Listen) zur Verarbeitung überlässt oder den Anbieter anweist, solche Daten zu verarbeiten, bestätigt der Kunde, dass er hierzu berechtigt ist. Der Kunde ist insbesondere dafür verantwortlich, etwaig erforderliche Einwilligungen der betroffenen Personen eingeholt zu haben oder andere Rechtsgrundlagen gemäß DSGVO nachweisen zu können. Der Kunde stellt dem Anbieter auf Verlangen entsprechende Nachweise oder Texte (z. B. Muster der Einwilligungserklärung, Datenschutzhinweise) zur Verfügung.Freigabe von Ergebnissen: Der Anbieter wird dem Kunden entworfene Inhalte (z. B. Werbetexte, Designentwürfe) zur Freigabe vorlegen. Der Kunde prüft diese umgehend auf Richtigkeit, Vollständigkeit und Rechtmäßigkeit. Mit der Freigabe übernimmt der Kunde die Verantwortung dafür, dass die Inhalte wie freigegeben verwendet werden dürfen.Informationspflichten: Der Kunde informiert den Anbieter unverzüglich, falls er Unregelmäßigkeiten oder Rechtsverstöße im Zusammenhang mit der Leistungserbringung feststellt oder von Dritten darauf hingewiesen wird. Gleiches gilt, falls eine Behörde Kontakt zum Kunden bezüglich der durchgeführten Marketingmaßnahmen oder Datenverarbeitungen aufnimmt.

Verletzt der Kunde seine Mitwirkungspflichten oder gibt er rechtswidrige Anweisungen, und entsteht dadurch ein Schaden oder Aufwand, kann der Anbieter einen angemessenen Ausgleich (z. B. Terminverschiebung, Kostenerstattung) verlangen. Gesetzliche Ansprüche des Anbieters bleiben unberührt.

4. Pflichten des Anbieters und Leistungsdurchführung

Der

Anbieter

erbringt seine Leistungen

fachgerecht und mit der gebotenen Sorgfalt

gemäß den getroffenen Vereinbarungen:

Qualität und Sorgfalt: Der Anbieter verpflichtet sich, die übernommenen Aufgaben nach bestem Wissen und Gewissen sowie entsprechend dem aktuellen Stand der Technik und der Branche auszuführen. Er berücksichtigt die Zielvorgaben des Kunden und wird wirtschaftlich sinnvolle Maßnahmen vorschlagen.Einsatz von Personal und Dritten: Der Anbieter kann zur Durchführung der Leistungen qualifizierte Mitarbeiter, freie Mitarbeiter oder spezialisierte Subunternehmer hinzuziehen. Der Anbieter stellt sicher, dass alle von ihm Beauftragten die vertraglichen Vertraulichkeits- und Datenschutzpflichten einhalten (siehe Abschnitt 7). Bei Einschaltung Dritter bleibt der Anbieter verantwortlich für deren Leistung gegenüber dem Kunden.Kommunikation und Abstimmung: Der Anbieter hält den Kunden über den Fortschritt der Projekte auf dem Laufenden und holt bei allen wesentlichen Schritten (z. B. Veröffentlichung von Kampagnen, Budgetänderungen, Live-Schaltung von Websites) das Einverständnis des Kunden ein. Erreichbare Zielwerte (KPIs) oder Erwartungen des Kunden werden besprochen, sind jedoch – sofern nicht ausdrücklich garantiert – als Planungs- bzw. Richtwerte zu verstehen, nicht als zugesicherte Eigenschaften.Plattform-Richtlinien und Gesetzesverstöße: Sollte der Anbieter feststellen, dass eine Anweisung des Kunden oder ein vom Kunden geliefertes Material gegen gesetzliche Bestimmungen oder gegen Richtlinien von genutzten Drittplattformen (z. B. Werberichtlinien von Google oder Meta) verstößt, wird er den Kunden darauf hinweisen. Der Anbieter ist berechtigt, die Umsetzung einer offensichtlich rechtswidrigen Anweisung abzulehnen oder bis zur Rechtsklärung auszusetzen. Dies gilt entsprechend, wenn ein beauftragter Dienst von einer Plattform gesperrt oder eingeschränkt wird (z. B. Konto-Deaktivierung durch einen Werbeanbieter aufgrund policy violations). In solchen Fällen bemühen sich beide Parteien um eine schnelle Klärung. Eine Haftung des Anbieters für Verzögerungen oder Schäden aufgrund der berechtigten Verweigerung rechtswidriger Weisungen ist ausgeschlossen.Vertraulichkeit: Der Anbieter behandelt alle Geschäfts- und Betriebsgeheimnisse des Kunden, die ihm im Rahmen des Vertrags bekannt werden, vertraulich. Solche Informationen dürfen nur insoweit an Dritte weitergegeben werden, wie es zur Vertragserfüllung erforderlich ist oder der Kunde zugestimmt hat. Die Vertraulichkeitsverpflichtung bleibt auch nach Beendigung des Vertrags bestehen.Lieferfristen: Sofern Fristen oder feste Termine vereinbart wurden, wird der Anbieter diese nach Kräften einhalten. Bei Verzögerungen, die nicht vom Anbieter zu vertreten sind (z. B. höhere Gewalt, Mitwirkungsverzug des Kunden, Ausfälle von Drittanbietern), verlängern sich Fristen angemessen. Der Anbieter wird den Kunden über absehbare Verzögerungen informieren.

5. Vergütung und Zahlungsbedingungen

Vergütungshöhe: Die vom Kunden für die Leistungen des Anbieters zu zahlende Vergütung ergibt sich aus dem individuellen Angebot bzw. der Auftragsbestätigung. Alle Vergütungen verstehen sich netto zuzüglich gesetzlicher Umsatzsteuer, sofern nicht ausdrücklich Bruttopreise genannt sind.Zusatzkosten: Etwaige Direktkosten für Werbemaßnahmen (z. B. Werbebudget für Klickkosten bei Google/Facebook) oder für Dritt-Tools und Lizenzen (z. B. spezielle Software, externe Dienste), die im Rahmen der Marketingmaßnahmen anfallen, sind – soweit nicht anders vereinbart – nicht in der Vergütung des Anbieters enthalten. Solche Kosten trägt der Kunde entweder durch Direktzahlung an den jeweiligen Anbieter (z. B. Abrechnung des Werbebudgets direkt mit Google) oder sie werden dem Kunden zum Selbstkostenpreis weiterberechnet. Der Anbieter stimmt dies vorab mit dem Kunden ab.Fälligkeit: Sofern nichts Abweichendes vereinbart ist, wird die Vergütung nach Leistungserbringung in Rechnung gestellt. Bei fortlaufenden Dienstleistungen oder Projekten über mehrere Monate kann der Anbieter Teilabrechnungen oder monatliche Abrechnungen vornehmen. Rechnungen sind, sofern nicht anders angegeben, innerhalb von 14 Kalendertagen ab Rechnungsdatum ohne Abzug zur Zahlung fällig.Zahlungsverzug: Kommt der Kunde in Zahlungsverzug, ist der Anbieter berechtigt, gesetzliche Verzugszinsen zu berechnen (§ 288 BGB). Bei Unternehmen beträgt der Verzugszinssatz 9 Prozentpunkte über dem Basiszinssatz p.a. Der Anbieter kann zudem weitere durch den Verzug entstehende Mahnkosten geltend machen. Befindet sich der Kunde mit einer fälligen Zahlung in Verzug, darf der Anbieter nach schriftlicher Vorankündigung die weitere Leistung bis zum Ausgleich zurückstellen. Gesetzliche Ansprüche (z. B. auf Schadensersatz oder Vertragskündigung aus wichtigem Grund) bleiben unberührt.Aufrechnungsverbot: Der Kunde kann nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen gegen Ansprüche des Anbieters aufrechnen. Ein Zurückbehaltungsrecht kann der Kunde nur geltend machen, soweit es auf demselben Vertragsverhältnis beruht.Spesen und Reisekosten: Erfordert die Leistungserbringung Reisen oder besondere Aufwendungen, werden diese dem Kunden vorab angezeigt und nur bei Zustimmung durchgeführt. Der Kunde erstattet solche notwendigen Auslagen (z. B. Reisekosten nach den steuerlich anerkannten Pauschalen, Übernachtungskosten, Verpflegungspauschalen, Materialkosten) gegen Nachweis.

6. Haftung und Haftungsbeschränkung

Haftungsgrundsätze:

Der Anbieter haftet dem Kunden gegenüber auf Schadensersatz – gleich aus welchem Rechtsgrund –

nur nach Maßgabe der folgenden Regelungen:

Unbeschränkte Haftung: Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. Ebenso haftet der Anbieter unbeschränkt nach den Bestimmungen des Produkthaftungsgesetzes, sofern diese anwendbar sind.Beschränkte Haftung bei einfacher Fahrlässigkeit: Bei einfach fahrlässiger Verletzung einer wesentlichen Vertragspflicht haftet der Anbieter der Höhe nach begrenzt auf den vertragstypisch vorhersehbaren Schaden. Wesentliche Vertragspflichten (Kardinalpflichten) sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.Haftungsausschluss: Im Übrigen ist eine Haftung des Anbieters bei einfacher Fahrlässigkeit – vorbehaltlich der vorstehenden Regelung zu wesentlichen Pflichten – ausgeschlossen. Insbesondere haftet der Anbieter nicht für entgangenen Gewinn, ausgebliebene Einsparungen, indirekte Schäden, mittelbare Folgeschäden oder sonstige Vermögensschäden des Kunden.Erfolg im Marketing: Der Anbieter gibt keine Garantie für einen bestimmten wirtschaftlichen Erfolg der Marketingmaßnahmen. Die Haftung für ausbleibenden Erfolg (z. B. nicht erzielte Umsätze oder Gewinne, niedrige Konversionsraten, ausbleibende Leads) ist ausgeschlossen, soweit nicht ausnahmsweise eine ausdrückliche Zusicherung hierfür gegeben wurde.Rechtliche Risiken und Inhalte: Für die rechtliche Zulässigkeit der vom Kunden beauftragten Maßnahmen und Inhalte übernimmt der Anbieter – soweit gesetzlich zulässig – keine Haftung. Sollte der Anbieter dennoch aufgrund der vom Kunden vorgegebenen Inhalte oder Anweisungen von Dritten (einschließlich Behörden) wegen Rechtsverletzungen in Anspruch genommen werden (z. B. wegen wettbewerbswidriger Werbung oder Datenschutzverstößen), gilt die nachfolgende Freistellungsklausel.

Freistellung:

Der

Kunde stellt den Anbieter von allen Ansprüchen Dritter

frei, die gegen den Anbieter wegen der Ausführung der vertraglichen Leistungen auf

Weisung oder nach Vorgaben des Kunden

geltend gemacht werden. Dies umfasst insbesondere Ansprüche wegen angeblicher Rechtsverletzungen durch Werbeinhalte, Kampagnen oder die Verarbeitung personenbezogener Daten, die der Anbieter gemäß dem Auftrag des Kunden vorgenommen hat. Die Freistellung umfasst auch etwaige

Bußgelder

von Aufsichtsbehörden sowie die erforderlichen

Rechtsverfolgungs- oder Rechtsverteidigungskosten

(inkl. Gerichts- und Anwaltskosten in gesetzlicher Höhe). Voraussetzung für die Freistellung ist, dass der Anbieter den Kunden unverzüglich über geltend gemachte Ansprüche informiert und dem Kunden – soweit zumutbar – die Verteidigung überlässt. Der Anbieter wird im Falle einer Inanspruchnahme durch Dritte keine Anerkenntnisse abgeben oder Vergleiche schließen, ohne dem Kunden Gelegenheit zur Stellungnahme zu geben. Gesetzliche weitergehende Ansprüche und Rechte des Anbieters bleiben von dieser Klausel unberührt.

Haftungsbeschränkung im Rahmen des AVV:

Für Schäden aus der Verletzung von Pflichten des Anbieters im Rahmen der Auftragsverarbeitung (Datenschutz) gelten die vorstehenden Haftungsbeschränkungen entsprechend. Soweit der Anbieter datenschutzrechtlich als Auftragsverarbeiter für den Kunden tätig wird, erfolgt eine etwaige Haftung gegenüber betroffenen Personen im Außenverhältnis gemäß Art. 82 DSGVO als Gesamtschuldner. Im Innenverhältnis vereinbaren die Parteien, dass der Kunde etwaige Verantwortlichkeiten für Datenschutzverstöße trägt, soweit diese aus seinen Weisungen, Unterlassungen oder anderen Sphäre stammen. Der Anbieter haftet dem Kunden gegenüber im Innenverhältnis nur für Verstöße, die auf einem schuldhaften Verstoß gegen die in diesem Vertrag ausdrücklich übernommenen Datenschutz-Pflichten beruhen.

7. Datenschutz und Auftragsverarbeitung (AVV)

Hinweis:

Die folgenden Bestimmungen zum Datenschutz und zur Auftragsverarbeitung gelten, wenn und soweit der Anbieter im Rahmen der Leistungserbringung personenbezogene

Daten im Auftrag

des Kunden verarbeitet (Art. 4 Nr. 8, Art. 28 DSGVO). Dieser Abschnitt 7 bildet den zwischen den Parteien geschlossenen

Auftragsverarbeitungsvertrag (AVV)

im Sinne von Art. 28 Abs. 3 DSGVO. Er legt Rechte und Pflichten des Kunden als

Verantwortlicher

und des Anbieters als

Auftragsverarbeiter

fest. Die Bestimmungen gelten

ausschließlich

für Daten, die der Anbieter zur Erfüllung der vertraglichen Pflichten

im Auftrag des Kunden

verarbeitet. Nicht erfasst sind Datenverarbeitungen, für die der Anbieter datenschutzrechtlich selbst Verantwortlicher ist (siehe Abschnitt 1, letzter Absatz).

7.1 Gegenstand und Dauer der Verarbeitung

Gegenstand:

Der Anbieter verarbeitet für den Kunden personenbezogene Daten, um die vertraglich vereinbarten Marketing- und Beratungsleistungen zu erbringen. Dies umfasst beispielsweise die Verwaltung von Kontaktlisten, den Versand von E-Mails, die Analyse von Kampagnenergebnissen, die Einrichtung von Landing Pages mit Formularen sowie gegebenenfalls die Nutzung der MarketLeaders App zur Unterstützung dieser Aktivitäten.

Dauer:

Die Verarbeitung erfolgt für die

Dauer der Vertragslaufzeit

. Mit Beendigung des Vertrags und Abschluss aller Leistungsbestandteile werden die im Auftrag verarbeiteten personenbezogenen Daten nach Maßgabe dieses AVV entweder gelöscht oder dem Kunden zurückgegeben (siehe Abschnitt 7.11), sofern nicht gesetzliche Aufbewahrungspflichten bestehen.

7.2 Art und Zweck der Verarbeitung

Der Anbieter verarbeitet die personenbezogenen Daten

ausschließlich

zu dem Zweck, die vom Kunden beauftragten Marketingdienstleistungen auszuführen. Die Art der Verarbeitung umfasst alle hierfür notwendigen Vorgänge, insbesondere:

Erhebung und Speicherung von Daten: z. B. Speicherung von Kunden- oder Interessentendaten des Kunden in einem CRM-System oder der MarketLeaders App, Erfassung von Antworten auf Werbemaßnahmen (Leads).Organisation und Anpassung: Strukturierung der Daten für Marketingzwecke, Segmentierung von Kontaktlisten, Anreicherung oder Aktualisierung von Datensätzen gemäß Kundenanweisungen.Nutzung und Übermittlung: Verwendung der Daten für die Durchführung von Kampagnen, z. B. Personalisierung von E-Mails, Ausspielen zielgerichteter Werbung (Targeting) oder Übergabe von Daten an Werbeplattformen (z. B. Hochladen von Kundenlisten in Ads-Systeme), soweit vom Kunden gewünscht.Auswertung: Analyse des Nutzerverhaltens und Kampagnenerfolgs (z. B. Öffnungsraten, Klickverhalten bei E-Mail-Kampagnen, Konversionsraten auf Landing Pages), Erstellung von Reports für den Kunden.Löschung oder Rückgabe: Sperrung, Löschung oder Rückübertragung der Daten nach Weisung des Kunden, insbesondere am Vertragsende oder auf Verlangen zwischendurch.

Eine Verarbeitung der Daten zu

anderen Zwecken

, insbesondere für eigene Zwecke des Anbieters oder Dritter, findet

nicht

statt. Der Anbieter wird keine personenbezogenen Daten, die ihm vom Kunden zur Verarbeitung überlassen wurden, ohne Anweisung des Kunden an Dritte weitergeben (Ausnahme: in zulässiger Weise eingesetzte Unterauftragsverarbeiter gemäß Abschnitt 7.7).

7.3 Art der Daten und Kategorien betroffener Personen

Arten personenbezogener Daten:

Es werden je nach Auftrag unterschiedliche Kategorien personenbezogener Daten verarbeitet, die der Kunde dem Anbieter bereitstellt oder die im Rahmen der Kampagnen anfallen können. Typischerweise umfasst dies:

Kontaktdaten: z. B. Namen, Titel, Anschrift, E-Mail-Adressen, Telefonnummern von Kunden oder Interessenten des Kunden.Kommunikationsdaten: Inhalte von E-Mails oder Nachrichten, die an diese Personen versendet werden, sowie deren Reaktionen (z. B. Antworten, Interaktionen).Nutzungsdaten: Informationen über das Verhalten der Personen in Reaktion auf Marketingmaßnahmen, z. B. Öffnungs- und Klickraten bei Newslettern, besuchte Webseiten oder ausgefüllte Formulare (inkl. Zeitpunkt, IP-Adresse, ggf. Cookie-Kennungen, Browser-Informationen).Vertrags- und Abrechnungsdaten: Sofern relevant, Daten zu Bestellungen oder Transaktionen, die aus den Kampagnen resultieren (z. B. wenn Leads zu Käufen führen), allerdings nur in Zusammenfassung, soweit vom Kunden bereitgestellt oder verfolgt.Sonstige Datenkategorien: Alle weiteren personenbezogenen Daten, die der Kunde dem Anbieter im Rahmen des Projekts zur Verarbeitung anvertraut, z. B. Angaben zu Präferenzen der Kontakte, Ergebnissen von Umfragen, etc., sofern diese erforderlich sind.

Betroffene Personen:

Die Kategorien betroffener Personen (Daten subjektiver) umfassen insbesondere

Kunden, Interessenten, Nutzer oder Geschäftspartner

des Kunden, deren Daten im Rahmen der Marketingmaßnahmen verarbeitet werden. Dies können z. B. Empfänger eines E-Mail-Newsletters des Kunden, Besucher der Website des Kunden, Teilnehmer an einer Marketingaktion oder sonstige Kontaktpersonen sein, die der Kunde dem Anbieter für eine Ansprache benennt. Gegebenenfalls werden auch

Mitarbeiter des Kunden

erfasst, soweit diese in die Kommunikation eingebunden sind oder als Ansprechpartner fungieren.

7.4 Pflichten des Anbieters als Auftragsverarbeiter

Der Anbieter (als Auftragsverarbeiter) verpflichtet sich gegenüber dem Kunden zu strikter Einhaltung der folgenden Vorgaben nach Art. 28 Abs. 3 DSGVO:

Weisungsgebundenheit: Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden. Die Initialisierung dieses Vertrags sowie etwaige schriftliche oder in Textform erteilte Anweisungen (z. B. per E-Mail) gelten als solche Weisungen. Verarbeitet der Anbieter Daten aufgrund einer rechtlichen Verpflichtung (EU- oder Mitgliedstaatenrecht), wird er den Kunden vorab darüber informieren, sofern das betreffende Recht dies nicht verbietet.Vertraulichkeit: Der Anbieter stellt sicher, dass alle Personen, die bei ihm Zugriff auf die personenbezogenen Daten des Kunden haben (Mitarbeiter wie ggf. eingesetzte Subunternehmer), zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Personenbezogene Daten des Kunden dürfen nur solchen Mitarbeitern zugänglich gemacht werden, die diese Kenntnis zur Erfüllung der jeweiligen Aufgabe benötigen (“need-to-know”-Prinzip).Sicherheit der Verarbeitung: Der Anbieter ergreift alle angemessenen technischen und organisatorischen Maßnahmen (TOMs), die erforderlich sind, um ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO zu gewährleisten (siehe Abschnitt 7.6 für Details). Diese Maßnahmen umfassen insbesondere Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Der Anbieter überprüft regelmäßig die Wirksamkeit der getroffenen Sicherheitsmaßnahmen und passt sie bei Bedarf an.Unterauftragsverarbeiter: Der Anbieter setzt etwaige weitere Auftragsverarbeiter (Subunternehmer) nur unter den in Abschnitt 7.7 genannten Bedingungen ein. Insbesondere darf ein weiterer Auftragsverarbeiter nur beauftragt werden, wenn der Kunde vorher generell oder im Einzelfall zugestimmt hat und mit dem Subunternehmer ein dem Inhalt dieses AVV entsprechender Vertrag geschlossen wird.Unterstützung bei Betroffenenrechten: Der Anbieter unterstützt den Kunden – soweit möglich – mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anfragen von betroffenen Personen nachzukommen. Dies betrifft insbesondere die Wahrnehmung von Rechten auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Werbemaßnahmen. Erhält der Anbieter entsprechende Anfragen direkt von Betroffenen, wird er diese ohne unnötige Verzögerung an den Kunden weiterleiten und bis zur Weisung des Kunden nicht darauf antworten, es sei denn, er ist gesetzlich dazu verpflichtet.Unterstützung des Verantwortlichen: Der Anbieter unterstützt den Kunden ferner bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, soweit diese auf die vom Anbieter durchgeführten Verarbeitungen anwendbar sind. Dazu zählen:Unterstützung bei der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen (Art. 33, 34 DSGVO), indem der Anbieter den Kunden unverzüglich über relevante Vorfälle informiert und erforderliche Details mitteilt (siehe auch Abschnitt 7.9).Unterstützung bei der Erstellung von Datenschutz-Folgenabschätzungen (DSFA), sofern die vom Anbieter durchgeführte Verarbeitung dies erfordert und der Kunde den Anbieter um Mitwirkung bittet (Art. 35 DSGVO).Unterstützung bei der Durchführung einer vorherigen Konsultation mit der Aufsichtsbehörde (Art. 36 DSGVO), falls dies gesetzlich vorgeschrieben ist, durch Bereitstellung relevanter Informationen über die vom Anbieter durchgeführten Verarbeitungsvorgänge.Keine eigene Verarbeitung für eigene Zwecke: Der Anbieter wird die überlassenen personenbezogenen Daten nicht für eigene Zwecke verarbeiten und insbesondere weder an Dritte außerhalb des Rahmens dieses Vertrags weitergeben noch für eigene Marketingzwecke nutzen. Ausgenommen sind gesetzliche Aufbewahrungspflichten oder Fälle, in denen der Kunde einer bestimmten Weitergabe ausdrücklich zustimmt.Mitteilungspflichten: Sollte dem Anbieter ein Verstoß gegen Datenschutzvorschriften oder die hier vereinbarten Pflichten unterlaufen, wird er den Kunden unverzüglich in Kenntnis setzen. Gleiches gilt, falls nach Einschätzung des Anbieters eine Weisung des Kunden gegen geltendes Datenschutzrecht verstößt; in diesem Fall wird der Anbieter die Ausführung der Weisung aussetzen, bis sie vom Kunden bestätigt oder geändert wird (siehe Weisungsrecht, Abschnitt 7.10).Löschung und Rückgabe nach Auftragsende: Nach Abschluss der Verarbeitung gemäß Vertrag – spätestens mit Beendigung des Vertrages – wird der Anbieter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Kunden entweder an den Kunden zurückgeben oder löschen. Gleiches gilt für etwaige vorhandene Kopien der Daten. Eine Protokollierung der Löschung kann auf Verlangen bereitgestellt werden. Gesetzliche Aufbewahrungspflichten des Anbieters bleiben unberührt; für deren Dauer darf der Anbieter die betreffenden Daten sperren statt sie zu löschen.Nachweispflichten und Audits: Der Anbieter stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem AVV festgelegten Pflichten nachzuweisen. Er ermöglicht und duldet in diesem Zusammenhang Überprüfungen/Audits durch den Kunden oder einen vom Kunden beauftragten Prüfer in angemessenem Umfang. Hierzu gehören insbesondere Datenschutzaudits oder Inspektionen, die der Kunde bei berechtigtem Interesse nach vorheriger Ankündigung (mindestens 14 Tage vorher) während der üblichen Geschäftszeiten durchführen darf. Der Anbieter kann dem Kunden zum Nachweis der Einhaltung auch aktuelle Zertifizierungen, Prüfberichte oder Audit-Berichte (z. B. nach ISO 27001 oder vergleichbaren Standards, falls vorhanden) vorlegen, welche die implementierten Maßnahmen dokumentieren. Soweit die zur Verfügung gestellten Informationen für den Nachweis ausreichen, kann der Anbieter ein Verlangen nach physischen Vor-Ort-Kontrollen auf diese Informationserteilung verweisen. Etwaige Betriebsgeheimnisse oder Datenschutz der anderen Kunden des Anbieters dürfen durch ein Audit nicht gefährdet werden; der Anbieter kann daher erforderliche Beschränkungen auferlegen (z. B. Maskierung von Daten, Zutrittsbeschränkung zu sensiblen Bereichen).

7.5 Pflichten des Kunden als Verantwortlicher

Auch der Kunde bestätigt und übernimmt als

verantwortliche Stelle

(Art. 4 Nr. 7 DSGVO) folgende Pflichten und Verantwortlichkeiten:

Rechtmäßigkeit der Datenbereitstellung: Der Kunde ist dafür verantwortlich, dass er dem Anbieter nur solche personenbezogenen Daten zur Verarbeitung anvertraut, die er gemäß den anwendbaren Datenschutzgesetzen rechtmäßig erhoben und für die im Vertrag beschriebenen Zwecke weitergeben darf. Der Kunde stellt sicher, dass für alle vom Anbieter im Auftrag verarbeiteten personenbezogenen Daten eine gültige Rechtsgrundlage vorliegt (z. B. Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO, berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 7 UWG für Werbung, etc.).Information der Betroffenen: Es obliegt dem Kunden, die Datenschutz-Informationspflichten gegenüber den betroffenen Personen zu erfüllen (Art. 13/14 DSGVO). Der Kunde muss in seiner Datenschutzerklärung oder durch entsprechende Mitteilungen die Beteiligung des Anbieters als Auftragsverarbeiter kenntlich machen, falls erforderlich. Der Anbieter stellt dem Kunden auf Anfrage die dafür nötigen Informationen über seine Tätigkeit (z. B. Identität des Anbieters, Zweck der Verarbeitung, Einsatz von Subunternehmern) zur Verfügung.Führung des Verzeichnisses und DSFA: Der Kunde führt gegebenenfalls das gesetzlich erforderliche Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und trägt die Verantwortung für die Bewertung der Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) für die durchgeführten Marketing-Verarbeitungen. Sofern eine DSFA erforderlich ist, obliegt deren Durchführung dem Kunden; der Anbieter liefert auf Anfrage die dafür notwendigen Informationen.Weisungserteilung: Der Kunde erteilt dem Anbieter klare, präzise und möglichst dokumentierte Weisungen, in welchem Umfang und auf welche Art die Daten verarbeitet werden sollen. Mündliche Weisungen sind unverzüglich zumindest in Textform (z. B. per E-Mail) zu bestätigen. Der Kunde trägt dafür Sorge, dass Weisungen keine Verletzung datenschutzrechtlicher Vorschriften bedeuten. Sollte der Anbieter den Kunden auf eine aus seiner Sicht unzulässige Weisung hinweisen, wird der Kunde diese prüfen und ggf. anpassen. Weisungen, die über den ursprünglich vereinbarten Auftragsumfang hinausgehen, bedürfen einer entsprechenden Anpassung der vertraglichen Vereinbarung (ggf. hinsichtlich Vergütung und Terminen).Überprüfung der Verarbeitung: Der Kunde hat das Recht und die Pflicht, sich von der Einhaltung der datenschutzrechtlichen Vorschriften durch den Anbieter zu überzeugen. Dies kann durch Einholung der in Abschnitt 7.4 genannten Nachweise, durch gemeinsame Abstimmungen oder – bei berechtigtem Interesse – durch Inspektionen/Audits erfolgen. Der Kunde wird Audits mit Augenmaß anfordern und dabei die betrieblichen Abläufe des Anbieters so wenig wie möglich stören.Meldepflichten bei Datenschutzverstößen: Erlangt der Kunde Kenntnis von Datenschutzverstößen im Zusammenhang mit Daten, die der Anbieter verarbeitet, hat er den Anbieter unverzüglich zu informieren, soweit die Information nicht ohnehin vom Anbieter ausgeht. Der Kunde ist für etwaige Meldungen von Datenschutzverletzungen an Aufsichtsbehörden oder Betroffene verantwortlich (Art. 33, 34 DSGVO); der Anbieter wird ihn dabei gemäß Abschnitt 7.4 unterstützen.Verantwortung für Folgen von Weisungen: Der Kunde trägt die Verantwortung dafür, dass die von ihm erteilten Weisungen und vorgegebenen Verarbeitungen datenschutzkonform sind. Sollte eine Behörde oder ein Betroffener gegenüber dem Anbieter Ansprüche oder Maßnahmen wegen einer Verarbeitung geltend machen, die auf einer Weisung oder Entscheidung des Kunden beruht, wird der Kunde den Anbieter nach Maßgabe der Haftungsregelungen in diesem Vertrag (siehe Haftung/Freistellung in Abschnitt 6) schadlos halten.Löschung bei sich selbst: Erteilt der Kunde dem Anbieter nach Vertragsende den Auftrag, die Daten zurückzugeben statt zu löschen, so ist der Kunde nach Erhalt der Daten selbst für die sichere Verwahrung und Löschung dieser Daten verantwortlich. Der Anbieter ist nach Übergabe nicht mehr verpflichtet, diese Daten aufzubewahren.Ansprechpartner: Der Kunde benennt einen kompetenten Ansprechpartner für Datenschutz-Fragen, der gegenüber dem Anbieter weisungsbefugt ist und erreichbar für Rückfragen. Sofern beim Kunden ein Datenschutzbeauftragter bestellt ist, teilt der Kunde dem Anbieter dessen Kontaktdaten mit.

Der Kunde bestätigt ferner, dass ihm bewusst ist, dass der Anbieter im Sinne der DSGVO als Auftragsverarbeiter handelt und daher bestimmten direkten Pflichten unterliegt. Soweit Aufsichtsbehörden oder betroffene Personen den Anbieter direkt in Anspruch nehmen sollten, wird der Kunde den Anbieter bestmöglich unterstützen, um solche Angelegenheiten zu klären.

7.6 Technische und organisatorische Maßnahmen (TOMs)

Der Anbieter gewährleistet ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes

Schutzniveau

. Dazu hat er insbesondere die folgenden technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umgesetzt:

Zutritts- und Zugriffssteuerung: Zugang zu den Büroräumen des Anbieters und zu Systemen, auf denen personenbezogene Kundendaten gespeichert sind, ist nur befugten Personen möglich. Es bestehen physische Sicherheitsvorkehrungen (Schließsysteme, Alarmanlagen) und IT-Zugangsbeschränkungen (Passwortschutz, Benutzerkontenverwaltung, Berechtigungskonzepte).Vertraulichkeit und Verschlüsselung: Personenbezogene Daten werden vertraulich behandelt. Elektronische Datenübertragungen erfolgen soweit möglich verschlüsselt (z. B. Einsatz von HTTPS/SSL für Webinterfaces, E-Mail-Verschlüsselung nach Absprache). Datenträger mit personenbezogenen Daten sind gegen unbefugten Zugriff geschützt; mobile Geräte sind verschlüsselt oder durch Passwort gesichert.Datentrennung: Die Daten jedes Auftraggebers werden logisch getrennt von Daten anderer Auftraggeber verarbeitet, sodass keine Vermischung erfolgt. Der Anbieter sorgt dafür, dass Test- oder Entwicklungsumgebungen keine echten personenbezogenen Kundendaten enthalten (oder nur mit gleichem Schutz).Integrität (Datenübertragung und -eingabe): Es bestehen Maßnahmen, um die Integrität der verarbeiteten Daten sicherzustellen. Änderungen an Daten werden protokolliert, soweit sinnvoll, oder sind nur einem eingeschränkten Personenkreis möglich. Bei Übertragungen an Dritte (z. B. E-Mail-Versand) verwendet der Anbieter zuverlässige Verfahren, um Vollständigkeit und Korrektheit sicherzustellen.Verfügbarkeit und Belastbarkeit: Die Systeme des Anbieters, die zur Datenverarbeitung eingesetzt werden (inklusive gegebenenfalls Server von Unterauftragsverarbeitern), werden regelmäßig gesichert (Backups) und überwacht. Es bestehen Notfallkonzepte, um die Daten bei technischen Störungen wiederherzustellen (z. B. redundante Server, Backup-Routinen, Notfallplan). Wichtige Updates und Sicherheitspatches werden zeitnah eingespielt, um Sicherheitslücken zu schließen. Bei Ausfall kritischer Systeme wird der Anbieter den Kunden informieren und schnellstmöglich Abhilfe schaffen.Regelmäßige Überprüfung: Der Anbieter (bzw. dessen IT-Dienstleister) überprüft die Wirksamkeit der TOMs in regelmäßigen Abständen. Sicherheitsrichtlinien werden an neue Risiken angepasst. Mitarbeiter werden zur Sensibilisierung im Datenschutz regelmäßig angehalten, die geltenden Vorschriften einzuhalten (z. B. durch Schulungen oder Richtlinien).Vorfallmanagement: Es existiert ein internes Verfahren zum Umgang mit Sicherheitsvorfällen und Datenschutzverletzungen. Dieses stellt sicher, dass im Ereignisfall schnell Gegenmaßnahmen ergriffen werden, eine Dokumentation des Vorfalls erfolgt und – falls notwendig – fristgerecht die Meldung an den Kunden zur weiteren Veranlassung (Behörden/Betroffene) geht.

Die genannten Maßnahmen stellen einen Ausschnitt dar; der Anbieter kann darüber hinaus weitere angemessene Maßnahmen implementieren. Wesentliche Änderungen der getroffenen TOMs wird der Anbieter dokumentieren. Insgesamt muss das Sicherheitsniveau stets mindestens den gesetzlichen Anforderungen genügen. Auf Verlangen des Kunden stellt der Anbieter eine detailliertere

Übersicht der TOMs

in Textform zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

Der Kunde erteilt dem Anbieter die

allgemeine Genehmigung

, für die Erfüllung dieses Vertrags

weitere Auftragsverarbeiter (Subunternehmer)

einzusetzen. Der Anbieter wird den Kunden über jede beabsichtigte

Änderung

in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern informieren, sodass der Kunde die Möglichkeit zum rechtzeitigen

Widerspruch

hat, sofern ein wichtiger Grund vorliegt. Im Falle eines berechtigten Widerspruchs wird der Anbieter entweder eine alternative Lösung vorschlagen oder dem Kunden ein Sonderkündigungsrecht einräumen, falls der Unterauftragsverarbeiter unabdingbar ist.

Der Anbieter stellt durch vertragliche Vereinbarungen sicher, dass bei allen Subunternehmern die

gleichen Datenschutzpflichten

gelten, wie sie zwischen dem Kunden und dem Anbieter vereinbart sind (insbesondere gemäß Art. 28 Abs. 4 DSGVO). Insbesondere wird jeder Subunternehmer verpflichtet, Daten nur entsprechend der Weisungen des Kunden (übermittelt durch den Anbieter) zu verarbeiten und die notwendigen TOMs einzuhalten.

Eingesetzte Subunternehmer:

Aktuell setzt der Anbieter für bestimmte Leistungen folgenden Subunternehmer ein:

HighLevel Inc.

(USA) als technischen Infrastruktur-Dienstleister für die Bereitstellung und den Betrieb der optionalen MarketLeaders App. Personenbezogene Daten des Kunden, die in der MarketLeaders App verarbeitet werden, können auf den Servern dieses Dienstleisters gespeichert werden. Der Anbieter hat mit HighLevel Inc. einen DSGVO-konformen Vertrag geschlossen und erforderliche

Garantien für ein angemessenes Datenschutzniveau

vereinbart (einschließlich Standardvertragsklauseln der EU-Kommission für Datenübermittlungen in Drittländer), um den Schutz der Daten zu gewährleisten.

Eine aktuelle Liste der Subunternehmer kann vom Kunden beim Anbieter angefordert werden. Sollte der Anbieter weitere Subunternehmer hinzuziehen (etwa für Hosting, E-Mail-Versand oder Analysen), wird er diese Auswahl sorgfältig treffen und vertraglich sicherstellen, dass auch diese Subunternehmer die Daten ausschließlich innerhalb der EU/EWR verarbeiten oder – bei Verarbeitung außerhalb der EU/EWR – den Anforderungen der Art. 44 ff. DSGVO genügen (z. B. durch Zertifizierung oder Standardvertragsklauseln).

7.8 Rechte der betroffenen Personen und Unterstützung durch den Anbieter

Die Gewährleistung der

Betroffenenrechte

(Art. 15-22 DSGVO) obliegt primär dem Kunden als Verantwortlichem. Der Anbieter wird den Kunden jedoch soweit möglich unterstützen:

Weiterleitung von Anfragen: Sollte sich eine betroffene Person direkt an den Anbieter wenden (z. B. Auskunftsersuchen oder Löschungsverlangen), wird der Anbieter diese Anfrage unverzüglich an den Kunden weiterleiten. Der Anbieter wird die Daten der betroffenen Person nicht ohne Weisung des Kunden ändern oder löschen, es sei denn, eine gesetzliche Pflicht verlangt dies.Unterstützungsmaßnahmen: Der Anbieter unterstützt den Kunden auf Anforderung bei der Erfüllung von Betroffenenrechten, indem er z. B.:benötigte Informationen über verarbeitete Daten und Verarbeitungstätigkeiten bereitstellt (für Auskunftsersuchen),Berichtigungen oder Löschungen in den Systemen vornimmt oder ermöglicht,Datenauszüge in gängigen Formaten zur Datenübertragbarkeit liefert.Aufwand und Kostentragung: Sofern die Unterstützung durch den Anbieter erheblichen zusätzlichen Aufwand verursacht, der nicht durch die vereinbarte Vergütung abgedeckt ist, wird der Anbieter den Kunden vorab auf den zu erwartenden Aufwand hinweisen. Die Parteien werden in solchen Fällen eine faire Regelung zur Kostentragung treffen. Grundlegende Unterstützung bei einzelnen Anfragen gilt als mit der Vergütung abgegolten, sofern sie in üblichen Rahmen bleibt.

7.9 Meldung von Datenschutzverletzungen

Der Anbieter wird den Kunden

unverzüglich

informieren, sobald ihm

Verstöße gegen den Schutz personenbezogener Daten

bekannt werden, die im Rahmen dieses Auftrags aufgetreten sind. Hierzu zählen alle

Datenschutzverletzungen

im Sinne des Art. 4 Nr. 12 DSGVO (z. B. Datenpannen, unbefugte Zugriffe, Verlust oder Zerstörung von personenbezogenen Daten), die Daten betreffen, welche der Anbieter im Auftrag verarbeitet.

Die Information an den Kunden erfolgt in der Regel in Textform (z. B. per E-Mail) und enthält nach Möglichkeit:

eine Beschreibung der Art der Datenschutzverletzung (inkl. Kategorien und ungefährer Anzahl der betroffenen Personen sowie Datenkategorien),Angaben zu den wahrscheinlichsten Konsequenzen der Verletzung,eine Beschreibung der vom Anbieter bereits ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und – ggf. – zur Minderung möglicher nachteiliger Folgen.

Der Anbieter wird zudem alle Datenschutzverletzungen

dokumentieren

und diese Dokumentation dem Kunden auf Wunsch zugänglich machen, sodass der Kunde seiner gesetzlichen Rechenschaftspflicht (Art. 33 Abs. 5 DSGVO) nachkommen kann. Der Kunde ist verantwortlich für die Bewertung, ob eine Meldung an die Aufsichtsbehörde oder Betroffene erforderlich ist, und für die fristgerechte Durchführung solcher Meldungen. Der Anbieter wird sich jeder öffentlichen Verlautbarung (Presse, Betroffene) zum Vorfall enthalten, bis der Kunde abgestimmt hat, ob und welche Informationen veröffentlicht werden sollen – es sei denn, eine eigenständige Informationspflicht des Anbieters liegt vor.

7.10 Weisungsrecht des Kunden

Der Anbieter verarbeitet die personenbezogenen Daten

nur im Rahmen der Weisungen

des Kunden (siehe auch Abschnitt 7.4 „Weisungsgebundenheit“). Der Kunde hat das Recht, während der Vertragslaufzeit

Weisungen zur Art, Umfang und Verfahren

der Datenverarbeitung zu erteilen oder bereits erteilte Weisungen anzupassen.

Form der Weisung: Weisungen und Änderungen sollen aus Beweisgründen schriftlich oder in Textform (z. B. E-Mail) erteilt werden. In dringenden Fällen kann eine mündliche/antelefonische Weisung erfolgen, die der Kunde im Nachgang schriftlich bestätigt.Pflicht zur Weisungsbefolgung: Der Anbieter hat Weisungen des Kunden ohne unangemessene Verzögerung umzusetzen. Erkennt der Anbieter, dass er eine Weisung des Kunden nicht ausführen kann (etwa aus technischen oder rechtlichen Gründen), teilt er dies dem Kunden unverzüglich mit.Rechtswidrige Weisungen: Hält der Anbieter eine Weisung des Kunden nach sorgfältiger Prüfung für rechtswidrig (z. B. Verstoß gegen DSGVO oder andere Gesetze), wird er den Kunden hierauf hinweisen. Der Anbieter ist berechtigt, die Umsetzung der Weisung so lange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird. Im Falle einer bestätigten offensichtlich rechtswidrigen Weisung kann der Anbieter die Durchführung ablehnen.Dokumentation: Erteilte Weisungen und ihre Erledigung sind vom Anbieter zu dokumentieren. Hierzu können z. B. Protokolle von Besprechungen, E-Mail-Verläufe oder Vermerke dienen.

7.11 Beendigung der Auftragsverarbeitung

Mit Beendigung des Hauptvertrags (Marketing-Servicevertrag) endet automatisch auch dieser Auftragsverarbeitungsvertrag. Folgende Regelungen gelten im Anschluss:

Rückgabe/Löschung von Daten: Der Kunde hat das Recht, bis zum Vertragsende zu bestimmen, ob die im Auftrag verarbeiteten personenbezogenen Daten an ihn zurückzugeben oder zu löschen sind. Gibt der Kunde bis Vertragsende keine ausdrückliche Weisung, wird der Anbieter alle personenbezogenen Daten, die er im Auftrag verarbeitet hat, innerhalb von 30 Tagen nach Vertragsende löschen oder – falls eine Löschung technisch nicht unmittelbar möglich ist – zunächst sperren und spätestens nach weiteren 60 Tagen löschen. Auf Verlangen wird der Anbieter dem Kunden die Durchführung der Löschung in Textform bestätigen.Aufbewahrung zu Nachweiszwecken: Der Anbieter darf Daten oder Unterlagen, die dem Nachweis der ordnungsgemäßen Auftragsverarbeitung dienen (z. B. Logbücher, Audit-Trails, Nachweise erteilter Einwilligungen), auch nach Vertragsende für die Dauer gesetzlicher Verjährungsfristen oder gesetzlicher Aufbewahrungspflichten aufbewahren. Diese Daten unterliegen weiterhin den Vertraulichkeits- und Sicherheitsanforderungen dieses Vertrags. Sie werden nach Ablauf der Aufbewahrungsfristen gelöscht.Fortgeltung einzelner Pflichten: Die Pflichten zur Vertraulichkeit und Datensicherheit bestehen auch nach Vertragsende fort, bis alle personenbezogenen Daten gelöscht oder zurückgegeben wurden. Ebenso bleibt die Verpflichtung zur Meldung etwaiger nachträglich entdeckter Datenschutzvorfälle bestehen, sofern diese sich auf den Zeitraum der Auftragsverarbeitung beziehen.Separate Kündigung des AVV: Da der AVV integraler Bestandteil des Hauptvertrags ist, ist eine separate Kündigung des AVV unabhängig vom Hauptvertrag ausgeschlossen. Eine Beendigung der Auftragsverarbeitung ist nur durch Kündigung oder Ablauf des Hauptvertrags möglich (oder durch einvernehmliche Vereinbarung zur Aufhebung des gesamten Vertrags).

7.12 Sonstiges (Datenschutz)

Sollten im Rahmen dieses AVV Regelungen fehlen oder unwirksam sein, gelten die entsprechenden gesetzlichen Bestimmungen nach Art. 28 DSGVO und dem BDSG (Bundesdatenschutzgesetz) an ihrer Stelle. Änderungen und Ergänzungen dieses Abschnitts bedürfen der Schriftform und sollten ausdrücklich als Änderung des AVV gekennzeichnet sein. Bei Konflikten zwischen Bestimmungen des AVV und anderen Regelungen des Hauptvertrags haben die Bestimmungen dieses AVV

Vorrang

, soweit es um die Verarbeitung personenbezogener Daten geht.

Der Anbieter ist berechtigt, dem Kunden in dessen Auftrag erstellte oder verarbeitete Daten auch

vor Vertragsende

herauszugeben, sofern der Kunde dies verlangt oder sofern ein wichtiger Grund (z. B. schwere Vertragsverletzung des Kunden, die eine Fortführung unzumutbar macht) vorliegt und der Vertrag beendet wird. Für eine eventuelle Übertragung an einen neuen Dienstleister des Kunden wird der Anbieter in zumutbarem Umfang kooperieren.

8. Schlussbestimmungen
Anwendbares Recht:

Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG), soweit keine zwingenden Verbraucherschutzvorschriften entgegenstehen (wobei dieser Vertrag ausschließlich mit Unternehmen geschlossen wird).

Gerichtsstand:

Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, so ist der Geschäftssitz des Anbieters Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag. Der Anbieter darf jedoch nach seiner Wahl Ansprüche auch am Sitz des Kunden gerichtlich geltend machen. Gesetzlich zwingende Gerichtsstände bleiben unberührt.

Vertragsänderungen:

Änderungen oder Ergänzungen dieses Vertrags (inkl. dieser AGB und des integrierten AVV) bedürfen zu ihrer Wirksamkeit der Schriftform. Das Schriftformerfordernis gilt auch für einen Verzicht auf dieses Formerfordernis selbst. Als Schriftform gilt auch die Übermittlung per E-Mail oder Telefax, sofern die Erklärung eindeutig als Vertragsänderung erkennbar ist. Einseitige Änderungen dieser AGB durch den Anbieter sind – abgesehen von Aktualisierungen des AVV gemäß gesetzlicher Vorgaben – nicht vorgesehen, es sei denn, der Kunde stimmt solchen Änderungen nach entsprechender Mitteilung ausdrücklich oder durch konkludentes Handeln zu.

Salvatorische Klausel:

Sollte eine Bestimmung dieses Vertrags ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. Die Parteien verpflichten sich, die unwirksame oder undurchführbare Bestimmung durch eine solche Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen möglichst nahekommt und rechtlich zulässig ist. Entsprechendes gilt für etwaige Vertragslücken.

Vorrang individueller Abreden:

Individuelle vertragliche Abreden zwischen Anbieter und Kunde (einschließlich Nebenabreden, Ergänzungen und Änderungen) haben in jedem Fall Vorrang vor diesen AGB/AVV. Für den Inhalt solcher Abreden ist ein schriftlicher Vertrag oder eine schriftliche Bestätigung durch den Anbieter maßgeblich.

Vertragsbeginn und -akzeptanz:

Diese AGB gelten für jede Zusammenarbeit mit dem Anbieter und sind Bestandteil des Vertrages, sobald die Leistung des Anbieters begonnen oder anderweitig bestätigt wurde. Eine separate Unterzeichnung des Vertrags ist nicht erforderlich. Der Kunde erklärt mit Beginn der Leistungserbringung, diese AGB gelesen, verstanden und akzeptiert zu haben.

Stand: April 2024. Änderungen der Rechtslage oder der Umstände bleiben vorbehalten, erfordern jedoch – wie vorstehend geregelt – eine Abstimmung zwischen den Parteien.