- Anwendungsbereich, ausschließliche Geltung, Änderungen der Geschäftsbedingungen Stand:07.05.2022
1.1 Die HEA Datenschutz GmbH & Co. KG (im nachfolgenden auch Auftragnehmer genannt) ist ein Beratungsunternehmen mit Sitz in Potsdam, welches auf die Datenschutzberatung für kleine und mittelständische Unternehmen spezialisiert ist und zu deren Leistungsumfang insbesondere die Erbringung von Leistungen eines externen Datenschutzbeauftragten gehört.
1.2 Das Angebot der HEA Datenschutz GmbH & Co. KG richtet sich ausschließlich an Unternehmer. Unternehmer i.S.v. § 14 BGB ist jede natürliche oder juristische Person oder rechtsfähige Personengesellschaft, die bei Vertragsschluss in Ausübung einer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Die HEA Datenschutz GmbH & Co. KG erbringt keine Leistungen an Verbraucher im Sinne des § 13 BGB.
1.3 Die vorliegenden Allgemeinen Geschäftsbedingungen (AGB) sind Vertragsbestandteil und gelten für alle, somit auch zukünftigen Geschäftsbeziehungen zwischen der HEA Datenschutz GmbH & Co. KG und ihren Kunden (im nachfolgenden auch Auftraggeber genannt). Die AGB werden von Ihnen in vollem Umfang in der zum Zeitpunkt des Vertragsschlusses geltenden Fassung akzeptiert. Von diesen Bedingungen abweichenden Regelungen, insbesondere auch etwaigen AGB des Kunden, wird hiermit widersprochen.
1.4 Soweit die HEA Datenschutz GmbH & Co. KG diese AGB aktualisiert, wird sie den Kunden unverzüglich über die neue Fassung informieren. Die neuen AGB werden Vertragsbestandteil, wenn der Kunde ihnen zugestimmt hat oder den AGB nicht innerhalb von zwei Wochen nach Mitteilung der Aktualisierung widerspricht.
- Angebot und Vertragsschluss
Angebote der HEA Datenschutz GmbH & Co. KG sind, soweit nicht ausdrücklich abweichend geregelt, unverbindlich. Mit Bestellung auf ein Angebot unterbreitet der Kunde der HEA Datenschutz GmbH & Co. KG ein verbindliches Angebot auf Abschluss eines Beratungsvertrags, welches die HEA Datenschutz GmbH & Co. KG innerhalb von zwei Wochen ab Zugang durch Ausstellung einer Auftragsbestätigung in Textform (per Brief, Fax oder Email) oder durch Aufnahme der Leistungserbringung annehmen kann.
- Grundsätze der Leistungserbringung
3.1 Die Einzelheiten der Leistungserbringung durch die HEA Datenschutz GmbH & Co. KG werden in einem Angebot, der Auftragsbestätigung und/oder in einer Individualvereinbarung festgelegt. Im Übrigen gelten die Bestimmungen dieser allgemeinen Geschäftsbedingungen.
3.2 Soweit die HEA Datenschutz GmbH & Co. KG dem Kunden im Rahmen der Leistungserbringung Entwürfe zur Prüfung der Richtigkeit und Vollständigkeit übermittelt, gelten die Entwürfe als genehmigt, wenn sie innerhalb von 14 Tagen keine Korrekturaufforderung des Kunden erhält. Korrekturen und Änderungswünsche sind der HEA Datenschutz GmbH & Co. KG mitzuteilen.
3.3 Möchte ein Kunde den vertraglich vereinbarten Leistungsumfang ändern, so muss er seinen Änderungswunsch der HEA Datenschutz GmbH & Co. KG schriftlich mitteilen. Nach Prüfung des Änderungswunsches wird die HEA Datenschutz GmbH & Co. KG dem Kunden in einem separaten Angebot den zusätzlichen Aufwand zur Berücksichtigung des Änderungswunsches darstellen und die damit verbundenen zusätzlichen Kosten mitteilen. Dieses Angebot kann der Kunde innerhalb von 14 Tagen ab Versendung des Angebotes annehmen. Ohne das Zustandekommen einer Änderungsvereinbarung bleibt es bei den ursprünglich vereinbarten Leistungen, Fristen und Vergütungssätzen.
3.4 Aussagen und Erläuterungen zu den Leistungen auf den Webseiten, Social-Media-Auftritten oder sonstigen Werbematerialien der HEA Datenschutz GmbH & Co. KG verstehen sich nicht als Garantie oder Zusicherung einer Eigenschaft. Aussagen zum Leistungsgegenstand stellen nur dann Garantien oder Zusicherungen im Rechtssinne dar, wenn diese schriftlich erfolgen und ausdrücklich als „Garantie“ oder „Zusicherung“ gekennzeichnet sind.
- Vertragsgegenstand
4.1 Im Rahmen der Leistungspakete S, M und L übernimmt der Auftragnehmer für den Auftraggeber die Erbringung von Leistungen eines externen Datenschutzbeauftragten nach Maßgabe dieses Dienstvertrages und der jeweiligen Definition des beauftragten Leistungspakets. Die Leistungen der in Anlage 1 definierten Pakete S, M und L untergliedern sich in solche, die mit der monatlichen Pauschale und der einmaligen Gebühr für die erste Bestandsaufnahme vollumfänglich abgegolten sind („Inklusivleistungen“) und in Leistungen, die grundsätzlich nach Aufwand berechnet werden („Zusatzleistungen“). Die in Anlage 1 definierten Leistungspakete „M“ und „L“ beinhalten ein Basiskontingent an Stunden für Zusatzleistungen.
4.2 Im Rahmen der Leistungspakete S, M und L benennt der Auftraggeber den Auftragnehmer als externen Datenschutzbeauftragten.
- Pflichten des Auftragnehmers
5.1 Der Auftragnehmer erbringt die in Anlage 1 definierten Leistungen entsprechend dem beauftragten Leistungspaket.
5.2 Der Auftragnehmer wird seine Verpflichtungen aus diesem Dienstvertrag durch seine Mitarbeiter erfüllen. Der Auftragnehmer ist dafür verantwortlich, jederzeit Mitarbeiter in ausreichender Zahl zu beschäftigen, um die Leistungserbringung gewährleisten zu können.
5.3 Der Auftragnehmer stellt sicher, dass die von ihm als Berater eingesetzten Personen über die von der Datenschutz-Grundverordnung geforderte Sach- und Fachkunde verfügen.
- Kommunikation
6.1 Der Auftraggeber benennt einen Verantwortlichen in seinem Unternehmen, der die Kommunikation mit dem Auftragnehmer und die Koordination weiterer interner Ressourcen des Auftraggebers übernimmt („Hauptansprechpartner“). Der Auftraggeber teilt dem Auftragnehmer die Kontaktdaten des Hauptansprechpartners mit und unterrichtet den Auftragnehmer zeitnah über jeden Wechsel in der Person des Hauptansprechpartners oder dessen Kontaktdaten.
- Mitwirkungspflichten des Auftraggebers
7.1 Der Auftraggeber stellt dem Auftragnehmer die Informationen bereit, die für die datenschutzrechtliche Bewertung erforderlich sind. Der Auftraggeber stellt sicher, dass die vom Auftragnehmer zur Verfügung gestellten Fragebögen und Formulare gewissenhaft und sachlich richtig bearbeitet werden. Der Auftragnehmer übernimmt keine Haftung für datenschutzrechtliche Bewertungen, soweit sie auf unrichtigen oder unvollständigen Angaben des Auftraggebers beruhen.
7.2 Der Auftraggeber hat dem Auftragnehmer im Fall von Auskunftsersuchen von Behörden oder Betroffenen unverzüglich alle Informationen zur Verfügung zu stellen, die für die Auskunftserteilung erforderlich sind. Der Auftragnehmer unterstützt den Auftraggeber bei der Ermittlung, welche Informationen erforderlich sind.
7.3 Erlangt der Auftraggeber Kenntnis von Datenschutzverletzungen in seinem Unternehmen, so informiert er den Auftragnehmer unverzüglich und stellt ihm alle Informationen zur Verfügung, die zur Bearbeitung der Datenschutzverletzung erforderlich sind. Der Auftraggeber ist sich der gesetzlichen Meldepflicht für Datenschutzverletzungen und die damit verbundene Frist von 72 Stunden ab Kenntnis bewusst.
- Organisatorische Absprachen, Weisungsrecht
8.1 Nach Abschluss dieses Dienstvertrages wird der Auftraggeber mit dem Auftragnehmer einvernehmlich organisatorische Absprachen treffen. Diese betreffen insbesondere:
◦Die Eingliederung des Auftragnehmers i.S.v. Art. 38 Abs. 1, Abs. 2, Abs. 3 Satz 3 DSGVO im Betrieb des Auftraggebers;
◦Die vom Auftraggeber dem Auftragnehmer zur Verfügung zu stellenden Ressourcen zur Erfüllung seiner Aufgaben;
◦Die Kommunikationsmittel und ‑wege für den Kontakt der Arbeitnehmer und Kunden des Auftraggebers sowie sonstigen betroffenen Personen unmittelbar und ausschließlich mit dem Auftragnehmer;
◦Den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen.
Diese einvernehmlichen Konkretisierungen bedürfen der Textform (§ 126 BGB).
8.2 Dem Auftraggeber werden keinerlei Weisungsrechte gegenüber dem Auftragnehmer und seinen Mitarbeitern eingeräumt. Eine weitergehende Eingliederung des Auftragnehmers in den Betrieb des Auftraggebers als in Art. 38 DSGVO vorgesehen findet nicht statt. Dem Auftragnehmer werden keinerlei Weisungsrechte gegenüber den Beschäftigten des Auftraggebers und kein Recht zur Vertretung des Auftraggebers eingeräumt.
- Inanspruchnahme der Leistungen
9.1 Die in der Anlage 1 bezeichneten Leistungen können vom Auftraggeber jederzeit durch Anforderung in Textform (§ 126b BGB) gegenüber dem Auftragnehmer in Anspruch genommen werden.
9.2 Der Auftraggeber kann von dem Auftragnehmer über die Inklusivleistungen hinaus auch Zusatzleistungen in Anspruch nehmen. Der Auftragnehmer wird den Auftraggeber vor der Leistungserbringung darüber in Kenntnis setzen, wenn die angeforderte Zusatzleistung über das inkludierte Stundenkontingent hinausgeht.
9.3 Der Hauptansprechpartner und von ihm schriftlich benannte Person gilt als berechtigt, Zusatzleistungen anzufordern.
- Vergütung
10.1 Für die Wahrnehmung der unter 4.1 bezeichneten Aufgaben wurde zwischen den Parteien gemäß Abschnitt 2. ein Leistungspaket gemäß Anlage 1 vereinbart. Alle vereinbarten Preise gelten zzgl. der jeweils geltenden Mehrwertsteuer.
10.2 Zusätzlich zu den unter Anlage 1 dargestellten Inklusivleistungen kann der Auftraggeber weitere Beratungstätigkeiten in Anspruch nehmen. Diese werden nach Aufwand zu den jeweiligen Stundensätzen des Auftragnehmers berechnet. Eine Abrechnung erfolgt in Einheiten zu vollen 15 Minuten.
10.3 Für die erste obligatorische Bestandsaufnahme sowie für anschließende, separat zu beauftragende Audits wird eine einmalige Vergütung gemäß Anlage 1 vereinbart.
10.4 Angemessene Kosten für auf Veranlassung des Auftraggebers getätigte Reisen zu Niederlassungen, Standorten o.ä. des Auftraggebers außerhalb von Potsdam trägt der Auftraggeber. Erstattungsfähig sind die nachgewiesenen Kosten für die Anreise vom Arbeits- oder Wohnort des Reisenden sowie eventuell erforderliche Unterbringung samt Frühstück. Liegen die zu erstattenden Kosten über einem Betrag von 500,- €, wird der Auftragnehmer sich die Reise vom Auftraggeber vor Entstehung der Kosten unter Angabe der erwarteten Kosten in Textform freigeben lassen.
- Zahlung
11.1 Die laufenden Kosten gemäß 10.1 sind zu Beginn des Vertragsjahres für die ersten 12 Monate zur Zahlung im Voraus fällig, zu Beginn der folgenden Vertragsjahre jeweils für weitere 12 Monate im Voraus fällig.
11.2 Die Kosten gem. 10.3 sind mit Abschluss des Vertrages zur Zahlung fällig.
11.3 Über Kosten nach Maßgabe des 10.2 und 10.4 wird am Monatsende zusammen mit den relevanten Nachweisen (Tätigkeitsnachweis, Reisebelege) abgerechnet. Mit dem Zugang der Abrechnung ist diese zur Zahlung fällig.
- Dauer des Vertrags und Kündigung
12.1 Dieser Dienstvertrag hat eine Laufzeit von 24 Monaten ab dem Tag der Unterzeichnung. Er verlängert sich stillschweigend in ein unbefristetes Vertragsverhältnis, wenn er nicht vor Ablauf der jeweiligen Laufzeit unter Einhaltung einer Kündigungsfrist von 6 Monaten zum Laufzeitende schriftlich gekündigt wird. Für die Einhaltung der Kündigungsfrist ist der Zugang der Kündigung entscheidend. Auch nach der Mindestlaufzeit beträgt die Kündigungsfrist 6 Monate zum Monatsende.
12.2 Mit Beendigung des Vertrages endet die Bestellung zum Datenschutzbeauftragten.
12.3 Eine außerordentliche Kündigung ist nur aus wichtigem Grunde möglich. Für den Auftraggeber liegt ein wichtiger Grund, der zur außerordentlichen Kündigung berechtigt, insbesondere darin, dass der Auftragnehmer Personal einsetzt oder einzusetzen plant, dass für die Wahrnehmung der Aufgaben eines Datenschutzbeauftragten nicht oder nicht ausreichend qualifiziert ist.
12.4 Für den Auftragnehmer liegt ein wichtiger Grund, der zur außerordentlichen Kündigung berechtigt, insbesondere darin, dass der Auftraggeber eine erforderliche Mitwirkungshandlung zur Erfüllung dieses Dienstleistungsvertrages nicht binnen einer vom Auftragnehmer bestimmten angemessenen Frist ausgeführt hat. Voraussetzung ist, dass der Auftragnehmer die vorzunehmende Handlung zuvor konkret bezeichnet und die mögliche außerordentliche Kündigung mit der Fristsetzung angekündigt hat.
- Elektronische Kommunikation
13.1 Der Auftraggeber bestätigt, darauf hingewiesen worden und sich bewusst zu sein, dass elektronische Korrespondenz (z.B. per E‑Mail) erhebliche Sicherheitsrisiken birgt. Der Auftragnehmer empfiehlt daher ausdrücklich, für sämtliche Kommunikation verschlüsselte Kanäle zu nutzen und stellt von seiner Seite her entsprechende gängige Schnittstellen bereit.
13.2 Soweit der Auftraggeber die technischen Voraussetzungen für den Einsatz von Signatur- und Verschlüsselungsverfahren besitzt, teilt er dies dem Auftragnehmer mit. Im Übrigen ermächtigt der Auftraggeber den Auftragnehmer, die Korrespondenz in allen auftragsbezogenen Angelegenheiten auch per E‑Mail zu führen, solange und soweit er nicht ausdrücklich etwas anderes anordnet.
- Haftung
14.1 Der Auftragnehmer haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit.
14.2 Für einfache Fahrlässigkeit haftet der Auftragnehmer – außer im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit – nur, sofern wesentliche Vertragspflichten (Kardinalpflichten) verletzt werden. Die Haftung ist begrenzt auf den vertragstypischen und vorhersehbaren Schaden, maximal jedoch bis zu einem Betrag von EUR 100.000,00.
14.3 Die Haftung für mittelbare und unvorhersehbare Schäden, Produktions- und Nutzungsausfall, entgangenen Gewinn, ausgebliebene Einsparungen und Vermögensschäden wegen Ansprüchen Dritter, ist im Falle einfacher Fahrlässigkeit – außer im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit – ausgeschlossen.
14.4 Eine weitergehende Haftung als in diesem Vertrag ist ohne Rücksicht auf die Rechtsnatur des geltend gemachten Anspruchs ausgeschlossen.
14.5 Vorstehende Haftungsbeschränkungen bzw. ‑ausschlüsse gelten jedoch nicht für eine gesetzlich zwingend vorgeschriebene verschuldensunabhängige Haftung (z. B. gemäß Produkthaftungsgesetz) oder die Haftung aus einer verschuldensunabhängigen Garantie.
14.6 Soweit die Haftung nach 14.2 und 14.3 ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung der Angestellten, Arbeitnehmer, Vertreter, Organe und Erfüllungsgehilfen des Auftragnehmers.
- Verschiedenes
15.1 Der Auftragnehmer verpflichtet sich, jeweils vor Beginn der Leistungserbringung für den Auftraggeber die in diesem Zusammenhang tätigen Personen auf die Geheimhaltung von Geschäfts- und Betriebsgeheimnissen des Auftraggebers zu verpflichten. Die Pflicht zur Geheimhaltung besteht über die Beendigung der Tätigkeit für den Auftraggeber hinaus. Die für den Auftragnehmer tätigen Personen werden darüber hinaus angewiesen, den Anschein einer Vertretung für den Auftraggeber zu vermeiden. Dies gilt insbesondere im unmittelbaren Kontakt mit betroffenen Personen oder Kunden/Auftragnehmern/ Auftraggebern des Auftraggebers.
15.2 Beiden Parteien und dem qualifizierten Personal des Auftragnehmers sind die dem Auftragnehmer aus seiner Ernennung zum Datenschutzbeauftragten erwachsene Verschwiegenheitsverpflichtung nach §§ 38 Abs. 2, 6 Abs. 5 Satz 2 BDSG n.F. sowie der Straftatbestand des § 203 Abs. 2 a StGB bekannt.
15.3 Der Auftraggeber verpflichtet sich, das qualifizierte Personal des Auftragnehmers während der Laufzeit des Vertrages nicht abzuwerben, sowie für den Fall, dass das Vertragsverhältnis zwischen einer zum qualifizierten Personal gehörenden Person und dem Auftragnehmer enden sollte, die Person bis zum Ablauf von zwölf Monaten nach Beendigung jenes Vertragsverhältnisses nicht zu beschäftigen, sofern nicht der Auftragnehmer die Beendigung herbeigeführt oder im Einzelfall schriftlich (§ 126 BGB) zugestimmt hat.
15.4 Mündliche Nebenabreden zu dieser Vereinbarung bestehen nicht.
15.5 Änderungen oder Ergänzungen dieses Vertrages bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.
15.6 Sollte einzelne Bestimmung dieses Vertrages ganz oder teilweise unwirksam sein oder ihre Rechtswirksamkeit später verlieren, so soll hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt werden. Anstelle der unwirksamen Bestimmung soll eine Regelung treten, die dem von der unwirksamen Bestimmung angestrebten wirtschaftlichen Ziel unter Berücksichtigung der Interessen beider Parteien in rechtlich zulässig Weise möglichst nahe kommt.
15.7 Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.
15.8 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Potsdam.