Vertrag

über die Verarbeitung personenbezogener Daten
im Sinne des Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (DSGVO)
– Auftragsverarbeitungsvertrag –

im Auftrag der/von

Auftraggeber:  Dienstleistungen Suzana Ulbrich
Auftraggeber:  Mainzer Landstrasse 239
Auftraggeber:  60326 Frankfurt am Main

– Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO –
– nachfolgend „Auftraggeber“ genannt –

durch (die)

sevDesk GmbH
Hauptstraße 115
77652 Offenburg Germany
– Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO –
– nachfolgend „Auftragnehmer“ genannt –
– nachfolgend jeweils auch „Partei“ bzw. gemeinsam „Parteien“ genannt –

§ 1 | Gegenstand und Dauer der Auftragsverarbeitung
(1) Gegenstand
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:
Bereitstellung einer Buchhaltungssoftware, Software as a Service.
(2) Dauer
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

§ 2 | Konkretisierung des Auftragsinhalts

(1) Art der Verarbeitung
Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4
Nr. 2 DSGVO verarbeitet. Im Einzelnen/Wesentlichen handelt es sich dabei um das Erheben, das
Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das
Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine
andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen
oder die Vernichtung.
(2) Zweck der Verarbeitung
Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer fur den Auftraggeber sind
unter anderem konkret beschrieben in der Leistungsvereinbarung.
Der Zweck der Verarbeitung besteht in der Vereinfachung der Buchhaltung der Kunden mithilfe spezieller
Buchhaltungssoftware.
Der Auftragnehmer kann die vom Auftraggeber zur Verfugung gestellten und im Rahmen seiner
Leistungserbringung zusatzlich gewonnenen Daten fur rein statistische Zwecke aggregieren und daraus
Statistiken ohne Nennung des Auftraggebers und in eigenem Namen veroffentlichen. Dies beschrankt sich
auf ausschließlich anonymisierte, aggregierte Daten ohne jeglichen Personenbezug.
(3) Ort der Verarbeitung
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in einem Mitgliedstaat
der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet,
personenbezogene Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR
zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die
Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(4) Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
Name, Vorname
Adressdaten
Kontakt-/Kommunikationsdaten (z. B. Telefon, Email)
Vertragsabrechnungs- und Zahlungsdaten (Bankverbindung)
Bestelldaten
Rechnungsdaten
Daten zum Zahlungsverhalten
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie / Lieferantenhistorie
Planungs- und Steuerungsdaten
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
Kunden
Interessenten
Beschäftigte
Lieferanten
Ansprechpartner

§ 3 | Technische und organisatorische Maßnahmen

(1) Uber bestehende technische und organisatorische Sicherheitsmaßnahmen informiert der
Auftragnehmer über die TOMs - im Folgenden zu finden unter der URL https://sevdesk.de/datenschutz.
(2) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und
erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung zu
dokumentieren und dem Auftraggeber zur Verfügung zu stellen. Die dokumentierten Maßnahmen sind
Grundlage des Auftrags.
(3) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c und lit. e, Art. 32 DSGVO, insbesondere
in Verbindung mit Art. 5 DSGVO, herzustellen. Insgesamt handelt es sich bei den zu treffenden
Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko
angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der
Belastbarkeit der Systeme und Dienste. Dabei sind der Stand der Technik, die Implementierungskosten
und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im
Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
(4) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der
Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen
umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.
Wesentliche Änderungen sind zu dokumentieren.
(5) Soweit Leistungen im Bereich Wartung, Fernwartung und/ oder IT- Fehleranalyse erbracht werden,
gelten erganzend folgende Regelungen:
Die Mitarbeiter des Auftragnehmers verwenden angemessene Identifizierungs- und
Verschlusselungsverfahren. Vor Durchfuhrung der Arbeiten trägt der Auftragnehmer für eventuell
notwendige Datensicherungsmaßnahmen Sorge.

2. Alle Leistungen werden vom Auftragnehmer dokumentiert und protokolliert.
(6) Wirkdaten (Produktiv-/Nutzungsdaten, z. B. Daten des Auftraggebers, Netzdaten zur Erbringung des
Telekommunikationsdienstes des Auftraggebers) können anonym und aggregiert zu Auswertungszwecken
genutzt werden, wie beispielsweise für Jahresrückblicke oder Statistiken über das Gesamtvolumen der
Rechnungen sowie Informationen über Kundenstandorte. Eine Verwendung der Wirkdaten erfolgt
gegebenenfalls außerdem zu Zwecken der Fehleranalyse sowie der Weiterentwicklung der Produkte des
Auftragnehmers.

§ 4 | Qualitätssicherung und sonstige Pflichten des Auftragnehmers

gem. Art. 28 Abs. 3 S. 1 DSGVO
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags eigene gesetzliche
Pflichten eines Auftragsverarbeiters; insofern gewährleistet er insbesondere die Einhaltung folgender
Vorgaben:
(1) Der Auftragnehmer benennt eine fachkundige und zuverlässige Person als Beauftragten für den
Datenschutz, die ihre Tätigkeit gemäß Art. 39, 38 DSGVO ausübt. Die Kontaktdaten des benannten
Datenschutzbeauftragten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitgeteilt.
Die Kontaktdaten des Datenschutzbeauftragten des Auftragnehmers sind:
E-Mail: privacy@sevdesk.de
Postalisch: sevDesk GmbH - Hauptstraße 115 - 77652 Offenburg, Germany
(2) Der Auftragnehmer gewährleistet gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO, dass sich die zur
Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder
einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und zuvor mit den für sie
relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
(3) Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu
personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung (Art. 29, 32
Abs. 4 DSGVO) des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten
Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
(4) Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen
technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, Art. 32 DSGVO.
Einzelheiten abrufbar unter der URL https://sevdesk.de/datenschutz.
(5) Der Auftraggeber und der Auftragnehmer (und ggf. deren Vertreter) arbeiten auf Anfrage mit der
Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).
(6) Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über aufsichtsbehördliche
Kontrollhandlungen und Maßnahmen zu informieren, soweit sie sich auf diesen Auftrag beziehen. Dies gilt
auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in
Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer
ermittelt.
(7) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeitsoder
Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem
anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist,
hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
(8) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und
organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem
Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und
der Schutz der Rechte der betroffenen Person gewährleistet wird.
(9) Der Auftragnehmer gewährleistet die Nachweisbarkeit der getroffenen technischen und
organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 6 dieses Vertrags.

§ 5 | Unterauftragsverhältnisse gem. Art. 28 Abs. 3 S. 2 lit. d DSGVO i.V.m. Art. 28 Abs. 2 und 4 DSGVO

(1) Als Unterauftragsverhältnisse sind Dienstleistungen zu verstehen, die sich unmittelbar auf die
Erbringung der Hauptleistung beziehen. Nicht als Unterauftragsverhältnisse sind dagegen solche
Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch
nimmt, um die geschäftliche Tätigkeit auszuüben; dazu gehören beispielsweise Reinigungsleistungen.
Gleichwohl ist der Auftragnehmer verpflichtet, auch bei von Dritten erbrachten Nebenleistungen Sorge
dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen
getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten.
(2) In Übereinstimmung mit der Regelung des Art. 28 Abs. 2 S. 1 DSGVO nimmt der Auftragnehmer
keinen weiteren Auftragsverarbeiter (Unterauftragnehmer, Sub-Unterauftragnehmer) ohne vorherige
gesonderte oder allgemeine Genehmigung des Auftraggebers in Textform in Anspruch, wobei die
Bestimmungen zu Unterauftragsverhältnissen sowohl für den Unterauftragnehmer als auch für sämtliche in
der Folge in Anspruch genommenen weiteren (Sub-)Unterauftragnehmer (entsprechende) Anwendung finden.
(3) Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer
Auftragsverarbeiter (Unterauftragnehmer) durch den Auftragnehmer, wobei die weitere Auslagerung durch
den Unterauftragnehmer auf Sub-Unterauftragnehmer der gesonderten Genehmigung des Auftraggebers
bedarf. Dem Auftraggeber steht im Einzelfall ein Recht zu, in Textform Einspruch gegen die Beauftragung
eines potenziellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus
wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht
innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein
Einspruchsrecht bezüglich der entsprechenden Beauftragung. Verweigert der Auftraggeber durch seinen
Einspruch die Zustimmung aus anderen als aus wichtigen Gründen, kann der Auftragnehmer diesen
Vertrag wie auch gegebenenfalls den Hauptvertrag zum Zeitpunkt des geplanten Einsatzes des
Unterauftragnehmers kündigen.
(4) Über bestehende oder geplante Unterbeauftragungen durch den Auftragnehmer informiert der
Auftragnehmer uber die Subunternehmerliste – im Folgenden zu finden unter der URL https://sevdesk.de
/datenschutz/. Der Auftragnehmer schließt mit diesen Vereinbarungen nach Maßgabe des Art. 28 Abs. 2
und 4 DSGVO sofern nicht bereits eine solche geschlossen wurde.
(5) Der Auftragnehmer stellt sicher, dass der weitere Auftragnehmer (Sub- und Sub-Subunternehmer)
gegenuber seinem jeweiligen Vertragspartner in entsprechender Weise verpflichtet ist, wie der
Auftragnehmer gegenuber dem Auftraggeber nach diesem Vertrag verpflichtet ist. Der Auftragnehmer hat
die Einhaltung der Pflichten des Unter-Auftragnehmers, insbesondere die Einhaltung der vereinbarten
technischen und organisatorischen Maßnahmen, vor Beginn der Datenverarbeitung und sodann
regelmäßig zu überprüfen. Entsprechendes gilt im Verhältnis des Subunternehmers zum Sub-
Subunternehmer. Das Ergebnis ist jeweils zu dokumentieren.
(6) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und
dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung
gestattet. Insbesondere obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem
Vertrag nach Maßgabe des Art. 28 Abs. 4 S. 1 DSGVO auf den weiteren Auftragsverarbeiter zu übertragen.
(7) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der
Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches
gilt, wenn Dienstleister im Sinne des Abs. 1 S. 2 eingesetzt werden sollen. Vor diesem Hintergrund
bevollmächtigt der Auftraggeber den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem
weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die
Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern abzuschließen.

§ 6 | Kontrollrechte des Auftraggebers gem. Art. 28 Abs. 3 S. 2 lit. h DSGVO

(1) Der Auftragnehmer nutzt externe Prüfer, um die Angemessenheit seiner Sicherheitsmaßnahmen in
Bezug auf die Verarbeitung von Kundeninhalten zu überprüfen. Solche Audits werden mindestens einmal
alle zwei Jahre auf Kosten des Auftragnehmers durchgeführt. Das Prüfungsergebnis (Testat) wird dem
Auftraggeber auf Anfrage in Textform zur Verfügung gestellt. Sollte der Auftraggeber berechtigte Einwände
in Bezug auf die durchgeführte Prüfung haben, kann einer Prüfung durch den Auftraggeber auf dessen
Anfrage in Textform zugestimmt werden.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des
Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem
Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung
der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer,
Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
und/oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit (z. B. nach dem BSIGrundschutz).

§ 7 | Unterstützungs- und Mitteilungspflichten des Auftragnehmers

gem. Art. 28 Abs. 3 S. 2 lit. e und f DSGVO
(1) Der Auftraggeber ist für die Wahrung der Rechte der betroffenen Person verantwortlich. Vor diesem
Hintergrund ist der Auftragnehmer gleichwohl verpflichtet, den Auftraggeber abhängig von der Art der
Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner,
des Auftraggebers, Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO
genannten Rechte der betroffenen Person, das heißt bei der Beantwortung von Anfragen betroffener
Personen in Bezug auf die Informationspflichten des Auftraggebers gegenüber den betroffenen Personen,
deren Auskunftsrecht, ihrem Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, auf
Datenübertragbarkeit sowie damit im Zusammenhang stehenden Mitteilungspflichten des Auftraggebers,
dem Widerspruchsrecht oder auf automatisierte Entscheidungen einschließlich Profiling zu unterstützen,
wenn die betroffene Person entsprechende Rechte geltend macht. Soweit sich die betroffene Person
zwecks Geltendmachung eines Rechts unmittelbar an den Auftragnehmer wendet, leitet dieser die
Anfragen der betroffenen Person unverzüglich an den Auftraggeber weiter.
(2) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der
Auftragsverarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen außerdem bei
der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten, also bei der Erfüllung seiner,
des Auftraggebers, gesetzlichen Verpflichtungen zur Datensicherheit, zur Meldung von Datenpannen an
die Aufsichtsbehörden und die betroffenen Personen, zur Durchführung von Datenschutz-
Folgenabschätzungen sowie zur vorherigen Konsultation der zuständigen Aufsichtsbehörde, sofern dies
im Rahmen der Datenschutz-Folgenabschätzung erforderlich ist. Der Auftragnehmer und der Auftraggeber
arbeiten auf Anfragen der zuständigen Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben zusammen.

§ 8 | Weisungsbefugnis des Auftraggebers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach dokumentierter Weisung des Auftraggebers, sofern er nicht durch das Recht
der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderweitigen
Verarbeitung verpflichtet ist (Art. 28 Abs. 3 S. 3 lit. a, Art. 29 DSGVO). Im Falle einer solchen Verpflichtung
teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit,
sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
verbietet.
(2) Der Auftragnehmer gewährleistet, dass die Auftragsverarbeitung im Einklang mit den Weisungen des
Auftraggebers erfolgt. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen
diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich
darüber zu informieren; nach einer entsprechenden Mitteilung an den Auftraggeber ist der Auftragnehmer
berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den
Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die
weisungsgemäße Verarbeitung beim Auftraggeber liegt.
(3) Die Weisungen des Auftraggebers erfolgen grundsätzlich in Textform. Bei Bedarf kann der
Auftraggeber Weisungen auch (fern-)mündlich erteilen. (Fern-)Mündlich erteilte Weisungen bestätigt der
Auftraggeber unverzüglich in Textform.

§ 9 | Schutz von Privatgeheimnissen

(1) Sofern es sich beim Auftraggeber um einen Berufsgeheimnisträger i. S. v. § 203 StGB handelt, ist der
Auftragnehmer zusätzlich verpflichtet, alle zum persönlichen Lebensbereich der Kunden, Patienten und
Mandanten des Auftraggebers gehörenden Geheimnisse sowie Berufs- und Geschäftsgeheimnisse, die
dem besonderen strafrechtlichen Schutz des § 203 Abs. 1 StGB unterliegen und ihm bei oder gelegentlich
der Erbringung der vertragsgegenständlichen Leistungen bekannt werden, streng geheim zu halten. Dies
gilt insbesondere für sämtliche Informationen und Daten, die das Vertragsverhältnis der Kunden, Patienten
oder Mandanten zum Auftraggeber betreffen, einschließlich des Bestehens des Vertragsverhältnisses
selbst, (nachfolgend „Privatgeheimnisse“). Der Auftragnehmer wird die Privatgeheimnisse des
Auftraggebers unbefristet streng geheim halten, sie nicht unbefugt offenbaren sowie vor dem Zugriff Dritter
schützen.
(2) Die Verpflichtung zur Geheimhaltung von Privatgeheimnissen erstreckt sich auch auf die vom
Auftragnehmer im Rahmen der Durchführung dieses Vertrages eingesetzten Erfüllungsgehilfen. Der
Auftragnehmer wird diese über eine mögliche Strafbarkeit nach § 203 Abs. 1 i. V. m. Abs. 4 StGB
aufklären, ihnen den Regeln dieser Vorschrift entsprechende Geheimhaltungspflichten auferlegen und
dem Auftraggeber auf Verlangen nachweisen. Dies gilt auch für weitere Unterauftragnehmer, derer sich
der Auftraggeber zur Erfüllung seiner vertraglichen Pflichten bedient.

§ 10 | Löschung und Rückgabe von personenbezogenen Daten

gem. Art. 28 Abs. 3 S. 2 lit. g DSGVO
(1) Kopien oder Duplikate von personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht
erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer
ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung
gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den
Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche
in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie
Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber
auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Das Protokoll der
Löschung ist auf Anforderung vorzulegen.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen,
sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende
hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 11 | Sonstige Bestimmungen

(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von
Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die
Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der
Geheimhaltungspflicht unterliegt, ist sie bis zur Freigabe in Textform durch die andere Partei als vertraulich
zu behandeln.
(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch
Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige
Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
(3) Für Nebenabreden ist die Schriftform erforderlich. Dies gilt in gleicher Weise für den Verzicht auf
dieses Formerfordernis.
(4) Die Einrede des Zurückbehaltungsrechts, gleich aus welchem Rechtsgrund, wird hinsichtlich der im
Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(5) Dieser Vertrag gilt auch, wenn und soweit Behörden oder Gerichte abweichend eine gemeinsame
Verantwortlichkeit der Vertragsparteien nach Art. 26 DSGVO annehmen.
(6) Sollten sich einzelne Bestimmungen des Vertrags ganz oder teilweise als unwirksam oder
undurchführbar erweisen oder infolge Änderungen der Gesetzgebung nach Vertragsabschluss unwirksam
oder undurchführbar werden, so bleiben die übrigen Vertragsbestimmungen und die Wirksamkeit des
Vertrags im Ganzen hiervon unberührt. An die Stelle der unwirksamen oder undurchführbaren
Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der
nichtigen Bestimmung möglichst nahekommt. Sollte sich der Vertrag als lückenhaft erweisen, so gelten die
Bestimmungen als vereinbart, die dem Sinn und Zweck des Vertrags entsprechen und im Falle des
Bedachtwerdens vereinbart worden wären.
(7) Der Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner internationalen Verweisungsnormen.
(8) Ausschließlicher Gerichtsstand bei allen Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Freiburg.