toujou
+49 911 23980-870

Datenschutzvereinbarung

Stand des 20.06.2025; Die vorherige Fassung finden Sie hier.

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der in dieser Vereinbarung und der in § 3 und § 4 beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit den toujou-Dienstleistungen in Zusammenhang stehen und bei denen Mitarbeiter des Auftragsverarbeiters oder durch den Auftragsverarbeiter beauftragte Dritte mit personenbezogenen Daten des Verantwortlichen in Berührung kommen können.

Einzelvereinbarungen in dieser Datenschutzvereinbarung gehen den Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters vor.

§ 1 Definitionen

  1. "Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
  2. "Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).
  3. "Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
  4. "Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).
  5. „Unterauftragsverarbeiter“ ist jeder Auftragsverarbeiter, der im Auftrag des Hauptauftragsverarbeiters personenbezogene Daten verarbeitet.
  6. “Weisung” ist die auf einen bestimmten Umgang (zum Beispiel Speicherung, Pseudonymisierung, Löschung, Herausgabe) des Auftragsverarbeiters mit personenbezogenen Daten gerichtete in der Regel schriftliche Anordnung des Verantwortlichen. Die Weisungen werden vom Verantwortlichen erteilt und können durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Die Weisungen des Verantwortlichen sind schriftlich oder per E-Mail zu erteilen.

§ 2 Anwendungsbereich und Verantwortlichkeit

  1. Der Auftragsverarbeiter erbringt im Auftrag des Verantwortlichen Entwicklungs-, Hosting-Leistungen und Wartungsmaßnahmen zu vorkonfigurierten TYPO3-Systemen. In diesem Zusammenhang ist nicht ausgeschlossen, dass der Auftragsverarbeiter Zugriff auf personenbezogene Daten bekommt bzw. Kenntnis von diesen erlangt. Nach Art 28 DSGVO ist daher der Abschluss einer Vereinbarung zur Verarbeitung im Auftrag erforderlich.
  2. Der Verantwortliche hat den Auftragsverarbeiter im Rahmen der Sorgfaltspflichten des Art. 28 DSGVO als Dienstleister ausgewählt. Voraussetzung für die Zulässigkeit einer Datenverarbeitung im Auftrag ist, dass der Verantwortliche dem Auftragsverarbeiter den Auftrag schriftlich erteilt. Dieser Vertrag enthält nach dem Willen der Parteien und insbesondere des Verantwortlichen den schriftlichen Auftrag zur Auftragsverarbeitung i.S.d. Art 28 Abs. 3 DSGVO und regelt die Rechte und Pflichten der Parteien zum Datenschutz im Zusammenhang mit der Erbringung von Hosting-Leistungen.
  3. Das Eigentum an den personenbezogenen Daten liegt ausschließlich beim Verantwortlichen im Sinne der Datenschutzgrundverordnung. Aufgrund dieser Verantwortlichkeit kann der Verantwortliche auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen.

§ 3 Gegenstand und Dauer des Auftrages

  1. Der Gegenstand des Auftrages ist das TYPO3-Service-Hosting im durch den Kunden bestellten Tarif. Der genaue Gegenstand und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag zwischen den Parteien.
  2. Diese Vereinbarung tritt mit dem Zustandekommen des toujou-Vertrages (laut AGB, https://www.toujou.de/agb/) in Kraft und endet im Regelfall mit Kündigung des zugrundeliegenden Hauptvertrages laut AGB. Das Recht zur außerordentlichen Kündigung bleibt unberührt.

§ 4 Beschreibung der Art der Verarbeitung, Daten und betroffener Personen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu den im Hauptvertrag genannten Zwecken. Eine Verarbeitung zu anderen Zwecken ist nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen zulässig.
  2. Umfang, Art und Zweck der Verarbeitung sowie die Art der Daten werden über, durch den Verantwortlichen erstellte oder genutzte, Formulare definiert. Die Verwendung, Inhalt und der Umfang dieser Formulare obliegt dem Verantwortlichen. Des Weiteren besteht Zugriff auf sämtliche Inhalte, Mediendaten (Bilder, Videos, Dokumente...), welche durch Redakteure im System hochgeladen und eingefügt wurden.
  3. Der Kreis der betroffenen Personen ist durch Redakteure im TYPO3-System (Beschäftigte oder Beauftragte des Verantwortlichen) sowie die Besucher und Nutzer seiner aus dem System generierten Website definiert.

§ 5 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Wahrung der anzuwendenden Datenschutzvorschriften angemessen und erforderlich sind. 

  1. Da der Auftragsverarbeiter die Hosting-Leistungen für den Verantwortlichen außerhalb der Geschäftsräume des Verantwortlichen durchführt, sind vom Auftragsverarbeiter zwingend die von ihm getroffenen technischen und organisatorischen Maßnahmen i.S.d. Art. 28 Abs. 3 lit. C DSGVO, Art. 32 DSGVO i.V.m. Art. 5 Abs. 1 und Abs. 2 DSGVO hierzu zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben.
  2. Die Maßnahmen dienen der Datensicherheit und der Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der mit diesem Auftrag in Zusammenhang stehenden Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
  3. Der zum Zeitpunkt des Vertragsschlusses bestehende als auch der aktuelle Stand der technischen und organisatorischen Maßnahmen ist als Anlage A dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragsverarbeiter im Vorwege mit dem Verantwortlichen abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen oder die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragsverarbeiter ohne Abstimmung mit dem Verantwortlichen umgesetzt werden. Der Auftragsverarbeiter kann jederzeit eine aktuelle Fassung der vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen hier finden.

§ 6 Berichtigung, Einschränkung und Löschung von Daten

  1. Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen zur Freigabe weiterleiten.
  2. Die Umsetzung von Löschkonzept, Recht auf Vergessen werden, Berichtigung, Datenportabilität und Auskunft sind nur nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.
  3. Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  4. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens jedoch mit Beendigung des Hauptvertrages – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
  5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

§ 7 Pflichten des Auftragsverarbeiters

  1. Eine Verarbeitung personenbezogener Daten, die sich nicht auf die Erbringung von Hosting-Leistungen bezieht, ist dem Auftragsverarbeiter untersagt. Es sei denn, dass der Verantwortliche dieser schriftlich zugestimmt hat.
  2. Der Auftragsverarbeiter bestätigt, dass er – soweit dieser gesetzlich dazu verpflichtet ist – einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 38, 39 DSGVO bestellt hat. Die jeweils aktuellen Kontaktdaten des Datenschutzbeauftragten sind auf der Homepage des Auftragsverarbeiter leicht zugänglich hinterlegt. Sie finden diese unter 
http://www.toujou.de/impressum
  3. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darüber informieren, wenn eine vom Verantwortlichen erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird.
  4. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Verantwortlichen.
  5. Für den Fall, dass der Auftragsverarbeiter feststellt oder Tatsachen, die Annahme begründen, dass von ihm für den Verantwortlichen verarbeitete personenbezogene Daten einer Verletzung des gesetzlichen Schutzes personenbezogener Daten gem. Art. 33 DSGVO (Datenschutzverstoß bzw. Datenpanne) unterliegen, z.B. indem diese unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich und vollständig über Zeitpunkt, Art und Umfang des Vorfalls bzw. der Vorfälle in Schriftform oder Textform (Fax/E-Mail) zu informieren. Die Meldung an den Verantwortlichen muss mindestens folgende Informationen enthalten: Der Auftragsverarbeiter ist darüber hinaus verpflichtet, unverzüglich mitzuteilen, welche Maßnahmen durch den Auftragsverarbeiter getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern.
    1. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
    2. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen.
    3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
    4. Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  6. Der Auftragsverarbeiter stellt auf Anforderung dem Verantwortlichen die für das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO notwendigen Angaben zur Verfügung und führt als Auftragsverarbeiter selbst ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.
  7. Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung der personenbezogenen Daten des Verantwortlichen befassten Mitarbeiter gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Wahrung der Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen des Datenschutzes vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugriff auf personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten, einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Diese Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit fort.
  8. Die Erfüllung der vorgenannten Pflichten ist vom Auftragsverarbeiter zu kontrollieren und in geeigneter Weise nachzuweisen.
  9. Des Weiteren verpflichtet sich der Auftragsverarbeiter den Verantwortlichen gemäß Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in Art. 34-36 DSGVO genannten Pflichten zu unterstützen:
    1. Im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen und dem Verantwortlichen in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen.
    2. Bei der Durchführung seiner Datenschutz-Folgenabschätzung.
    3. Im Rahmen einer vorherigen Konsultation mit der Aufsichtsbehörde.
  10. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
  11. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen, zu informieren. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
  12. Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung durch den Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.
  13. Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

§ 8 Rechte und Pflichten des Verantwortlichen

  1. Der Verantwortliche ist für die Einhaltung der gesetzlichen Datenschutzvorschriften, insbesondere der DSGVO, verantwortlich.
  2. Der Verantwortliche erteilt dem Auftragsverarbeiter alle erforderlichen Weisungen zur Verarbeitung der personenbezogenen Daten.
  3. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Verarbeitungsergebnisse feststellt.
  4. Erteilt der Verantwortliche Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Verantwortlichen zu tragen.

§ 9 Wahrung von Rechten der betroffenen Person

  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit möglich, bei der Erfüllung der Pflichten und Rechte der betroffenen Personen gemäß Kapitel III der DSGVO (Art. 12–23).
  2. Wenn eine betroffene Person direkt an den Auftragsverarbeiter herantritt, leitet der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiter.

§ 10 Kontrollbefugnisse

  1. Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen sowie die Einhaltung der Weisungen des Verantwortlichen durch den Auftragsverarbeiter jederzeit im erforderlichen Umfang zu kontrollieren.
  2. Der Auftragsverarbeiter ist dem Verantwortlichen gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Abs. 1 erforderlich ist.
  3. Der Verantwortliche kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Abs. 1 in der Betriebsstätte des Auftragsverarbeiters zu den jeweils üblichen Geschäftszeiten vornehmen. Der Verantwortliche wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, sofern die Betriebsabläufe des Auftragsverarbeiters durch die Kontrollen gestört werden.
  4. Der Auftragsverarbeiter ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Verantwortlichen i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Verantwortlichen zu erteilen.
  5. Der Auftragsverarbeiter erbringt den Nachweis technischer und organisatorischer Maßnahmen, die nicht nur den konkreten Auftrag betreffen. Dabei kann dies erfolgen durch:
    1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO.
    2. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO.
    3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsbeauftragter, Datenschutzauditoren).
    4. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach ISO 27001 oder BSI-Grundschutz).
  6. Die Kosten für Aufwände einer Kontrolle beim Auftragsverarbeiter gem. Abs. 3 und 4 können gegenüber dem Verantwortlichen geltend gemacht werden.

§ 11 Unterauftragsverhältnisse

  1. Der Auftragsverarbeiter nimmt für die Erbringung von Hosting-Leistungen im Auftrag des Verantwortlichen keine Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten gem. Art. 28 DSGVO verarbeiten (»Unterauftragsverarbeiter«).
  2. Die bedarfsweise Beauftragung von Unterauftragsverarbeiter durch den Auftragsverarbeiter ist nur mit schriftlicher Zustimmung des Verantwortlichen zulässig.
  3. Der Verantwortliche ist damit einverstanden, dass der Auftragsverarbeiter zur Erfüllung seiner vertraglich vereinbarten Leistungen Unternehmen zur Leistungserfüllung heranzieht bzw. mit Leistungen unterbeauftragt. Aktuell handelt es sich um folgende Unternehmen:


    Genehmigte Unterauftragsverarbeiter (Stand 20.06.2025):

    NAMEZWECKANBIETER
    GoogleG Suite ServicesGoogle Inc.
    1600 Amphitheatre Parkway
    Mountain View, CA 94043
    USA
    jweiland.netHosting-Infrastrukturjweiland.net 
    Jochen Weiland 
    Echterdinger Straße 57, 70794 Filderstadt 
    Germany 
    HEXONETDomainregistrierungHEXONET GmbH
    Talstraße 27
    66424 Homburg
    Germany
    BunnyWay d.o.o.CDNCesta komandanta Staneta 4A
    1215 Medvode
    Slovenia
    punkt.de GmbHHosting-Infrastrukturpunkt.de GmbH
    Kaiserallee 13a
    76133 Karlsruhe
    Germany
    Key-Systems GmbHDomain RegistrarKaiserstraße 172-174
    66386 St.Ingbert
    Hetzner Online GmbHAnalytics und ergänzende Dienste (PDF-Erzeugung o.ä.)Industriestr. 25
    91710 Gunzenhausen
    Deutschland
    Amazon Web ServicesE-Mail-Versandhttps://aws.amazon.com/de/
  4. Der Auftragsverarbeiter hat die Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten zu verpflichten, die in diesem Vertrag festgelegt sind.
  5. Der Auftragsverarbeiter bleibt verantwortlich für die Einhaltung der Pflichten durch die Unterauftragsverarbeiter.

§ 12 Datengeheimnis und Geheimhaltungspflichten

  1. Der Auftragsverarbeiter verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Verantwortlichen obliegen. Der Verantwortliche ist verpflichtet, dem Auftragsverarbeiter etwaige besondere Geheimnisschutzregeln mitzuteilen.
  2. Der Auftragsverarbeiter sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist.
  3. Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieser Vereinbarung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den oben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
  4. Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.

§ 13 Internationale Datenübermittlungen

  1. Eine Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums) erfolgt nur, sofern dies zur Erfüllung unserer vertraglichen Pflichten erforderlich ist, gesetzlich vorgeschrieben ist oder der Verantwortliche hierzu seine Einwilligung erteilt hat. In jedem Fall stellt der Auftragsverarbeiter sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, beispielsweise durch:
    • Abschluss von Standardvertragsklauseln
    • Binding Corporate Rules (BCRs)
    • Angemessene Datenschutzvorkehrungen gemäß Art. 46 DSGVO
       

§ 14 Informationspflichten, Schriftformklausel, Rechtswahl

  1. Sollten die personenbezogenen Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Verantwortlichen als »verantwortlicher Stelle« im Sinne des Bundesdatenschutzgesetzes liegen.
  2. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiter – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf diese Formerfordernis.
  3. Bei Unwirksamkeit einer Bestimmung in diesen Vertragsbedingungen bleiben die übrigen Bestimmungen gleichwohl wirksam. Die Vertragsparteien verpflichten sich, eine unwirksame Bestimmung oder eine planwidrig fehlende Bestimmung nach Treu und Glauben durch eine Bestimmung zu ersetzen, die dem gemeinsam verfolgten Zweck der Vertragsparteien am nächsten kommt.

Anlagen

Anlage A, Technische und organisatorische Maßnahmen

Hier finden Sie die »Anlage A« in der jeweils aktuellen Version sowie den vorangegangen Versionen als Download.

Datei / StandDownload
17-10-22_Anlage-A_TOM_DFAU-toujou.pdf
Stand: 22.10.2017
PDF-Datei


Änderungen

Im Zuge der Entwicklung unterliegen unsere Datenschutzvereinbarungen einer fortlaufenden Überprüfung. Die vorherige gültige Version finden Sie hier.