Allgemeine Vertragsbedingungen der Vidavelopment GmbH

1. Zustandekommen des Nutzungsvertrages

1.1 Die Nutzung des VIDA Systems richtet sich nach den Nutzungsbedingungen der Vidavelopment GmbH (nachfolgend auch Auftragnehmer) die im Rahmen der Registrierung auf dem VIDA Betreiberportal gesondert akzeptiert werden. Um das VIDA- Netzwerk nutzen zu können, ist es erforderlich, dass sich der Kunde (nachfolgend auch Auftraggeber) über die Homepage www.vida-app.de unter Angabe seiner entsprechenden persönlichen Angaben kostenfrei registriert. Im Rahmen dieses Registrierungsprozesses, legt der Auftraggeber selbst seine Login-Daten für das Betreiberportal fest.

1.2 Nach erfolgter Registrierung kann der Auftraggeber Guthaben aufladen. Alle Guthabenbeträge sind als Nettobeträge ausgewiesen und gelten zuzüglich der gesetzlichen Mehrwertsteuer. Aufladung von Guthaben kann je nach Angabe eine Bonus-Zahlung enthalten, welche nach erfolgter Aufladung sofort gutgeschrieben wird. Durch Anklicken des „Jetzt Bezahlen“-Buttons schließt der Auftraggeber für das von ihm ausgewählte Guthabenpaket einen rechtsverbindlichen Kaufvertrag ab.

1.3 Der Auftraggeber kann auf dem Betreiberportal Leistungspakete buchen. Durch Anklicken des „Mit Guthaben aktivieren“-Buttons aktiviert der Auftraggeber das von ihm ausgewählte Leistungspaket. Die Aktivierung erfolgt nur bei ausreichender Deckung (Guthaben + Bonus).

1.4 Der Auftraggeber kann sich im App-Store/ Play-Store kostenlos die sog. VIDAda-App der Vidavelopment GmbH herunterladen und auf mobilen Endgeräten installieren. Die Zugangsdaten kann der Auftraggeber selbst im Betreiberportal festlegen. Für die Nutzung der VIDAda-App ist eine funktionsfähige Internet-Verbindung erforderlich. Die Herstellung und/oder Aufrechterhaltung der erforderlichen Internet-Verbindung ist nicht Aufgabe der Vidavelopment GmbH. Hierfür ist der Auftraggeber selbst verantwortlich. Ebenso obliegt die Beschaffung eines geeigneten Datenverarbeitungs-Endgeräts und/oder der VIDAda-App allein dem Auftraggeber.

2. Vertragsgegenstand

2.1 Die Vidavelopment GmbH stellt dem Auftraggeber auf Grundlage dieses Nutzungsvertrages eine Software-Lösung (Web-basiertes Betreiberportal sowie Apps für mobile Endgeräte z.B. Smartphone, Tablet) zur Verfügung. Diese Software-Lösung dient zur Identifikation von Personen (z.B. Kunden, Arbeitnehmer, Mitglieder des Auftraggebers etc., nachfolgend Besucher), denen ein von der Vidavelopment GmbH erstellten Code zugewiesen wurde bzw. wird. Jede Identifikation wird als Transaktion definiert und gemäß Leistungspaket abgerechnet.

2.2 Der Identifizierungs-Code wird dem Besucher entweder nach näherer Maßgabe von nachfolgender Ziffer 3 mittels einer von der Vidavelopment GmbH erstellen Registrierungskarte (sog. VIDAcard) oder nach näherer Maßgabe von nachfolgender Ziffer 4 mittels einer Software-Anwendung, die Besucher auf seinem mobilen Endgerät installiert (sog. VIDAgo- App), zugeteilt.

2.3 Der Auftraggeber kann folgende Leistungspakete buchen:

Monatliche Tarife:
Prepaid Tarife:
Event und Messe Tarife:
Starter Tarif:

Die Einzelheiten des jeweiligen Leistungspaketes ergeben sich aus der jeweils gültigen Preisliste der Vidavelopment GmbH.

2.4 Im Zuge der vorgenannten Identifizierung ist es erforderlich, dass personenbezogene Daten der zu identifizierenden Personen i.S.v. Art. 4 Nr. 1 DSGVO von der Vidavelopment GmbH i.S.v. Art. 4 Nr. 8 DSGVO verarbeitet werden, für die allein der Auftraggeber als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO fungiert (nachfolgend Auftraggeber- Daten). Zudem erfolgt eine Verarbeitung von personenbezogenen Daten, die die VIDAvelopment GmbH über die VIDAgo-App erhebt (nachfolgend Auftragnehmer-Daten) und für den Auftraggeber nach dessen Weisung mit den Auftraggeber-Daten zeitlich befristet verknüpft (nachfolgend verknüpfte Daten). Dieser Vertrag konkretisiert daher auch die den Vertragsparteien obliegenden Rechte und Pflichten insbesondere auch im Hinblick auf den Umgang mit den Auftraggeber-Daten sowie mit den verknüpften Daten.

2.5 Im Rahmen der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer werden insbesondere folgende Daten erhoben:

3. VIDAcard

3.1 Sofern der Auftraggeber eine Identifikation mittels VIDAcard wünscht, stellt die VIDAvelopment GmbH dem Auftraggeber diese VIDAcards kostenpflichtig zur Verfügung.

Pro VIDAcard wird eine Gebühr gemäß der jeweils gültigen Preisliste erhoben.

3.2 Die ausgegebenen VIDAcards bleiben Eigentum der VIDAvelopment GmbH. Sie sind bei Vertragsende an die VIDAvelopment GmbH zurückzugeben.

3.3 Die Aktivierung der VIDAcard erfolgt durch den Auftraggeber nach Identifizierung der Person. Der Auftraggeber erfasst die erforderlichen Daten der zu identifizierenden Person über die VIDAda-App und/oder falls verfügbar über sein Kundenkonto auf der Homepage www.vida-app.de an die VIDAvelopment GmbH.

4. VIDAgo-App

Sofern der Auftraggeber eine Identifikation des Besuchers mittels VIDAgo-App wünscht, stellt die VIDAvelopment GmbH diese VIDAgo-App ausschließlich für iOS- und Android- basierte Geräte kostenfrei über den jeweiligen Store zur Verfügung. Für die Nutzung der VIDAgo-App gelten die separaten Nutzungsbedingungen.

5. Vertragsdauer

Der Nutzungsvertrag beginnt mit rechtsgültigem Abschluss des Vertrages (vgl. Ziffer 1) und hat – nach Wahl des Auftraggebers – eine Laufzeit von drei, sechs oder zwölf Monaten (jeder Monat wird mit genau 30 Tagen definiert). Die Länge der Vertragsdauer wird vom Auftraggeber durch Auswahl des jeweiligen Leistungspaketes eigenständig vorgegeben. Alternativ kann eine individuelle Laufzeit sowie ein individuelles Leistungspaket mit der VIDAvelopment GmbH vereinbart werden.

6. Vergütung

6.1 Die vom Auftraggeber an die VIDAvelopment GmbH zu zahlende Vergütung richtet sich nach der jeweils gültigen Preisliste der Vidavelopment GmbH.

6.2 Alle Preise verstehen sich zzgl. jeweiliger gesetzlicher Umsatzsteuer, derzeit in Höhe von 19%.

6.3 Der geschuldete Kaufpreis ist bei monatlicher Zahlweise für den ersten Monat bei Abschluss des Vertrages fällig. Für die darauf folgenden Monate ist der Betrag vor Beginn der jeweiligen Laufzeit fällig. Bei Einmalzahlung ist der Kaufpreis für die gesamte Vertragslaufzeit bei Abschluss des Vertrages zur Zahlung fällig.

6.4 Der Auftraggeber hat zu jeder Zeit die Möglichkeit, zusätzliche Transaktionspakete freizuschalten. Diese werden mit Abschluss sofort mit dem vorhandenen Guthaben und/oder Bonus verrechnet.

6.5 Die Rechnung wird dem Auftraggeber ausschließlich beleglos als .pdf-Datei per Email zur Verfügung gestellt.

7. Haftung

7.1 Die VIDAvelopment GmbH leistet Schadenersatz oder Ersatz vergeblicher Aufwendungen, gleich aus welchem Rechtsgrund (z.B. aus rechtsgeschäftlichen und rechtsgeschäftsähnlichen Schuldverhältnissen, Pflichtverletzung und unerlaubter Handlung), nur in folgendem Umfang:

7.2 Der VIDAvelopment GmbH bleibt der Einwand des Mitverschuldens offen.

7.3 Bei Verletzung von Leben, Körper und Gesundheit und bei Ansprüchen aus dem Produkthaftungsgesetz gelten die gesetzlichen Regelungen ohne Beschränkungen.

7.4 Soweit Dritte Ansprüche gegen die VIDAvelopment GmbH geltend machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber die VIDAvelopment GmbH von diesen Ansprüchen auf erstes Anfordern frei.

7.5 Der Auftraggeber verpflichtet sich, die VIDAvelopment GmbH auch von allen etwaigen Geldbußen, die gegen die VIDAvelopment GmbH verhängt werden, in dem Umfang auf erstes Anfordern freizustellen, in dem der Auftraggeber Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

8. Pflichten des Parteien in Bezug auf die Auftragnehmer-Daten

Der Auftragnehmer ist verpflichtet, die Auftragnehmer-Daten ordnungsgemäß zu erheben. Diese Datenerhebung erfolgt in eigener Verantwortung des Auftragnehmers. Den Auftraggeber treffen in diesem Zusammenhang keine Rechte und Pflichten.

Der Auftragnehmer stellt in Fallvariante B die verarbeiteten Identitätsdaten des Besuchers dem Auftraggeber so zu Verfügung, dass dieser die gesetzliche Aufzeichnungspflicht der Kontaktdaten erfüllen kann (inhaltlich vollständig und in korrekter Dauer). Für die Zeit der Bereitstellung in Fallvariante B sind beide Parteien gemeinsam Verantwortliche für diese Identitätsdaten. Diese vom Auftragnehmer erhobenen und durch beide Parteien jeweils genutzten Identitätsdaten werden im folgenden als gemeinsame Daten bezeichnet.

In Bezug auf die gemeinsamen Daten vereinbaren die Parteien gem. Art. 26 DSGVO, was folgt:

8.1 Die gemeinsame Verantwortung entsteht durch die technische Bereitstellung, vorhandene Identitätsdaten eines App-Nutzers mit Besuchszeitdaten verknüpfen zu können. Für die Dauer der Verknüpfung sind die Parteien gemeinsam Verantwortliche i.S.v. Art. 26 DSGVO ausschließlich in Bezug auf diese Identitätsdaten. Zweck der gemeinsamen Verarbeitung ist die Bereitstellung von Identitätsdaten zur Erzeugung der gesetzlich festgelegten Kontaktlisten zur Infektionsnachverfolgung. Die Verarbeitung beruht auf Einwilligung des Betroffenen gemäß Art.6 Abs.1 (a) DSGVO.

8.2 Die Parteien legen ihre Wirkbereiche wie folgt fest: Der Auftragnehmer ist verantwortlich für die korrekte Erhebung der Daten. Er stellt sicher, dass der Betroffene der Verarbeitung der Identitätsdaten für Zwecke der Erzeugung von Kontaktdatenlisten zur Infektionsverfolgung durch den Auftraggeber zugestimmt hat. Er ist verantwortlich für Information nach Art.13 DSGVO gegenüber den Betroffenen und die Unterrichtung darüber, dass, unter welchen Voraussetzungen und in welchem Umfang diese Daten dem Auftraggeber übermittelt werden. Er ist außerdem verantwortlich, dass die Daten rechtzeitig und vollständig mit den Auftraggeber-Daten verknüpft werden. Der Auftragnehmer ist außerdem für die sichere Speicherung der Daten verantwortlich.

Der Auftraggeber ist verantwortlich, dass die Identitätsdaten mit den Besucherzeitdaten verknüpft werdend dürfen. Er löst die Verknüpfung der Daten aus.

Beide Parteien dürfen die gemeinsamen Daten nur innerhalb ihrer Zuständigkeiten und nur für die Zwecke der Nachverfolgbarkeit von Covid-19-Infektionsketten verwenden. Der Auftragnehmer ist verpflichtet, die Verknüpfung zwischen den Auftragnehmer- und den Auftraggeber-Daten nach Ablauf der jeweils gültigen gesetzlichen Speicherdauer irreversibel aufzulösen. Der Auftraggeber ist nicht berechtigt, Auftragnehmer-Daten nach dem Ende der Speicherfrist zu besitzen und/oder zu verwenden. Der Auftragnehmer ist nicht berechtigt, Auftraggeber-Daten nach Aufhebung der Verknüpfung zu verwenden.

8.3. Für die Erfüllung der Betroffenenrechte nach Art. 15 ff. DSGVO ist in Bezug auf die gemeinsamen Daten der Auftragnehmer zuständig. Ungeachtet dessen, sind sich die Parteien einig, dass sich betroffene Personen zwecks Wahrnehmung ihrer Betroffenenrechte an beide Parteien wenden können. Der Auftraggeber leitet bei ihm eingehende Begehren (z.B. auf Auskunft, Löschung, Berichtigung) umgehend an den Auftragnehmer zur Umsetzung weiter. Im Falle eines Löschbegehrens prüft der Auftragnehmer, ob die Daten noch mit Daten des Auftraggebers verknüpft sind. Ist dies der Fall, werden die Daten erst nach Ende der Verknüpfung gelöscht.

8.4. Die Daten werden durch den Auftragnehmer gespeichert. Er ergreift in Bezug auf die gemeinsamen Daten die in Anlage 2 spezifizierten technischen und organisatorischen Maßnahmen, die nach Maßgabe der Art. 32 und 25 DSGVO geeignet und erforderlich sind, ein dem Risiko für Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten und die Datenschutzgrundsätze zu wahren. Der Auftraggeber stellt sicher, dass der Zugang zu diesen Daten nur authorisierten Personen, die eine dienstliche Aufgabe zur Erfüllung des Zweck haben, möglich ist.

8.5. Jede Partei erfüllt die Pflichten eines Verantwortlichen im Sinne des Kapitel IV DSGVO eigenverantwortlich. Die Partei, in deren Sphäre eine Schutzverletzung bezüglich dieser Daten auftritt, informiert umgehend die andere Partei und ist in Bezug auf Prüfung und Bearbeitung der Schutzverletzung zuständig( Meldepflichten gegenüber der zuständigen Aufsichtsbehörde bzw. den Betroffenen.

Wird einer der Parteien eine Verletzung des Datenschutzes bekannt oder tritt eine sicherheitsrelevante Störung des Datenverarbeitungsprozesses auf, sind die Parteien ungeachtet der Zuständigkeitsverteilung verpflichtet, innerhalb ihrer Organisation unverzüglich Maßnahmen zu ergreifen, die zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen erforderlich sind. Ungeachtet der Zuständigkeitsverteilung gemäß dieses Vertrages werden die Parteien der jeweils anderen Partei unverzüglich anzeigen, wenn sich eine Aufsichtsbehörde im Zusammenhang mit diesem Vertrag an sie wendet. Die Parteien stimmen darin überein, dass sie den Aufforderungen zuständiger Aufsichtsbehörden grundsätzlich Folge leisten werden, insbesondere in Bezug auf Anfragen und die Überlassung von Informationen.

8.6 Die Parteien werden alle mit der Datenverarbeitung beschäftigten Personen schriftlich zur Vertraulichkeit im Hinblick auf die Daten verpflichten.

8.7 Die Parteien sind in Bezug auf die gemeinsamen Daten berechtigt, Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO mit Sitz innerhalb der EU zu beauftragen, allerdings nur für die ihnen nach diesem Vertrag jeweils zugewiesenen Aufgaben und unter Einhaltung des nach diesem Vertrag geschuldeten Schutzniveaus. Die Einschaltung von Auftragsverarbeitern muss den Anforderungen der für die jeweilige Partei geltenden Anforderungen an die Auftragsverarbeitung (z.B. Art. 28 und 29 DSGVO) entsprechen.

9.

Die Parteien haften gegenüber den Betroffenen betr. die gemeinsamen Daten nach Art. 82 DSGVO. Im Innenverhältnis haften die Parteien einander nur für ihren Anteil an der haftungsauslösenden Ursache. Dies gilt entsprechend im Falle einer gegen eine Partei wegen eines Verstoß gegen Datenschutzvorschriften verhängten Geldbuße, sofern die mit der Geldbuße belegte Partei die Rechtsmittel gegen den Bußgeldbescheid ausgeschöpft hat. Bleibt eine Partei mit einer Geldbuße belastet, die nicht ihrem Verantwortungsanteil an dem Verstoß entspricht, ist die jeweils andere Partei verpflichtet, sie von der Geldbuße in dem Umfang freizustellen, in dem sie die Verantwortung für den sanktionierten Verstoß trägt. Ungeachtet dessen bleibt durch diesen Vertrag die volle Eigenverantwortung der Parteien gegenüber Betroffenen unberührt (Art. 26 Abs. 3 DSGVO).

10. Pflichten der Parteien bezüglich der Auftraggeber-Daten

Die Verarbeitung der unter 2.5. näher benannten Auftraggeber-Daten erfolgt ausschließlich nach Weisung und im Auftrag des Auftraggebers. Die VIDAvelopment GmbH ist verpflichtet, die Auftraggeber-Daten nach näherer Maßgabe von nachstehenden Ziffern 11 ff. und den übrigen Regelungen dieser AGB im Auftrag des Auftraggebers im Rahmen des jeweils gebuchten Leistungspakets zu verarbeiten und das sog. VIDA-Netzwerk nach näherer Maßgabe von nachstehendem Absatz 3 betriebsbereit zu halten. Die VIDAvelopment GmbH ist insbesondere verpflichtet, die für den Auftraggeber geltende Rechtslage zur verpflichtenden Speicherdauer der Auftraggeber-Daten zu ermitteln und die Auftraggeber-Daten mit Ablauf der gesetzlich vorgeschriebenen Frist, spätestens jedoch am Ende der gesetzlich zulässigen maximalen Speicherdauer zu löschen. Der Auftraggeber erteilt der VIDAvelopment GmbH hiermit bereits jetzt die Weisung, die Auftraggeber-Daten nach den jeweils anwendbaren gesetzlichen Vorschriften zu löschen.

11. Umfang der Beauftragung hinsichtlich der Auftraggeber-Daten

Der Auftragnehmer verarbeitet die Daten, um die nach den gesetzlichen Vorgaben erforderlichen Kontaktlisten zur Verfolgung von Infektionen zu erzeugen und vorzuhalten. Dies erfolgt unter folgenden Vorgaben:

12. Art der verarbeiteten Auftraggeber-Daten

12.1 Der Auftragnehmer verarbeitet folgende Daten im Auftrag:

12.2 Die ordnungsgemäße Erhebung der vorgenannten Auftraggeber-Daten obliegt allein dem Auftraggeber.

13. Weisungsrecht bezüglich der Auftraggeber-Daten

13.1 Die VIDAvelopment GmbH verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.

13.2 Die Weisungen des Auftraggebers in Bezug auf die Auftraggeber-Daten werden anfänglich durch diese AGB festgelegt.

13.3 Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch von der VIDAvelopment GmbH zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

13.4 Ist die VIDAvelopment GmbH der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat sie den Auftraggeber unverzüglich darauf hinzuweisen. Die VIDAvelopment GmbH ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

14. Ort der Verarbeitung

Die Verarbeitung der Auftraggeber-Daten durch die VIDAvelopment GmbH findet grundsätzlich innerhalb Deutschlands bzw. innerhalb der EU statt.

15. Verantwortlichkeit des Auftraggebers

15.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis zueinander allein verantwortlich. Sollten Dritte gegen die VIDAvelopment GmbH aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber die VIDAvelopment GmbH von allen solchen Ansprüchen auf erstes Anfordern freistellen.

15.2 Dem Auftraggeber obliegt es, der VIDAvelopment GmbH die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat die VIDAvelopment GmbH unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Arbeitsergebnisse der VIDAvelopment GmbH Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

15.4 Ist die VIDAvelopment GmbH der Ansicht, sie sei gegenüber einer dritten Stelle zur Auskunft über die im Auftrag verarbeiteten Daten verpflichtet, dürfen Daten nur nach Rücksprache und Freigabe des Auftraggebers herausgegeben werden.

16. Schutzmaßnahmen der VIDAvelopment GmbH

16.1 Die VIDAvelopment GmbH wird in ihrem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie trifft alle erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko, dem Schutzbedarf und dem Stand der Technik entsprechenden, angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO zu gewährleistet, insbesondere mindestens die in Anlage 2 aufgeführten Maßnahmen. Für die im Auftrag verarbeiteten Daten wird ein mittlerer Schutzbedarf festgelegt. Es sind Maßnahmen zu treffen, die vom Schutzniveau her den Maßnahmen des BSI Grundschutzes für Daten dieses Schutzbedarfs entsprechen.

16.2 Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt der VIDAvelopment GmbH vorbehalten, wobei sie sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

17. Informationspflichten der VIDAvelopment GmbH

17.1 Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen der VIDAvelopment GmbH, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch die VIDAvelopment GmbH, bei ihr im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird die VIDAvelopment GmbH den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen der VIDAvelopment GmbH durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:

17.2 Die VIDAvelopment GmbH trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.

18. Inanspruchnahme weiterer Auftragsverarbeiter oder sonstiger Hilfspersonen

18.1 Der Auftraggeber erteilt der VIDAvelopment GmbH hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter und sonstige Hilfspersonen hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen, sofern die Verarbeitung ausschließlich in der EU erfolgt. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 3.

18.2 Die VIDAvelopment GmbH wird den Auftraggeber über die beabsichtigten Änderungen in Bezug auf die Hinzuziehungen oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potenziellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, der VIDAvelopment GmbH nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist die VIDAvelopment GmbH berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 2 Wochen zu kündigen.

18.3 Der Vertrag zwischen der VIDAvelopment GmbH und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie der VIDAvelopment GmbH kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

19. Anfragen und Rechte Betroffener

19.1 Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber der VIDAvelopment GmbH geltend, so leitet der Auftragnehmer diese unverzüglich an den Auftraggeber weiter.

19.2 Die VIDAvelopment GmbH wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die die VIDAvelopment GmbH sie auftragsgemäß weitergibt und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.

19.3 Die VIDAvelopment GmbH wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der der VIDAvelopment GmbH hierdurch entstehenden nachzuweisen Aufwände und Kosten, Auftraggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

19.4 Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird die VIDAvelopment GmbH den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der der VIDAvelopment GmbH hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.

20. Datenlöschung

20.1 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch die VIDAvelopment GmbH auch nach Vertragsende aufbewahrt werden.

20.2 Nach Beendigung des Vertrages sind ferner zu löschen bzw. zu vernichten andere im Zusammenhang mit dem Auftragsverhältnis stehende (nicht-personenbezogene) Daten oder Unterlagen (inkl. der persönlichen Angaben des Auftraggebers), soweit diese nicht nach Maßgabe gesetzlicher Regelungen zur Erfüllung etwa von Dokumentationspflichten oder aus handels-, steuer- oder gewerberechtlichen Gründen aufzubewahren sind. Diese Daten dürfen nur zu dem gesetzlich vorgesehenen Zweck verarbeitet werden und sind nach Ablauf der jeweiligen Aufbewahrungs- und Speicherfristen ebenfalls zu löschen.

21. Anwendbares Recht

21.1 Dieser Vertrag unterliegt deutschem Recht unter Ausschluss des Internationalen Privatrechts sowie unter Ausschluss des UN-Kaufrechts.

21.2 In diesen AGB werden die Normen der DSGVO zitiert. Bei Kunden in kirchlicher Trägerschaft gelten vorrangig jedoch die entsprechenden Regelungen des DSG EKD bzw. des KDG.

22. Gerichtsstand

Sofern es sich bei dem Auftraggeber um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen handelt, unterliegen Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag der ausschließlichen Zuständigkeit der Gerichte am Sitz der VIDAvelopment GmbH. Dies gilt auch, wenn der Auftraggeber seinen Sitz außerhalb des Hoheitsgebietes der Bundesrepublik Deutschland hat und der Vertrag oder Ansprüche aus dem Vertrag der beruflichen oder gewerblichen Tätigkeit des Auftraggebers zugerechnet werden können.

23. Außergerichtliche Streitbeilegung

23.1 Information zur Verbraucherstreitbeilegung nach § 36 Verbraucherstreitbeilegungsgesetz: Die VIDAvelopment GmbH nimmt nicht an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teil.

23.2 Information zur Online-Streitbeilegung nach Art. 14 Abs. 1 der EU-Verordnung über Online-Streitbeilegung in Verbraucherangelegenheiten: Die EU-Kommission stellt eine Plattform zur Online-Streitbeilegung verbraucherrechtlicher Streitigkeiten, die aus Online- Kaufverträgen resultieren, bereut. Diese Plattform ist im Internet unter https://ec.europa.eu/consumers/odr/ erreichbar.

Die E-Mail-Adresse der VIDAvelopment GmbH lautet: info [at] vida-app.info

24. Änderungen dieser AGB

24.1 Diese AGB können geändert werden, soweit dies zur Anpassung an Entwicklungen erforderlich ist, welche bei Vertragsschluss nicht vorhersehbar waren und welche die VIDAvelopment GmbH nicht veranlasst hat oder beeinflussen kann und deren Nichtberücksichtigung die Ausgewogenheit des Vertragsverhältnisses in nicht unbedeutendem Maße stören würde, soweit hierdurch wesentliche Regelungen des Vertragsverhältnisses nicht berührt werden. Wesentliche Regelungen sind solche über Art und Umfang der vertraglich vereinbarten Leistungen und die Laufzeit, insbesondere sämtliche datenschutzrechtlichen Regelungen.

24.2 Änderungen der AGB werden dem Auftraggeber mindestens sechs Wochen vor ihrem geplanten Wirksamwerden in Textform mitgeteilt. Dem Auftraggeber steht bei Änderungen, die nicht ausschließlich zu seinen Gunsten erfolgen, das Recht zu, den Vertrag ohne Einhaltung einer Kündigungsfrist zum Zeitpunkt des Wirksamwerdens der Änderungen in Textform (z.B. Brief oder E-Mail) zu kündigen. Hierauf wird der Auftraggeber in der Änderungsmitteilung besonders hingewiesen.

25. Aufrechnung

Eine Aufrechnung ist nur gegenüber unbestrittenen oder rechtskräftig festgestellten Forderungen der Vidavelopment GmbH statthaft.

26. Unwirksamkeit

Die Unwirksamkeit einzelner Regelungen dieses Vertrags lässt die Wirksamkeit der übrigen Regelungen unberührt. In diesem Fall verpflichten sich die Parteien, sich auf wirksame Regelungen zu verständigen, die wirtschaftlich dem intendierten Zweck der unwirksamen Regelungen am nächsten kommen. Dies gilt entsprechend für die Schließung etwaiger Lücken in diesem Vertrag.

Anlage 1

Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen

Zweck der Datenverarbeitung:

Identifizierung einer Person unter Protokollierung des Aufenthaltsortes und der Aufenthaltsdauer an einem bestimmten Aufenthaltsort

Art und Umfang der Datenverarbeitung

Erheben, Erfassen, Empfangen, Speicherung, Verwendung, Offenlegung durch Übermittlung, Einschränkung oder Löschung

Art der Daten

Kategorien betroffener Personen

Anlage 2

Technische und organisatorische Maßnahmen der VIDAvelopment GmbH

i.S.d. Art. 32 DSGVO

Inhaltsverzeichnis

1. Vertraulichkeit

1.1 Zutrittskontrolle

Maßnahmen, um zu verhindern, dass Unbefugte räumlichen Zutritt zu Datenverarbeitungsanlagen erhalten, mit welchen personenbezogene Daten verarbeitet werden:

1.2 Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können. Es soll sichergestellt werden, dass nur berechtige Personen Zugang zu den Anlagen (PC, Laptop, Server) haben, mit denen personenbezogene Daten verarbeitet werden:

Maßnahmenbeschreibung:
Die Eingangstüre und die Türe zu den Räumen, in denen sich Verarbeitungsanlagen (PC, Laptop, Drucker, Kopierer) befinden, und in denen Akten und Korrespondenz aufbewahrt werden, sind bei Nicht-Benutzung versperrt.

1.3 Zugriffskontrolle

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle)

Es soll durch Zuständigkeitsregelungen sichergestellt werden, dass berechtige Personen nur auf die Daten Zugriff haben, für die sie auch berechtigt sind.

Es besteht eine Passwort-Policy und diese ist den Befugten auch bekannt. Passwörter sind in periodischen Abständen zu ändern. Es ist sichergestellt, dass alle befugten Personen informiert sind, dass Passwörter sicher zu verwahren sind und nicht weitergegeben werden. Die befragten Personen sind informiert, dass einzigartige Passwörter, d.h. Passwörter, die vom Nutzer bei keinem anderen (insbesondere privaten) Systemen verwendet werden sollen.

1.4 Benutzerkontrolle

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte

Es soll sichergestellt werden, dass durch die Verwendung von Verarbeitungssystemen (z.B. über das Internet) unbefugt Daten übertragen werden.

Der IT-Administrator vergibt die Benutzerrechte im Rahmen des Notwendigen (need to know Prinzip, d.h. es können nur Befugte auf Daten zugreifen). Durch technische Systeme (Firewall) und Passwortvorgaben sowie Protokollierung wird sichergestellt, dass Daten nur durch berechtigte Personen übertragen werden.

1.5 Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

2. Integrität

2.1 Speicherkontrolle

Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten

Es soll sichergestellt werden, dass nur befugte (zuständige) Personen die Möglichkeit haben, personenbezogene Daten zu verarbeiten und auf diese zuzugreifen, um diese zu manipulieren.

Maßnahmenbeschreibung:
Die personenbezogenen Daten sind nur von Berechtigten mit Passwort zugänglich. Zugriffe werden protokolliert (need to know). Die Daten werden überdies verschlüsselt abgelegt

2.2 Datenträgerkontrolle

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern

Es soll sichergestellt werden, dass Datenträger, d.h. Speichermedien, Festplatten etc. nur von berechtigen Personen verwendet werden können und ein Zugriff auf die Geräte von unbefugten Personen unterbleibt.

Maßnahmenbeschreibung:
Die personenbezogenen Daten sind ausschließlich auf der Datenbank auf einem Server bei AWS gespeichert, der im zertifizierten Serverraum steht. Wenn Datenträger entsorgt werden, wird sichergestellt, dass die darauf befindlichen Daten gelöscht sind.

2.3 Übertragungskontrolle

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können

Es soll sichergestellt werden, dass Daten im Rahmen der Übertragung nur an berechtigte Empfänger übermittelt werden.

Daten werden nur an berechtigte Empfänger (z.B. Auftraggeber im Rahmen der Geschäftsbeziehung, Banken im Rahmen des Zahlungsverkehrs) elektronisch übertragen. Bei Verwendung der Daten für Schriftstücke gibt es ein Vier-Augen-Prinzip. Wenn Daten per Email übermittelt werden, dann erfolgt das in einem Anhang zum Email und der Anhang ist passwortgeschützt sowie ist das Passwort nur dem berechtigten Empfänger bekannt. Es ist in einer Richtlinie festgelegt, an welche Empfängerkategorien Übermittlungen erfolgen.

2.4 Eingabekontrolle

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind

Es soll die Nachvollziehbarkeit sichergestellt werden.

Es wird - wenn mehrere Benutzer auf Systeme und personenbezogene Daten zugreifen können - protokolliert, welcher Benutzer auf welche Daten zu welchem Zeitpunkt zugegriffen hat. Diese Protokolle stehen der IT-Administration zur Verfügung und werden nur im Anlassfall (z. B. bei technischen Beeinträchtigungen oder aus datenschutzrechtlichen Gründen) eingesehen. Die Protokolle werden in angemessenen periodischen Zeiträumen gelöscht.

2.5 Transportkontrolle

Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können

Es soll sichergestellt werden, wenn Daten übermittelt oder auf Datenträgern transportiert werden, diese auch beim berechtigen Empfänger ankommen.

Es besteht die Weisung, dass Daten nicht auf mobilen Datenträgern gespeichert werden (USB-Sticks, Smartphones). Der Laptop/PC darf nur von befugten Personen verwendet und transportiert werden. Wenn der Laptop oder PC z.B. zur Reparatur außer Haus gebracht wird, ist sichergestellt, dass der Empfänger die Daten vertraulich behandelt (vertragliche Regelung)

3. Verfügbarkeit

3.1 Zuverlässigkeit

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können

Es soll sichergestellt werden, dass es durch Fehlfunktionen keine Beeinträchtigungen an den personenbezogenen Daten gibt. Es erfolgen die notwendigen Updates des Betriebssystems und der sonstigen Programme. Es gibt einen ausreichend Schutz gegen Intrusion und Viren.

3.2 Wiederherstellung

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können

Es soll sichergestellt werden, dass die IT-Systeme nach einem Zwischenfall möglichst rasch – mit den personenbezogenen Daten – wiederhergestellt werden können.

Es besteht eine tägliche Sicherung der Daten. Die IT-Administration ist in der Lage, die Sicherung zeitnahe einzuspielen. Das Szenario wird in periodischen Abständen getestet.

Anlage 3

Weitere Auftragsverarbeiter

Firma, Anschrift Art der Verarbeitung Zweck Art der Daten Kategorien der betroffenen Personen
Amazon Web Services EMEA SARL
38 avenue John F. Kennedy
L-1855 Luxembourg
Speicherung Hosting Alle Betreiber (Kunden), Nutzer
Intergo Telecom Ltd
Nikolaou Nikolaidi 3
Office 206
Paphos, 8010, Cyprus
API Schnittstelle für SMS-Versand SMS-Dienstleister Mobilfunknummer, Benutzername Betreiber (Kunden), Nutzer