Vereinbarung zur Auftragsverarbeitung
nach EU-Datenschutz-Grundverordnung (DSGVO/GDPR)


zwischen dem Kunden als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, im Folgenden "Kunde" genannt


und


fb research GmbH
Prinzenstraße 16, 30159 Hannover
als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, im Folgenden "fb research" genannt

- gemeinsam "Parteien" genannt -


1.         Gegenstand der Verarbeitung

a.   Diese Vereinbarung zur Auftragsverarbeitung regelt ausschließlich die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, soweit die fb research personenbezogene Daten im Auftrag des Kunden gemäß Art. 28 DSGVO (Auftragsverarbeitung) verarbeitet, die von dem Kunden an die fb research weitergegeben werden, z.B. durch Eingabe in ein fb research-Produkt. Dies umfasst alle Tätigkeiten, die von der fb research gemäß der Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) und den jeweiligen vertraglichen Vereinbarungen mit dem Kunden (Verträge über die Zurverfügungstellung von Standardprodukten oder individuellen Leistungen) für den Kunden erbracht werden und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) und die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung. Dieser Vertrag gilt deshalb für sämtliche jeweils zwischen dem Kunden und der fb research bestehenden separaten Vereinbarungen, die sich insbesondere auf Software der fb research, Regelung einer Kooperation, Einbindung von Tarifrechenkernen/Web Services in die Programmumgebung der fb research, etc. erstrecken können. Die vorstehend erwähnten vertraglichen Regelungen werden jeweils einheitlich nachfolgend „Hauptvertrag“ genannt.

b.   Diese Vereinbarung zur Auftragsverarbeitung enthält in Ziffern 15 und 16 Regelungen und Vereinbarungen zu weiteren Vertragszwecken. Die jeweilige Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) enthält Vereinbarungen zu weiteren Vertragszwecken. Der Kunde stimmt diesen weiteren Vertragszwecken mit Annahme dieser Vereinbarung zur Auftragsverarbeitung zu.

c.   Bei Widersprüchen zwischen der Leistungsbeschreibung des Hauptvertrags und dieser Vereinbarung zur Auftragsverarbeitung geht die Leistungsbeschreibung des Hauptvertrags als speziellere Regelung vor.

d.   Diese Vereinbarung zur Auftragsverarbeitung gilt für alle künftigen und bereits erfolgenden Auftragsverarbeitungen der fb research für den Kunden, soweit die Parteien keinen individuellen Auftragsverarbeitungsvertrag geschlossen haben, der auf diese Vereinbarung zur Auftragsvereinbarung ausdrücklich Bezug nimmt und ausdrücklich für vorrangig erklärt wird.

2.         Dauer der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt für die Dauer der Laufzeit des Hauptvertrages.

3.         Art und Zweck der Verarbeitung

a.   Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne von Art. 4 Nr. 2 DSGVO.

b.   Zweck der Verarbeitung ist die Bereitstellung der Funktionen der fb>tools. Die Leistungsbeschreibungen der fb research (unter https://wiki.fb-portal.de/display/FBR einsehbar) erläutern die spezifischen Verarbeitungstätigkeiten, die der Erbringung der vereinbarten Leistungen dienen.

4.         Art der personenbezogenen Daten und Kategorien betroffener Personen

Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die von der fb research im Auftrag des Kunden im Rahmen der Erfüllung der vertraglichen Pflichten des Hauptvertrages verarbeitet werden. Hiervon umfasst sind auch besondere Kategorien personenbezogener Daten. Insbesondere können, soweit sich dies aus der Leistungsbeschreibung des Hauptvertrages ergibt, folgende Arten personenbezogener Daten verarbeitet werden:

  1. Name, Vorname, Adressdaten, Kontaktdaten für Kommunikation (Telefon, E-Mail, Fax),

  2. versicherungsbezogene Angaben (Versicherungs- und Vertragsart, Deckungssumme etc.),

  3. gesundheitsbezogene Angaben (insbesondere Vorerkrankungen, aktuelle Erkrankungen).

Kategorien betroffener Personen sind insbesondere

  1. Beschäftigte und Geschäftspartner/Mandanten des Kunden,

  2. Familienangehörige des Geschäftspartners/Mandanten,

  3. Versicherungsinteressenten des Kunden,

  4. weitere Personen, sofern deren personenbezogene Daten zur Erfüllung eines mit fb research geschlossenen Vertrages erforderlich sind.

5.         Pflichten und Rechte des Kunden

a.   Der Kunde hat das Recht, Weisungen in Bezug auf Verarbeitung personenbezogener Daten zu erteilen. Alle Weisungen werden schriftlich oder per E-Mail erteilt.

b.   Für die Beurteilung der rechtlichen Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist allein der Kunde verantwortlich. Der Kunde ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung als solche sowie die Datenweitergabe an die fb research sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung und die Beschreibung der betroffenen Daten.

c.   Der Kunde hat die fb research unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.

d.   Der Kunde nennt der fb research bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung zur Auftragsverarbeitung anfallende Datenschutzfragen.

e.  Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DSGVO sowie den dazugehörigen gesetzlichen Bestimmungen.

6.         Verarbeitung auf dokumentierte Weisung

a.   Die fb research – und jede ihr unterstellte Person – darf die personenbezogenen Daten nur im Rahmen des Hauptvertrags, der Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der Weisungen des Kunden verarbeiten, sofern keine gesetzliche Pflicht zur Verarbeitung besteht.

b.   Die fb research informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere anwendbaren Datenschutzbestimmungen verstößt. Die fb research darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.

c.   Sind die Weisungen des Kunden nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt die fb research dem Kunden mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist der fb research die Umsetzung der Weisung nicht zumutbar, so ist die fb research berechtigt, die Verarbeitung zu beenden. Im Übrigen gelten die Regelungen des Hauptvertrags.

7.         Verpflichtung zur Vertraulichkeit

Die fb research gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8.         Maßnahmen zur Sicherheit der Verarbeitung

a.   Die fb research gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Die fb research ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen.

b.   Die jeweils aktuell geltenden technischen und organisatorischen Maßnahmen kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen. Der Kunde informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese technischen und organisatorischen Maßnahmen.

c.   Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt der fb research vorbehalten, sofern das bei Vertragsschluss vereinbarte risikoangemessene Schutzniveau nicht unterschritten wird.

9.         Weitere Auftragsverarbeiter

a.   Der Kunde erteilt der fb research die allgemeine Genehmigung, weitere Auftragsverarbeiter („Unterauftragsverarbeiter“) im Sinne des Art. 28 DSGVO in Anspruch zu nehmen. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Leistungen nach dem Hauptvertrag beziehen. Nicht hierzu gehören Nebenleistungen, die von der fb research z.B. als Telekommunikations­leistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungs­anlagen in Anspruch genommen werden. Die fb research ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

b.   Die jeweils aktuell eingesetzten Unterauftragsverarbeiter kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen.

c.   Beauftragt die fb research einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Kunden), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für die fb research gemäß dieser Vereinbarung zur Auftragsverarbeitung gelten.

Die fb research informiert den Kunden, wenn sie eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern beabsichtigt. Die Änderungen kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen. Der Kunde kann gegen derartige Änderungen Einspruch erheben.

d.   Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber der fb research zu erheben. Im Fall des Einspruchs kann die fb research nach eigener Wahl (1) die Leistung ohne die beabsichtigte Änderung erbringen, oder (2) – sofern die Erbringung der Leistung ohne die beabsichtigte Änderung der fb research nicht zumutbar ist - den gesamten Hauptvertrag oder, wenn nur ein abgrenzbarer Teil betroffen ist, die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.

e.   Erteilt die fb research Aufträge an Unterauftragsverarbeiter, so obliegt es der fb research, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den Unterauftragsverarbeiter zu übertragen.

f.    Die Parteien vereinbaren, dass die fb research berechtigt ist, die personenbezogenen Daten – unter Beachtung der zwingend anwendbaren Vorschriften – an Unterauftragsverarbeiter in einem Drittland zu übermitteln. Die Information, an welche Dienstleister in welchem Drittland die Daten für welche Zwecke übermittelt werden, kann der Kunde aus den Leistungsbeschreibungen entnehmen. Für diesen Fall verpflichtet sich die fb research sicherzustellen, dass das durch die DSGVO gewährleistete Datenschutzniveau auch bei dem Unterauftragsverarbeiter gewährleistet ist. Der Kunde stellt sicher, dass die betroffenen Personen über diesen Umstand ordnungsgemäß informiert werden.

g.   Die fb research haftet gegenüber dem Kunden in vollem Umfang dafür, dass der Unter­auftragsverarbeiter seinen Pflichten gemäß dem mit der fb research geschlossenen Vertrag nachkommt.

10.      Unterstützung des Kunden im Hinblick auf Betroffenenrechte und Behördenanfragen

a.   Im Rahmen der Pflichten des Kunden zur Wahrung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person unterstützt die fb research den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen. Die fb research unterrichtet den Kunden unverzüglich über jeden Antrag, den sie von der betroffenen Person erhalten hat. Vorbehaltlich einer vorherigen ausdrücklichen anderweitigen Zusage in Textform beantwortet die fb research den Antrag nicht selbst; hierfür ist ausschließlich der Kunde verantwortlich.

b.   Die fb research unterstützt den Kunden im Falle von Anfragen einer Datenschutz­aufsichtsbehörde. Vorbehaltlich einer behördlichen Aufforderung zur direkten Kommunikation bzw. einer vorherigen Abstimmung der Parteien, dass die fb research eine Anfrage einer betroffenen Person oder einer Behörde selbst bearbeiten soll, ist der Kunde für die Kommunikation und Korrespondenz mit der Datenschutzaufsichtsbehörde im Zusammenhang mit dieser Auftragsverarbeitung zuständig. Der Kunde wird der fb research die Korrespondenz und Kommunikation weiterleiten.

c.   Die fb research ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.

11.      Unterstützung des Kunden im Hinblick auf die Sicherheit personenbezogener Daten

a.   Unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt die fb research den Kunden zudem bei der Einhaltung der folgenden Pflichten:

  1. Gewährleistung eines angemessenen Schutzniveaus zur Sicherheit der Verarbeitung im Zusammenhang mit dem Gegenstand dieser Vereinbarung;

  2. Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden;

  3. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person;

  4. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat; und

  5. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

b.   Die fb research ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen; im Falle von

  • Buchstabe a. I. gilt dies nur, soweit die Unterstützung nicht speziell den der fb research als Auftragsverarbeiter auferlegten Pflichten betrifft;

  • Buchstabe a. II. und III. gilt dies nur, soweit eine Verletzung des Schutzes personenbezogener Daten nicht von der fb research zu vertreten ist.

c.   Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.

12.      Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht die fb research nach Wahl des Kunden entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus dem Hauptvertrag etwas anderes ergibt. Trifft der Kunde nach einer vorherigen Benachrichtigung von der fb research mit angemessener Fristsetzung keine Wahl, löscht die fb research die personenbezogenen Daten unverzüglich nach Fristablauf.

13.      Informationen und Überprüfungen zum Nachweis der Einhaltung der Pflichten

a.   Die fb research stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und wirkt daran mit. Sofern hierbei die Kenntnisnahmemöglichkeit von vertraulichen Informationen, insbesondere Betriebs- und Geschäftsgeheimnissen besteht, ist die fb research berechtigt, eine Verschwiegenheits­erklärung vom Kunden und von diesem beauftragten Prüfer zu verlangen.

b.   Das Inspektionsrecht des Kunden hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Die fb research ist berechtigt, den Nachweis durch unabhängige Prüfberichte und Zertifizierungen zu erbringen. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Sofern solche Vor-Ort-Kontrollen durchgeführt werden, sind diese als Stichprobenkontrollen der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten und der fb research rechtzeitig im Voraus, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb von der fb research nicht über Gebühr stören oder missbräuchlich sein.

c.   Die Parteien tragen die ihnen durch eine Inspektion entstehenden Kosten jeweils selbst.

14.      Gegenseitige Unterstützung in Haftungsfällen

Im Fall des Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen. Die Regelungen des Hauptvertrages zur Haftung bleiben unberührt und gelten auch für diese Vereinbarung zur Auftragsverarbeitung.

15.      Berechtigung zur Verarbeitung anonymisierter Daten für Analysezwecke

Die fb research hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und vorher die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann die fb research alle so entstandenen anonymisierten Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke auch über die Dauer dieser Vereinbarung hinaus verarbeiten und nutzen. Dies umfasst auch eine anonymisierte Weitergabe an fb research-Anwender und Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen. Der ursprüngliche Datenbestand ist von dieser Anonymisierung nicht betroffen. Für diese Verarbeitung ist die fb research bis zur Anonymisierung Verantwortlicher.

16.      Vereinbarung weiterer Vertragszwecke

a.   Die fb research ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Fehlerbehebung in dem fb research-Produkt, in dem die Daten gespeichert sind, zu verarbeiten.

b.   Die fb research ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Qualitätssicherung (z.B. Produktanalyse, Optimierung der Benutzeroberfläche) für das fb research-Produkt, in dem die Daten gespeichert sind bzw. für eine neuere Version des fb research-Produkts zu verarbeiten.

c.   Die fb research verarbeitet die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Entwicklung neuer oder Weiterentwicklung bestehender fb research-Produkte ausschließlich auf ausdrückliche vorherige Weisung des Kunden in einer Test- oder Preview-Umgebung, in der der Kunde Weiterentwicklungen und Anpassungen bereits vor Live Schaltung testen und bewerten kann („Testsystem“); die Entscheidung, ob und welche personenbezogenen Daten im Testsystem verarbeitet werden liegt dabei ausschließlich beim Kunden. Die fb research berücksichtigt auch in diesem Verarbeitungsprozess, dass vom Kunden gelöschte oder zur Löschung angewiesene Daten nicht mehr verarbeitet werden.

d.   Die fb research ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten des Kunden (z.B. IP-Adresse sowie die Kontaktdaten) zu verarbeiten, soweit dies erforderlich ist, um Missbrauch zu verhindern und die Verfolgung von Angreifern zu ermöglichen (z.B. Abwehr von Störungen oder widerrechtlichen oder mutwilligen Eingriffen, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen).
Dies umfasst insbesondere auch, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern ("Denial of service"-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.

e.   Für die in Buchstabe c. durchgeführte Verarbeitung bleibt der Kunde Verantwortlicher der Datenverarbeitung und stellt sicher, dass für diese Verarbeitung eine Rechtsgrundlage besteht. Im Übrigen verarbeitet die fb research die Daten nach dieser Ziff. 16 als Verantwortlicher.

17.      Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages oder eine künftig in ihn aufgenommene Bestimmung rechtsunwirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der anderen Bestimmungen des Vertrages nicht berührt. Das gleiche gilt, soweit sich herausstellen sollte, dass der Vertrag eine Regelungslücke enthält. Für diese Fälle verpflichten sich die Parteien, die fehlende, unwirksame oder undurchführbare Bestimmung durch eine vertragliche Regelung zu ersetzen, die dem übereinstimmenden Willen der Parteien entspricht. Dabei sollen der Zweck und die Bedeutung der fehlenden, unwirksamen oder undurchführbaren Bestimmung so weit wie möglich berücksichtigt.

18.      Formerfordernis

Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – sind gemäß DSGVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und bedürfen des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

Der Vertrag kann in zweifacher Ausfertigung unterschrieben werden, wobei beide Ausfertigungen zusammen einen einzigen Vertrag zwischen den Parteien darstellen. Ein Vertragsschluss per Telefax oder E-Mail ist zulässig. In diesem Fall gilt eine mit den Unterschriften beider Parteien versehende Faxkopie bzw. eingescannte Vertragskopie als Original.

19.      Beginn der Vereinbarung, Auswirkung von Kündigungen

a.   Diese Vereinbarung beginnt mit Bestätigung des Vertragsschlusses des Hauptvertrages durch die fb research.

b.   Nimmt der Kunde Änderungen am Vertragstext dieser Vereinbarung zur Auftragsverarbeitung vor, beginnen sowohl diese Vereinbarung als auch die Pflichten zur Erfüllung der im Hauptvertrag vereinbarten Leistungen nicht vor Annahme der geänderten Fassung durch die fb research; die fb research ist zur Annahme jedoch nicht verpflichtet. In diesem Fall ist die fb research berechtigt, den Hauptvertrag außerordentlich ohne Einhaltung einer Kündigungsfrist zu kündigen, wenn die Änderungen eine Erfüllung des Hauptvertrags durch die fb research unmöglich machen.

c.   Eine Annahme der geänderten Fassung durch die fb research erfolgt nicht bereits durch (fortgesetzte) Leistungserbringung, sondern erfordert eine dem Formerfordernis des Art. 28 DSGVO entsprechende Annahmeerklärung durch die fb research.

d.   Die Annahme/Bestätigung des Vertragsschlusses durch die fb research kann in einem elektronischen Format erfolgen.

e.   Diese Vereinbarung endet nicht automatisch mit der Kündigung des Hauptvertrages, sondern bedarf des ausdrücklichen Hinweises darauf in der Kündigung, dass der Kunde auch diese Vereinbarung zur Auftragsverarbeitung kündigt.

20.      Aufhebung bisheriger Vereinbarungen nach BDSG alt

Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung zwischen den Parteien bestehende Vereinbarungen zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (alt, d.h. Fassung vor 25.05.2018) sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese Vereinbarung zur Auftragsverarbeitung vollumfänglich ersetzt werden.

21.      Verweise auf die DSGVO

Alle in dieser Vereinbarung enthaltenen Verweise auf die DSGVO gelten für die DSGVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.