Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO – EgonKI

zwischen

Mitteldeutsche Verlags- und Druckhaus GmbH

und

[Kunde]

 

Inhaltsverzeichnis

  1. Präambel
  2. Gegenstand des Auftrags.
  3. Dauer des Auftrags.
  4. Konkretisierung des Auftragsinhalts.
  5. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers.
  6. Pflichten des Auftragnehmers.
  7. Informations- und Unterstützungspflichten des Auftragnehmers.
  8. Sonstige Verpflichtungen des Auftragnehmers.
  9. Unterauftragsverhältnis mit Subunternehmern, Einverständniserklärung.

9.1.   Regelungen zu Subunternehmern bzw. Unterauftragsverarbeitern.

9.2.   Zustimmungserklärungen.

  1. Rechte Betroffener, Berichtigung, Einschränkung und Löschung von Daten.
  2. Löschung und Rückgabe von personenbezogenen Daten.
  3. Haftung/Schadensersatz.
  4. Sonstiges und Schlussbestimmungen.

 

 

Die

Mitteldeutsche Verlags- und Druckhaus GmbH,

eingetragen im Handelsregister des Amtsgerichts Stendal unter HRB 100552

Bahnhofstraße 17, 39104 Magdeburg

– im Folgenden: Auftragnehmer

vertreten durch ihren einzelvertretungsberechtigen Geschäftsführer Steffen Schulle

 

einerseits

 

und

[Kontaktdaten Kunde]

– im Folgenden: Auftraggeber

– im Folgenden gemeinsam: Parteien

andererseits vereinbaren hiermit was folgt:

1.Präambel

Die Parteien haben einen Vertrag über die Erbringung von Leistungen unter Einsatz einer auf künstlicher Intelligenz („KI-Leistungen“) beruhenden Software geschlossen („Hauptvertrag“). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der DS-GVO.

Zur Erfüllung der Anforderungen der DS-GVO an die konkrete Tätigkeiten im Zusammenhang mit der Erfüllung des Hauptvertrags, schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (im Folgenden: Auftragsverarbeitungsvertrag), dessen Erfüllung nicht gesondert vergütet wird, sondern bereits mit der Vergütung aus dem Hauptvertrag abgegolten ist.

Dies vorausgeschickt vereinbaren die Parteien was folgt:

2. Gegenstand des Auftrags

2.1.Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend „Auftraggeberdaten„) erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.

2.2. Die vertraglich vereinbarte Leistung des Auftragnehmers wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

2.3. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

3. Dauer des Auftrags

3.1. Die Dauer der Verarbeitung entspricht der Laufzeit der Inanspruchnahme der Leistungen aus dem Hauptvertrag.

3.2. Der Auftraggeber kann den Auftragsverarbeitungsvertrag darüber hinaus jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder Bestimmungen dieses Auftragsverarbeitungsvertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers aus dem Auftragsverarbeitungsvertrag vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Auftragsverarbeitungsvertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

4. Konkretisierung des Auftragsinhalts

4.1. Art und Zweck der Aufgaben des Auftragnehmers ist insbesondere die Erhebung, Speicherung, Nutzung, Organisation, Anpassung – und Veränderung, Verarbeitung und Übermittlung von individuellen Kundendaten zum Zwecke der Auftrags- bzw. Vertragsdurchführung aus dem Hauptvertrag.

4.2. Die personenbezogenen Kundendaten dürfen durch den Auftragnehmer ausschließlich zum Zweck der Erbringung von KI-Leistungen gemäß Ziff. 1.1 verarbeitet und genutzt werden. Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen Zwecke. Der Verarbeitungsvorgang stellt sich dar wie folgt:

4.2.1. Die Datenverarbeitung erfolgt durch einen Unterauftragnehmer (siehe hierzu Ziff. 9 dieser Vereinbarung). Sie dient dem Zweck, öffentlich zugängliche Informationen von der Website des Auftraggebers zu sammeln.

4.2.2. Die Daten werden automatisiert mittels Web-Crawling-Technologien erhoben. Die gesammelten Daten werden verwendet, um das Unternehmen des Auftraggebers besser zuzuordnen sowie passende Werbemittel für den Auftraggeber zu erstellen. Soweit möglich, werden keine personenbezogenen Daten erfasst oder verarbeitet, es sei denn, diese sind unmittelbar mit den genannten Unternehmensinformationen verknüpft und öffentlich zugänglich.

4.2.3. Die erhobenen Texte der Webseiten werden durch den Unterauftragnehmer zur weiteren Verarbeitung und Analyse an die API von OpenAI weitergeleitet. OpenAI verarbeitet diese Daten im Rahmen unserer Anfrage zur Generierung von Texten (z. B. Werbetexte, Dienstleistungsbeschreibungen), basierend auf den bereitgestellten Informationen.

4.3. Die Verarbeitung kann folgende Arten/Kategorien von personenbezogenen Daten umfassen, wenn diese auf der Website des Auftraggebers öffentlich zugänglich sind:

4.3.1. Personalien:

  • Ansprache
  • Vor- und Nachname
  • Firma, Rechnungsanschrift
  • Ansprache, Vor- und Nachname von vertretungsberechtigten Personen

4.3.2. Kommunikationsdaten:

  • Telefonnummern
  • Faxnummern
  • E-Mailadressen

4.3.4. Sonstige Daten, die der Auftraggeber auf seine(n) Homepage(s) veröffentlicht, oder die Teil der Homepage sind, wie etwa:

  • Unternehmensart: Beschreibung des Geschäftsbereichs,
  • Standortdaten: Adressinformationen,
  • Corporate Colors: Unternehmensfarben, wie sie auf der Webseite verwendet werden.

5. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

5.1. Der Auftragnehmer verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Auftraggebers iSv Art. 28 DS-GVO (Auftragsverarbeitung), dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation.9 Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch „Weisungsrecht“). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

5.2. (2) Weisungen werden vom Auftraggeber grundsätzlich schriftlich erteilt; mündlich erteilte Weisungen sind vom Auftragnehmer schriftlich zu bestätigen. Die weisungs- und empfangsberechtigten Personen ergeben sich aus Anlage 3. Bei einem Wechsel oder einer längerfristigen Verhinderung der in Anlage 3 benannten Personen ist der anderen Partei unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. Der Auftragnehmer wird dem Auftraggeber einen Wechsel der Person des Weisungsberechtigten frühzeitig anzeigen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt.

5.3. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

6. Pflichten des Auftragnehmers

6.1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff zu gewähren. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

6.2. Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden „Mitarbeiter“ genannt), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.

6.3. Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gemäß Art. 32 DS-GVO, insbesondere die in Anlage 4 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrechtzuerhalten.

6.4. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 4 nicht mehr ausreichend sind, und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.

6.5. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 4 bestimmten technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.

7. Informations- und Unterstützungspflichten des Auftragnehmers

7.1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, durch von ihm im Rahmen des Auftrags beschäftigte Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 72 Stunden, in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldungen gemäß dieser Ziffer enthalten jeweils mindestens die in Art. 33 Abs. 3 DS-GVO genannten Angaben.

7.2. Der Auftragnehmer wird den Auftraggeber im Falle dieser Ziffer bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des Zumutbaren unterstützen. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.

7.3. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß den Regelungen dieses Vertrages erforderlich sind. Ferner wird der Auftragnehmer dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie Informationen über zugriffsberechtigte Personen zur Verfügung stellen.

8. Sonstige Verpflichtungen des Auftragnehmers

8.1.Der Auftragnehmer ist verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DS-GVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

8.2. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO sowie einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DS-GVO zu unterstützen.

8.3. Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Die Kontaktdaten des Datenschutzbeauftragten sind [einzufügen]. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten beziehungsweise Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich schriftlich mitzuteilen.

8.4. Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegt.

9. Unterauftragsverhältnis mit Subunternehmern, Einverständniserklärung

9.1. Regelungen zu Subunternehmern bzw. Unterauftragsverarbeitern

9.1.1. Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 DS-GVO. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass sie den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

9.1.2. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

9.1.3. Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Auftragsverarbeitungsvertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihr beauftragte Dritte durchführen zu lassen.

9.1.4. Der Auftragsverarbeitungsvertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

9.1.5. Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.

9.1.6. Der Auftragnehmer hat die Einhaltung der Pflichten des/der Subunternehmer(s) zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen.

9.1.7. Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Auftragsverarbeitungsvertrag auferlegt wurden.

9.1.8. Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

9.1.9. Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

9.2. Zustimmungserklärungen

9.3. Zurzeit sind die folgende aufgeführten Unterauftragnehmer für den Auftragnehmer mit der Verarbeitung von personenbezogenen Daten betraut.

Name Anschrift Auftragsinhalt
mapAds GmbH Eiserntalstraße 477,
57080 Siegen
Deutschland		 Erstellung von Video und
Anzeigenformate per KI
Amazon Web Services Germany GmbH Domagkstraße 28,
80807 München
Deutschland		 Hosting der Software,
Datenspeicherung auf
deutschen Servern (Frankfurt)
OpenAI Global, LLC 1455 3rd Street,
San Francisco,
California 94158, USA		 Umwandlung von Webseitentexte in Werbetexte
(Personenbezogene Daten werden von
Verarbeitung ausgeschlossen)

Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

10. Rechte Betroffener, Berichtigung, Einschränkung und Löschung von Daten

10.1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder die Verarbeitung einschränken. Soweit ein Betroffener sich diesbezüglich unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

10.2. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten gemäß Art. 12 bis 22 sowie Art. 32 bis 36 DS-GVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 3 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftragnehmer nicht selbst über die entsprechenden Informationen verfügt.

10.3. Macht ein Betroffener seine Rechte gemäß Art. 16 bis 18 DS-GVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.

10.4. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und dessen Weisungen abwarten. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.

10.5. Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

11. Löschung und Rückgabe von personenbezogenen Daten

11.1. Kopien und Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

11.2. Nach Abschluss der vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche in ihrem Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

11.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Auftragsverarbeitungsvertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Auftragsverarbeitungsvertragsende dem Auftraggeber übergeben.

12. Haftung/Schadensersatz

12.1. Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen der Verletzung von Pflichten aus diesem Auftragsverarbeitungsvertrag oder dem Dienstleistungsvertrag bleibt hiervon unberührt.

12.2. Die Parteien stellen sich jeweils von der Haftung entsprechend Ziff. 12.1 frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Satz 1 gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

13. Sonstiges und Schlussbestimmungen

13.1. Die Regelungen dieses Auftragsverarbeitungsvertrags gehen den Regelungen aus den anderen zwischen den Parteien getroffenen vertraglichen Vereinbarungen vor.

13.2. Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Parteien für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

 

 

Magdeburg , den 26.06.2025

 

 

Mitteldeutsche Verlags- und Druckhaus GmbH,
vertreten durch den Geschäftsführer Herrn Marco Fehrecke

 

Impressum