1. Gegenstand und Dauer der Verarbeitung1.1Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Leistungsbeschreibungund AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch IONOS (nachfolgend Auftragnehmer) alsAuftragsverarbeiter für den Kunden als Verantwortlicher (nachfolgend Auftraggeber) gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten,die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nichtausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.

1.2Die Dauer der Verarbeitung richtet sich nach der tatsächlichen Verarbeitung personenbezogener Daten des Auftraggebers durch denAuftragnehmer.2. Art und Zweck der Verarbeitung2.1Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags.

2.2Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung (siehe hierzu auchAnhang 1 Leistungsbeschreibung),insbesondere im Bereich Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support, erforderlichen Zwecke.

3. Art der personenbezogenen Daten und Kategorien von Betroffenen

3.1Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und dieÜbermittlung von Daten. Siehe hierzu auch dieLeistungsbeschreibung Anhang 1.

3.2Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und dieÜbermittlung von Daten. Siehe hierzu auch dieLeistungsbeschreibung Anhang 1.

4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen

4.1Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesonderefür die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich(»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel derVerarbeitung.

4.2Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder ineinem elektronischen Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglichschriftlich oder in Textform zu bestätigen. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich aufdie vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer dieUmsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden und den Vertrag außerordentlich zukündigen. Die Entgeltpflicht des Auftraggebers entfällt mit der Einstellung der Leistung durch den Auftragnehmer. Eine Unzumutbarkeit liegtinsbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des Auftragnehmersgenutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nicht zumutbar ist.

4.3Die vertraglich vereinbarte Datenverarbeitung findet in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat desAbkommens über den Europäischen Wirtschaftsraum statt, sofern nicht zur Erbringung der Leistung der Datentransfer in Drittstaaten erforderlichist. Für den Fall, dass eine Übermittlung in einen Drittstaat erfolgt, stellt der Auftragnehmer sicher, dass die Voraussetzungen nach Art. 44 ff.DSGVO erfüllt sind.

5. Rechte des Auftraggebers, Pflichten des Auftragnehmers

5.1Der Auftragnehmer darf Daten von betroffenen Personen nur aufgrund dokumentierter Weisungen des Auftraggebers verarbeiten. DieWeisungen werden zu Beginn durch den Vertrag festgelegt. Keine Weisungsbindung liegt jedoch vor, wenn ein Ausnahmefall im Sinne des Artikel28 Abs. 3 a) DSGVO gegeben ist (Verpflichtung nach dem Recht der Europäischen Union oder eines Mitgliedstaates). Dies bezieht sich auch aufÜbermittlungen von personenbezogenen Daten an Drittländer oder internationale Organisationen.Besteht eine Verarbeitungspflicht entgegeneiner Weisung, so informiert der Auftragnehmer vor der Verarbeitung den Auftraggeber über die entsprechende rechtliche Anforderung. Es seidenn, das betreffende Recht verbietet eine solche Information wegen eines wichtigen öffentlichen Interesses. Der Auftragnehmer informiert denAuftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf dieUmsetzung der Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Die Weisungen sind durch denAuftraggeber zu dokumentieren und mindestens für die Dauer des Auftragsverhältnisses aufzubewahren.

5.2Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber mit geeigneten technischen undorganisatorischen Maßnahmen bei der Erfüllung der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer istberechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund einesGesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eineKosteninformation zukommen lassen.

5.3Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehendenInformationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungeneine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsverstoßesdurch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.

5.4Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und anderen für denAuftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dasssich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenengesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das Sozialgeheimnis, das Fernmeldegeheimnis nach § 3 TDDDG und – inKenntnis der Strafbarkeit – für die Wahrung von Geheimnissen der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

5.5Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten desAuftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglichernachteiliger Folgen für die betroffenen Personen.

5.6Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVOausübt. Eine Kontaktmöglichkeit wird auf der Webseite des Auftragnehmers veröffentlicht.

5.7Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder allepersonenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht einesMitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Macht der Auftraggeber von diesem Wahlrecht keinenGebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütungverlangen. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.

5.8Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den Auftraggeber bei derAbwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen, soweit dieSchadensersatzansprüche nicht auf einem Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer beruhen.

6. Pflichten des Auftraggebers

6.1Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oderUnregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

6.2Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die erin den Diensten gespeichert hat.

6.3Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten.

7. Anfragen betroffener PersonenDer Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortetden Antrag nicht selbst, es sei denn, er wurde vom Auftraggeber dazu ermächtigt. Unter Berücksichtigung der Art der Verarbeitung unterstützt derAuftragnehmer den Auftraggeber bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten.Bei der Erfüllung seiner Pflichten befolgt der Auftragnehmer die Weisungen des Auftraggebers. Der Auftragnehmer haftet nicht, wenn dasErsuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

8. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO

8.1Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicherzustellen,dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Persongewährleistet. Der Auftraggeber ergreift in seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorischeMaßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitungauf Dauer sicherzustellen.

8.2Die aktuellen technischen und organisatorischen Maßnahmen des Auftragnehmers sind unter diesemLinkeinsehbar. Der Auftragnehmer stelltklar, dass es sich bei den unter dem Link aufgeführten technischen und organisatorischen Maßnahmen lediglich um Beschreibungen technischerArt handelt, welche nicht als Bestandteil dieser Vereinbarung anzusehen sind.

8.3Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmenzur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO.

8.4Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an.Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveaunach Art 32 DSGVO nicht unterschritten wird.

9. Nachweis und Überprüfung

9.1Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVOniedergelegten Pflichten zur Verfügung und ermöglicht im Einzelfall Überprüfungen - einschließlich Inspektionen -, die vom Auftraggeber odereinem anderen von diesem beauftragten Prüfer durchgeführt werden. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung vomAuftraggeber und von dessen beauftragten Prüfer zu verlangen, welche den Auftraggeber aber nicht daran hindern soll, selbst Nachweisegegenüber der für ihn zuständigen Aufsichtsbehörde zu erbringen. Unmittelbare Wettbewerber des Auftraggebers oder Personen, die fürunmittelbare Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.

9.2Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem Auftraggeber in der Regel die vorliegende Zertifizierungnach ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf seiner Webseite zur Verfügung.

9.3Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass die vorbezeichnetenZertifizierungen zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit derDurchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Diese können zu denüblichen Geschäftszeiten ohne übermäßige Störung des Betriebsablaufs in der Regel nach Anmeldung (wenn nicht eine Kontrolle ohne Anmeldungerforderlich erscheint, weil andernfalls der Kontrollzweck gefährdet wäre) durchgeführt werden. Das Inspektionsrecht des Auftraggebers hat dasZiel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. DerAuftragnehmer wird aktiv an der Durchführung der Kontrolle mitwirken.

9.4Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene Vergütung verlangen, soweit die Kontrolle nichtwegen eines Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorabeine Kosteninformation zukommen lassen.

10. Subunternehmer (weitere Auftragsverarbeiter)

10.1Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zurVertragserfüllung einzusetzen.

10.2Die aktuell eingesetzten weiteren Auftragsverarbeiter sind inAnhang 2aufgeführt. Der Auftraggeber erklärt sich mit deren Einsatzeinverstanden.

10.3Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weitererAuftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.

10.4Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem sachlichen Grund innerhalb von 14 Tagen nach Zugang der Informationüber die Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl dieLeistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für denAuftragnehmer nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist(mindestens 14 Tage) nach Zugang des Einspruchs einstellen. Mit dem Zeitpunkt der Leistungseinstellung durch den Auftragnehmer entfällt dieEntgeltpflicht des Auftraggebers.

10.5Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichtenaus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen. Der Auftragnehmer stellt insbesondere durch regelmäßige Überprüfungensicher, dass die weiteren Auftragsverarbeiter die technischen und organisatorischen Maßnahmen einhalten.

11. Haftung und Schadensersatz

11.1.Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich dieParteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.

11.2.Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieserVereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweitausdrücklich etwas anderes vereinbart ist.

12. Vertragslaufzeit, Sonstiges

12.1Die Vereinbarung beginnt mit dem Abschluss durch den Auftraggeber. Sie endet mit Ende des letzten Vertrages unter der jeweiligenKundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieserVereinbarungen bis zum tatsächlichen Ende der Verarbeitung.

12.2Der Auftragnehmer kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Insbesondere behält ersich ausdrücklich vor, die vorliegende Vereinbarung einseitig zu ändern, sofern sich wesentliche rechtliche Änderungen im Bezug auf dieseVereinbarung ergeben. Der Auftragnehmer wird den Auftraggeber über die Bedeutung der geplanten Änderung gesondert hinweisen und darüberhinaus dem Auftraggeber eine angemessene Frist zur Erklärung eines Widerspruchs einräumen. Der Auftragnehmer weist den Auftraggeber in derÄnderungs-Ankündigung darauf hin, dass die Änderung wirksam wird, wenn er nicht binnen der gesetzten Frist widerspricht. Im Falle einesWiderspruchs durch den Auftraggeber, steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.

12.3Der Auftraggeber erkennt diese Vereinbarung als Teil derAGBüber die/das von ihm gebuchte/n Produkt/e an. Bei etwaigen Widersprüchengehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieserVereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht.

12.4Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers. Diesergilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen derBundesrepublik Deutschland.

12.5Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oderVergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeberunverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren,dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne der DSGVO liegen.