Partnervertrag

Partnervertrag 

für das Geräte-Ankaufsportal für Geschäftskunden  

zwischen 

Foxway OÜ, Killustiku Põik 1, Raadi, 60534 Tartu maakond, Estland – Foxway – 

und 

Business Partner – Partner –  

Präambel  

Foxway stellt online ein Portal zur Verfügung, mit Hilfe dessen der Partner Geräte an Foxway verkaufen kann. Die Nutzung dieses Portals gestattet Foxway nunmehr dem Partner unter Zugrundelegung dieses Vertrages. 

  1. Vertragsgegenstand 

1.1 Durch diesen Vertrag ist der Partner zur Nutzung dieses Portals berechtigt. 

1.2 Der Partner kann über das Portal Geräte zu einem marktgerechten Preis an Foxway verkaufen. 

1.3 Zu den Aufgaben des Partners zählt, vor der Einsendung die SIM-Karten und evtl. vorhandene entnehmbare Speicherkarten (z.B. microSD) aus den Geräten zu entfernen und die Geräte in die Werkseinstellung zurückzusetzen. Des Weiteren muss der Partner sämtliche Sperren (z. B. iCloud Lock, Google-Konto, Samsung-Reaktivierungssperre, Blackberry ID, FRP-Lock, DEP-Mode) aus den Geräten entfernen. Der Partner trägt dafür Sorge, die Geräte in einer Eigenverpackung oder in von Foxway bereitgestellten Versandcontainern sicher zu verpacken und beim Transportdienstleister aufzugeben. Hierfür kann sich der Partner ein kostenfreies Retourenetikett im Portal herunterladen. 

1.4 Zu den Aufgaben Foxways zählen unter anderem die eingesandten Geräte final zu bewerten, dem Partner ein Angebot zu unterbreiten und die Abrechnung sowie Auszahlung vorzunehmen. 

1.5 Abweichenden Nutzungsbedingungen oder Allgemeinen Geschäftsbedingungen vom Partner wird hiermit ausdrücklich widersprochen. 

  1. Registrierung 

2.1 Zur Nutzung des Portals muss sich der Partner registrieren. Die Inhalte auf dem Portal dürfen ausschließlich für die vertraglichen Zwecke verwendet werden. Jede anderweitige Nutzung ist untersagt. Registrieren können sich natürliche volljährige sowie juristische Personen.  

2.2 Bei der Registrierung sind folgende Daten vom Partner anzugeben: 

  • Unternehmensname 
  • Vorname und Nachname des Administrators 
  • E-Mail-Adresse 
  • Postalische und telefonische Kontaktdaten 
  • Bankinformationen  
  • Handelsregisternummer 
  • Handelsregisterort 
  1. Die Partnerdaten werden direkt vom Registrierenden eingegeben. Der Registrierende ist verpflichtet, die Partnerdaten auf ihre Korrektheit hin zu überprüfen. Bei abweichenden Daten hat der Registrierende unverzüglich die Daten zu ändern. 

2.4 Der Partner erhält bei der Registrierung Zugangsdaten, mit denen er sich auf dem Portal anmelden kann. Der Partner haftet dafür, dass sich ein Vertreter von ihm (nur volljährige Mitarbeiter) registriert und das Portal nutzt. Der Partner haftet ebenso dafür, dass sein Mitarbeiter berechtigt ist, den Partner hinsichtlich der Rückgabe von gebrauchten Geräten, der Registrierung und Portalnutzung zu vertreten.  

2.5 Dem Partner wird die Möglichkeit eingeräumt, über das Portal ein Reporting auf IMEI-Basis einzusehen.  

2.6 Foxway behält sich das Recht vor, den Partner jederzeit von der Nutzung des Portals – bei Vorliegen besonderer, das Vertragsverhältnis schädigender, Gründe – ausschließen zu können. 

2.7 Der Partner verpflichtet sich insbesondere, keine Skripte und / oder Software einzusetzen, die die Funktionsfähigkeit des Portals beeinträchtigen könnten. 

2.8 Die Inhalte des Portals sind urheberrechtlich geschützt. Alle Rechte von Foxway oder der Kooperationspartner bleiben vorbehalten. Das Kopieren, Vervielfältigen oder Verändern des Portals ist, soweit dies nicht technisch zur bestimmungsgemäßen Nutzung notwendig ist, verboten.  

3 Vertragsschluss 

3.1 Der Partner kann das / die Gerät(e) vorab auf dem Portal bewerten. Eine durchgeführte Bewertung bildet die Grundlage für ein erstes unverbindliches Angebot von Foxway. Der Partner ist verpflichtet, wahrheitsgemäße Angaben zu machen. Bewertet der Partner das / die Gerät(e) nicht, erhält der Partner ein Angebot im Sinne des Absatzes 2 dieses Paragraphen. 

3.2 Sobald das / die Gerät(e) bei Foxway – unabhängig von einer durchgeführten Vorabbewertung durch den Partner – eingegangen ist / sind, wird / werden diese(s) von Foxway überprüft und bewertet. Einzig auf Grundlage dieser Bewertung unterbreitet Foxway dem Partner per E-Mail ein verbindliches Angebot für das / die eingesandte(n) Gerät(e). Die vereinbarten Preise sind Nettopreise in Euro und verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer.  

3.3 Der Partner kann das nach Ziffer 3.2 unterbreitete Angebot innerhalb von 14 Tagen annehmen oder ablehnen. Die Angebotsannahme erfolgt schriftlich, wobei die Textform (z.B. E-Mail) genügt. Reagiert der Partner innerhalb von 14 Tagen nach Zugang des Angebotes nicht, behält sich Foxway vor, ein neues Angebot zu unterbreiten. Lehnt der Partner das Angebot ab, wird / werden das / die Gerät(e) wieder an den Partner zurückgesendet. Foxway behält sich vor, entstehende Kosten für die Bearbeitung und Rücksendung des Geräts / der Geräte zu berechnen. Lehnt der Vertragspartner das Angebot zum Ankauf innerhalb von 14 Tagen nicht ab oder nimmt der Vertragspartner dieses nicht an, wird nach 2 Erinnerungen und insgesamt 30Tagen nach Zusendung des Angebots davon ausgegangen, dass das Angebot Foxways durch den Vertragspartner stillschweigend angenommen wurde. 

3.4 Dabei werden nur solche Geräte vergütet, welche funktionsfähig sind. Funktionsfähige Geräte sind solche, die sich einschalten und hochbooten lassen. Funktionsunfähige Geräte sind solche, welche Prototypen oder nicht funktionstüchtig sind (On/Off-Test nicht bestehen), oder einen offensichtlichen Wasserschaden haben, Plagiate oder als gestohlen gemeldet sind, nicht datengelöscht werden können, mit einer Sperrung (z. B. iCloud Lock, Google-Konto, Samsung-Reaktivierungssperre, Blackberry ID, FRP-Lock, DEP-Mode) versehen sind und / oder welche einen Marktwert von weniger als EUR 15,00 haben. Funktionsunfähige Geräte werden von Foxway nicht vergütet.  

4 Übersendung 

4.1 Über das Portal kann der Partner den Versand von Geräten einleiten, indem er aus den auf der Webseite zum Zeitpunkt des Versands verfügbaren Optionen auswählt. Die verfügbaren Optionen beschränken sich auf „Option 1“, „Option 2“ und „Option 3“, wobei möglicherweise nicht alle Optionen jederzeit verfügbar sind. 

Diese drei Optionen unterscheiden sich wie folgt: 

a. Option 1 (Eigenverpackungen): 

 i. Der Partner hat dafür Sorge zu tragen, dass er die Geräte selbstständig und gegen Transportschäden ausreichend gesichert verpackt sowie im Portal ein Versandetikett für die angekauften Geräte erstellt, herunterlädt und ausdruckt. Der Akku ist ins Gerät einzulegen, Akkufachdeckel ist zu schließen damit der Akku nicht aus dem Gerät fallen kann. Es dürfen keine beschädigten Akkus eingeworfen werden, weder lose noch fest im Gerät verbaute Akkus. Folgende Merkmale sind charakteristisch für beschädigte Akkus oder Batterien: aufgebläht, aufgerissen bzw. Risse aufweisend, sicht- oder riechbarer Elektrolytaustritt, erhitzte Batterie bei abgeschaltetem Gerät aufgrund von mechanischen Belastungen durch Deformierungen erkennbar. 

Sollte ein Akku auch nur im Verdacht stehen, beschädigt zu sein, darf das Gerät nicht in die Versandverpackung gelegt werden! Sollte bei der Bewertung eines Gerätes festgestellt werden, dass ein fest verbauter Akku beschädigt ist, kann das Gerät nicht zurückgeschickt werden. 

Der Versender ist für die Einhaltung der maßgeblichen Vorschriften des Gefahrgutrechts, insbesondere der Vorschriften für das Versenden nach der Gefahrgutverordnung Straße und Eisenbahn und Binnenschifffahrt vom 30. März 2015 (Veröffentlicht im BGBl. I Nr. 13 vom 08.04.2015) und des Europäischen Übereinkommens über die internationale Beförderung gefährlicher Güter auf der Straße in der Fassung vom 01.01.2017 (ADR SV 188) verantwortlich. Foxway haftet nicht bei einer nicht den genannten Vorschriften entsprechenden Versendung. 

ii. Der Partner kann die eigenverpackten Geräte in einer Filiale des von Foxway angegebenen Transportdienstleisters abgeben oder diese bei einer von dem Transportdienstleister an ihn durchgeführten Zustellung diesem die Geräte zur Rücksendung an Foxway übergeben. Foxway bietet die Abholung durch einen Transportdienstleister ausdrücklich nicht an. Initiiert der Partner die Abholung durch ein Transportdienstleister trägt er die hierfür zusätzlich anfallenden Kosten. 

iii. Versendet der Partner mehr als zwei Geräte in Eigenverpackung, muss der Partner das ebenfalls von Foxway gestellte Gefahrgutetikett auf der Versandverpackung anbringen. Bringt der Partner das Gefahrgutetikett nicht an, haftet er für alle daraus entstandenen Schäden. 

iv. Nutzt der Partner nicht das von Foxway gestellte Versandetikett, gehen die Versandkosten zu Lasten des Verkäufers. Unfreie Versandverpackungen nimmt Foxway nicht an. Nutzt der Partner das Versandetikett nicht für den vorgesehenen Zweck und somit vertragswidrig, haftet der Partner hierfür gegenüber Foxway. 

b. Option 2 (Foxway Verpackung): 

i. Der Partner kann sich im Portal Verpackungen zum sicheren Rückversand bestellen. Das Verpackungsmaterial befindet sich im Eigentum von Foxway. Sie sind sachgerecht zu behandeln. 

Sobald der Partner das Verpackungsmaterial von Foxway erhalten hat, ist der Partner verpflichtet, innerhalb eines Monats nach Erhalt, die Verpackung für den Versand vorzubereiten. Der Akku ist ins Gerät einzulegen, Akkufachdeckel ist zu schließen damit der Akku nicht aus dem Gerät fallen kann. Es dürfen keine beschädigten Akkus eingeworfen werden, weder lose noch fest im Gerät verbaute Akkus. Folgende Merkmale sind charakteristisch für beschädigte Akkus oder Batterien: aufgebläht, aufgerissen bzw. Risse aufweisend, sicht- oder riechbarer Elektrolytaustritt, erhitzte Batterie bei abgeschaltetem Gerät aufgrund von mechanischen Belastungen durch Deformierungen erkennbar. 

Sollte ein Akku auch nur im Verdacht stehen, beschädigt zu sein, darf das Gerät nicht in die Versandverpackung gelegt werden! Sollte bei der Bewertung eines Gerätes festgestellt werden, dass ein fest verbauter Akku beschädigt ist, kann das Gerät nicht zurückgeschickt werden.  

Der Versender ist für die Einhaltung der maßgeblichen Vorschriften des Gefahrgutrechts, insbesondere der Vorschriften für das Versenden nach der Gefahrgutverordnung Straße und Eisenbahn und Binnenschifffahrt vom 30. März 2015 (Veröffentlicht im BGBl. I Nr. 13 vom 08.04.2015) und des Europäischen Übereinkommens über die internationale Beförderung gefährlicher Güter auf der Straße in der Fassung vom 01.01.2017 (ADR SV 188) verantwortlich. Foxway haftet nicht bei einer nicht den genannten Vorschriften entsprechenden Versendung.   

ii. Der Partner kann die mit dem von Foxway zur Verfügung gestellten Versandetikett und Gefahrengutetikett versehene Verpackung in einer Filiale des von Foxway angegebenen Transportdienstleisters abgeben oder diese bei einer von dem Transportdienstleister an ihn durchgeführten Zustellung diesem die Geräte zur Rücksendung an Foxway übergeben. Foxway bietet die Abholung durch einen Transportdienstleister ausdrücklich nicht an. Initiiert der Partner die Abholung durch ein Transportdienstleister trägt er die hierfür zusätzlich anfallenden Kosten.  

c. Option 3 (individuelle Lösungen): 

Der Partner kann direkt Kontakt zu Foxway aufnehmen, um ein individuelles Lösungskonzept zur Abholung beziehungsweise Versand der Geräte zu erhalten. 

4.2 In die Versandverpackung legt der Partner das / die Foxway angebotene(n) Gerät(e). Der Partner hat ausdrücklich keine Originalverpackung und / oder Zubehör wie Ladekabel, Kopfhörer, Schutzhülle, Schutzfolien etc. oder andere Gegenstände beizulegen. Hierfür erhält der Partner auch ausdrücklich keine Vergütung. Soweit der Partner die Originalverpackung und / oder Zubehör beilegt, ist Foxway nicht verpflichtet, diese wieder an den Partner zurückzusenden. Der Partner überträgt mit Übergabe an den Transportdienstleister sein Eigentum an allen Gegenständen außer den/m Gerät(e) an Foxway. Der Partner erklärt bereits jetzt ausdrücklich sein Einverständnis hierzu. Gleichwohl ist Foxway auch berechtigt, diese auf Kosten des Partners zurückzusenden. 

4.3 Die Gefahr des Untergangs und der Verschlechterung des Geräts / der Geräte geht mit Übergabe an den Transportdienstleister auf Foxway über. Stellt Foxway bei Entgegennahme der Versandverpackung fest, dass sich das / die angegebene(n) Gerät(e) des Partners nicht in dieser befindet / befinden oder beschädigt ist / sind oder der tatsächliche Zustand von den Angaben des Vertragspartners abweicht, hat der Partner den Nachweis zu führen, dass er das / die angegebene(n) Gerät(e) den Versandhinweisen entsprechen der Versandverpackung beigelegt habt. Kann der Partner den Nachweis nicht führen, entfällt die Haftung Foxways und eine Auszahlung des Kaufpreises oder Wertersatzes erfolgt zunächst nicht. Foxway forscht jedoch beim Transportdienstleister über den Verbleib der Versandverpackung nach. Stellt sich heraus, dass die Versandverpackung und / oder der Inhalt auf dem Transportweg verloren gegangen oder beschädigt worden ist, entschädigt Foxway den Partner mit dem tatsächlichen Wert des Geräts oder der Geräte. 

5 Auszahlung 

5.1 Nimmt der Partner das Angebot von Foxway an oder gilt das Angebot von Foxway als angenommen, stellt Foxway eine Rechnung in Selbstfaktura aus. Foxway verpflichtet sich, selbstfakturierte Rechnungen für den vom Partner an ihn erbrachten Leistungen auszustellen, die den Namen, die Adresse und die Umsatzsteuer-Identifikationsnummer des Partners enthalten. Der Partner ist damit einverstanden, Rechnungen, die Foxway in seinem Namen ausstellt, bis zur Beendigung dieser Partnervertrags zu akzeptieren und keine Verkaufsrechnungen für die unter diese Vereinbarung fallenden Transaktionen auszustellen.   

5.2 Die Selbstfakturarechnung gilt als akzeptiert, wenn der Partner nicht innerhalb von 14 Tagen nach Erhalt der Rechnung widerspricht.   

5.3 Der sich ergebende Rechnungsbetrag ist 14 Kalendertage nach Ausstellung der Rechnung auf das vom Partner hinterlegte Konto zur Zahlung fällig. Die Rechnungsstellung und Besteuerung erfolgt gemäß den Bestimmungen der EU-Mehrwertsteuerrichtlinie und den geltenden lokalen Steuervorschriften zur Umkehrung der Steuerschuldnerschaft. Der Partner haftet für die richtige Angabe seiner Bankverbindung 

5.4 Mit Zahlung der Rechnung sind sämtliche Ansprüche des Partners gegenüber Foxway hinsichtlich der Rücknahme des Geräts / der Geräte abgegolten. Ansprüche auf weitere Zahlungen für Aufwendungsersatz, etc., stehen dem Partner nicht zu.  

5.5 Der Partner ist verpflichtet, die Zahlung der Rechnung zu überprüfen.  

6 Eigentum 

6.1 Soweit der Partner Foxway (ein) Gerät(e) zum Ankauf anbietet, erklärt der Partner ausdrücklich, dass das / die von ihm eingesandte(n) Gerät(e) in seinem Eigentum steht / stehen, nicht mit Rechten Dritter belastet ist / sind und er berechtigt ist, Foxway an diesem / diesen Eigentum zu verschaffen. 

6.2 Zweifelt Foxway an der Eigentümerstellung des Partners, ist Foxway berechtigt, von diesem Herkunftsnachweise zu verlangen. 

6.3 Das Eigentum geht grundsätzlich in dem Moment über, in dem der Kaufvertrag zwischen dem Partner und Foxway zustande kommt.  

6.4 Der Partner verpflichtet sich mit der Übersendung des / der Geräte(s) an Foxway, Foxway von sämtlichen etwaigen Ansprüchen Dritter, gleich welcher Art und welchen Ursprungs, freizustellen, soweit diese im Zusammenhang mit dem / den übersandten Gerät(en) stehen. 

6.5 Der Partner verpflichtet sich mit der Übersendung des / der Geräte(s) an Foxway außerdem zum Ersatz sämtlicher Schäden, einschließlich der entstandenen Kosten aus einer notwendigen oder erforderlichen Inanspruchnahme rechtsanwaltlicher und / oder gerichtlicher Hilfe, die Foxway im Zusammenhang mit dem / den übersandten Gerät(en) entstehen und durch den Partner verursacht und verschuldet wurden. 

7 Datenschutz 

Foxway verpflichtet sich, die Daten der Partner vertraulich zu behandeln und nur zur Abwicklung des Rücknahmeprozesses zu nutzen. Dies gilt insbesondere hinsichtlich etwaiger, auf dem / den vom Partner angenommenen Gerät(en) vorhandener Kundendaten. Foxway schließt dazu mit dem Partner eine Vereinbarung zur datenschutzkonformen Verarbeitung der personenbezogenen Daten im Zusammenhang mit der Rücknahme von Geräten. Einzelheiten zur Nutzung des Portals und den Rechten der Partner sind in der Datenschutzerklärung geregelt 

8 Datenlöschung 

8.1 Der Partner ist verpflichtet, sämtliche persönlichen Daten auf dem / den Gerät(en) vor der Versendung an Foxway zu löschen sowie die SIM-Karte und eventuelle Speicherkarten zu entfernen. Der Partner ist auch verpflichtet, das / die Geräte auf die Werkseinstellungen zurückzusetzen. Des Weiteren muss der Partner sämtliche Sperren (z. B. iCloud Lock, Google-Konto, Samsung-Reaktivierungssperre, Blackberry ID, FRP-Lock, DEP-Mode) aus den Geräten entfernen. 

8.2 Soweit der Partner Geräte des Herstellers Apple, welche mit dem Betriebssystem ab iOS7 versehen sind, zurückgibt, verpflichtet sich der Partner, dass die Verknüpfung der App „Mein iPhone suchen“ mit seinem iTunes-Account deaktiviert wurde.  

8.3 Soweit der Partner Geräte, welche mit dem Betriebssystem Android versehen sind, zurückgibt, verpflichtet sich der Partner, dass die Verknüpfung mit dem jeweiligen Google-Account deaktiviert wurde.  

8.4 Gleichwohl verpflichtet sich Foxway, eine datenschutzkonforme, sichere Löschung der Daten mit entsprechenden technischen Mitteln auf dem / den Gerät(en), insbesondere eine Datenlöschung nach den folgenden Absätzen durchzuführen, damit die persönlichen Daten nicht wiederhergestellt werden können. Die Datenlöschung durch Foxway kann unmittelbar nach Übersendung des Geräts / der Geräte erfolgen, das heißt unabhängig davon, ob das im Nachhinein übermittelte Angebot angenommen oder abgelehnt wird.  

8.5 Foxway ist verpflichtet, Daten auf Speichermedien, die ihm zur Datenlöschung übergeben werden, dauerhaft zu löschen oder zu vernichten. Eventuell in dem / den Gerät(en) vorhandene Speicherkarten und / oder SIM-Karten sind generell unwiederbringlich zu vernichten.  

8.6 Foxway gewährleistet, dass die auf den Speichermedien enthaltenen Daten nachaktuellsten und anerkanntesten Sicherheitsstandards unverzüglich gelöscht werden.  

8.7 Foxway gewährleistet, dass das zur Datenlöschung angewandte Verfahren einem Qualitätsmanagementsystem unterliegt und die Datenlöschung lückenlos dokumentiert und auditiert wird.  

8.8 Dem Partner ist bewusst, dass er mit Übersendung des Geräts / der Geräte an Foxway jegliche Ansprüche an dem / den Gerät(en) sowie an den sich eventuell noch darauf befindlichen Daten verliert. 

8.9 Der Partner verpflichtet sich, Foxway von sämtlichen etwaigen Ansprüchen, gleich welcher Art und welchen Ursprungs, freizustellen, soweit auf dem / den Gerät(en) noch Daten – gleich welcher Art – vorhanden waren. 

9 Abtretung 

Der Vertragspartner ist nicht berechtigt, seine Forderungen aus dem Vertragsverhältnis an Dritte abzutreten. Dies gilt nicht, soweit es sich um Geldforderungen handelt.  

10 Haftung 

10.1 Die Haftung von Foxway, insbesondere auch die persönliche Haftung der Gesellschafter, sowie deren Erfüllungsgehilfen und Mitarbeiter für vor, während oder nach dem Bestehen des Vertragsverhältnisses verursachte Schäden, ausgenommen für Schäden aus der Verletzung des Lebens, des Körpers, der Gesundheit oder aus der Verletzung von Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf sowie die Haftung für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung beruhen, ist ausgeschlossen. 

10.2 Bei der Verletzung wesentlicher Vertragspflichten haftet Foxway nur auf den vertragstypischen, vorhersehbaren Schaden, wenn dieser einfach fahrlässig verursacht wurde. 

10.3 Der Vertragspartner übernimmt keine Haftung für Sachmängel oder Garantien für gebrauchte Geräte. Die Haftung wegen Arglist und Vorsatz sowie auf Schadenersatz wegen Körperverletzungen sowie bei grober Fahrlässigkeit oder Vorsatz bleibt hiervon unberührt. 

11 Kündigung 

Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Er kann von jeder Partei mit einer Frist von vier Wochen zum Monatsende gekündigt werden. Das Recht zur außerordentlichen Kündigung bleibt hiervon unberührt.  

12 Schlussbestimmungen 

12.1 Änderungen und / oder Ergänzungen dieses Partnervertrages bedürfen der Textform. Dies gilt auch für die Abänderung dieser Formklausel.  

12.2 Nebenabreden sind nicht getroffen. 

12.3 Auf diesen Partnervertrag ist deutsches Recht anzuwenden. Die Anwendung des Übereinkommens der Vereinten Nationen über Verträge über den Internationalen Warenkauf (CISG) ist ausgeschlossen.  

12.4 Ausschließlicher Gerichtsstand für alle sich aus oder in Zusammenhang mit diesem Partnervertrag und seiner Durchführung ergebenden Streitigkeiten ist München, soweit der Partner Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen ist.  

12.5 Sind einzelne Bestimmungen dieses Vertrages ganz oder teilweise nicht Vertragsbestandteil geworden, unwirksam, undurchführbar oder nichtig oder sollte sich in dem Vertrag eine Regelungslücke zeigen, so bleibt der Vertrag im Übrigen wirksam. Darüber hinaus gelten die gesetzlichen Regelungen. Sofern es an einer entsprechenden gesetzlichen Regelung fehlt, tritt an Stelle der Bestimmung eine solche, die die Parteien getroffen hätten, wenn sie diesen Punkt von vornherein bedacht hätten; dabei ist den beiderseitigen, wirtschaftlichen Interessen in angemessener, vertretbarer Weise Rechnung zu tragen. Der vorhergehende Satz gilt entsprechend bei Vorliegen von Regelungslücken. 

Auftragsverarbeitungsvereinbarung (AVV) 

1 Präambel 

1.1 Datenverarbeitung innerhalb der EU 

Die EU-Kommission hat im Durchführungsbeschluss (EU) 2021/915 (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0915) Standardvertragsklauseln (‚AV-Klauseln‘) zur Einhaltung von Art. 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 (DSGVO) veröffentlicht. Die Parteien vereinbaren die Anwendbarkeit dieser AV-Klauseln mit den Präzisierungen und Ergänzungen der folgenden Anhänge I – V.  

1.2 Datenverarbeitung außerhalb der EU 

Die EU-Kommission hat im Durchführungsbeschluss (EU) 2021/914 (https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de) Standardvertragsklauseln (‚EU-Klauseln‘) zur Einhaltung von Art. 28 Absätze 1 und 2 der Verordnung (EU) 2016/679 (DSGVO) veröffentlicht. Die Parteien vereinbaren die Anwendbarkeit dieser EU-Klauseln mit den Präzisierungen und Ergänzungen der folgenden Anhänge I – V, ergänzt um Anhang VI. sofern Datenverarbeitungen und Datenexport in Drittländer (Staaten außerhalb des EWR) durch die Parteien erfolgen.  

1.3 Vorrang und Anpassungen 

Soweit die Klauseln auf die Geltung von Regelungen entweder der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 verweisen, ist jeweils die Verweisung auf die Verordnung (EU) 2016/679 anwendbar. Eine Änderung der Klauseln ist unzulässig. 

2 Allgemein 

Soweit diese Vereinbarung eine schriftliche Mitteilung vorsieht, kann diese auch per E-Mail an die andere Partei übermittelt werden.  

3 Anhänge 

Anhang I – Liste der Parteien  

Anhang II – Beschreibung der Datenverarbeitung 

Anhang III – Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten 

Anhang IV – Liste der Unterauftragsverarbeiter 

Anhang V – Ergänzende Vereinbarungen 

Anhang VI – Datenverarbeitung mit Drittlandsbezug 

Anhang I – Liste der Parteien 

Verantwortlicher / Datenexporteur 1 
Firma: Name des Unternehmens laut Plattformregistrierung 
Anschrift: Anschrift des Unternehmens laut Plattformregistrierung 
Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher) Fachlicher Verantwortlicher des Unternehmens laut Plattformregistrierung 
Name, Funktion und E-Mail  (Kontaktperson Datenschutz) Datenschutzverantwortlicher des Unternehmens laut Plattformregistrierung 
Signatur (Name, Datum & Unterschrift) Einverständnis mit der Nutzung der Plattform 
Auftragsverarbeiter / Datenimporteur 
Firma: Foxway OÜ 
Anschrift: Killustiku Põik 1, Raadi, 60534 Tartu maakond, Estland 
Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher)  
Name, Funktion und E-Mail  (Kontaktperson Datenschutz) Annabarba Koppel, Datenschutzbeauftragte, gd**@fo****.com  
Signatur (Name, Datum & Unterschrift) Einverständnis mit der Nutzung der Plattform 

Die AV-Klausel 5/7 – Kopplungsklausel – soll zur Anwendung kommen. 

Anhang II – Beschreibung der Datenverarbeitung 

Kategorien betroffener Personen 
Kunden, Mitarbeiter 
Kategorien personenbezogener Daten 
Namen Adressdaten (Straße, Hausnummer, PLZ und Ort) Kontaktdaten (z. B. E-Mail, Telefonnummern) Inhaltsdaten (z. B. Texteingaben, Gesprächsverläufe, Fotografien) Gerätedaten (z. B. IMEI, SN) Vertragsdaten (z. B. Vertragsnummer, Rechnungsnummer) Zahlungsdaten (z. B. BIC, IBAN) Nutzungsdaten (z. B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten) Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen) Identifikationsnummern (z. B. Kundenkontonummer, Prozessnummer) 
Verarbeitete sensible Daten (falls zutreffend) 
n/a 
Art der Verarbeitung 
Welche Leistungen sollen erbracht werden?  Zurverfügungstellung der Plattform und damit im Zusammenhang stehende Services (Datenerfassung, -speicherung, -abruf, -änderung und -löschung) 
Zweck(e) der Verarbeitung 
Registrierung auf der Plattform und Nutzung der Dienste gemäß Partnervertrag, Kundensupport; E-Mail- und Plattform-Benachrichtigungen und andere Nachrichten 
Dauer der Verarbeitung 
Die Daten werden nach Beendigung einer Sitzung gelöscht. Ansonsten werden personenbezogene Daten gelöscht, sobald der Zweck der Verarbeitung erfüllt ist oder der zugrundeliegende Partnervertrag beendet ist und alle Aufbewahrungsfristen abgelaufen sind. 

Anhang III – Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten 

Im Folgenden sind die ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen beschrieben, welche durch den Auftragsverarbeiter zu gewährleisten sind.  

Die Umsetzung ist in der Auswahlbox zu bestätigen. Kann eine Maßnahme nicht oder nur teilweise umgesetzt werden ist eine Begründung bzw. Alternativmaßnahme anzugeben. Die Umsetzung von Maßnahmen kann auch unter zu Hilfenahme und den Einsatz von entsprechend spezialisierten Dienstleistern bestätigt werden. 

Sicherheitsziel 1 – Vertraulichkeit 
Maßnahmen zum Schutz vor Zugriffen unberechtigter Dritter Eine Zugangssteuerungsrichtlinie ist auf Grundlage der datenschutzrechtlichen und sicherheitsrelevanten Anforderungen erstellt und umgesetzt. Diese Richtlinie regelt den Zugang zu personenbezogenen Daten in Abhängigkeit von deren Schutzbedarf auf den zur Aufgabenerfüllung minimalen Umfang (need to know). Dazu gehört insbesondere der Zugriff auf IT-Systeme, Netzwerke und Datenbanken mit personenbezogenen Daten. Es werden Berechtigungskonzepte eingesetzt, die verbindlich vorgeben, wer wann auf welche IT-Systeme, Netzwerke und Datenbanken Zugriff hat. Es gibt definierte Berechtigungen in Form von Rollen auf Basis der geschäftlichen, sicherheitsrelevanten und datenschutzrechtlichen Anforderungen. Die Rollen sind dokumentiert und aktuell. Rollen werden Nutzern oder Maschinen eindeutig zugeordnet. Ein formaler Prozess für die Registrierung und Deregistrierung ist umgesetzt, um die Zuordnung von Zugangsrechten zu ermöglichen und wird regelmäßig kontrolliert. Alle Benutzerkonten des Systems werden vor einer Nutzung durch Unberechtigte geschützt. Hierfür wird das Benutzerkonto mit einem Authentisierungsmerkmal abgesichert, welches eine eindeutige Authentifizierung des zugreifenden Benutzers ermöglicht. Authentisierungsmerkmale sind z.B.: Passwörter, Passphrases, PINs, Kryptographische Schlüssel, Token, Smartcards oder biometrische Merkmale wie etwa Fingerabdrücke. Die Zuteilung einer Berechtigung für den Zugriff auf personenbezogene Daten erfolgt erst nach einer eindeutigen Identifizierung des Benutzers. Sogenannte Gruppenkonten, d.h. die Nutzung eines Benutzerkontos für mehrere Personen werden nicht verwendet. Ausnahmen sind durch eine separate Weisung des Verantwortlichen zu definieren. Die Vorgaben für die Erzeugung/Erstellung von Passwörtern (Länge, Komplexität, Wiederverwendung, etc.) richten sich mindestens nach dem aktuellen Stand der Technik. Werden Systeme zur Verwaltung und Vergabe von Kennwörtern genutzt, so stellen diese die Verwendung starker Kennwörter sicher. Passwörter werden unter Verwendung einer für diesen Zweck geeigneten, nach aktuellem Stand der Technik als sicher eingestuften, kryptografischen Einwegfunktion gespeichert (Password-Hashing). Benutzer, welche über erweiterte Berechtigungen innerhalb eines Systems verfügen, wie etwa einen Zugriff auf personenbezogene Daten mit einem hohen Schutzbedarf, Konfigurationseinstellungen oder Administrationszugänge verwenden mindestens zwei voneinander unabhängige Authentisierungsmerkmale. Die verwendeten Authentisierungsmerkmale müssen aus unterschiedlichen Faktoren (Wissen, Besitz, Inhärenz) bestehen (Multi-Faktor-Authentisierung). ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur Gewährleistung physischer Sicherheit von Datenverarbeitungsorten Es sind geeignete Zutrittssteuerungsvorgaben definiert und angewendet, die sicherstellen, dass nur berechtigte Personen Zutritt zu den nach ihrem Schutzbedarf definierten Bereichen, IT-Systemen, Netzwerken und Datenbanken erhalten (z.B. biometrische Zugangssperren, Transponderschließsystem, Manuelles Schließsystem; Sicherheitsschlösser, Personenkontrolle am Empfang und Besuchergeleitschutz, Alarmsicherung). Es sind Maßnahmen zum Schutz vor internen und externen Bedrohungen wie Naturkatastrophen, Angriffen, vor Störungen, Unterbrechung oder Beschädigung durch Verkabelung, Stromausfälle oder anderen Versorgungseinrichtungen konzipiert und umgesetzt.  Gemessen an den identifizierten Risiken der Nutzung von Geräten (Laptops, externe Speichermedien, Mobiltelefone) sind geeignete Richtlinien und Maßnahmen zur Sicherstellung der Vertraulichkeit und Integrität personenbezogener Daten (auch im HomeOffice) umgesetzt (mindestens Anti-Virus-Software, Firewalls, Automatische Bildschirmsperre, Clean-Desk Policy, VPN bei Remotezugriffe und verschlüsselte Fernwartung). ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur Sicherstellung der Zweckbindung Durch interne Dokumentation und Kommunikation des Verwendungszwecks ist sichergestellt, dass die im Auftrag verarbeiteten personenbezogenen Daten nur im Rahmen des vertraglich vereinbarten Zwecks verarbeitet werden.  Kundenspezifische Umgebungen werden mittels Rollenkonzepten mit abgestuften Zugriffs-, Nutzungs- und Übermittlungsrechten voneinander abgegrenzt sowie Datenbanken mit entsprechenden Zweckattributen und Datenfeldern versehen. Nur zur Verarbeitung befugte und notwendige Personen/Instanzen haben Zugriff auf die Daten. Entsprechende Zugangskontrollen sind etabliert. Innerhalb dieser Umgebungen wurden die personenbezogenen Daten dieser Auftragsverarbeitung von anderen getrennt.  Entwicklungs-, Test- und Betriebsumgebungen sind mindestens logisch getrennt sein.  Wenn Test- oder Entwicklungsnetzwerke oder -geräte den Zugriff auf das betriebliche Netzwerk erfordern, wurden starke Zugriffskontrollen implementiert. Die Verarbeitung personenbezogener Daten in Test- und Entwicklungsumgebungen ist ausgeschlossen. Ausnahmen sind durch eine separate Weisung des Verantwortlichen zu definieren. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen der Pseudonymisierung und Anonymisierung  Die Datenverarbeitung ist so organisiert, dass personenbezogenen Daten nur unter Berücksichtigung der Zweckbindung verarbeitet werden. Ist eine Zweckbindung nicht gegeben, werden nicht benötigte Daten gelöscht. Sollte eine Löschung nicht möglich sein, werden die entsprechenden Datensätze mit entsprechenden Diensten anonymisiert. Anonymisierung bedeutet, dass der Personenbezug der Daten vollständig und unwiderruflich verloren geht. Zum Schutz von weiterhin produktiv zu verwendenden personenbezogenen Daten werden diese unter Einsatz entsprechender Dienste pseudonymisiert. Bei der Pseudonymisierung werden personenbezogene Daten durch Codes oder Identifikationsnummern ersetzt. Der Personenbezug bleibt erhalten, da die Pseudonyme in einem jedenfalls logisch getrennten Datenspeicher den Klarnamen zugeordnet werden.  Durch die Implementierung von Datenmasken, die Datenfelder unterdrücken, sowie automatischer Sperr- und Löschroutinen, werden die entsprechenden Pseudonymisierungs- und Anonymisierungsverfahren umgesetzt.  ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Sicherheitsziel 2 – Integrität 
Maßnahmen der Verschlüsselung personenbezogener Daten Die Verwendung kryptografischer Maßnahmen anhand des erforderlichen Schutzbedarfs der personenbezogenen Daten auf Basis einer Risikoeinschätzung ist durch eine Richtlinie definiert und umgesetzt. Die Verwaltung, Anwendung und der Schutz kryptografischer Schlüssel erfolgt über deren gesamten Lebenszyklus (die Erzeugung, Speicherung, Anwendung und Vernichtung). Verfahren für die restriktive Handhabung von Datenträgern, insbesondere deren Verschlüsselung sind entsprechend dem identifizierten Schutzbedarf umgesetzt (mind. 128bit AES-Verschlüsselung). ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zum Schutz der Daten während der Übermittlung & Speicherung Es existieren Richtlinien, Sicherheitsverfahren und Steuerungsmaßnahmen, um die Übertragung von Informationen für alle Arten von Kommunikationseinrichtungen (einschließlich mobiler Arbeitsplätze) zu schützen. Bei der Übertragung personenbezogener Daten über öffentliche Netzwerke, werden diese immer verschlüsselt (sftp, https, SSL und TSL mit mind. 128bit AES-Verschlüsselung). Es gibt Vorgaben zum Transport von Datenträgern, die sich an dem Schutzbedarf personenbezogener Daten orientieren. Soweit personenbezogene Daten nicht verschlüsselt sind, werden angemessene alternative Schutzmaßnahmen ergriffen. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen Zugriffe von Benutzern und Systemadministratoren auf personenbezogene Daten werden unter Berücksichtigung des Grundsatzes der Datenminimierung und des Schutzbedarfs protokolliert und regelmäßig überprüft. Der Zugriff, sowie die Art des Zugriffs (z.B. Lesen, Ändern, Löschen) wird protokolliert. Relevante Ereignisse, Ausnahmen, Störungen und Informationssicherheitsvorfälle werden protokolliert und regelmäßig geprüft.  ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur Gewährleistung der Datenqualität Prozesse sind definiert, umgesetzt und kommuniziert, die die Aktualität der personenbezogenen Daten sicherstellen. Prüfsummen zur Validierung von Daten werden verwendet. Anfragen zu Berichtigungen, Änderungen und Löschungen durch den Betroffenen werden zeitnah beantwortet. Änderungen oder Löschungen personenbezogener Daten erfolgen automatisiert oder prozessgesteuert über alle gespeicherten Datensätze. Erfolgte Änderungen an Daten mit Personenbezug sind über Zeitstempel voneinander unterscheidbar. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt. ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Sicherheitsziel 3 – Verfügbarkeit 
Maßnahmen zur Systemhärtung Informationen und informationsverarbeitende Systeme sind vor Schadsoftware geschützt. Zum Schutz der Systeme ist geeignete Software (z.B. Virenscanner, Firewall, IDS) installiert und aktuell. Bei der Installation eines Systems sind leidglich die Software-Komponenten oder Hardwarefunktionen (auch einzelne Teile) installiert oder aktiviert, die für den Betrieb und die Funktion des Systems notwendig sind.   Es ist üblich, dass auf Systemen Authentisierungsmerkmale wie Passwörter und kryptographische Schlüssel durch Hersteller, Entwickler oder Lieferanten vorkonfiguriert werden. Solche Authentisierungsmerkmale wurden in eigene, Dritten nicht bekannte Merkmale geändert. Wird das System auf einer Cloud-Plattform betrieben, wurde verhindert, dass das System (bzw. der komplette Mandant/Tenant mit all seinen Diensten und Daten) versehentlich oder durch Unbefugte vollständig gelöscht werden kann. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur fortdauernden Sicherstellung der Verfügbarkeit Systeme / Dienste Es sind Regelungen definiert und angewendet, die eine geeignete Backup-Strategie sicherstellen. Diese berücksichtigt insbesondere Anforderungen an die Verfügbarkeit des Systems, die regelmäßige Überprüfung der Wiederherstellbarkeit, sowie gesetzliche Vorgaben an Archivierung oder Löschung. Die verwendete Backup-Strategie sieht vor, ein konsistentes Abbild der relevanten Daten schnell und verlustfrei in Notfall wiederherzustellen.  Darüber hinaus ist ein Notfallkonzept zur Wiederherstellung der Datenverarbeitung bei Störungen der Datenverarbeitung implementiert. Es gibt Vorgaben, in denen nach einer Störung die Zeit bis zur Wiederherstellung der geregelten Datenverarbeitung festgelegt ist. Die Definition von geprüften Maßnahmen zur Abwehr der Störung und Wiederherstellung des Regelbetriebs, Zuordnung von Verantwortlichkeiten sowie Bereitstellung von Ressourcen zur Wiederherstellung ist erfolgt. Weitere physische Maßnahmen wie Rauchverbot in Geschäftsräumen, Feuer- und Rauchmeldeanlagen, Unterbrechungsfreie Stromversorgung (USV) und Klimaanlagen in Serverräumen, Datenschutztresor (S60DIS, S120DIS o.ä.) und eine redundante Leitung an das Internet sind ergriffen. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur fortdauernden Sicherstellung der Belastbarkeit Systeme / Dienste Speicher- und Rechenkapazitäten sind im Voraus und mit Sicherheitsaufschlägen geplant. Wenn möglich kommen Load-Balancer zur Steuerung der Ressourcen von Datenverarbeitungssystemen zum Einsatz, um eine fortdauernde Verfügbarkeit der Daten zu ermöglichen.  Datenverarbeitungssystem werden in ihrer Auslastung überwacht in regelmäßigen Abständen Belastbarkeitstest unterzogen. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Sicherheitsziel 4 – Datenminimierung 
Maßnahmen zur Gewährleistung der Datenminimierung Die Erfassung personenbezogenen Daten ist auf das erforderliche Minimum beschränkt. Bei Weitergabe personenbezogener Daten werden nur solche Attribute weitergegeben, die für den Verarbeitungszweck des nachfolgenden Prozessschritts unbedingt notwendig sind. Datenmasken, die Datenfelder unterdrücken, sowie automatischer Sperr- und Löschroutinen, Anwendung von Pseudonymisierungs- und Anonymisierungsverfahren sind implementiert. Die Möglichkeiten der Kenntnisnahme vorhandener Daten (Anzeigeoptionen, Suchfelder, …) ist auf das für die Verarbeitung und den kenntnisnehmenden Personenkreis erforderliche Minimum beschränkt. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur Ermöglichung der Datenlöschung und Datenträgervernichtung Ein Löschkonzept ist erstellt und umgesetzt, dass Löschfristen und Löschmethoden (mindestens DOD3 oder kryptographische Löschung) definiert, die zu löschenden Datenfelder benennt, Kontrolle und Nachweis der Löschung ermöglicht und verantwortliche Personen benennt. Speicherdauer und Löschfristen sind gemäß den gesetzlichen oder vertraglichen Vorgaben festgelegt. Datenträger werden den Schutzanforderungen der darauf befindlichen Daten entsprechend vernichtet (mind. Aktenvernichtern und Vernichtung von Datenträgern mit mind. Sicherheitsstufe 3, Schutzklasse 2 – DIN 66399 oder Einsatz von spezialisierten Dienstleistern). ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Sicherheitsziel 5 – Transparenz 
Maßnahmen zur Gewährleistung der Rechenschaftspflicht Datenverarbeitungsprozesse sind so dokumentiert, das vollständig nachvollziehbar ist, wie die Verarbeitung personenbezogener Daten umgesetzt ist. Dies bezieht sich auf den gesamten Verarbeitungszyklus von der Übernahme/Erzeugung personenbezogener Daten bis hin zur deren Weitergabe/Löschung. Es erfolgt eine Dokumentation im Fall Änderungen an Verarbeitungstätigkeiten oder den technischen und organisatorischen Maßnahmen. Der Auftragsverarbeiter sowie Verantwortliche und gegebenenfalls ihre Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung gemäß den Anforderungen des Art. 30 DSGVO. Der Auftragsverarbeiter legt alle Verträge, Vereinbarungen oder Weisungen sicher ab, d.h. diese sind jederzeit für die Vertragspartner oder Aufsichtsbehörden verfügbar. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Maßnahmen zur Ermöglichung der Betroffenenrechte Verantwortlicher und Auftragsverarbeiter definieren gemeinsam Merkmale, mit denen Betroffene eindeutig über identifiziert und authentifiziert werden können. Der Auftragsverarbeiter hat einen Prozess implementiert, der das Auskunftsrecht eines Betroffenen gemäß der Vorgaben Art. 15 DSGVO unterstützt. Dieser Prozess wird regelmäßig auf seine Wirksamkeit hin überprüft. Systeme, Software und Prozesse sind so implementiert, dass Maßnahmen für differenzierte Einwilligungs-, Rücknahme- und Widerspruchsmöglichkeiten möglich sind, sowie die operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten geschaffen ist. Anwendungen für betroffene Personen sind so voreingestellt, dass die Verarbeitung ihrer Daten auf das für den Verarbeitungszweck erforderliche Maß beschränkt werden. Es werden Optionen bereitgestellt, um Programme datenschutzgerecht einstellen zu können. Deaktivierungsmöglichkeit einzelner Funktionen unter Aufrechterhaltung der Funktionen des Gesamtsystems werde zur Verfügung gestellt. Datenfelder z. B. für Sperrkennzeichen, Benachrichtigungen, Einwilligungen und Widersprüche sind implementiert. Ein Prozess zum Abruf strukturierter, maschinenlesbare Daten durch betroffene Personen ist umgesetzt. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  
Verfahren zur regelmäßigen Überprüfung, Bewertung & Evaluierung der Wirksamkeit Die Geschäftsführung hat verbindliche Prozesse zur Umsetzung des Datenschutzes und der Informationssicherheit festgelegt. Diese sind schriftlich fixiert, frei zugänglich, allen internen und externen Beschäftigten bekannt gemacht und werden angewendet. Ziel der Vorgaben ist es, die Verarbeitung von personenbezogenen Daten so umzusetzen, dass das definierte Sollverhalten der Prozesse jederzeit gewährleistet ist. Die Vorgaben werden regelmäßig, mindestens jährlich, auf Wirksamkeit, Aktualität und Regelkonformität hin geprüft. Die Sicherheit der Verarbeitung, insbesondere die technischen und organisatorischen Maßnahmen werden regelmäßig an den Stand der Technik sowie Industriestandards angepasst. Mitarbeiter durchlaufen mindestens jährlich Datenschutz- und Informationssicherheitstrainings und werden darüber hinaus unterjährig entsprechend den aktuellen datenschutzrechtlichen Anforderungen informiert und sensibilisiert. ​​☒​ Die geforderten Maßnahmen wurden vollständig umgesetzt ​​☐​ Die geforderten Maßnahmen sind (teilweise) nicht umgesetzt oder mit den folgenden alternativen Maßnahmen umgesetzt:  (Bei Auswahl dieser Option, bitte hier eine Begründung/Beschreibung einfügen!)  

Anhang IV – Liste der Unterauftragsverarbeiter 

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt. 

 Unterauftragsverarbeiter I 
 Firma: Amazon Web Services EMEA Sarl 
 Anschrift: One Burlington Plaza, Burlington Road, Dublin 4, Do4 Rh96, Ireland 
 Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher)  
 Name, Funktion und E-Mail  (Kontaktperson Datenschutz) DPO, aw************@am****.com  
 Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Hosting Plattform 
 Unterauftragsverarbeiter II 
 Firma: FoneFox Electronics GmbH 
 Anschrift: Kleiwellenfeld 7, 59229 Ahlen, Germany 
 Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher) Markus Fleischmann, Head of Operations, ma****************@fo****.com  
 Name, Funktion und E-Mail  (Kontaktperson Datenschutz) Dennis Dahrendorff, COO, de****************@fo*****.com  
 Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Prozessierung Geräte (Erfassung und Datenlöschung) 
 Unterauftragsverarbeiter III 
 Firma: Foxway GmbH 
 Anschrift: Baierbrunner Str. 35, 81379 München 
 Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher) Tobias Köhler, Head of Sourcing WEU,   to************@fo****.com  
 Name, Funktion und E-Mail  (Kontaktperson Datenschutz) Martin Schneider, Datenschutzbeauftragter, pr*****@fo****.com  
 Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Plattformbezogene Unterstützungsprozesse  
 Unterauftragsverarbeiter IV 
 Firma: Phonecheck Solutions, LLC 
 Anschrift: 16027 Ventura Blvd, Suite #605, Encino, CA 91436, USA 
 Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher) Markus Fleischmann, Head of Operations, ma****************@fo****.com  
 Name, Funktion und E-Mail  (Kontaktperson Datenschutz) Chris Sabeti, CEO, in**@ph********.com  
 Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Datenlösch- und Geräte-Diagnose-Software ausgeführt innerhalb der EU bei den Dienstleistern der Geräteprozessierung 
 Unterauftragsverarbeiter V 
 Firma: Piceasoft OY 
 Anschrift: Finlaysoninkatu 5, 33210 Tampere, Finnland
 Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher) Tanel Vahi, CDD & CDW Engineer,  ta********@fo****.com
 Name, Funktion und E-Mail  (Kontaktperson Datenschutz)  DPO,  pr*************@pi*******.com
 Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Zertifizierte Datenlöschung und Diagnose für Mobilgeräte
Unterauftragsverarbeiter VI 
Firma: Supportive Recycling GmbH 
Anschrift: Rudolf-Diesel-Ring 15, 48734 Reken, Germany 
Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher) Markus Fleischmann, Head of Operations, ma****************@fo****.com  
Name, Funktion und E-Mail  (Kontaktperson Datenschutz)  
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Recycling Geräte 

Der Verantwortliche hat die Inanspruchnahme folgender Unter-Unterauftragsverarbeiter genehmigt. 

Unter-Unterauftragsverarbeiter I 
Firma: Amazon Web Services EMEA Sarl 
Anschrift: One Burlington Plaza, Burlington Road, Dublin 4, Do4 Rh96, Ireland 
Name, Funktion und E-Mail  (Kontakt fachlicher Verantwortlicher) Chris Sabeti, CEO, in**@ph********.com  
Name, Funktion und E-Mail  (Kontaktperson Datenschutz) DPO, aw************@am****.com  
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Speicherort personenbezogener Daten für Phonecheck Software 
Eingesetzt von (verantwortlicher Unterauftragsverarbeiter): Phonecheck Solutions, LLC 

Für den Einsatz weiterer/künftiger Unterauftragsverarbeiter und Unter- Unterauftragsverarbeiter gilt folgendes Genehmigungsverfahren (AV-Klausel 7.7)  

Der Auftragsverarbeiter holt vor der Beauftragung des Unterauftragsverarbeiters die schriftliche Genehmigung des Verantwortlichen wie folgt ein.  

​​☐​ „Option1 – Vorherige gesonderte Genehmigung“:  

Der Auftragsverarbeiter darf keinen seiner Verarbeitungsvorgänge, die er im Auftrag des Verantwortlichen gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Auftragsverarbeiter reicht den Antrag auf die gesonderte Genehmigung mindestens 4 Wochen vor der Beauftragung des betreffenden Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Die Parteien halten Anhang IV jeweils auf dem neuesten Stand. 

ODER 

 ​☒​ „Option 2 – Allgemeine schriftliche Genehmigung“:   

Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 4 Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. 

Anhang V – Ergänzende Vereinbarungen 

1 Direktes Auditrecht des Verantwortlichen 

Sofern der Verantwortliche von dieser Vereinbarung betroffene personenbezogene Daten selbst im Auftrag eines anderen Verantwortlichen (‚übergeordneter Verantwortlicher‘) verarbeitet, räumt der Auftragsverarbeiter auf Anforderung des übergeordneten Verantwortlichen diesem dieselben Auskunfts- und Kontrollrechte ein, wie sie nach den AV-Klauseln dem Verantwortlichen zustehen. Der Verantwortliche ist in diesem Fall vom Auftragsverarbeiter fortlaufend über die erteilten Auskünfte und durchgeführten Kontrollen schriftlich oder elektronisch zu informieren. 

2 Qualitätssicherung  

Sofern der Auftragsverarbeiter Zugang zu Systemen des Verantwortlichen hat, wird auf Folgendes hingewiesen: Der Verantwortliche behält sich vor, auf seinen eigenen Datenverarbeitungssystemen Überprüfungen zur Qualitätssicherung durchzuführen, sowie bezüglich dieser Systeme Maßnahmen zur Missbrauchserkennung zu ergreifen. Dies umfasst möglicherweise den Zugriff auf die personenbezogenen Daten (darunter individuelle Benutzerkennungen und -namen, Kontaktangaben usw.) derjenigen Mitarbeiter des Auftragsverarbeiters, die Zugang zu diesen Systemen haben. 

3 Unterauftragsverarbeiter 

Dem Unterauftragsverarbeiter sind Verpflichtungen dieses Anhangs V entsprechend aufzuerlegen.  

4 Internationale Datenübermittlungen (AV) 

Bezüglich AV-Klausel 7.8 b) ist sich der Auftragsverarbeiter bewusst, dass Voraussetzung für die Anwendbarkeit der EU-Klauseln, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, ein positives Ergebnis einer vom Auftragsverarbeiter vorzunehmenden Risikobewertung („Transfer Impact Assessment“) des Partners ist, der Daten im Drittland verarbeitet bzw. der aus dem Drittland Zugriff auf die Daten hat. Das Ergebnis und die wesentlichen zugrunde liegenden Erwägungen der Risikobewertung sind zu dokumentieren und auf Nachfrage dem Verantwortlichen nachzuweisen/vorzulegen. 

5 Zusammenarbeit mit Aufsichtsbehörden 

Ergänzend zur AV-Klausel 7.6 e) wird der Auftragsverarbeiter den Verantwortlichen – vorbehaltlich zwingender gesetzlicher Auflagen – umgehend über sämtliche an den Auftragsverarbeiter oder den Unterauftragsverarbeiter gerichtete Mitteilungen der Aufsichtsbehörden (z. B. Anfragen, Benachrichtigung über Maßnahmen oder Auflagen) in Verbindung mit der Verarbeitung von Daten nach diesem Vertrag informieren.  

6 Vollmacht zum Abschluss von Standardvertragsklauseln 

Der Auftragsverarbeiter bevollmächtigt den Verantwortlichen, AV/EU-Klauseln in seinem Namen und in seinem Auftrag (als Datenimporteur) mit jedem übergeordneten Verantwortlichen zu schließen, der – jetzt oder in Zukunft – die in Anhang II dieser Vereinbarung genannten Datenverarbeitungen nutzt (als Datenexporteur). 

Falls der Auftragsverarbeiter Unterauftragsverarbeiter einsetzt, hat der Auftragsverarbeiter von jedem Unterauftragsverarbeiter eine Vollmacht für den Verantwortlichen einholen, um AV/EU-Klauseln im Namen des Unterauftragsverarbeiters und in dessen Namen (als Datenimporteur) mit jedem übergeordneten Verantwortlichen abzuschließen, die die Prozesse (als Datenexporteur) jetzt oder in Zukunft nutzt. 

Für die Zwecke dieser Ziffer 6 ist es dem Verantwortlichen gestattet, Rechtsgeschäfte zwischen den jeweiligen Parteien der AV/EU-Klauseln (im eigenen Namen und/oder im Namen dieser anderen Parteien) abzuschließen, d.h. die Beschränkungen des § 181 BGB sind in dieser Hinsicht aufgehoben.  

Gesonderte Weisungen des Verantwortlichen (soweit erforderlich): 
 

Anhang VI – Datenverarbeitung mit Drittlandsbezug 

1 Internationale Datenübermittlungen (EU) 

Sofern Datenverarbeitungen und Datenexport in Drittländer durch die Parteien erfolgt, vereinbaren die Parteien EU-Klauseln mit folgender Maßgabe. 

  1. Erfolgt der Datenexport von einem Verantwortlichen zu einem Verantwortlichen (C2C) findet Modul 1 Anwendung.  
  1. Erfolgt der Datenexport von einem Verantwortlichen zu einem Auftragsverarbeiter (C2P) findet Modul 2 Anwendung. Das Genehmigungsverfahren der EU-Klausel 9 a) gilt mit den in Anhang IV dieser Vereinbarung angegebenen Daten als bestimmt. 
  1. Erfolgt der Datenexport von einem Auftragsverarbeiter zu einem (Unter-)Auftragsverarbeiter (P2P) findet Modul 3 Anwendung. Das Genehmigungsverfahren der EU-Klausel 9 a) gilt mit den in Anhang IV dieser Vereinbarung angegebenen Daten als bestimmt. 
  1. Erfolgt der Datenexport von einem Auftragsverarbeiter zu einem Verantwortlichen (P2C) findet Modul 4 Anwendung. 
  1. Das anwendbare Recht der EU-Klausel 17 richtet sich nach gemäß Option 1, sofern anwendbar, nach dem Recht folgenden EU-Mitgliedstaats. [Mitgliedsstaat] 
  1. Anlagen 

Anhang IA gilt mit den in Anhang I dieser Vereinbarung angegebenen Daten ausgefüllt; Anhang IB gilt mit den in Anhang II dieser Vereinbarung angegebenen Daten ausgefüllt;  

Anhang IC gilt mit der Maßgabe, dass die zuständige Aufsichtsbehörde diejenige am Sitz des Datenexporteurs, sofern innerhalb eines EU-Mitgliedsstatt niedergelassen oder wirksam vertreten ist, ansonsten an dem Ort, an dem die betroffene Person niedergelassen sei;  

Anhang II gilt mit den in Anhang III dieser Vereinbarung angegebenen Daten ausgefüllt; Anhang III gilt mit den in Anhang IV dieser Vereinbarung angegebenen Daten ausgefüllt. 

2 Internationale Datenübermittlungen (UK) 

Soweit die Datenschutzgesetze des Vereinigten Königreichs in Bezug auf die personenbezogenen Daten gelten, die Gegenstand der Übermittlung durch die Parteien aus dem Vereinigten Königreich sind, ergänzen die Parteien das International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (‚UK-Addendum‘) zu dieser Vereinbarung als Mechanismus gemäß Artikel 46 UK GDPR wie folgt. 

  1. Table 1 gilt mit den in Anhang I dieser Vereinbarung angegebenen Daten ausgefüllt. 
  1. Table 2: Die EU-Klauseln gelten mit der Maßgabe der in Ziffer 4 dieses Anhangs V anwendbaren Module. 
  1. Table 3

Annex IA gilt mit den in Anhang I dieser Vereinbarung angegebenen Daten ausgefüllt; Annex IB gilt mit den in Anhang II dieser Vereinbarung angegebenen Daten ausgefüllt; Annex II gilt mit den in Anhang III dieser Vereinbarung angegebenen Daten ausgefüllt; Annex III gilt mit den in Anhang IV dieser Vereinbarung angegebenen Daten ausgefüllt. 

  1. Table 4: Die Partei, die das UK-Addendum beenden kann, ist der Verantwortliche bzw. Datenexporteur dieser Vereinabrung. 

Mandatory Clauses: Verweise auf die Klauseln der EU-Klauseln sind in Übereinstimmung mit den obligatorischen Klauseln des UK-Addendum zu lesen.