AGB

der 3D Up GmbH, Leipziger Straße 359, 34123 Kassel, Deutschland(„3Dup“) für Verträge mit ihren Kunden im Zusammenhang der Webseite www.3dup.app („Webseite“).

3Dup stellt seinen Kunden über seine Webseite die Möglichkeit zur Verfügung eigene Datenmodelle cloudbasiert zu bearbeiten, vorzuhalten und gegen Entgelt herunterladbare Druckdaten zu erstellen samt zukünftig optional angebotener Zusatzangebote, wie Bereitstellung von Vorlagen, der Anfertigung und der Lieferung der Ware.

§ 1 Geltungsbereich, Kunden
(1) Für die Geschäftsbeziehung zwischen 3Dup und dem Kunden im Zusammenhang mit der Webseite gelten ausschließlich die nachfolgenden Allgemeinen Geschäftsbedingungen. Abweichende Bedingungen des Kunden werden nicht anerkannt, es sei denn, 3Dup stimmt ihrer Geltung ausdrücklich schriftlich zu.

(2) Kunden sind ausschließlich Unternehmer (§ 14 BGB), d.h. eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.

§ 2 Vertragsschluss
(1) Die Darstellungen auf der Webseite stellen keine rechtlich bindenden Angebote dar. Es handelt sich hierbei vielmehr um die Aufforderung an Kunden, ein verbindliches Angebot durch Abgabe einer Bestellung zu unterbreiten.

(2) Der Kunde muss mit seinem Account angemeldet sein. Eine Bestellung ohne Account oder nichteingeloggt ist nicht möglich. Ist der Kunde ein Neukunde, muss er zunächst einen Account eröffnen. Hierzu muss der Kunde den Registrierungsprozess auf der Webseite durchlaufen. Verfügt der Kunde über einen Account, meldet er sich im Log-in-Bereich an. Er kann danach  Dateien mit den von ihm zu übermittelnden Daten zur weiteren Bearbeitung durch ihn auf die Webseite übertragen.

(3) Der Kunde gibt durch Absendung seines Auftrags an 3Dup ein verbindliches Angebot zur Bestellung der von 3Dup dem Kunden zum Download bereitzustellenden Dateien und weiterer von ihm ausgewählten Leistungen ab. Vor Bestätigung/Absendung des Auftrags kann der Kunde die Daten seiner Bestellung jederzeit ändern und einsehen. Nach Absendung der Bestellung ist eine Korrektur nicht mehr möglich. Sein verbindliches Angebot zum Abschluss eines Vertrages wird dann 3Dup übermittelt. 3Dup schickt dem Kunden in einer Mail eine automatische Auftragsbestätigung per E-Mail zu, in welcher die Bestellung des Kunden nochmals aufgeführt wird und die der Kunde über die Funktion „Drucken“ ausdrucken kann.

§ 3 Ausschluss anwendungstechnischer, medizinische, orthopädischer Fachberatung, Verwendung von Vorlagen
3Dup stellt eine Software zur Eigennutzung durch den Kunden auf Grundlage der von ihm selbst bereitgestellten Daten bereit, erbringt dabei aber keine Leistungen als Grundlage für Erstellung von Diagnosen, zur Behandlungen von Beschwerden oder von Erkrankungen. 3Dup übernimmt daher im Rahmen ihrer Leistungen keine anwendungstechnische, medizinische, orthopädische oder ärztliche Fachberatung. Hinsichtlich der Nutzungen und des weiteren Einsatzes der Leistungen, insbesondere auch zum konkreten Einsatz bereitgestellter Druckmuster/Druckvorlagen, ist der Kunde mithin zur eigenen Prüfung verpflichtet.

§ 4 Eigentumsvorbehalt
(1) Gelieferte Ware bleibt bis zur vollständigen Bezahlung sämtlicher Forderungen aus der Geschäftsverbindung Eigentum von 3Dup.

(2) Der Kunde ist er zur Weiterveräußerung der Vorbehaltsware im ordnungsgemäßen Geschäftsbetrieb berechtigt. Sämtliche hieraus entstehenden Forderungen gegen Dritte tritt der Kunde in Höhe des jeweiligen Rechnungswertes (einschließlich Umsatzsteuer) im Voraus an 3Dup ab. Diese Abtretung gilt unabhängig davon, ob die Vorbehaltsware ohne oder nach Verarbeitung weiterverkauft worden ist. Der Kunde bleibt zur Einziehung der Forderungen auch nach der Abtretung ermächtigt. Die Befugnis von 3Dup, die Forderungen selbst einzuziehen, bleibt davon unberührt. 3Dup wird jedoch die Forderungen nicht einziehen, solange der Kunde seinen Zahlungsverpflichtungen 3Dup gegenüber nachkommt, nicht in Zahlungsverzug gerät und kein Antrag auf Eröffnung eines Insolvenzverfahrens gestellt ist.

§ 5 Preise, Versandkosten, Lieferung, Gefahrübergang

(1) Alle Preise verstehen sich zuzüglich der jeweils gültigen gesetzlichen Umsatzsteuer.

(2) Die Preise gelten zuzüglich Liefer- und Versandkosten, sofern nicht versand- und/oder verpackungskostenfrei. Die Preisliste erhält der Kunde im Rahmen des Registrierungs- sowie Bestellprozesses angezeigt.

(3) Lieferungen erfolgen per Lieferunternehmen auf dem Versandweg an die vom Kunden angegebene Lieferanschrift, sofern sich diese innerhalb des angegebenen Liefergebietes befindet.

(4) Mit der Absendung der Ware an den Kunden, spätestens mit Verlassen bei 3Dup geht die Gefahr des zufälligen Untergangs oder der zufälligen Verschlechterung der Ware auf den Kunden über. Dies gilt unabhängig davon, ob die Versendung der Ware vom Erfüllungsort erfolgt und wer die Frachtkosten trägt.

§ 6 Zahlungsmodalitäten, Verzug, Aufrechnung, Zurückbehaltung
(1) Die Zahlungsmöglichkeiten werden dem Kunden im Rahmen der Webseite angezeigt.

(2) Bei Auswahl der Zahlungsart Rechnungskauf wird der Kaufpreis fällig, nachdem die Leistung zum Download bereitgestellt oder die Ware geliefert und in Rechnung gestellt wurde. In diesem Fall ist der Kaufpreis innerhalb von 7 (sieben) Tagen ab Erhalt der Rechnung ohne Abzug zu zahlen, sofern nichts anderes vereinbart ist. 3Dup behält sich vor, die Zahlungsart Rechnungskauf nur bis zu einem bestimmten Bestellvolumen anzubieten und diese Zahlungsart bei Überschreitung des angegebenen Bestellvolumens abzulehnen. In diesem Fall wird 3Dup den Kunden in seinen Zahlungsinformationen im Rahmen der Webseite auf eine entsprechende Zahlungsbeschränkung hinweisen. 3Dup behält sich ferner vor, bei Auswahl der Zahlungsart Rechnungskauf eine Bonitätsprüfung durchzuführen und diese Zahlungsart bei negativer Bonitätsprüfung abzulehnen.

(3) Bei Zahlung per Vorkasse (SEPA-Lastschrift) erteilt der Kunde 3Dup die Ermächtigung, den fälligen Rechnungsbetrag von dem angegebenen Konto einzuziehen. Der Rechnungsbetrag ist sofort nach Vertragsabschluss fällig, nicht jedoch vor Ablauf der Frist für die Vorabinformation. Vorabinformation („Pre-Notification“) ist jede Mitteilung (z.B. Rechnung, Police, Vertrag) von 3Dup an den Kunden, die eine Belastung mittels SEPA-Lastschrift ankündigt. Wird die Lastschrift mangels ausreichender Kontodeckung oder aufgrund der Angabe einer falschen Bankverbindung nicht eingelöst oder widerspricht der Kunde der Abbuchung, obwohl er hierzu nicht berechtigt ist, hat der Kunde die durch die Rückbuchung des jeweiligen Kreditinstituts entstehenden Gebühren zu tragen, wenn er dies zu vertreten hat.

(4) Aufrechnungs- und Zurückbehaltungsrechte stehen dem Kunden nur zu, wenn seine Gegenansprüche rechtskräftig festgestellt, unbestritten oder von 3Dup anerkannt sind. Zur Ausübung eines Zurückbehaltungsrechts ist der Kunde nur insoweit befugt, als sein Gegenanspruch auf demselben Vertragsverhältnis beruht.

§ 7 Gewährleistung
Bei der Lieferung und Kauf von Waren gilt:

(1) Die Mängelansprüche des Kunden setzen voraus, dass er seinen gesetzlichen Untersuchungs- und Rügepflichten (§§ 377, 381 HGB) nachgekommen ist. Versäumt der Kunde die ordnungsgemäße Untersuchung und/oder Mängelanzeige, ist die Haftung von 3Dup für den nicht angezeigten Mangel ausgeschlossen.

(2) Ist die Ware mangelhaft, gelten die Vorschriften der gesetzlichen Mängelhaftung. Hiervon abweichend gilt, dass

  • ein unwesentlicher Mangel grundsätzlich keine Mängelansprüche begründet;
  • 3Dup die Wahl der Art der Nacherfüllung hat;
  • bei neuen Waren die Verjährungsfrist für Mängel ein Jahr ab Gefahrübergang beträgt;
  • beginnt die Verjährung nicht erneut, wenn im Rahmen der Mängelhaftung eine Ersatzlieferung erfolgt.

Die vorstehend geregelten Haftungsbeschränkungen und Verjährungsfristverkürzungen gelten nicht

  • für Sachen, die nicht entsprechend ihrer üblichen Verwendungsweise für ein Bauwerk verwendet worden sind und dessen Mangelhaftigkeit verursacht haben,
  • für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung von 3Dup oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen von 3Dup beruhen,
  • für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung von 3Dup oder auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen des Verwenders beruhen, sowie
  • für den Fall, dass 3Dup den Mangel arglistig verschwiegen hat.

Darüber hinaus gilt für Unternehmer, dass die gesetzlichen Verjährungsfristen für den Rückgriffsanspruch nach § 478 BGB unberührt bleiben.

§ 8 Haftung, Datensicherung
(1) Ansprüche des Kunden auf Schadensersatz sind ausgeschlossen. Hiervon ausgenommen sind Schadensersatzansprüche des Kunden aus der Verletzung des Lebens, des Körpers, der Gesundheit oder aus der Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) sowie die Haftung für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung von 3Dup, seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen. Wesentliche Vertragspflichten sind solche, deren Erfüllung zur Erreichung des Ziels des Vertrags notwendig ist.

(2) Bei der Verletzung wesentlicher Vertragspflichten haftet 3Dup nur auf den vertragstypischen, vorhersehbaren Schaden, wenn dieser einfach fahrlässig verursacht wurde, es sei denn, es handelt sich um Schadensersatzansprüche des Kunden aus einer Verletzung des Lebens, des Körpers oder der Gesundheit.

(3) Die Einschränkungen der Abs. 1 und 2 gelten auch zugunsten der gesetzlichen Vertreter und Erfüllungsgehilfen von 3Dup, wenn Ansprüche direkt gegen diese geltend gemacht werden.

(4) Die Vorschriften des Produkthaftungsgesetzes bleiben unberührt.

(5) 3Dup haftet nicht für die fehlerhafte Eingabe von falschen, ungeeigneten oder sonst fehlerhaften Daten und Eingaben durch den Kunden oder für Mängel, Defekte oder sonstige Fehler aufgrund von solchen Daten oder Eingaben durch den Kunden.

(6) Die Datenkommunikation über das Internet kann nach dem derzeitigen Stand der Technik nicht fehlerfrei und/oder jederzeit verfügbar gewährleistet werden. 3Dup haftet insoweit weder für die ständige und ununterbrochene Verfügbarkeit der angebotenen Leistungen. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist 3Dup nicht möglich.

(7) Der Kunde wird von ihm erstellte Datenmodelle in anwendungsadäquaten Intervallen, in geeigneter Form eigenverantwortlich sichern, damit diese mit vertretbarem Aufwand wiederhergestellt werden können.

§ 9 Höhere Gewalt
(1) In Fällen höherer Gewalt ist die hiervon betroffene Vertragspartei für die Dauer und im Umfang der Auswirkungen von der Verpflichtung zur Lieferung oder Abnahme befreit. Höhere Gewalt ist jedes außerhalb der Kontrolle des jeweiligen Vertragspartners liegende Ereignis, durch dass er ganz oder teilweise an der Erfüllung seiner vertraglichen Verpflichtungen gehindert wird, einschließlich Feuerschäden, Überschwemmungen, Streiks, Pandemien oder rechtmäßige Aussperrungen sowie nicht von ihm verschuldete Betriebsstörungen oder behördliche Verfügungen. Versorgungsschwierigkeiten und andere Leistungsstörungen seitens der Vorlieferanten sind ebenfalls höhere Gewalt.

(2) Der betroffene Vertragspartner wird dem anderen Vertragspartner unverzüglich den Eintritt sowie den Wegfall der höheren Gewalt anzeigen und sich nach besten Kräften bemühen, die höhere Gewalt zu beheben und in ihren Auswirkungen soweit wie möglich zu beschränken.

(3) Die Vertragspartner werden sich bei Eintritt höherer Gewalt über das weitere Vorgehen abstimmen und festlegen, ob nach ihrer Beendigung die während dieser Zeit nicht gelieferten Produkte nachgeliefert werden sollen. Ungeachtet dessen ist jeder Vertragspartner berechtigt, von den betreffenden Bestellungen zurückzutreten, wenn die höhere Gewalt mehr als vier Wochen seit dem vereinbarten Lieferdatum dauert. Das Recht ihres Vertragspartners, im Falle länger andauernder höherer Gewalt den Vertrag aus wichtigem Grund zu kündigen, bleibt unberührt.

§ 10 Datenschutz
(1) 3Dup erhebt und verarbeitet als Verantwortliche im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung („DS-GVO“) personenbezogene Daten im Geltungsbereich dieser Allgemeinen Geschäftsbedingungen. Hierzu zählen unter anderem Kontaktdaten sowie Daten zu erteilten Aufträge sowie Daten zur Abwicklung des Zahlungs- und Lieferverkehrs. Der Kunde prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt

(2) Mit der Erhebung der im Rahmen der Vertragsschließung und Vertragsdurchführung erhaltenen personenbezogenen Daten verfolgt 3Dup den Zweck, Verpflichtungen aus dem Vertrag zu erfüllen bzw. vorvertragliche Maßnahmen durchführen zu können und Kunden im Rahmen der Vertragsabwicklung zu betreuen.

(3) Sofern 3Dup Auftragnehmer einer Auftragsverarbeitung ist, schließt der Kunde mit 3Dup zugleich den als Anlage beigefügten Auftragsverarbeitungsvertrag (AVV) ab. Eine Auftragsverarbeitung liegt vor, wenn 3Dup im Auftrag des Kunden personenbezogene Daten verarbeitet.

§ 11 Nutzungen, Schutzrechte
(1) Der Kunde räumt 3Dup das Recht ein, die von 3Dup für den Kunden zu verarbeitenden Daten vervielfältigen zu dürfen, soweit dies zur Erbringung der geschuldeten Leistungen erforderlich ist.

(2) Werden Leistungen in vom Kunden besonders vorgeschriebener Ausführung (nach Zeichnung, Muster oder sonstigen bestimmten Angaben) erbracht, so übernimmt er die Gewähr, dass durch die Ausführung Rechte Dritter, insbesondere Patente, Gebrauchsmuster und sonstige Schutz- und Urheberrechte, nicht verletzt werden. Der Kunde ist verpflichtet, 3Dup von den Ansprüchen Dritter, die sich aus einer solchen Verletzung ergeben könnten, freizuhalten.

§ 12 Schlussbestimmungen
(1) Handelt der Kunde als Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen mit Sitz im Hoheitsgebiet der Bundesrepublik Deutschland, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag der Geschäftssitz von 3Dup.

(2) Es gilt ausschließlich deutsches materielles Recht unter Ausschluss des deutschen internationalen Privatrechts und des UN-Kaufrechts.

(3) Vertragssprache ist deutsch und englisch. 3Dup speichert den Vertragstext nach Vertragsschluss und sendet dem Kunden die Bestelldaten und diese AGB per E-Mail zu. Die AGB kann der Kunde zudem jederzeit auf der Webseite einsehen.

(3) Sollten einzelne Bestimmungen unwirksam sein, so wird die Gültigkeit der übrigen Bedingungen hiervon nicht berührt. Soweit in einer Klausel ein wirksamer, angemessener Teil enthalten ist, behält dieser Gültigkeit. Die ganz oder teilweise unwirksame Regelung soll durch eine Regelung ersetzt sein, deren wirtschaftlicher Erfolg dem der unwirksamen möglichst nahe kommt.

Stand: Oktober 2022

 

Anlage:

Vereinbarung zur Auftragsdatenverarbeitung (Art. 28 DS-GVO)

  1. Gegenstand und Dauer des Vertrags(1) Der Gegenstand des Auftrags zur Datenverarbeitung Datenverarbeitung ergibt sich aus den jeweils gebuchten Leistungen des Kunden (nachfolgend „Auftraggeber“) und 3Dup (nachfolgend „Auftragnehmer““) und der AGB von 3Dup, auf die hier verwiesen wird (im Folgenden „Leistungsvereinbarung“).

    (2) Die Dauer dieses Vertrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung. Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet. Soweit sich aus anderen Vereinbarungen zwischen Auftraggeber und Auftragnehmer anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll dieser Vertrag zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.

  2. Konkretisierung des VertragsinhaltsArt und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber werden von diesem durch seine Leistungsauswahl und die Nutzungen der Leistungen von 3Dup im Rahmen Leistungsvereinbarung konkret bestimmt. Zweck der Verarbeitung ist die Erstellung einer Druckdatei eines orthopädischen 3D-Modells, optional deren Druck, so dass orthopädische Daten der Kunden des Auftraggebers verarbeitet werden.
  3. Technisch-organisatorische Maßnahmen(1) Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorische Maßnahmen gem. Art. 32 DS-GVO zum Schutz der personenbezogenen Daten, s. Anhang 1.

    (2) Die mit Anhang 1 vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber unverzüglich in Kenntnis zu setzten.

  4. Rechte von betroffenen Personen(1) Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

    (2) Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

  5. Pflichten des Auftragnehmers(1) Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieses Vertrags, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
    • Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
    • Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
    • Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
    • Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten, einem anderen Anspruch oder einem Informationsersuchen im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
    • Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
    • Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 8 dieses Vertrags.
    • Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Artt. 33, 34 DS-GVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.
    • Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
    • Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.

    (2) Dieser Vertrag entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DS-GVO.

    (3) Für Unterstützungsleistungen, die nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung in angemessenem Umfang verlangen.

  6. Unterauftragsverhältnisse(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen, Entsorgungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

    (2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen. Der Auftraggeber stimmt der Beauftragung der in Anhang 2 bezeichneten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO mit dem Unterauftragnehmer zu.

    Die Auslagerung auf Unterauftragnehmer oder der Wechsel der gemäß Anhang 2 bestehenden Unterauftragnehmers sind zulässig, soweit:

    • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber in einer angemessenen Zeit, die 14 Tage nicht unterschreiten darf, vorab schriftlich oder in Textform anzeigt und
    • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
    • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

    (3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die Einhaltung und Umsetzung der technisch-organisatorischen Maßnahmen beim Unterauftragnehmer wird unter Berücksichtigung des Risikos beim Unterauftragnehmer vorab der Verarbeitung personenbezogener Daten und sodann regelmäßig durch den Auftragnehmer kontrolliert. Der Auftragnehmer stellt dem Auftraggeber die Kontrollergebnisse auf Anfrage zur Verfügung.

    (4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

  7. Internationale Datentransfers(1) Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Auftraggebers und bedarf der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO.

    Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Der Auftraggeber gestattet eine Datenübermittlung in ein Drittland nur wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. In Anhang 2 werden die Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus aus Art. 44 ff. DS-GVO im Rahmen der Unterbeauftragung spezifiziert.

    (2) Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DS-GVO verantwortlich.

  8. Kontrollrechte des Auftraggebers(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen. Zu diesem Zweck ist der Auftragnehmer verpflichtet, dem Auftraggeber auf dessen Kosten zu den üblichen Geschäftszeiten nach rechtzeitiger Vorankündigung ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers Zutritt zu den Räumlichkeiten zu gewähren, in denen die Daten des Auftraggebers physisch oder elektronisch verarbeitet werden. Der Auftraggeber stimmt die Durchführung der Kontrollen mit dem Auftragnehmer so ab, dass der Betriebsablauf beim Auftragnehmer so wenig wie möglich beeinträchtigt wird.

    (2) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 8 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.

    (3) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

    (4) Der Nachweis der technisch-organisatorischen Maßnahmen zur Einhaltung der besonderen Anforderungen des Datenschutzes allgemein sowie solche, die den Auftrag betreffen, kann erfolgen durch

    • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
    • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
    • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
    • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

    (5) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch in angemessenen Umfang geltend machen.

  9. Weisungsbefugnis des Auftraggebers(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen des Auftraggebers werden durch diesen Vertrag festgelegt.

    (2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

  10. Löschung und Rückgabe von personenbezogenen Daten(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

    (2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

    (3) Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

  11. Schlussbestimmungen(1) Die Haftung der Parteien richtet sich nach Art. 82 DS-GVO.

    (2) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

    (3) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

    (4) Es gilt ausschließlich deutsches materielles Recht unter Ausschluss des deutschen internationalen Privatrechts und des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist der Geschäftssitz von 3Dup.

Anhang 1 – Technisch-organisatorische Maßnahmen

3D-Up! TOM

Zugangskontrolle

Funktionelle und/oder zeitlich limitierte Vergabe von Benutzerberechtigungen

Verwendung von individuellen Passwörtern

Prozess zur Rechtevergabe bei Neueintritt von Mitarbeitern

Physikalische Absicherung (Türen, Fenster, Wände etc.), Zutrittskontrollsysteme

Geregelte Schlüsselverwaltung

Beaufsichtigung von Fremdpersonal

Gesicherte Aufbewahrung von Unterlagen und Datenträgern

 

Zugriffskontrolle

Festlegung der Zugriffsberechtigung, Berechtigungskonzept

Beschränkung der freien und unkontrollierten Abfragemöglichkeit von Datenbanken

Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen (Read, Write, Execute)

 

Trennungskontrolle

Dateiseparierung bei Datenbanken

Logische Datentrennung (z.B. auf Basis von Kundennummern)

Trennung von Entwicklungs- und Produktionssystemen

 

Weitergabekontrolle

Datenaustausch über https-Verbindung

 

Eingabekontrolle

Festlegung von Benutzerberechtigungen (Profile)

Organisatorische Festlegung von Eingabezuständigkeiten

 

Kontrollverfahren

Es werden datenschutzfreundliche Voreinstellungen gewählt

 

Auftragskontrolle

Zentrale Erfassung vorhandener Dienstleister

 

Anhang 2 – Genehmigte Unterauftragsverhältnisse

Datenverarbeitung, Server (Alle Serverstandorte sind in EU): 

Contabo GmbH
Aschauer Straße 32a
81549 München

 

Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy,
L-1855 Luxembourg

 

Amazon Web Services EMEA SARL, Niederlassung Deutschland
Marcel-Breuer-Str. 12,
80807 München

 

MongoDB Deutsche GmbH
c/o RA Ralph Krone,
Solmsstraße 41,
60486 Frankfurt am Main

 

Webspace
checkdomain GmbH
a dogado group company
Große Burgstraße 27/29
23552 Lübeck