02.08.2023 / Version 1.5
i.S.v. Art. 28 Abs. 3 EU-Datenschutzgrundverordnung („DSGVO“) (im Weiteren: „AV-Vereinbarung“) zwischen Locaboo GmbH, Balanstr. 73 | Haus 12, 81541 München (nachfolgend: Auftragnehmer genannt) und dem Kunden (nachfolgend: Auftraggeber genannt) (gemeinsam nachfolgend: „die Parteien“)
(1) The GC Agreement sets out the rights and obligations of the Parties under data protection law arising from the provision of services by the Principal agreed between the Parties (in accordance with the General Terms and Conditions of the Principal and any other documents regulating the provision of services) (hereinafter: the "Main Agreement"). In this context, it shall apply to all activities in which employees of the Contractor or persons commissioned by the Contractor process personal data within the meaning of Article 4 No. 1 of the German Data Protection Act (hereinafter: "Data") of the Principal pursuant to Article 28 of the German Data Protection Act. Insofar as the term "data processing" or "processing" (of data) is used in this GC Agreement, the definition of "processing" within the meaning of Art. 4 No. 2 of the GDPR shall apply.
(2) The online portal "Locaboo" is a SaaS application that provides a technical infrastructure by means of which the Client can manage its appointments, room planning, employees and customers.
(3) The data to be processed is exclusively data of the client itself. The contractor merely provides the technical facilities and the software.
(4) Insofar as the term "data processing" or "processing" (of data) is used in this GC Agreement, the definition of "processing" within the meaning of Art. 4 No. 2 DSGVO shall apply.
(1) The Contractor shall carry out processing of personal data on behalf of the Client for the duration of the contract on the basis of the main contract. The definitions (legal definitions) of the DSGVO and the BDSG shall apply to the following GC Agreement.
(2) The scope of services resulting from the main contract through the use of the online portal includes in particular - without this redefining the service obligations - the following processing operations:
Hosting of the databases for the aforementioned SaaS application and the web server
Development and support of the software of these applications and the interfaces to further IT systems
Daily backup of data and storage in accordance with legal obligations
(3) The following types of personal data are regularly processed during the operation of the online portal:
Personal master data and contact data of the users (including name, e-mail address, telephone number)
Data on the use of the online service (access data, IP address, other metadata)
Contract, billing and booking data
(4) Group of persons concerned by the data processing:
Employees of the client
End customers of the principal
(5) Duration of processing: The personal data collected shall be processed for the duration of the contract or as long as there is a legal obligation to process (in particular for storage).
(1) This agreement shall take effect upon successful registration of the user for the use of Locaboo and shall apply for the duration of the main contract.
(2) Any extraordinary right of termination of the parties shall remain unaffected by this; the Client shall not be entitled to continue to use Locaboo without the existence of this GC Agreement or a corresponding successor agreement and shall cease such use in this case.
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer sowie für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit für die Erfüllung der vorbezeichneten Pflichten des Auftraggebers erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann. Der Auftragnehmer ist verpflichtet, alle Anfragen Dritter, sofern sie erkennbar an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
(2) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrages und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Die Weisungen des Auftraggebers werden anfänglich durch diese AV-Vereinbarung festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisungen). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst insbesondere Weisungen im Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
(3) Der Auftraggeber ist selbst und ausschließlich dafür verantwortlich, die datenschutzrechtliche Zulässigkeit der zu verarbeitenden Daten zu gewährleisten. Der Auftragnehmer ist nicht berechtigt und verpflichtet, eine Zulässigkeit der Speicherung der Daten Dritter (Betroffener) originär zu prüfen und ist nicht verpflichtet, die Betroffenen über die Datenspeicherung zu informieren (Art. 13, 14 DSGVO). Die Einhaltung dieser datenschutzrechtlichen Informationsverpflichtungen obliegt dem Auftraggeber. Der Auftraggeber ist als Verantwortlicher gem. Ziff. 5.1. insbesondere auch dafür verantwortlich, das Vorhandensein einer Rechtsgrundlage der Verarbeitung personenbezogener Daten Dritter und die daraus folgenden Informationspflichten (insb. Art. 13 DSGVO) zu gewährleisten.
(4) Änderungen des Verarbeitungsgegenstandes (Ziff. 4.2) und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
(5) Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in dieser AV-Vereinbarung festgelegten Verpflichtungen zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei seiner Kontrolle feststellt.
(6) Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten, sind vom Auftraggeber mit einer angemessenen Frist (mindestens 14 Tage, außer in Notfällen) anzumelden und durch den Auftragnehmer zu unterstützen (z.B. durch Bereitstellung von Personal).
(7) Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragnehmers sowie den Schutz von personenbezogenen Daten Dritter (z.B. anderer Kunden oder Mitarbeiter des Auftragnehmers) Rücksicht nehmen. Zur Durchführung der Kontrolle sind nur fachkundige Personen zugelassen, die sich legitimieren können und im Hinblick auf die Betriebs- und Geschäftsgeheimnisse sowie Prozesse des Auftragnehmers und personenbezogene Daten Dritter zur Verschwiegenheit verpflichtet sind.
(8) Statt der Einsichtnahmen und der Vor-Ort-Kontrollen darf der Auftragnehmer den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Dies gilt insbesondere dann, wenn Betriebs- und Geschäftsgeheimnisse des Auftragnehmers oder personenbezogene Daten Dritter durch die Kontrollen gefährdet wären.
(9) Die Ziff. 4.1 – 4.9 gelten sinngemäß für das Begehren des Auftraggebers, einen Subunternehmer des Auftragnehmers kontrollieren zu wollen. Diese Kontrollen sind unter Einbeziehung des Auftragnehmers durchzuführen, der von seinen eigenen entsprechenden Kontrollrechten Gebrauch macht. Der Auftraggeber ist berechtigt, zu Art und Umfang der Kontrolle Weisungen zu erteilen und eigenes Kontrollpersonal zu entsenden.
(10) Sofern eine Kontrolle nicht aufgrund eines Fehlverhaltens des Auftragnehmers erforderlich wurde und sofern keine wesentlichen Abweichungen von den Verpflichtungen des Auftragnehmers nach dieser AV-Vereinbarung festgestellt wurden, ist der Auftragnehmer berechtigt, dem Auftraggeber die für Kontrollmaßnahmen nach Ziff. 4.6 entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde. Dies gilt auch für Inspektionen oder Kontrollen des Auftraggebers durch eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde.
(1) Der Auftragnehmer führt ausschließlich die Leistungen durch, die zur Erfüllung der beauftragten Leistungen erforderlich sind. Er führt sie ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers durch. Änderungen des Tätigkeitsfeldes und Verfahrensänderungen sind schriftlich zu vereinbaren. Der Auftragnehmer speichert oder verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf Weisung des Auftraggebers. Der Auftragnehmer hat die zur Durchführung des Hauptvertrages notwendigen Leistungen so auszuführen, dass er sich nur insoweit Kenntnis von fremden Geheimnissen verschafft, als dies zur Vertragserfüllung erforderlich ist. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Für sämtliche Mitarbeiter des Auftragnehmers gilt aufgrund ihrer Aufgabenstellungen die Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO. Nach dieser Vorschrift ist es ihnen untersagt, personenbezogene Daten unbefugt zu verarbeiten. Gem. Art. 28 Abs. 3 lit. b DSGVO ist jeder Mitarbeiter verpflichtet, die Vertraulichkeit der verarbeiteten Daten zu wahren. Diese Verpflichtung besteht auch über das Ende seiner Tätigkeit im Unternehmen hinaus. Der Auftragnehmer verpflichtet sich in diesem Kontext, nur solche Mitarbeiter zur Durchführung der AV-Vereinbarung einzusetzen, die über Ihre Pflichten zur Vertraulichkeit und zur Einhaltung aller weiteren Datenschutzbestimmungen belehrt und auf die Rechtsfolgen von Verstößen (u.a. Strafbarkeit) hingewiesen wurden. Zudem setzt der Auftragnehmer davon unabhängig nur solche Mitarbeiter ein, bei denen keine Anhaltspunkte dafür ersichtlich sind, dass deren Verlässlichkeit eingeschränkt sein könnte. Darüber hinaus werden auch nur solche Mitarbeiter eingesetzt, die eine angemessene Ausbildung und/oder Berufserfahrung im Umgang mit personenbezogenen Daten Dritter und zur Durchführung der notwendigen Arbeiten des Hauptvertrages haben.
(3) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten zum Zwecke der Durchführung des Hauptvertrages.
(4) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten.
(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
(6) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.
(7) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.
(8) Über datenschutzrelevante Vorfälle und Verstöße gegen die vertraglichen Regelungen unterrichtet der Auftragnehmer den Auftraggeber unverzüglich.(9) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieser AV-Vereinbarung bestehen.
(1) The Contractor confirms that it has appointed a data protection officer in accordance with Art. 37 DSGVO. The Contractor shall ensure that the data protection officer has the necessary qualifications and expertise. The Contractor shall inform the Client of the name and contact details of its data protection officer separately in text form.
(2) The obligation to appoint a data protection officer pursuant to paragraph 1 may be waived at the discretion of the Principal if the Contractor can prove that it is not legally obliged to appoint a data protection officer and the Contractor can prove that operational regulations are in place which ensure the processing of personal data in compliance with the statutory provisions, the provisions of this GTC Agreement and any further instructions of the Principal.
(1) The Contractor shall be obliged to notify the Client without delay of any breach of data protection regulations or of the contractual agreements made and/or of the Client's instructions given which has occurred in the course of the processing of data by the Contractor or other persons involved in the processing. The same shall apply to any breach of the protection of personal data processed by the contractor on behalf of the principal.
(2) Furthermore, the Contractor shall inform the Client without undue delay if a supervisory authority takes action against the Contractor pursuant to Art. 58 of the GDPR and this may also relate to a control of the processing that the Contractor performs on behalf of the Client.
(3) The Contractor is aware that the Client may be subject to a notification obligation pursuant to Art. 33, 34 of the GDPR, which provides for notification to the supervisory authority within 72 hours of becoming aware of the matter. The Contractor shall support the Client in implementing the reporting obligations. In particular, the Contractor shall notify the Client of any unauthorised access to personal data processed on behalf of the Client without undue delay after becoming aware of the access. The notification of the contractor to the principal shall in particular include the following information:
a description of the nature of the personal data breach, including, where possible, the categories and approximate number of data subjects, the categories concerned and the approximate number of personal data records concerned;
a description of the measures taken or proposed by the contractor to address the personal data breach and, where appropriate, measures to mitigate its possible adverse effects.
(1) The Contractor shall provide the contractually agreed services under the main contract using the subcontractors named in Annex 1. Within the scope of his contractual obligations, the Contractor is authorised to establish further subcontracting relationships with subcontractors. He shall inform the Client thereof. The commissioning may be prohibited by the Client in the event of important reasons by means of an objection. If the client does not object within 2 weeks of being informed by the contractor, the consent shall be deemed to have been granted. The contractor is obliged to carefully select subcontractors according to their suitability and reliability. When engaging subcontractors, the Contractor shall oblige them in accordance with the provisions of this Agreement and shall ensure that the Client can exercise its rights under this Agreement. If subcontractors in a third country are to be involved, the contractor must ensure that an appropriate level of data protection is guaranteed at the respective subcontractor.
(2) The contractually agreed data processing from the main contract and from all subcontracting relationships shall take place exclusively in a country that is fully and directly subject to the provisions of the GDPR. Processing in a third country requires the prior consent of the client.
(3) Services which the contractor uses from third parties as a purely ancillary service in order to carry out the business activity are not to be regarded as subcontracting relationships within the meaning of paragraphs 8.1 to 8.2. This includes, for example, cleaning services, pure telecommunication services without any specific reference to services which the contractor provides for the client, postal and courier services, transport services, guarding services. The contractor is nevertheless obliged, also in the case of ancillary services provided by third parties, to ensure that appropriate precautions and technical and organisational measures have been taken to guarantee the protection of personal data. The maintenance and servicing of IT systems or applications constitutes a subcontracting relationship requiring consent and commissioned processing within the meaning of Art. 28 DSGVO if the maintenance and testing concerns such IT systems that are also used in connection with the provision of services for the Client and personal data processed on behalf of the Client can be accessed during the maintenance.
(1) The Contractor undertakes towards the Client to comply with the technical and organisational measures required to comply with the applicable data protection regulations. This includes, in particular, the requirements of Art. 32 DSGVO.
(2) The status of the technical and organisational measures existing at the time of the conclusion of the contract is attached as Annex (https://www.locaboo.com/tom) to this GC Agreement. The Parties agree that changes to the technical and organisational measures may become necessary in order to adapt to technical and legal circumstances. The Contractor shall coordinate significant changes that may affect the integrity, confidentiality or availability of the personal data with the Client in advance. Measures that only entail minor technical or organisational changes and do not negatively affect the integrity, confidentiality and availability of the personal data may be implemented by the contractor without coordination with the client. The Client may request an up-to-date version of the technical and organisational measures taken by the Contractor once a year or on justified occasions.
(1) The CA Agreement begins with electronic online consent and runs for the duration of the main contract existing between the parties on the use of the Contractor's services by the Client.
(2) The Principal may terminate the CA Agreement at any time without notice if there is a serious breach by the Contractor of the applicable data protection provisions or of obligations under this CA Agreement, if the Contractor is unable or unwilling to carry out an instruction of the Principal or if the Contractor refuses access by the Principal or the competent supervisory authority in breach of the Agreement.
(1) The contractor shall return to the client after termination of the main contract or at any time at the client's request all documents, data and data carriers that may have been provided to him or delete them at the client's request, unless there is an obligation to store the personal data under Union law or the law of the Federal Republic of Germany.
(2) The Client has the right to check the complete and contractually compliant return or deletion of the data at the Contractor within 4 weeks after notification of deletion has been given. The deletion shall be documented in a suitable manner. Any statutory retention obligations or other obligations to store the data shall remain unaffected. The Contractor shall be entitled to invoice the Client for the expenses incurred in this respect on the basis of the Contractor's hourly rate valid at the time, unless otherwise agreed between the Parties.
The Parties agree that the defence of the right of retention by the Contractor within the meaning of Section 273 of the German Civil Code (BGB) is excluded with regard to the processed data and the associated data carriers.
(1) Änderungen der AV-Vereinbarung: Änderungen und Ergänzungen dieser AV-Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Gültigkeit der AV-Vereinbarung: Sollten einzelne Bestimmungen dieser AV-Vereinbarung unwirksam oder undurchführbar sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden im Falle der Unwirksamkeit einer Klausel eine in sachlicher, am wirtschaftlichen Zweck des Vertrages orientierte, ersatzweise Regelung vereinbaren. Dies gilt sinngemäß für unvollständige Klauseln.
(3) Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Der Auftragnehmer stimmt eine etwaige Erfüllung von Haftungsansprüchen mit dem Auftraggeber ab.
(4) Gerichtsstand, Anwendbares Recht: Auf diese AV-Vereinbarung gilt ausschließlich Deutsches Recht einschließlich der Bestimmungen der DSGVO, ohne das UN-Kaufrecht. Kollisionsrecht findet keine Anwendung. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AV-Vereinbarung ist München. Die Wahl des Gerichtsstands ist nur für den Auftraggeber ausschließlich.
(5) Geschäftsbedingungen: Allgemeine Geschäfts- und Einkaufsbedingungen des Auftraggebers finden keine Anwendung auf diese AV-Vereinbarung. Diese AV-Vereinbarung gilt gegenüber dem Auftraggeber auch dann ausschließlich, wenn der Auftragnehmer seine Leistungen auch in Kenntnis entgegenstehender Allgemeiner Geschäfts- oder Einkaufsbedingungen vorbehaltslos ausführt.
(6) Rangfolge: Bei Widersprüchen zwischen Inhalten dieser AV-Vereinbarung und Bestimmungen des Hauptvertrags hinsichtlich datenschutzrechtlicher Themen, gilt diese AV-Vereinbarung vorrangig. Im Übrigen bleiben die Bestimmungen des Hauptvertrages unberührt und gelten für diese AV-Vereinbarung entsprechend.
For the processing of data on behalf of the Client, the Contractor shall use the services of third parties who process data on its behalf ("subcontractors").
These are the following company(ies):