AGB SaaS - AVV + TOM - Allgemeinen Verkaufs- und Lieferbedingungen (AVB)

AGB SaaS

1. Vertragsgegenstand und Vertragsbestandteile
1.1 Die Firma Leibold Tankdaten GmbH & Co. KG (der „Anbieter“) überlässt dem Kunden die Software TankCloud (die „Software“) zur Nutzung und Speicherung von Daten über das Internet auf Zeit (Softwaremiete).
1.2 Diese AGB SaaS gelten für die Überlassung und Nutzung der Software durch den Kunden für eigene Zwecke über eine Datenfernverbindung gemäß Auftrag und haben Vorrang vor den Allgemeinen Verkaufs- und Lieferbedingungen des Anbieters. Die Software und die Kundendaten werden auf Servern in Rechenzentren in Deutschland gespeichert. Eine Installation der Software auf Hardware des Kunden erfolgt nicht.
1.3 Die Software ermöglicht dem Kunden die Verwaltung von Tankungen und Fahrzeugdaten. Für die Beschaffenheit der Software ist die bei Vertragsschluss gültige Leistungsbeschreibung (Anlage) abschließend maßgeblich. Eine darüberhinausgehende Beschaffenheit der Software schuldet der Anbieter nicht.
1.4 Nicht Gegenstand dieser Vereinbarung ist die Erbringung von Dienstleistungen wie etwa Schulungen, Erstellung individueller Programmanpassungen, Support usw.

2. Leistungsumfang
Der Anbieter stellt dem Kunden die Software in der aktuellen Version an der Schnittstelle des Rechenzentrums zum Internet (Datenübergabepunkt) zur Nutzung bereit. Der Anbieter schuldet nicht die Aufrechterhaltung der Datenverbindung zwischen den IT-Systemen des Kunden und dem beschriebenen Datenübergabepunkt.

3. Verfügbarkeit der Software
3.1 Die Nutzung der Software wird dem Kunden grundsätzlich in einer Servicezeit von Montag bis Sonntag in der Zeit von 0.00 Uhr bis 24 Uhr zur Verfügung gestellt mit Ausnahme von mit dem Kunden abgestimmten Wartungsfenstern In Abstimmung mit dem Kunden kann der Anbieter die Leistungserbringung für einen definierten Zeitraum unterbrechen, um Wartungsarbeiten durchzuführen. Der Kunde wird die Zustimmung zu diesen Unterbrechungen nicht unbillig verweigern.
3.2 Der Anbieter überlässt dem Kunden die Software am Datenübergabepunkt mit einer Verfügbarkeit von 98% / Jahr zur Nutzung. Zur Verfügbarkeit zählen nicht die definierten Wartungsfenster innerhalb der Servicezeit und die Ausfallzeit durch Störungen bzw. bei der Durchführung von Störungsbehebungs- und Wartungsleistungen, die für den Anbieter nicht vorhersehbar und planbar waren, soweit sie nicht auf Ursachen beruhen, die der Anbieter zu vertreten hat.
3.3 Für Einschränkungen oder Beeinträchtigungen durch nicht beeinflussbare technische Bedingungen des Internets sowie höhere Gewalt trägt der Anbieter nicht die Verantwortung. Der Kunde ist verpflichtet, Störungen dieser Art an den Anbieter zu melden.
3.4 Wesentliche Leistungsänderungen werden dem Kunden rechtzeitig mitgeteilt.

4. Nutzungsrechteinräumung
4.1 Die Software ist urheberrechtlich geschützt.
4.2 Der Anbieter räumt dem Kunden einfache urheberrechtliche Nutzungsrechte wie folgt ein: Der Kunde darf die Software während der Laufzeit dieses Vertrags nur für seine eigenen geschäftlichen Tätigkeiten durch eigenes Personal nutzen.
4.3 Es ist unzulässig, Dritten die Nutzung der Software zu ermöglichen. Als Dritte gelten auch mit dem Kunden konzernverbundene Unternehmen.

5. Datenverarbeitungen
5.1 Der Kunde bleibt Alleinberechtigter und–verantwortlicher der über die Software verarbeiteten Daten; der Anbieter schuldet lediglich die Zurverfügungstellung von Speicherplatz zur Nutzung durch den Kunden. Den Anbieter treffen hinsichtlich dieser Daten keine Verwahrungs- oder Obhutspflichten. Für die Beachtung der handels- und steuerrechtlichen Aufbewahrungsfristen ist der Kunde selbst verantwortlich.
5.2 Der Anbieter verarbeitet personenbezogene Daten des Kunden im Rahmen einer Auftragsverarbeitung gem. Art. 28 DSGVO. Eine entsprechende Vereinbarung zur Auftragsverarbeitung ist Anlage zu diesen Vertragsbedingungen.
5.3 Der Anbieter sichert die Daten regelmäßig im Auftrag des Kunden auf einem externen Backup-Server. Der Kunde räumt dem Anbieter das Recht ein, die vom Anbieter für den Kunden zu speichernden Daten vervielfältigen zu dürfen, soweit dies zur Erbringung der nach diesem Vertrag geschuldeten Leistungen erforderlich ist (insbesondere zu Zwecken der Datensicherheit).
5.4 Der Kunde kann seine mit der Software verarbeiteten Daten jederzeit selbst herunterladen und entsprechende Kopien anfertigen. Der Kunde verpflichtet sich, unmittelbar vor einer Beendigung des Vertragsverhältnisses seine Daten herunterzuladen oder Kopien hiervon anzufertigen. Der Kunde hat dafür Sorge zu tragen, dass die von ihm selbst gesicherten Daten lesbar und vollständig sind. Auf Anfordern bietet der Anbieter dem Kunden einen kostenpflichtigen Datenexport an.

6. Mitwirkungspflichten des Kunden
6.1 Der Kunde übernimmt die Herstellung einer Datenverbindung zwischen den von ihm zur Nutzung vorgesehenen Arbeitsplätzen und vom Anbieter definierten Datenübergabepunkt. Der Anbieter ist berechtigt, den Datenübergabepunkt jederzeit neu zu definieren, sofern dies erforderlich ist, um eine reibungslose Inanspruchnahme der Leistungen durch den Kunden zu ermöglichen. Der Kunde wird in diesem Fall eine Verbindung zu dem neu definierten Übergabepunkt herstellen.
6.2 Die vertragsgemäße Inanspruchnahme der Leistungen des Anbieters ist davon abhängig, dass die vom Kunden eingesetzte Hard- und Software, einschließlich Arbeitsplatzrechnern, Routern, Datenkommunikationsmitteln etc. den technischen Mindestanforderungen an der Nutzung der aktuell angebotenen Version der Software entsprechen und die vom Kunden zur Nutzung der Software berechtigten Benutzer mit der Bedienung der Software vertraut sind.
6.3 Der Kunde trifft die notwendigen Vorkehrungen, um die Nutzung der Software durch Unbefugte zu verhindern. Er wird die ihm bzw. den Nutzern zugeordneten Nutzungs- und Zugangsberechtigungen geheim halten, vor dem Zugriff durch Dritte schützen und nicht an unberechtigte Nutzer weitergeben. Der Kunde wird den Anbieter unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder Kennwörter nicht berechtigten Personen bekannt geworden sein könnten.

7. Vergütung
7.1 Der Kunde hat für die von ihm vorgenommene Nutzung der Software die zwischen den Parteien vereinbarten Vergütungen gemäß Auftragsbestätigung zu zahlen, Preise verstehen sich zzgl. MwSt.
7.2 Die anfallende Vergütungen werden rückwirkend im Halbjahr über den Einzug des SEPA-Basis-Lastschriftverfahrens berechnet – alternativ über Rechnungsstellung. Der entsprechende Betrag wird zum 30.06. und 31.12. des jeweiligen Jahres fällig und berechnet. Bei Überschreiten der Zahlungsfrist können im Verzugsfalle Leistungen eingeschränkt werden.
7.3 Der Anbieter ist berechtigt, die Vergütung erstmals nach Ablauf von zwölf Monaten nach Vertragsschluss mit einer schriftlichen Ankündigung von zwei Monaten zum Quartalsende zu erhöhen, sofern und soweit sich seine für die Erhaltung oder den Betrieb der Software anfallenden Kosten erhöht haben. Der Kunde hat das Recht, das Vertragsverhältnis innerhalb einer Frist von drei Wochen nach Zugang der Ankündigung einer Preiserhöhung zu kündigen. Bei einer Reduzierung der entsprechenden Kosten des Anbieters kann der Kunde nach Ablauf der in Satz 1 bezeichneten Frist eine entsprechende Herabsetzung der Vergütung verlangen.

8. Support
8.1 Der Anbieter leistet Support, falls der Kunde die Software nicht vertragsgemäß nutzen kann.
8.2 Die Meldung zu Störungen der Software erfolgt per Mail an mail@leibold-tankdaten.de oder werden telefonisch unter 07551-949540 im Rahmen eines Ticketsystems aufgenommen. Störungsmeldungen werden an Arbeitstagen montags bis freitags von 07.30 Uhr bis 12.00 Uhr werktags angenommen.

9. Gewährleistung
9.1 Der Kunde hat Mängel der Software unverzüglich anzuzeigen. Der Anbieter ist verpflichtet, die Mängel an der Software innerhalb angemessener Zeit zu beheben. Zum Zwecke der Mängelbeseitigung ist der Anbieter berechtigt, die mangelhafte Software gegen mangelfreie Software austauschen.
9.2 Eine Kündigung des Kunden gem. § 543 Abs. 2 S. 1 Nr. 1 BGB wegen Nichtgewährung des vertragsmäßigen Gebrauchs ist erst zulässig, wenn dem Anbieter ausreichende Gelegenheit zur Mängelbeseitigung gegeben wurde und diese fehlgeschlagen ist.
9.3 Behaupten Dritte Ansprüche, die den Kunden hindern, die ihm vertraglich eingeräumten Nutzungsbefugnisse wahrzunehmen, unterrichtet der Kunde den Anbieter unverzüglich schriftlich und umfassend. Er ermächtigt den Anbieter hiermit, Klagen gegen Dritte gerichtlich und außergerichtlich allein zu führen. Wird der Kunde verklagt, stimmt er sich mit dem Anbieter ab und nimmt Prozesshandlungen, insb. Anerkenntnisse und Vergleiche, nur mit dessen Zustimmung vor.

10. Haftungsbeschränkung
10.1 Der Anbieter haftet im Rahmen der gesetzlichen Bestimmungen jeweils unbeschränkt für Schäden
(a) aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung bzw. sonst auf vorsätzlichem oder fahrlässigem Verhalten des Anbieters oder eines seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen;
(b) wegen des Fehlens oder des Wegfalls einer zugesicherten Eigenschaft bzw. bei Nichteinhaltung einer Garantie;
(c) die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung bzw. sonst auf vorsätzlichem oder grob fahrlässigem Verhalten des Anbieters oder eines seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen.
10.2 Der Anbieter haftet unter Begrenzung auf Ersatz des vertragstypischen vorhersehbaren Schadens für solche Schäden, die auf einer leicht fahrlässigen Verletzung von wesentlichen Pflichten durch den Anbieter oder einen seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen. Die Haftung ist in diesen Fällen auf 25.000 EUR je Schadensfall, insgesamt auf 100.000 EUR aus dieser Vereinbarung begrenzt.
10.3 Der Anbieter haftet für sonstige Fälle leicht fahrlässigen Verhaltens nicht.
10.4 Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

11. Vertragslaufzeit
11.1 Das Vertragsverhältnis läuft für 24 Monate ab Vertragsbeginn („Erstlaufzeit“). Vertragsbeginn ist das Auftragsdatum.
11.2 Das Vertragsverhältnis verlängert sich nach Ablauf der Erstlaufzeit und jeder weiteren Laufzeit automatisch um jeweils 12 Monate, wenn es nicht von einer der Vertragsparteien mit einer Kündigungsfrist von 4 Wochen vor Vertragsende in Textform gekündigt wird.
11.3 Das Recht zur (außerordentlichen) Kündigung aus wichtigem Grund bleibt unberührt. Eine außerordentliche Kündigung rechtfertigender wichtiger Grund liegt insbesondere vor, wenn der Kunde sich mit seinen Zahlungspflichten entsprechend § 543 Abs. 2 S. 1 Nr. 3 BGB in Verzug befindet.
11.4 Ab Vertragsbeendigung kann der Kunde die Software nicht mehr nutzen. Der Anbieter wird die in der Software im Rechenzentrum gespeicherten Daten des Kunden am Tag nach der Vertragsbeendigung endgültig – das heißt nicht wiederherstellbar – löschen. Der Kunde hat selbst dafür Sorge zu tragen, seine Daten noch vor der Vertragsbeendigung zu exportieren und zu sichern.

12. Geheimhaltung
12.1 Die Vertragsparteien verpflichten sich, alle im Rahmen der Vertragsanbahnung und -durchführung erlangten Kenntnisse von vertraulichen Informationen und Betriebsgeheimnissen („Betriebsgeheimnisse“) der jeweils anderen Vertragspartei zeitlich unbegrenzt vertraulich zu behandeln und nur für Zwecke der Durchführung dieses Vertragsverhältnisses zu verwenden. Zu den Betriebsgeheimnissen des Anbieters gehören auch die Software und die nach diesem Vertragsverhältnis erbrachten Leistungen.
12.2 Die vorstehenden Verpflichtungen gelten nicht für Betriebsgeheimnisse, die zur Zeit ihrer Übermittlung durch die Vertragspartei bereits offenkundig oder der anderen Vertragspartei bekannt waren; nach ihrer Übermittlung durch die Vertragspartei ohne Verschulden der anderen Vertragspartei offenkundig geworden sind; nach ihrer Übermittlung durch die Vertragspartei der anderen Vertragspartei von dritter Seite auf nicht rechtswidrige Weise und ohne Einschränkung in Bezug auf Geheimhaltung oder Verwertung zugänglich gemacht worden sind; die von einer Vertragspartei eigenständig, ohne Nutzung der Betriebsgeheimnisse der anderen Vertragspartei, entwickelt worden sind; die gemäß Gesetz, behördlicher Verfügung oder gerichtlicher Entscheidung veröffentlicht werden müssen – vorausgesetzt, die veröffentlichende Vertragspartei informiert die andere Vertragspartei hierüber unverzüglich und unterstützt diese in der Abwehr derartiger Verfügungen bzw. Entscheidungen; oder soweit der Vertragspartei die Nutzung oder Weitergabe der Betriebsgeheimnisse auf Grund zwingender gesetzlicher Bestimmungen oder auf Grund dieses Vertragsverhältnisses gestattet ist.

13. Schlussbestimmungen
Erfüllungsort ist Überlingen am Bodensee. Der Gerichtsstand für beide Vertragsparteien ist Überlingen am Bodensee. Es gilt ausschließlich des Rechts der Bundesrepublik Deutschland. Der Vertrag, seine Ergänzungen und Änderungen sowie Änderungen der Form bedürfen der Schriftform.

 

Anlage: Leistungsbeschreibung gem. Ziff. 1.2 + Technische Mindestanforderungen gem. Ziff. 6.2

Die webbasierte Software "TANKCloud" zeigt in Verbindung mit einem Leibold Tankautomat direkt nach Vorgangende die Transaktionsdaten. Transaktionen und Fahrer-/Fahrzeug-Stammdaten werden angezeigt, Stammdaten können verwaltet und Analysen über Auswertungen erstellt werden.


 

Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO

1. Gegenstand und Laufzeit der Vereinbarung
1.1 Gegenstand der Vereinbarung 
Beim Betrieb der Software auf den Servern der Firma Leibold Tankdaten GmbH & Co. KG (im Folgenden: „Leibold“ oder „Auftragnehmer“) kann es nicht ausgeschlossen werden, dass Leibold im Rahmen der Leistungserbringung mit personenbezogenen Daten in Berührung kommen kann, für die Leibold als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert. Diese Anlage konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang von Leibold mit den Daten des Kunden (im Folgenden: „Auftraggeber“).
1.2 Laufzeit der Vereinbarung 
Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen ergeben.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen
Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Verarbeitung.
2.1 Art und Zweck der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DSGVO) 
Art und Zweck der Verarbeitung ist, die zur Verfügungstellung einer bei Leibold gehosteten, Software zur Erfassung und Verwaltung von Tankdaten und der Verwaltung von Fuhrparkdaten („Software“). Daneben kann es auch im Falle der Erbringung von Wartungs- und Supportleistungen erforderlich sein, dass Beschäftigte von Leibold oder durch von Leibold Beauftragte personenbezogene Daten wahrnehmen und diese ggf. verarbeiten.
2.2 Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO) 
Gegenstand der Erhebung und Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien: Personenbezogene Daten, welche im Rahmen der bestimmungsgemäßen Nutzung der Software auf den von Leibold betriebenen Servern gespeichert werden. Dies sind in der Regel Zugangsdaten, Personenstammdaten (z.B. Name, Geburtstag, usw.), Kontaktdaten (z.B. Adresse, E-Mail-Adresse, Telefonnummer usw.), Führerscheindaten, Tankdaten (z.B. Tankautomat, Treibstoffart, Menge, Zeitpunkt), Fahrzeugdaten, Buchungsdaten, Termine und ggf. weitere Daten, welche der Auftraggeber in der Software speichert.
2.3 Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DSGVO)
Mitarbeiter des Auftraggebers oder sonstige vom Auftraggeber bevollmächtigte Personen.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
(1.) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs.1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist Leibold verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten. 
(2.) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Leibold abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen. 
(3.) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. 
(4.) Weisungen, die im Vertrag oder dieser Vereinbarung nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt.
(5.) Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der bei Leibold getroffenen technischen und organisatorischen Maßnahmen sowie der in dieser Vereinbarung festgelegten Verpflichtungen zu überzeugen.
(6.) Der Auftraggeber hat Leibold unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen bei der Prüfung der Auftragsergebnisse feststellt. 
(7.) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vereinbarungsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen von Leibold vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieser Vereinbarung bestehen.
(8.) Weisungsberechtigte Personen des Auftraggebers sind: 
________________________; _________________________
Ansprechpartner bei Leibold Tankdaten GmbH & Co. KG: Herr Leibold Mail: mail@leibold-tankdaten.de
Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vereinbarungspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

4. Pflichten von Leibold 
(1.) Leibold darf die Daten von betroffenen Personen ausschließlich im Rahmen des Auftrages und nach Weisungen des Auftraggebers verarbeiten. In einem solchen Fall teilt Leibold dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs.3 Satz 2 lit. a DSGVO).
(2.) Leibold wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den gesetzlichen Anforderungen, insbesondere Art. 32 DSGVO, genügen. Leibold hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt Leibold vorbehalten, wobei jedoch sichergestellt werden muss, dass das zwischen den Parteien vereinbarte Schutzniveau nicht unterschritten wird.
(3.) Leibold unterstützt, soweit vereinbart, den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 
(4.) Leibold verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 
(5.) Leibold gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und andere für Leibold tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet Leibold, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
(6.) Leibold wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Leibold ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. 
(7.) Leibold unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Leibold trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
(8.) Der Auftraggeber stellt sicher, dass er seinen Verpflichtungen nach Art. 32 Abs. 1 lit. d DSGVO nachkommt und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
(9.) Leibold berichtigt oder löscht die vertragsgegenständlichen Daten, wenn und soweit der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist und berechtigte Interessen von Leibold dem nicht entgegenstehen. 
(10.) Daten, Datenträger sowie sämtliche sonstigen Materialien sind gem. Art. 28 Abs. 3 Satz 2 lit. g DSGVO nach Auftragsende auf Verlangen des Auftraggebers zu löschen/vernichten. 
(11.) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich Leibold den Auftraggeber im Rahmen seiner Möglichkeiten bei der Abwehr des Anspruchs zu unterstützen.
(12.) Leibold teilt dem Auftraggeber unverzüglich Störungen, Verstöße von Leibold oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Leibold sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf Leibold nur nach vorheriger Weisung durchführen.

5. Anfragen betroffener Personen
(1.) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an Leibold, wird Leibold die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber anhand der Angaben der betroffenen Person möglich ist. Leibold leitet den Antrag der betroffenen Person in einem solchen Falle unverzüglich an den Auftraggeber weiter. Leibold unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung des Auftraggebers hin, soweit dies vereinbart wurde. Leibold haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wurde.
(2.) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf Leibold nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

6. Nachweismöglichkeiten
(1.) Leibold weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln dar.
(2.) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von ihm beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Leibold darf diese von einer vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu Leibold stehen, hat Leibold gegen diesen ein Einspruchsrecht.
(3.) Für die Unterstützung bei der Durchführung der Inspektion darf Leibold eine Vergütung verlangen.
(4.) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Abs. 2 und 3 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsvereinbarung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheitsverpflichtung unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
(5.) Leibold verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung der Vereinbarung fort.
(6.) Leibold sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).
(7.) Ein betrieblicher Datenschutzbeauftragter ist bei Leibold nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

7. Einsatz von Subunternehmern
(1.)  Die Weitergabe von Aufträgen im Rahmen der vertraglichen Leistungspflichten an Subunternehmer oder Unterauftragnehmer (im Folgenden einheitlich: Subunternehmer) durch Leibold bedarf der vorherigen gesonderten oder allgemeinen schriftlichen Genehmigung durch den Auftraggeber. Gleiches gilt für die Ersetzung eines bestehenden Subunternehmers.
(2.)  Der Auftraggeber erteilt hiermit die allgemeine Genehmigung, weitere Subunternehmer hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen Subunternehmer ergeben sich aus der Übersicht der eingesetzten Subunternehmer, für welche die Genehmigung mit Unterzeichnung dieser Vereinbarung als erteilt gilt. Leibold informiert den Aufraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Ein Einspruch darf vom Auftraggeber nur aus wichtigem, Leibold nachzuweisenden Grund erhoben werden. Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Genehmigung zur Änderung als gegeben. Erhebt der Auftraggeber Einspruch, ist Leibold berechtigt, die Leistungsvereinbarung und diese Auftragsvereinbarung mit einer Frist von 3 Monaten zu kündigen.
(3.)  Erteilt Leibold unter Beachtung von Abs. 1 Aufträge an Subunternehmer, so obliegt es Leibold, die Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
(4.)  Erbringt der Subunternehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt Leibold die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Art. 44 ff. DSGVO sicher. 
(5.)  Keiner Genehmigung bedarf die Einschaltung von Subunternehmern, bei denen der Subunternehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Daten des Auftraggebers nicht ausgeschlossen werden kann, wie z.B. Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann nicht nur Nebenleistungen dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung von Leibold nach diesem Vertrag erbracht werden. Leibold ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

Übersicht über die von Leibold eingesetzten Subunternehmer

Firma Unterauftragnehmer

Anschrift/Land

Beschreibung der übernommenen Teilleistung

Relevant für Produkt

B.LATERAL GMBH & CO. KG

Lenzensteig 3 | 78354 Sipplingen - Deutschland

Support Software

TANKCloud und TANKTouch

1&1 IONOS SE

Elgendorfer Straße 57 | 56410 Montabaur - Deutschland

Rechenzentrum, Hosting der Software

TANKCloud und TANKTouch

Konzept Informationssysteme GmbH

Am Weiher 13 | 88709 Meersburg - Deutschland

Support Terminalsoftware,

TANKCloud und TANKTouch

Microsoft Ireland Operations Ltd

One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland

Ggf. Datenspeicherung im Supportfall

Alle

Strato AG

Pascalstraße 10 | 10587 Berlin - Deutschland

Ggf. Datenspeicherung im Supportfall

Alle

ISK Schneider Ingenieurbüro für Softwareentwicklung

Moorkieferweg 3 | 78467 Konstanz - Deutschland

Support Software

TDE 32 und Tankautomat „Fleet“

Ralf Kutschenreiter

Stadttrotte 3a | 78262 Gailingen - Deutschland

Support Terminalsoftware,

TDE 32 und Tankautomat „Fleet“

 

8. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c DSGVO) 
(1.) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. 
(2.) Leibold hat bei gegebenem Anlass eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DSGVO). Das Ergebnis ist dem Auftraggeber auf dessen Anforderung hin mitzuteilen.
(3.) Soweit die bei Leibold getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er Leibold unverzüglich.
(4.) Die Maßnahmen bei Leibold können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

9. Schlussbestimmungen
9.1 Nebenabreden und Schriftform
Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch, soweit die Schriftform abbedungen werden soll.
9.2 Anpassungsklausel
(1.) Sollte eine Vertragsbestimmung rechtsunwirksam sein oder werden, so bleibt davon die Rechtswirksamkeit der Vereinbarung im Übrigen unberührt. Die Vertragsparteien sind verpflichtet, die unwirksame Bestimmung dieser Vereinbarung durch eine rechtswirksame Bestimmung zu ersetzen, die dem ursprünglich Gewollten rechtlich und wirtschaftlich so weit wie möglich entspricht.
(2.) Gleiches gilt für den Fall des Vorliegens bzw. Entstehens einer Lücke sowie bei Eintreten sonstiger aus Sicht zumindest einer Partei für den Fortbestand der Vereinbarung wesentlicher Umstände, die in dieser Vereinbarung bisher nicht ausdrücklich angesprochen worden sind.

Anlage zu AVV: Technische und organisatorische Maßnahmen (TOM) i.S.d. Art. 32 DSGVO

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO
1.1 Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Technische Maßnahmen

Organisatorische Maßnahmen

Manuelles Schließsystem

Schlüsselregelung

Sicherheitsschlösser

Empfang

Absicherung der Gebäudeschächte

Besucher in Begleitung durch Mitarbeiter

Türen mit Knauf Außenseite

Sorgfalt bei Auswahl Reinigungsdienste

 

1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).

Technische Maßnahmen

Organisatorische Maßnahmen

Login mit Benutzername + Passwort

Verwalten von Benutzerberechtigungen

Anti-Viren-Software Server

Erstellen von Benutzerprofilen

Anti-Virus-Software Clients

 

Firewall

 

Einsatz VPN bei Remote-Zugriffen

 

 

1.3 Zuggriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Maßnahmen

Organisatorische Maßnahmen

Akten Schredder

Verwaltung Benutzerrechte durch Administratoren

Physische Löschung von Datenträgern

Minimale Anzahl an Administratoren

 

1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Maßnahmen

Organisatorische Maßnahmen

Trennung von Produktiv- und Testumgebung

Steuerung über Berechtigungskonzept

Mandantenfähigkeit relevanter Anwendungen

Festlegung von Datenbankrechten

 

2.0 Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Maßnahmen

Organisatorische Maßnahmen

Einsatz von VPN

Dokumentation der Datenempfänger

E-Mail-Verschlüsselung

Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen

Sichere Transportbehälter

Persönliche Übergabe

 

2.2 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Maßnahmen

Organisatorische Maßnahmen

Technische Protokollierung der Eingabe, Änderung und Löschung von Daten

Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können

 

Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

 

3.0 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Maßnahmen

Organisatorische Maßnahmen

Feuer- und Rauchmeldeanlagen

Backup & Recovery-Konzept

Feuerlöscher

Kontrolle des Sicherungsvorgangs

USV

Getrennte Partitionen für Betriebssysteme und Daten

Schutzsteckdosenleisten Serverraum

 

RAID System / Festplattenspiegelung

 

 

4.0 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
4.1 Datenschutz-Management

Technische Maßnahmen

Organisatorische Maßnahmen

Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt

Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet

 

Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich

 

4.2 Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Maßnahmen

Organisatorische Maßnahmen

Einsatz von Firewall und regelmäßige Aktualisierung

 

Einsatz von Spamfilter und regelmäßige Aktualisierung

 

Einsatz von Virenscanner und regelmäßige Aktualisierung

 

 

4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Privacy by design / Privacy by default

Technische Maßnahmen

Organisatorische Maßnahmen

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind

 

 

4.4 Auftragskontrolle (Outsourcing an Dritte)
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Technische Maßnahmen

Organisatorische Maßnahmen

 

Vorherige Prüfung der von Firma Leibold getroffenen Sicherheitsmaßnahmen und deren Dokumentation

 

Auswahl von Firma Leibold unter Sorgfaltsgesichtspunkten

 

Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung

 

Verpflichtung der Mitarbeiter der Firma Leibold auf Datengeheimnis

 

Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags