Allgemeine Geschäftsbedingungen

Anbieter: NextAdvice UG (haftungsbeschränkt) (i.G.) (im Folgenden „Anbieter")
Produkt: MeineSparquote.de (Software-as-a-Service) – Stand: März 2026

§ 1 Geltungsbereich und Vertragsgegenstand

(1) Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge über die Nutzung der cloudbasierten Software „MeineSparquote" zwischen dem Anbieter und dem Kunden.

(2) Das Angebot richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen, insbesondere an Versicherungsmakler, Finanzberater und Versicherungsagenturen (im Folgenden „Kunde"). Verbraucher (§ 13 BGB) sind von der Nutzung ausgeschlossen.

(3) Abweichende, entgegenstehende oder ergänzende AGB des Kunden werden nur dann Vertragsbestandteil, wenn der Anbieter ihrer Geltung ausdrücklich schriftlich zugestimmt hat.

§ 2 Leistungen des Anbieters (SaaS)

(1) Der Anbieter stellt dem Kunden die Software „MeineSparquote" als Software-as-a-Service (SaaS) über das Internet zur Verfügung. Die Software dient der Visualisierung von Rentenlücken, Sparraten und Absicherungsbedarfen (z. B. Berufsunfähigkeit) für Endkunden des Kunden.

(2) Der Anbieter gewährleistet eine Erreichbarkeit der Software von 99 % im Jahresmittel. Ausgenommen hiervon sind Zeiten, in denen die Server aufgrund von technischen oder sonstigen Problemen, die nicht im Einflussbereich des Anbieters liegen (höhere Gewalt, Verschulden Dritter etc.), nicht zu erreichen sind, sowie geplante Wartungsarbeiten.

(3) Der Anbieter entwickelt die Software kontinuierlich weiter und behält sich vor, Funktionen zu ändern, zu erweitern oder unwesentliche Funktionen zu entfernen, sofern dies den Vertragszweck für den Kunden nicht unzumutbar beeinträchtigt.

(4) Der Anbieter stellt dem Kunden innerhalb der Software optionale Funktionen zur Protokollierung datenschutzrechtlicher Einwilligungen von Endkunden (z. B. via QR-Code-Freigabe) sowie unverbindliche Mustertexte (z. B. für Datenschutzerklärungen) zur Verfügung. Der Anbieter erbringt hierbei ausdrücklich keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG). Der Kunde ist als datenschutzrechtlich Verantwortlicher allein dafür zuständig, die rechtliche Vollständigkeit und Richtigkeit der von ihm genutzten Texte zu prüfen und sicherzustellen, dass er über eine wirksame Rechtsgrundlage zur Verarbeitung der Endkundendaten verfügt. Eine Haftung des Anbieters für die rechtliche Zulässigkeit der Datenerhebung durch den Kunden oder für die inhaltliche Richtigkeit der bereitgestellten Mustertexte ist ausgeschlossen.

(5) Support und Störungsbehebung: Der Anbieter leistet technischen Support per E-Mail oder über das integrierte Support-System. Bei kritischen Störungen (die Software ist für den Kunden vollständig nicht nutzbar) bemüht sich der Anbieter, innerhalb von 24 Stunden an Werktagen (Mo–Fr, 09:00–17:00 Uhr MEZ) mit der Fehleranalyse und Behebung zu beginnen. Eine garantierte Wiederherstellungszeit (Time-to-Resolve) wird nicht vereinbart.

§ 3 Nutzungsrechte und Lizenzmodelle

(1) Der Anbieter räumt dem Kunden für die Dauer des Vertrages ein einfaches, nicht ausschließliches, nicht übertragbares und nicht unterlizenzierbares Recht ein, die Software für eigene geschäftliche Zwecke zu nutzen.

(2) Der Umfang der Nutzungsrechte richtet sich nach dem gebuchten Lizenzpaket:

  • Berater-Lizenz (Professional): Berechtigt zur Nutzung der Software durch genau einen (1) namentlich benannten Nutzer (Berater).
  • Agentur-Team (Agency): Berechtigt zur Nutzung der Software durch bis zu drei (3) namentlich benannte Nutzer innerhalb derselben Agentur/Organisation. Diese Lizenz kann gegen Aufpreis um beliebig viele zusätzliche Nutzer (Zusatznutzer) erweitert werden.

(3) Die Zugangsdaten sind nutzergebunden und dürfen nicht mit Dritten oder unlizenzierten Kollegen geteilt werden („Account-Sharing" ist untersagt).

(4) Der Kunde ist nicht berechtigt, die Software zu kopieren, zu dekompilieren, Reverse Engineering zu betreiben oder die Software Dritten zur gewerblichen Nutzung (außerhalb der eigenen Beratungstätigkeit) zu überlassen.

(5) Nutzerwechsel: Bestehende Nutzer können vom Admin-Nutzer des Kunden innerhalb der Software deaktiviert und dauerhaft gelöscht werden. Im Rahmen der gebuchten Lizenzanzahl (verfügbare Nutzerplätze) können anschließend neue Nutzer über das Einladungssystem der Software hinzugefügt werden, die sich dann mit einem eigenen Account registrieren. Ein Nutzerwechsel berechtigt nicht zur Überschreitung der lizenzierten Nutzeranzahl.

(6) Rechte an eingegebenen Daten: Der Kunde bleibt alleiniger Inhaber aller Rechte an den von ihm in die Software eingegebenen Daten sowie an den durch die Software generierten Ergebnissen und PDF-Reports. Der Anbieter erhält an diesen Inhalten lediglich die für die Vertragserfüllung (Speicherung, Verarbeitung, Bereitstellung) zwingend erforderlichen Nutzungsrechte.

§ 4 Preise und Zahlungsbedingungen

(1) Es gelten die zum Zeitpunkt des Vertragsschlusses vereinbarten Preise. Sofern nicht anders vereinbart, gilt folgende reguläre Preisstruktur:

  • Berater-Lizenz: 69,00 € pro Monat.
  • Agentur-Team: 179,00 € pro Monat (inklusive 3 Nutzer).
  • Zusatznutzer (im Rahmen des Agentur-Teams): 49,00 € pro Monat für jeden weiteren namentlich benannten Nutzer.

(2) Abrechnungsintervall: Die Lizenzgebühren werden monatlich im Voraus für den jeweiligen Abrechnungszeitraum abgerechnet. Dies gilt auch für unterjährig hinzugebuchte Zusatznutzer, deren Gebühren anteilig berechnet und in den bestehenden monatlichen Abrechnungszyklus integriert werden.

(3) Alle genannten Preise sind Bruttopreise und verstehen sich inklusive der jeweils geltenden gesetzlichen Umsatzsteuer.

(4) Rechnungen des Anbieters sind sofort nach Rechnungsstellung ohne Abzug zur Zahlung fällig (in der Regel per automatischer Abbuchung über den Zahlungsdienstleister Stripe). Befindet sich der Kunde im Zahlungsverzug, ist der Anbieter berechtigt, den Zugang zur Software bis zur vollständigen Begleichung der offenen Forderungen vorübergehend zu sperren.

(5) Kostenfreie Testphase (Free Trial): Sofern der Anbieter dem Kunden eine kostenlose Testphase einräumt, kommt der Nutzungsvertrag inkl. dieser AGB bereits mit der erfolgreichen Registrierung für die Testphase zustande. Während dieser Testphase fallen keine Lizenzgebühren an. Nach Ablauf der Testphase wird das Abonnement automatisch kostenpflichtig und der erste Abrechnungszeitraum beginnt. Auf diesen automatischen Übergang wird der Kunde ausdrücklich beim Buchungsprozess hingewiesen. Der Kunde kann den Vertrag jederzeit bis zum Ende der Testphase kündigen (über das Kundenportal oder per E-Mail), ohne dass Kosten entstehen.

(6) Preisanpassungen: Der Anbieter ist berechtigt, die Lizenzgebühren mit einer Vorlaufzeit von mindestens sechs (6) Wochen zum nächsten monatlichen Abrechnungszeitraum anzupassen. Preisanpassungen werden dem Kunden per E-Mail an die hinterlegte E-Mail-Adresse mitgeteilt. Im Falle einer Preiserhöhung steht dem Kunden ein Sonderkündigungsrecht zu: Der Kunde kann den Vertrag schriftlich oder über das Kundenportal zum Zeitpunkt des Inkrafttretens der Preiserhöhung kündigen. Die Kündigung muss innerhalb von vier (4) Wochen nach Erhalt der Mitteilung erklärt werden. Wird das Sonderkündigungsrecht nicht fristgerecht ausgeübt, gilt die Preisanpassung als akzeptiert.

§ 5 Vertragslaufzeit und Kündigung

(1) Der Vertrag wird auf unbestimmte Zeit geschlossen.

(2) Der Vertrag kann von beiden Parteien jederzeit zum Ende des aktuell laufenden monatlichen Abrechnungszeitraums gekündigt werden.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund für den Anbieter liegt insbesondere vor, wenn der Kunde mit der Zahlung der Lizenzgebühr in Verzug gerät oder gegen das Verbot des Account-Sharings verstößt.

(4) Kündigungen können direkt und selbstständig durch den Kunden über das Stripe Customer Portal vorgenommen werden. Alternativ ist eine Kündigung per E-Mail in Textform möglich. Das Hinzubuchen weiterer Nutzer sowie das Upgrade von der Berater-Lizenz auf die Agentur-Team-Lizenz sind unmittelbar innerhalb der Software über die entsprechenden Schaltflächen möglich (Abwicklung über die Stripe-API).

(5) Nach Wirksamwerden der Kündigung hat der Kunde eine Übergangsfrist von 30 Tagen, um seine Daten (z. B. PDF-Reports) aus der Software zu exportieren und anderweitig zu sichern. Während dieser 30-tägigen Übergangsfrist behält der Kunde lesenden Zugriff auf seine Accounts und erhält die Möglichkeit, seine eingegebenen Kundenstammdaten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. als CSV- oder JSON-Export) zu exportieren. Nach Ablauf der Übergangsfrist wird der Zugang zur Software vollständig gesperrt. Der Anbieter ist berechtigt und – soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen – verpflichtet, die eingegebenen Daten anschließend dauerhaft zu löschen. Der Kunde ist selbst verantwortlich, die Übergangsfrist zur Datensicherung zu nutzen.

§ 6 Pflichten und Verantwortung des Kunden

(1) Der Kunde ist verpflichtet, die Zugangsdaten vor dem unberechtigten Zugriff Dritter zu schützen.

(2) Die Software dient ausschließlich als Berechnungs- und Visualisierungshilfe für den Finanzberater. Der Anbieter erbringt keine Finanz-, Versicherungs- oder Steuerberatung.

(3) Der Kunde (Berater) trägt die alleinige rechtliche Verantwortung für die Richtigkeit der in die Software eingegebenen Daten sowie für die daraus abgeleiteten Empfehlungen an seinen Endkunden. Der Kunde hat die durch die Software generierten Ergebnisse vor der Weitergabe an den Endkunden auf Plausibilität zu prüfen.

§ 7 Gewährleistung und Haftung

(1) Der Anbieter haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.

(2) Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung vertragswesentlicher Pflichten (Kardinalpflichten), deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht. Die Haftung ist in diesem Fall der Höhe nach auf den vertragstypischen und bei Vertragsschluss vorhersehbaren Schaden begrenzt, maximal jedoch auf das Dreifache der vom Kunden in den letzten zwölf (12) Monaten vor dem schadensbegründenden Ereignis gezahlten Lizenzgebühren. Bei Verträgen, die jünger als 12 Monate sind, gilt eine pauschale Mindesthaftungssumme in Höhe von 1.500,00 €.

(3) Der Anbieter führt regelmäßige Datensicherungen (automatisierte Backups) der in der Cloud-Infrastruktur gespeicherten Daten durch, um einem infrastrukturseitigen Datenverlust entgegenzuwirken. Ungeachtet dessen haftet der Anbieter nicht für den Verlust von Daten, soweit der Schaden darauf beruht, dass der Kunde Daten selbst gelöscht oder überschrieben hat, oder soweit der Anbieter die Datensicherung mit der Sorgfalt eines ordentlichen Kaufmanns durchgeführt hat und ein Verlust dennoch eingetreten ist. Die Haftungsbegrenzung nach Abs. 2 bleibt unberührt.

(4) Eine Haftung des Anbieters für ausgebliebene Abschlüsse oder entgangenen Gewinn des Kunden ist ausgeschlossen. Eine Haftung für inhaltliche Fehler in den Beratungsergebnissen des Kunden gegenüber seinen Endkunden, die nicht auf einem schwerwiegenden Rechenfehler der Software beruhen (welcher eine Kardinalpflichtverletzung gemäß Abs. 2 darstellen kann), ist ebenfalls ausgeschlossen. Der Kunde ist gemäß § 6 Abs. 3 verpflichtet, die durch die Software generierten Ergebnisse vor der Weitergabe auf Plausibilität zu prüfen.

§ 8 Höhere Gewalt

(1) Höhere Gewalt befreit den Anbieter für die Dauer des Ereignisses und im Umfang seiner Auswirkungen von der Pflicht zur Leistungserbringung. Als Ereignisse höherer Gewalt gelten insbesondere: Naturkatastrophen, Krieg, Terroranschläge, behördliche Maßnahmen (z. B. Internetsperren), großflächige Strom- oder Netzausfälle sowie technische Störungen bei Infrastrukturanbietern (z. B. Cloud-Anbieter), die der Anbieter weder verursacht hat noch durch zumutbare Maßnahmen hätte abwenden können.

(2) Der Anbieter ist verpflichtet, den Kunden unverzüglich über das Eintreten und die voraussichtliche Dauer eines höheren-Gewalt-Ereignisses per E-Mail zu informieren und zumutbare Maßnahmen zur Schadensbegrenzung zu ergreifen.

(3) Dauert eine störungsbedingte, wesentliche Nichtnutzbarkeit der Software ununterbrochen länger als 30 Kalendertage an, sind beide Parteien berechtigt, den Vertrag außerordentlich und fristlos zu kündigen. Für den Zeitraum der nachgewiesenen vollständigen Nichtnutzbarkeit werden gezahlte Lizenzgebühren anteilig erstattet; weitergehende Ansprüche sind ausgeschlossen.

§ 9 Datenschutz und Datensicherheit

(1) Beide Parteien verpflichten sich zur Einhaltung der geltenden datenschutzrechtlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO).

(2) Soweit der Anbieter im Rahmen der Softwarenutzung personenbezogene Daten (z. B. Finanzdaten der Endkunden) im Auftrag des Kunden verarbeitet, fungiert der Anbieter als Auftragsverarbeiter. Der diesen AGB als Anlage beigefügte oder bei der Registrierung digital akzeptierte Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO ist integraler Bestandteil dieses Vertrages. Mit der Zustimmung zu diesen AGB schließt der Kunde gleichzeitig den AVV mit dem Anbieter ab.

(3) Der Anbieter nutzt für das Hosting der Software und die Datenspeicherung hochsichere europäische Cloud-Infrastrukturen (Google Cloud Platform), die den Anforderungen der DSGVO entsprechen.

§ 10 Schlussbestimmungen

(1) AGB-Änderungen: Der Anbieter ist berechtigt, diese AGB mit einer Ankündigungsfrist von mindestens sechs (6) Wochen zu ändern. Änderungen werden dem Kunden per E-Mail an die hinterlegte E-Mail-Adresse mitgeteilt. Widerspricht der Kunde den Änderungen nicht schriftlich oder per E-Mail innerhalb von vier (4) Wochen nach Erhalt der Mitteilung, gelten die geänderten AGB als vereinbart. Auf diese Rechtsfolge wird der Anbieter in der Änderungsmitteilung ausdrücklich und hervorgehoben hinweisen. Im Falle eines fristgerechten Widerspruchs des Kunden ist der Anbieter berechtigt, den Vertrag zum Zeitpunkt des geplanten Inkrafttretens der neuen AGB ordentlich zu kündigen.

(2) Änderungen oder Ergänzungen dieses Vertrages, die nicht unter Abs. 1 fallen, bedürfen der Textform.

(3) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(4) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Anbieters, sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(5) Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. An die Stelle der unwirksamen Bestimmung treten, soweit vorhanden, die einschlägigen gesetzlichen Vorschriften.

Anlage: Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO

Zwischen dem Nutzer der Software „MeineSparquote" (Agentur / Berater) – im Folgenden „Verantwortlicher" – und der NextAdvice UG (haftungsbeschränkt) (i.G.), Funnenkampstraße 21a, 59399 Olfen – im Folgenden „Auftragsverarbeiter" –

§ 1 Gegenstand und Dauer des Auftrags

(1) Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich Software-as-a-Service (SaaS) zur Nutzung der Applikation „MeineSparquote". Hierbei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.

(2) Die Dauer dieses AVV richtet sich nach der Laufzeit des Hauptvertrages (AGB zur Nutzung der Software).

§ 2 Art der Daten und Kreis der Betroffenen

(1) Im Rahmen der Software-Nutzung werden folgende Arten personenbezogener Daten des Endkunden verarbeitet: Stammdaten (Vorname, Nachname, Alter, Beruf, Familienstand); Finanzdaten (Einkommen, Ausgaben, bestehende Absicherungen, Vermögenswerte, Sparziele); Absicherungsstatus (ob eine Berufsunfähigkeits- oder Krankentagegeldversicherung vorhanden ist – ausschließlich als binäre Ja/Nein-Angabe, ohne medizinische Diagnosen oder Gesundheitsdaten; es handelt sich damit nicht um besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO); Notizen des Beraters zum Endkunden.

(2) Der Kreis der Betroffenen umfasst die Endkunden (Beratungskunden) des Verantwortlichen.

§ 3 Weisungsbefugnis

(1) Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrages und nach den dokumentierten Weisungen des Verantwortlichen verarbeiten (Art. 28 Abs. 3 lit. a DSGVO).

(2) Die Weisung des Verantwortlichen besteht vollumfänglich in der Nutzung der Funktionen der Software durch den Verantwortlichen (z. B. Eingabe, Speicherung, PDF-Generierung und Löschung von Teilnehmern).

§ 4 Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter hat die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) vor Beginn der Verarbeitung dokumentiert und wird diese während der Vertragslaufzeit aufrechterhalten.

(2) Hervorzuhebende Maßnahmen der Applikation „MeineSparquote" umfassen insbesondere: Verschlüsselung (Data at Rest): Sensible Finanz- und Bedarfsdaten der Endkunden werden in der Datenbank durch eine starke Applikations-Verschlüsselung (AES-256-GCM) unleserlich gemacht. Die Schlüsselgenerierung erfolgt individuell pro Berater über PBKDF2. Verschlüsselung (Data in Transit): Die Datenübertragung zwischen dem Endgerät des Verantwortlichen und den Servern erfolgt ausnahmslos verschlüsselt (TLS 1.2 oder höher). Zugriffskontrolle: Ein striktes rollenbasiertes Rechtesystem (RBAC) sowie serverseitige Datenbankregeln stellen sicher, dass Berater nur Zugriff auf die Daten ihrer eigenen Endkunden haben. Multi-Faktor-Authentifizierung (MFA): Die Nutzung der Software setzt eine verpflichtende Zwei-Faktor-Authentifizierung (MFA) voraus; ein Zugang ohne MFA ist technisch nicht möglich (Privacy by Default gemäß Art. 25 DSGVO). Verarbeitung in der EU: Das Hosting der Datenbanken erfolgt in Rechenzentren innerhalb der Europäischen Union (Serverstandort Frankfurt a.M., „europe-west3").

§ 5 Unterauftragsverhältnisse

(1) Der Verantwortliche stimmt der Einschaltung des nachfolgenden Unterauftragsverarbeiters durch den Auftragsverarbeiter hiermit generell zu: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) – Dienstleistung: Cloud-Infrastruktur, Datenbank-Hosting (Firebase/Firestore) und Authentifizierung; Verarbeitungsort: Europäische Union (Frankfurt a.M.).

Hinweis zu Stripe: Der Zahlungsdienstleister Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland) wird vom Auftragsverarbeiter zur Abwicklung von Zahlungen und zur Lizenzverwaltung genutzt. Stripe verarbeitet dabei ausschließlich die Daten des Lizenzinhabers (Firmenname, E-Mail, Zahlungsdaten) – keine Daten der Endkunden des Verantwortlichen. Da Stripe keinen Zugang zu den im Rahmen der Auftragsverarbeitung verarbeiteten Endkundendaten hat, ist Stripe in diesem Verhältnis kein Unterauftragsverarbeiter gemäß Art. 28 DSGVO, sondern handelt als eigenständiger Verantwortlicher im Rahmen der Zahlungsabwicklung.

(2) Der Auftragsverarbeiter stellt sicher, dass er mit den Unterauftragsverarbeitern Vereinbarungen trifft, die ein gleichwertiges Datenschutzniveau gewährleisten. Bei einem geplanten Wechsel oder der Hinzunahme eines Unterauftragsverarbeiters informiert der Auftragsverarbeiter den Verantwortlichen mindestens 14 Tage vor dem Wechsel per E-Mail. Der Verantwortliche kann dem Wechsel innerhalb von 14 Tagen nach Erhalt der Information aus datenschutzrechtlich begründeten Gründen in Textform widersprechen; in diesem Fall sind die Parteien verpflichtet, eine einvernehmliche Lösung zu suchen. Gelingt dies nicht innerhalb weiterer 14 Tage, ist der Auftragsverarbeiter berechtigt, den Hauptvertrag mit einer Frist von 30 Tagen ordentlich zu kündigen. Ein Widerspruchsrecht besteht nicht, sofern der Wechsel gesetzlich angeordnet ist oder durch behördliche Maßnahmen notwendig wird.

§ 6 Rechte der Betroffenen & Löschung

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische Maßnahmen bei der Erfüllung von Anfragen betroffener Personen (z. B. Recht auf Auskunft, Berichtigung, Löschung).

(2) Die Software bietet dem Verantwortlichen die Möglichkeit, Datensätze seiner Endkunden selbstständig dauerhaft zu löschen.

(3) Nach Beendigung des Hauptvertrages (Kündigung der Lizenz) wird der Zugang zur Software gesperrt. Der Auftragsverarbeiter ist berechtigt und verpflichtet, die verarbeiteten personenbezogenen Daten der Endkunden nach Vertragsende vollständig zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 7 Verpflichtung zur Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich alle Personen, die von ihm mit der Verarbeitung der personenbezogenen Daten des Verantwortlichen betraut werden (Mitarbeiter, freie Mitarbeiter), vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Pflicht bleibt auch nach Beendigung des Auftrags bestehen.

§ 8 Mitteilungspflichten bei Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch binnen 36 Stunden nach Kenntniserlangung, falls er Verletzungen des Schutzes personenbezogener Daten (Datenpannen, unrechtmäßiger Zugriff, Verlust) im Sinne von Art. 33 DSGVO an den vom Verantwortlichen übergebenen Daten feststellt. Die Meldung muss zumindest die Art der Verletzung, die betroffenen Datenkategorien und die ergriffenen Gegenmaßnahmen umfassen, um den Verantwortlichen bei dessen eigenen gesetzlichen Meldepflichten zu unterstützen.

§ 9 Kontrollrechte des Verantwortlichen

(1) Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung der in diesem Vertrag niedergelegten Pflichten auf Verlangen nach.

(2) Der Verantwortliche ist berechtigt, die Einhaltung der technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter vor Beginn und während der Verarbeitung zu überprüfen. Dies kann durch die Anforderung von aktuellen Testaten, Zertifikaten oder Berichten unabhängiger Instanzen erfolgen. Vor-Ort-Prüfungen sind nur im Einzelfall bei konkretem Verdacht auf Verstöße, nach rechtzeitiger vorheriger Anmeldung (mindestens 14 Tage) und zu den üblichen Geschäftszeiten zulässig. Der Verantwortliche darf den Betriebsablauf des Auftragsverarbeiters nicht unverhältnismäßig stören.