Stand: 27.03.2026

Allgemeine Geschäftsbedingungen über Software der MATE Development GmbH („AGB“)

  1. Inhaltsverzeichnis
  2. AGB AGB
  3. Anlage 1: Auftragsverarbeitungsvereinbarung Anlage 1: Auftragsverarbeitungsvereinbarung
  4. Annex 1: Beschreibung der Verarbeitungstätigkeit Annex 1: Beschreibung der Verarbeitungstätigkeit
  5. Annex 2: Technische und organisatorische Maßnahmen Annex 2: Technische und organisatorische Maßnahmen
  6. Annex 3: Subunternehmer bzw. Unterauftragnehmer Annex 3: Subunternehmer bzw. Unterauftragnehmer
  7. Annex 4: Weisungsberechtige Personen des Auftraggebers Annex 4: Weisungsberechtige Personen des Auftraggebers

AGB

MATE Development GmbH, Rankestraße 9, 10789 Berlin, eingetragen beim Amtsgericht Charlottenburg unter HRB 174234 B, vertreten von den Geschäftsführern Florian Kühne, Matthias Heicke und Sven Frauen (nachfolgend „Sweap“) bietet über die Internetseite sweap.io Softwareprodukte unter der Marke Sweap an Unternehmer in Ausübung ihrer Geschäfte oder selbstständigen beruflichen Aktivitäten im Sinne des § 14 BGB („Kunden“), an.

Die Kunden wünschen diese Produkte für die Zwecke eines besseren Event- und Organisationsmanagements innerhalb ihres jeweiligen Unternehmens als webbasierte SaaS- bzw. Cloud-Lösung gemäß der Produktbeschreibung begrenzt auf den Zeitraum des Bestehens dieses Vertrags zu nutzen.

Etwaige allgemeinen Geschäftsbedingungen des Kunden finden gegenüber Sweap keine Anwendung, gleich ob Sweap deren Anwendung ausdrücklich widersprochen hat oder nicht.

1. Vertragsgegenstand

  1. Die Bedingungen dieser AGB gelten für die Nutzung der Software ‚Sweap‘ gemäß der jeweils aktuellen Produktbeschreibung unter https://www.sweap.io/ („Produktbeschreibung“) (je nach aktueller Produktbeschreibung die „Software“).
  2. Die Software wird von Sweap als webbasierte SaaS- bzw. Cloud-Lösung betrieben. Dem Kunden wird es dabei ermöglicht, die auf den Servern von Sweap bzw. eines vom Sweap beauftragten Dienstleisters gespeicherte und laufende Software über eine Verbindung mit dem Internet während der Laufzeit des Vertrags gemäß dieser AGB für eigene Zwecke zu nutzen und seine Daten bzw. von ihm hochgeladene Inhalte zu speichern, zu verarbeiten bzw. zu nutzen und Elemente der Software, etwa bestimmte Anmeldeseiten und Formulare in seine eigenen Webseiten einzubinden.

2. Vertragsschluss

  1. Der Kunde kann sich über die Webseite sweap.io unter Angabe des Namens, Firma, E-Mail-Adresse und Umsatzsteuernummer registrieren und gibt so ein Angebot auf Abschluss dieser AGB ab, wobei Sweap sodann die Anmeldung prüft und dem Kunden eine Bestätigungs-E-Mail zusendet und im Folgenden mit dem Zugang der Bestätigungs-E-Mail beim Kunden der Vertrag als abgeschlossen gilt („Startdatum“).
  2. Dem Kunden werden von Sweap sodann die Zugangsdaten zu einem Account, der auf der Webseite sweap.io aufrufbar ist, zur Verfügung gestellt, in den sich der Kunde dann einloggen kann, um die Leistungen von Sweap zu nutzen („Account“).

3. Leistungen von Sweap

  1. Sweap stellt dem Kunden die Software in ihrer jeweils aktuellsten Version am Routerausgang des Rechenzentrums, in dem der Server mit der Software steht („Übergabezeitpunkt“), zur Nutzung bereit. Die Software, die für die Nutzung erforderliche Rechenleistung und der erforderliche Speicher- und Datenverarbeitungsplatz werden von Sweap zur Verfügung gestellt. Sweap schuldet jedoch nicht die Herstellung und Aufrechterhaltung der Datenverbindung zwischen den IT-Systemen des Kunden und dem beschriebenen Übergabezeitpunkt.
  2. Soweit die Software ausschließlich auf den Servern von Sweap oder eines anderen beauftragten Dienstleisters läuft, bedarf der Kunde keiner urheberrechtlichen Nutzungsrechte an der Software und Sweap räumt auch keine solchen Rechte ein.
  3. Sweap räumt dem Kunden für die Laufzeit der jeweiligen zu vergütenden Lizenz an der Software gemäß dieser AGB das nicht ausschließliche, nicht übertragbare und zeitlich auf die Dauer des Vertrags gemäß dieser AGB beschränkte Recht ein, die Benutzeroberfläche der Software zur Anzeige auf dem Bildschirm in den Arbeitsspeicher der vertragsgemäß hierfür verwendeten Endgeräte zu laden und die dabei entstehenden Vervielfältigungen der Benutzeroberfläche vorzunehmen. Der Kunde nimmt die Gewährung dieser Rechte hiermit an.
  4. Die Supportleistungen im Sinne dieser AGB (siehe Ziffer 8) umfassen die Eingrenzung der Fehlerursache, die Fehlerdiagnose sowie Leistungen, die auf die Behebung des Fehlers gerichtet sind (insbesondere Patches und Service Packs). Sweap übernimmt keine Verantwortung für die Behebung des Fehlers.

4. Verfügbarkeit der Software

  1. Sweap weist den Kunden darauf hin, dass Einschränkungen und/oder Beeinträchtigungen der erbrachten Dienste entstehen können, die außerhalb des Einflussbereichs von Sweap liegen, wie Handlungen von Dritten, die nicht im Auftrag von Sweap handeln, von Sweap nicht beeinflussbare technische Bedingungen sowie höhere Gewalt.
  2. Auch die vom Kunden genutzte Hard- und Software und technische Infrastruktur kann Einfluss auf die Leistungen von Sweap haben. Soweit derartige Umstände Einfluss auf die Verfügbarkeit und/ oder Funktionalität der von Sweap erbrachten Leistungen haben, hat dies keine Auswirkung auf die Vertragsgemäßheit der erbrachten Leistungen.
  3. Der Kunde ist verpflichtet, Funktionsausfälle, -störungen oder -beeinträchtigungen der Software unverzüglich bei Sweap per integrierter Meldefunktion innerhalb der Software anzuzeigen und diese so präzise wie möglich zu benennen bzw. falls die Meldefunktion innerhalb der Software von der Störung betroffen ist, muss der Kunde den entsprechenden Störungsfall per E-Mail an support@sweap.io gegenüber Sweap anzeigen. Unterlässt der Kunde diese Mitwirkung, gilt die Regelung des § 536c BGB entsprechend.

5. Rechte zur Datenverarbeitung; Datensicherung

  1. Sweap handelt gemäß den anwendbaren gesetzlichen Bestimmungen zum Datenschutz. Es gelten die jeweils aktuellen Datenschutzbestimmungen von Sweap, abrufbar unter https://www.sweap.io/de/datenschutz.

  2. Der Kunde räumt Sweap für die Zwecke der Durchführung des Vertrags gemäß dieser AGB das Recht ein, die von Sweap für den Kunden zu speichernden Daten vervielfältigen zu dürfen, soweit dies zur Erbringung der nach diesen AGB geschuldeten Leistungen erforderlich ist. Sweap ist auch berechtigt, die Daten in einem Ausfallsystem bzw. separaten Ausfallrechenzentrum vorzuhalten. Zur Beseitigung von Störungen ist Sweap ferner berechtigt, Änderungen an der Struktur der Daten oder dem Datenformat vorzunehmen.
    Sweap nimmt die Gewährung dieser Rechte hiermit an.

  3. Sweap sichert die Daten des Kunden auf dem von Sweap verantworteten Server regelmäßig auf einem Backup-Server. Der Kunde kann diese Daten, soweit technisch möglich, jederzeit zu Sicherungszwecken exzerpieren und ist verpflichtet, dies in regelmäßigen Abständen zu tun.

6. Auftragsverarbeitung

  1. Wenn und soweit der Kunde auf von Sweap verantworteten IT-Systemen personenbezogene Daten verarbeitet bzw. nutzt, schließen die Parteien eine Auftragsverarbeitungsvereinbarung ab.
  2. Sweap verwendet die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den Weisungen des Kunden, wie sie abschließend in den Bestimmungen der Auftragsverarbeitungsvereinbarung Ausdruck finden. Einzelweisungen, die von den Festlegungen der Auftragsverarbeitungsvereinbarung abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung von Sweap und erfolgen nach Kontakt des Kunden per E-Mail mindestens in Textform gemäß § 126b BGB. Etwaige durch diese Einzelanweisungen entstehende Mehrkosten sind vom Kunden zu tragen und sind nach vorheriger Rechnungsstellung durch Sweap nach Maßgabe der nachstehenden Ziffer 9 dieser AGB an Sweap zu leisten.
  3. Sweap und der Kunde verpflichten sich eine jeweils angepasste Version einer solchen Auftragsverarbeitungsvereinbarung abzuschließen, sollte dies, etwa aus Gründen der Änderung von Gesetzen, notwendig werden.

7. Inhalte des Kunden

  1. Der Kunde hat innerhalb seines Accounts die Möglichkeit, Inhalte (wie Daten, Grafiken, Bilder, Texte, Diagramme, Dateien etc.) hochzuladen („Kundeninhalte“).
  2. Der Kunde ist allein für diese Kundeninhalte verantwortlich und verpflichtet sich keine verbotenen Inhalte gemäß Ziffer 13 (1) dieser AGB innerhalb seines Accounts hochzuladen oder sonst zu verwenden.
  3. Sweap erhebt grundsätzlich keinen Anspruch auf Eigentum an diesen Kundeninhalten.
  4. Soweit der Kunde Sweap diese Kundeninhalte überlasst, räumt dieser Sweap sämtliche für die Durchführung der vertraglichen Vereinbarung erforderlichen Rechte ein (z.B.
    bei Änderung der Domain von Sweap). Dies umfasst insbesondere das Recht, die entsprechenden Inhalte der Öffentlichkeit zugänglich zu machen. Sweap nimmt diese Gewährung von Rechten hiermit an.
  5. Für den Fall, dass Kundeninhalte aus einem Account entfernt oder dass ein Account vom Kunden oder von Sweap - aus welchen Gründen auch immer - gelöscht werden/wird, erlöschen die Rechte von Sweap an den jeweiligen Kundeninhalten.

8. Service und Supportleistungen

  1. Ein „Service-Fall“ liegt vor, wenn die Software die vertragsgemäßen Funktionen gemäß der Produktbeschreibung nicht erfüllt, falsche Ergebnisse liefert, die Datenverarbeitung unkontrolliert abbricht oder in anderer Weise nicht funktionsgerecht arbeitet, so dass die Nutzung der Software nicht oder nur eingeschränkt möglich ist.
  2. Der Kunde kann einen Service-Fall per integrierter Meldefunktion innerhalb der Software bei Sweap melden. Sollte aus irgendeinem Grund die Meldefunktion innerhalb der Software nicht funktionsfähig sein, dann kann der Kunde den Service-Fall per E-Mail an support@sweap.io melden, wobei Sweap während der Servicezeiten werktags (Berlin), montags bis freitags zwischen 9 und 18 Uhr („Servicezeiten“) verfügbar sein wird. Der Kunde ist dabei verpflichtet, eine möglichst detaillierte Beschreibung des jeweiligen Funktionsausfalls, -störung oder -beeinträchtigung mindestens in Textform gemäß § 126b BGB (z.B. per E-Mail) zu liefern.

9. Vergütung

  1. Soweit Sweap eine Demo- bzw. sonstige eingeschränkte Version anbietet, ist diese gemäß der auf der Webseite sweap.io beschriebenen Bedingungen kostenlos. Die Demo- bzw. sonstige eingeschränkte Version der Software darf je Kunde nur mit einem einzigen Demo-Account genutzt werden. Mehrere Demo-Accounts bedürfen der vorherigen Zustimmung von Sweap in Textform.
  2. Weiter zahlt der Kunde für die von Sweap nach diesen AGB geschuldeten Leistungen bzw. Einräumung von Rechten eine Vergütung zuzüglich der gesetzlichen Umsatzsteuer. Die Höhe sowie weitere Regelungen zur Vergütung ergeben sich aus der Produktbeschreibung beigefügter Preistabelle unter https://www.sweap.io/de/preise.
  3. Die Zahlung der Vergütung erfolgt durch eine auf der Webseite von Sweap unter https://www.sweap.io/de/preise zur Verfügung gestellten Zahlungsmethoden.
  4. Sofern nicht anders zwischen den Parteien vereinbart, wird die Vergütung innerhalb von vierzehn (14) Kalendertagen seit Erhalt einer entsprechenden Rechnung von Sweap durch den Kunden zur Zahlung fällig.
  5. Kommt der Kunde mit einer Zahlung in Verzug oder kommt es zu einer Rücklastschrift, so behält sich Sweap vor, Verzugsschaden (z.B. Inkassogebühren, Mahngebühren, Verzugszinsen und Rückbuchungsgebühren) geltend zu machen.

10. Pflichten des Kunden

  1. Der Kunde wird Sweap bei der Erbringung der vertraglichen Leistungen in angemessenem Umfang unterstützen.
  2. Die ordnungsgemäße und regelmäßige Sicherung seiner Daten obliegt dem Kunden. Gleiches gilt für Sweap hinsichtlich der bei Vertragsabwicklung überlassenen Unterlagen.
  3. Für die Nutzung der Software gemäß dieser AGB müssen die sich aus der Produktbeschreibung ergebenden Systemvoraussetzungen beim Kunden erfüllt sein. Der Kunde ist hierfür selbst verantwortlich.
  4. Dem Kunden ist bewusst, dass Sweap kein eigenes Netz betreibt und dem Kunden nicht den Internetzugang zur Verfügung stellt. Aus diesem Grunde übernimmt Sweap keine Verantwortung für die Funktionstüchtigkeit des jeweiligen Zugangs in das Internet.
  5. Sämtliche abgefragten Daten bzw. Kundeninhalte müssen vollständig und korrekt angegeben werden, soweit die Abfrage solcher Daten kein/e (Datenschutz-)Gesetz/e verletzt.
  6. Soweit der Kunde Sweap Kundeninhalte überlässt, versichert er, alle erforderlichen Rechte an den überlassenen Kundeninhalten zu besitzen, um Sweap die entsprechenden Rechte einzuräumen.
  7. Der Account (einschließlich des Adminprofils sowie vom Admin erstellte Unter-Profile für Mitarbeiter des Kunden) muss mit einem Passwort gesichert werden, wobei der Kunde das ursprünglich zur Verfügung gestellte Passwort unverzüglich in ein sicheres Passwort zu ändern hat. Der Kunde muss alle erforderlichen Schritte unternehmen, um die Vertraulichkeit des Passworts sicherzustellen und hat dafür zu sorgen, dass etwaige Mitarbeiter, denen die Zugangsdaten zur Verfügung gestellt werden, dies ebenfalls tun. Jeder Kunde ist verpflichtet, Sweap unter support@sweap.io unverzüglich zu benachrichtigen, wenn es Anzeichen dafür gibt, dass sein Account durch Dritte, die nicht Mitarbeiter des Kunden oder eines mit diesem gemäß §§ 15 ff. AktG verbundenen Unternehmens sind („Dritte“), missbräuchlich verwendet wird.
  8. Der Kunde ist nicht berechtigt, Dritten den Zugang zu einem in seinem Namen eröffneten Account zu gewähren bzw. die Leistung von Sweap Dritten zur Verfügung zu stellen, soweit die Parteien nicht ausdrücklich und unter Einhaltung der gesetzlichen Schriftform etwas anderes vereinbart haben.
  9. Im Rahmen des E-Mail-Versands ist Sweap gegenüber des genutzten E-Mail-Service-Providers Mailjet verpflichtet die „Richtlinie zur akzeptablen Nutzung von Mailjet“ einzuhalten (https://www.mailjet.de/sending-policy/). Der Kunde verpflichtet sich gegenüber Sweap diese Richtlinien ebenfalls einzuhalten. Werden diese Richtlinien vom Kunden nicht beachtet, kann es dazu kommen, dass die Nutzung des E-Mailversandes eingeschränkt wird. In einigen Fällen kann dies zu einer vorübergehenden oder dauerhaften Sperrung des E-Mailversandes führen.
  10. Der Kunde darf technische oder vertragliche Nutzungsbeschränkungen der Demo- bzw. sonstigen eingeschränkten Version nicht umgehen, insbesondere nicht durch die Anlage oder Nutzung weiterer Demo-Accounts unter Verwendung unterschiedlicher E‑Mail‑Adressen, Domains, Ansprechpartner oder sonstiger Registrierungsdaten.

11. Gewährleistung

  1. Es gelten grundsätzlich die gesetzlichen Bestimmungen zur Gewährleistung in Mietverträgen. Die Regelungen in § 536b BGB (Kenntnis des Mieters vom Mangel bei Vertragsschluss oder Annahme) und in § 536c BGB (Während der Mietzeit auftretende Mängel; Mängelanzeige durch den Mieter) finden Anwendung. Die Anwendung des § 536a Abs. 2 BGB (Selbstbeseitigungsrecht des Mieters) ist jedoch ausgeschlossen. Ausgeschlossen ist auch die Anwendung von § 536a Abs. 1 BGB (Schadensersatzpflicht des Vermieters), soweit die Norm eine verschuldensunabhängige Haftung vorsieht.
  2. Im Übrigen finden die Vorschriften des Dienstvertragsrechts (§§ 611 ff. BGB) Anwendung.

12. Haftung

  1. Eine Haftung von Sweap für Schäden durch oder im Zusammenhang mit der Ausübung von Pflichten aus diesem Vertrag ist ausgeschlossen. Eine Haftungsbegrenzung gilt nicht für
    • Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit;
    • Schäden, die auf einer Pflichtverletzung von Sweap bezüglich wesentlicher vertraglicher Rechte und Pflichten beruhen, die für die ordnungsgemäße Durchführung des Vertrages unabdingbar sind, und hierdurch die Erreichung des Vertragszwecks gefährdet ist (Kardinalpflichten), wobei die Haftung in diesem Fall auf typische und vorhersehbare Schäden begrenzt ist;
    • Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung von Sweap beruhen;
    • die Haftung nach dem Produkthaftungsgesetz;
    • die Haftung im Falle der Übernahme einer Garantie;
    • datenschutzrechtliche Anspruchsgrundlagen.
  2. Der Haftungsausschluss und die Haftungsbeschränkungen von Sweap finden auch auf die gesetzlichen Vertreter und Erfüllungsgehilfen von Sweap Anwendung.
  3. Sweap haftet nicht für Schäden aufgrund von Arbeitskämpfen und/oder höherer Gewalt.

13. Kundendaten und Freistellung

  1. Sweap speichert als technischer Dienstleister Inhalte und Daten für den Kunden, die dieser bei der Nutzung der Software eingibt und speichert und zum Abruf bereitstellt. Der Kunde verpflichtet sich gegenüber Sweap, keine strafbaren oder sonst absolut oder im Verhältnis zu einzelnen Dritten rechtswidrige Inhalte und Daten einzustellen und keine Viren oder sonstige Schadsoftware/Malware enthaltene Programme im Zusammenhang mit der Software zu nutzen. Insbesondere verpflichtet er sich, die Software nicht zum Angebot rechtswidriger Dienstleistungen oder Waren zu nutzen. Der Kunde ist im Hinblick auf personenbezogene Daten von sich und seinen Nutzern/Mitarbeitern verantwortliche Stelle und hat daher stets zu prüfen, ob die Verarbeitung solcher Daten über die Nutzung der Software von entsprechenden Erlaubnistatbeständen getragen ist bzw. falls erforderlich, die entsprechenden Einwilligungen der Betroffenen einzuholen.
  2. Der Kunde ist für sämtliche von ihm oder seinen Nutzern verwendeten Inhalte und verarbeiteten Daten sowie die hierfür erforderlichen Rechtspositionen allein verantwortlich. Sweap nimmt von Inhalten des Kunden oder seiner Nutzer/Mitarbeiter keine Kenntnis und prüft die mit der Software genutzten Inhalte grundsätzlich nicht.
  3. Sweap wird im Rahmen der Erbringung der Leistungen gemäß dieser AGB, wie in Ziffer 5 dargestellt, Daten vom Kunden erhalten. Dabei kann es sich u.a. um E-Mail-Adressen handeln. Sweap ist grundsätzlich nicht dazu in der Lage zu überprüfen, ob gemäß der geplanten Nutzung der Daten gemäß dieser AGB durch Sweap selbst bzw. im Auftrag des Kunden, die rechtlichen Voraussetzungen, wie eine ausdrückliche Einwilligung des Betroffenen bzw. die Einhaltung des Zustimmungsverfahrens hinsichtlich des Zusendens von Werbung (etwa double-opt-in) eingehalten wurden sowie kein Widerruf der Einwilligung bzw. Zustimmung vorliegt. Dies obliegt jeweils allein der Kontrolle des Kunden.
  4. Der Kunde und Sweap stellen klar, dass keine besonderen personenbezogenen Daten, d.h. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, im Rahmen der Erbringung der Leistungen von Sweap bzw. Nutzung der Software verarbeitet werden. Der Kunde verpflichtet sich, diese Vorgabe einzuhalten und Sweap im Fall eines Missbrauchs umgehend zu informieren.
  5. Der Kunde verpflichtet sich in diesem Zusammenhang, Sweap bzw. Vertreter, Mitarbeiter und Erfüllungsgehilfen von Sweap von jedweder Haftung und Kosten (einschließlich möglicher und tatsächlicher Verluste, Schäden, Auslagen, Kosten, Prozesse, Forderungen, Gerichtsverfahren, Rechtsstreitigkeiten, Klagen, Verpflichtungen, Inanspruchnahmen und Haftungsansprüche) freizustellen, falls Sweap von Dritten bzw. Mitarbeitern des Kunden persönlich, infolge von behaupteten Handlungen oder Unterlassungen des Kunden in Anspruch genommen wird und der Kunde die Rechtsverletzung zu vertreten hat. Sweap wird den Kunden über die Inanspruchnahme unterrichten und ihm, soweit dies rechtlich möglich ist, Gelegenheit zur Abwehr des geltend gemachten Anspruchs geben. Gleichzeitig wird der Kunde Sweap alle verfügbaren Informationen zur Verfügung stellen, die für eine Überprüfung der geltend gemachten Ansprüche und für deren Abwehr erforderlich sind. Der Kunde liefert diese Informationen unverzüglich, wahrheitsgemäß und vollständig. Der Kunde verpflichtet sich, keine Schadensregulierung ohne die vorherige schriftliche Zustimmung von Sweap zu vereinbaren.
  6. Darüberhinausgehende Schadensersatzansprüche von Sweap bleiben unberührt.

14. Vertragslaufzeit und Beendigung; Gültigkeit erworbener Lizenzen; Exportmöglichkeit

  1. Die Laufzeit dieses Vertrages beginnt am Startdatum.
  2. Erworbene Einzel-Lizenzen hinsichtlich der Software sind bis zum Anlegen einer Veranstaltung innerhalb der Sweap Software, längstens jedoch ab Startdatum für 12 Monate gültig. Nach dem Anlegen einer Veranstaltung, nach Ablauf der 12 Monate ab dem Startdatum oder bei Wirksamwerden einer Kündigung des zugehörigen Accounts verlieren die jeweils erworbenen Lizenzen ihre Gültigkeit, ohne dass es einer gesonderten Kündigung bedarf.
  3. Laufzeitlizenzen werden ab Startdatum für die Mindestdauer von 12 Monaten erworben. Der Vertrag verlängert sich automatisch um weitere 12 Monate, sofern dieser nicht von einer der Vertragsparteien unter Einhaltung einer Kündigungsfrist von (1) Monat zum Vertragsende gekündigt wird.
  4. Erworbene Laufzeitlizenzen für Agenturen werden je nach Lizenzvariante ab Startdatum je nach gewählter Lizenzvariante für die Dauer von 1 bis 12 Monate geschlossen.
    • Die Sweap Agency Lizenz (M) wird ab Startdatum für die Mindestdauer von (1) Monat erworben. Der Vertrag verlängert sich automatisch um (1) weiteren Monat, sofern dieser nicht von einer der Vertragsparteien unter Einhaltung einer Kündigungsfrist von (2) Wochen zum Monatsende gekündigt wird.
    • Die Sweap Agency Lizenz (Y) wird ab Startdatum für die Mindestdauer von (12) Monaten erworben. Der Vertrag verlängert sich automatisch um (12) weitere Monate, sofern dieser nicht von einer der Vertragsparteien unter Einhaltung einer Kündigungsfrist von (1) Monat zum Vertragsende gekündigt wird.
      Für erworbene Einzel-Lizenzen im Rahmen einer Laufzeitlizenz für Agenturen gelten die Regelungen aus §14 (2) dieses Vertrags.
  5. Sowohl für diesen Vertrag als auch für erworbene Lizenzen für die Software bleibt das Recht jeder Partei zur außerordentlichen Kündigung aus wichtigem Grund unberührt. Ein wichtiger Grund zur Kündigung dieses Vertrages liegt für Sweap insbesondere dann vor, wenn
    • der Kunde trotz Mahnung und Fristsetzung seiner Verpflichtung zur Vergütung gemäß Ziffer 9 dieses Vertrages in zwei (2) aufeinander folgenden Terminen nicht nachkommt;
    • über das Vermögen eines Vertragspartners das Insolvenzverfahren eröffnet wurde oder dessen Eröffnung mangels Masse abgelehnt worden ist.
    • der Kunde gegen § 9 Abs. 1 Satz 2 oder § 10 Nr. 10 verstößt und den Verstoß trotz Aufforderung nicht innerhalb einer von Sweap gesetzten angemessenen Frist abstellt. Sweap ist in diesem Fall berechtigt, betroffene Demo-Accounts bis zur Klärung vorläufig zu sperren.
  6. Die Kündigung bedarf zu ihrer Wirksamkeit jeweils der Textform (E-Mail ausreichend).
  7. Nach Beendigung des Vertrags hat Sweap sämtliche vom Kunden überlassene und sich noch im Besitz von Sweap befindliche Unterlagen sowie Datenträger, die im Zusammenhang mit dem Vertrag gemäß dieser AGB stehen, an den Kunden zurückzugeben und die bei Sweap gespeicherten Daten zu löschen, soweit keine Aufbewahrungsfristen oder -rechte bestehen. Der Kunde erhält jedoch im Fall einer ordentlichen Kündigung das Recht, die innerhalb der Vertragssoftware gespeicherten Daten und Informationen innerhalb von 30 Tagen ab Wirksamwerden der Kündigung zu exportieren, wobei der Kunden eine Kopie der Daten und Informationen, die auf einem externen Datenspeicher gespeichert werden, erstellen kann, die dieser dann allein für interne Zwecke nutzen darf.

15. Vertraulichkeit

  1. Die Parteien sind verpflichtet, alle ihnen im Zusammenhang mit dieser Vereinbarung bekannt gewordenen oder bekannt werdenden Informationen über die jeweils andere Partei, die als vertraulich gekennzeichnet sind oder anhand sonstiger Umstände als Geschäfts- und Betriebsgeheimnisse erkennbar sind („vertrauliche Informationen“), dauerhaft geheim zu halten, nicht an Dritte weiterzugeben, aufzuzeichnen oder in anderer Weise zu verwerten, sofern die jeweils andere Partei der Offenlegung oder Verwertung nicht ausdrücklich unter Einhaltung der gesetzlichen Schriftform zugestimmt hat oder die Informationen aufgrund Gesetzes, Gerichtsentscheidung oder einer Verwaltungsentscheidung offengelegt werden müssen.
  2. Die Informationen sind dann keine vertraulichen Informationen im Sinne der Regelungen dieser Ziffer 15, wenn sie
    • der anderen Partei bereits zuvor bekannt waren, ohne dass die Informationen einer Vertraulichkeitsverpflichtung unterlegen haben;
    • allgemein bekannt sind oder ohne Verletzung der übernommenen Vertraulichkeitsverpflichtung bekannt werden;
    • der anderen Partei ohne Verletzung einer Vertraulichkeitsverpflichtung von einem Dritten offenbart werden.
  3. Die Verpflichtungen der Regelungen dieser Ziffer 15 überdauern die Beendigung des Vertrags gemäß dieser AGB.

16. Abtretung und Übertragung an Dritte

Der Kunde kann die Rechte und Pflichten aus dem Vertrag gemäß dieser AGB nicht ohne vorherige schriftliche Zustimmung von Sweap auf Dritte übertragen. Sweap ist berechtigt, Dritte mit der Erfüllung der Pflichten aus diesem Vertrag zu betrauen.

17. Vollständigkeit und Vertragsänderungen

  1. Die vorliegende Vereinbarung stellt nebst Anlagen, die jeweils als wesentlicher Bestandteil dieses Vertrags gelten, die vollständige Absprache zwischen den Vertragsparteien dar.
  2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für den Verzicht auf das Schriftformerfordernis. Geschäftsbedingungen des Kunden oder Dritter werden nur dann und insoweit Vertragsbestandteil, als Sweap ihrer Geltung ausdrücklich unter Einhaltung der Schriftform zugestimmt hat.

18. Sonstiges

  1. Für den vorliegenden Vertrag gilt deutsches Recht unter Ausschluss des UN-Kaufrechtes.
  2. Für den Fall, dass der Kunde ebenso wie Sweap ein Kaufmann i.S.d. §§ 1 ff. HGB ist, vereinbaren die Vertragsparteien als ausschließlichen Gerichtsstand für alle aus und im Zusammenhang mit diesem Vertrag entstehenden Streitigkeiten den Sitz von Sweap.
  3. Im Falle der Unwirksamkeit einer oder mehrerer Bestimmungen dieses Vertrages werden die Parteien eine der unwirksamen Regelung möglichst nahekommende Ersatzregelung treffen.
  4. Die Unwirksamkeit einer oder mehrerer Bestimmungen dieses Vertrages lässt die Wirksamkeit im Übrigen unberührt.
  5. Im Fall von Widersprüchen zwischen diesen AGB und Regelungen aus den Anlagen zu diesen AGB, gehen die Regelungen aus den Anlagen denjenigen aus diesen AGB vor.

Anlage 1: Auftragsverarbeitungsvereinbarung

Datenverarbeitungs-Vereinbarung im Auftrag (DViA) gem. Art. 28 DSGVO und § 62 BDSG

zwischen

Kunde gemäß „AGB“
(„Auftraggeber“) und
MATE Development GmbH, Rankestraße 9, 10789 Berlin
(„Auftragnehmer“)

Präambel

Der Auftraggeber hat den Auftragnehmer mit der Durchführung eines digitalen Gästemanagements gemäß den „Allgemeinen Geschäftsbedingungen über Software der MATE Development GmbH“ („AGB“) beauftragt. Auf die Vertragsinhalte wird Bezug genommen. Die in Annex 1 genannten Daten umfassen diejenigen, die auch Gegenstand des in Bezug genommenen Vertrags sind. Diese Vereinbarung legt die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Rahmen der Auftragsverarbeitung fest.

§ 1 Gegenstand und Dauer des Auftrags (Art. 28 Abs. 3)

  1. Der Auftragnehmer verpflichtet sich, im Auftrag des Auftraggebers die in Annex 1 näher spezifizierten personenbezogenen Daten zu den dort dargestellten Zwecken zu verarbeiten. Die Beschreibung des jeweiligen Auftrags mit den Angaben über Gegenstand des Auftrags, Umfang, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen befindet sich im Annex 1.

  2. Diese Vereinbarung beginnt mit Startdatum der Beauftragung und endet mit Beendigung des zwischen dem Auftraggeber und dem Auftragnehmer geschlossenen Vertrages. Die Frist für eine ordentliche Kündigung richtet sich nach den zu Grunde liegenden AGB. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.

  3. Der Auftraggeber kann die Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß der der Auftragnehmer gegen die Bestimmungen der DSGVO, des Bundesdatenschutzgesetzes bzw. des Landesdatenschutzgesetzes und weiterer datenschutzrechtlicher Vorschriften oder dieser Vereinbarung vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollen des Auftraggebers oder des Landesdatenschutzbeauftragten vertragswidrig verweigert.

§ 2 Umfang, Art und Zweck der Datenverarbeitung (Art. 28 Abs. 3)

  1. Der Auftragnehmer verarbeitet die personenbezogenen Daten nach § 1 Abs. 1 ausschließlich im Rahmen des Auftrages gemäß § 1 und nach Weisungen des Auftraggebers. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.

  2. Der Auftragnehmer führt innerhalb dieses Auftrags alle technisch für die Sicherstellung des Vertragszwecks sowie die Sicherheit und/oder Verarbeitungen der Daten (z. B. Duplizieren von Beständen für die Verlustsicherung, Anlegen von Log-Files etc.) erforderlichen Maßnahmen durch, soweit diese Verarbeitung nicht zu inhaltlichen Änderungen der Daten führen und sie zur Erfüllung des Auftrags erforderlich sind.

  3. Die Verarbeitung der Daten auch durch Unterauftragnehmer findet vorrangig im Gebiet der Bundesrepublik Deutschland, sonst in Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede nachträgliche Verlagerung in ein Drittland bedarf der vorherigen Zustimmung.

§ 3 Technische und organisatorische Maßnahmen/Sicherheit der Verarbeitung (Art. 28 Abs. 1, Abs. 3 c, Art. 32 – 36)

  1. Der Auftragnehmer trifft die in Annex 2 zu dieser Vereinbarung festgelegten technischen und organisatorischen Maßnahmen (gem. Art. 32 DSGVO) für die Verarbeitung der personenbezogenen Daten im Rahmen des vom Auftraggeber erteilten Auftrags. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Die technisch-organisatorischen Maßnahmen des Auftragnehmers sind in Annex 2 zu dieser Vereinbarung gesondert festgeschrieben und Bestandteil des Vertrages. Die technischen und organisatorischen Maßnahmen nach Annex 2 zu dieser Vereinbarung wurden vom Auftraggeber überprüft und als geeignet bewertet, um ein angemessenes Schutzniveau zu gewährleisten.

  2. Der Auftragnehmer stellt sicher, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

  3. Der Auftragnehmer verpflichtet sich, die technischen und organisatorischen Maßnahmen dem Stand der Technik anzupassen, soweit dies erforderlich und wirtschaftlich zumutbar ist (Art. 32 DSGVO). Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Es ist dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Der Auftraggeber ist über wesentliche Änderungen vorab zu informieren, Die Änderungen sind schriftlich festzuhalten und werden Vertragsbestandteil. Vorschläge des Auftraggebers hat der Auftragnehmer zu prüfen und den Auftraggeber über das Ergebnis zu informieren.

  4. Der Auftragnehmer gewährleistet die im Rahmen der ordnungsgemäßen Abwicklung der Arbeiten erforderlichen technischen und organisatorischen Maßnahmen in Zusammenarbeit mit den Unterauftragnehmern. Die technisch-organisatorischen Maßnahmen der von dem Auftragnehmer beauftragten Dritten müssen dem Stand der Technik entsprechen.

§ 4 Berichtigung, Einschränkung der Verarbeitung und Löschung von Daten, Auskunft über Daten (Art. 28 Abs. 1, Abs. 3g)

Der Auftragnehmer hat nur aufgrund einer Regelung in den AGB oder nach dokumentierter Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Einschränkung der Verarbeitung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Gleiches gilt für Auskunftsersuchen.

§ 5 Kontrollen und sonstige Pflichten des Auftragnehmers (Art. 28 Abs. 3 h, Art. 32 – 36)

  1. Der Auftragnehmer hat die Beachtung der datenschutzrechtlichen Vorschriften im Hinblick auf das Auftragsverhältnis sicherzustellen. Stellt der Auftragnehmer Unregelmäßigkeiten fest, wird er unverzüglich den Auftraggeber informieren.

  2. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung personenbezogener Daten des Auftraggebers die Vertraulichkeit sowie etwaige berufliche Verschwiegenheitsverpflichtungen (insbesondere die von § 203 StGB geschützten) zu wahren und dem Auftraggeber nachzuweisen. Er hat bei der Verarbeitung ausschließlich Beschäftigte einzusetzen, die entsprechend verpflichtet und geschult sind. Er hat insbesondere mit der gebotenen Sorgfalt darauf hinzuwirken, dass alle Personen, die von ihm mit der Bearbeitung oder Erfüllung dieses Vertrages betraut sind, sorgfältig ausgewählt werden, die gesetzlichen Bestimmungen über den Datenschutz beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht unbefugt an Dritte weitergeben oder sonst verwerten.

  3. Der Auftragnehmer hat einen Datenschutzbeauftragten bestellt. Dessen Kontaktdaten sind untenstehend aufgeführt:

    Proliance GmbH / <www.datenschutzexperte.de>
    Datenschutzbeauftragter
    Leopoldstr. 21
    80802 München
    datenschutzbeauftragter@datenschutzexperte.de

  4. Der Auftragnehmer verpflichtet sich, ein Verarbeitungsverzeichnis gemäß Art. 30 Abs. 2 DSGVO zu führen.

  5. Der Auftragnehmer verpflichtet sich, dem für den Auftraggeber zuständigen Landesdatenschutzbeauftragten und den von ihm eingesetzten Bediensteten Zugang zu den Arbeitsräumen zu gewähren und unterwirft sich der Kontrolle nach Maßgabe der DSGVO, des BDSG und der Landesdatenschutzgesetze, falls diese anwendbar sind, in seiner jeweiligen Form.

  6. Der Auftragnehmer hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach der DSGVO, dem BDSG und LDSG zu informieren. Dies gilt auch, soweit eine zuständige Behörde wegen Verstößen bei dem Auftragnehmer ermittelt.

  7. Wenden sich Personen, die durch die Datenverarbeitung bei dem Auftragnehmer in ihren Rechten betroffen sind, an diesen, so hat der Auftragnehmer diese Personen unverzüglich an den Auftraggeber zu verweisen. Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen. Der Auftragnehmer hat alles zu tun, damit der Auftraggeber die Rechte der Betroffenen, insbesondere auf Benachrichtigung, Auskunftserteilung, Berichtigung, Einschränkung der Verarbeitung (Sperrung), Löschung von Daten, Einlegung des Widerspruchs und das Recht auf Datenportabilität erfüllen kann, vorausgesetzt, die für die Umsetzung der Rechte notwendige Mitwirkungshandlung ist dem Auftragnehmer nicht unmöglich oder der Auftraggeber ist aufgrund der Ausgestaltung der bereitgestellten Software ohnehin selbst in der Lage die Betroffenenrechte umzusetzen.

  8. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

    • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
    • die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
    • die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung und
    • die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

§ 6 Unterauftragsverhältnisse (Art. 28 Abs. 2, Abs. 3 d, Abs. 4)

  1. Der Auftraggeber erteilt die allgemeine Genehmigung zur Hinzuziehung oder Ersetzung von Unterauftragnehmern. Vor der Hinzuziehung oder Ersetzung von Unterauftragnehmern informiert der Auftragnehmer den Auftraggeber in schriftlicher Form oder in Textform (bspw. per E-Mail). Der Auftraggeber kann der Änderung innerhalb von 3 Wochen ab Erhalt der Information durch den Auftragnehmer in schriftlicher Form oder in Textform (bspw. per E-Mail) begründet widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt Änderung als genehmigt.

  2. Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.

  3. Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

  4. Die in Annex 3 aufgeführten Unterauftragnehmer gelten mit Unterzeichnung des Vertrages als genehmigt.

  5. Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unteraufragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesem Vertrag hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.

§ 7 Kontrollrechte des Auftraggebers (Art. 28 Abs. 3 h)

  1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Hierbei wird sich der Auftraggeber regelmäßig von der Einhaltung der bei dem Auftragnehmer sowie den Unterauftragnehmern getroffenen technischen und organisatorischen Maßnahmen überzeugen und das Ergebnis dokumentieren. Der Auftraggeber bestellt für diese Auftragskontrolle verantwortliche Personen und benennt diese vorab gegenüber dem Auftragnehmer. Ein Wechsel in der Person ist dem Auftragnehmer unverzüglich mitzuteilen.

  2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats oder von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO oder durch eine Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO erbracht werden.

  3. Falls der Auftragnehmer und/oder die von ihr beauftragten Unterauftragnehmer sich genehmigter Verhaltensregeln unterworfen haben oder ein genehmigtes Zertifizierungsverfahren erfolgreich durchlaufen haben, sind sie verpflichtet, dem Auftraggeber dies nachzuweisen. Zertifikate sind zu aktualisieren. Der Auftraggeber ist hierüber zu informieren.

§ 8 Mitteilung bei Verstößen (Art. 33 Abs. 2)

  1. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personengezogener Daten betreffen. Die Meldung von Datenschutzverletzungen erfolgt gegenüber dem Ansprechpartner des Verantwortlichen (§ 9 Abs. 4) in Textform (per E-Mail/Telefax). Zusätzlich erfolgt eine fernmündliche Unterrichtung, so dass die Kenntnisnahme seitens des Verantwortlichen sichergestellt ist

  2. Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.

  3. Sollten die personenbezogenen Daten, die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.

  4. Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.

  5. Dieser § 8 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.

§ 9 Weisungsbefugnis des Auftraggebers (Art. 28 Abs. 3g, S. 3)

  1. Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten (Art. 28 Abs.3 S.2 lit.a DSGVO).

  2. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen das Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Er ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen des Auftraggebers bestätigt oder geändert wird.

  3. Die Weisungen des Auftraggebers erfolgen grundsätzlich in Textform. Mündliche erteilte Weisungen werden schriftlich dokumentiert. Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieses Vertrags und anschließend noch für drei Jahre aufzubewahren.

  4. Weisungsberechtigt sind für den Auftraggeber die in Annex 4 aufgeführten Personen. Bei dem Auftragnehmer sind für die Annahme von Weisungen Florian Kühne oder Sven Frauen verantwortlich. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.

  5. Werden von dem Auftragnehmer Störungen festgestellt, die eine wesentliche Änderung des Verfahrensablaufes erforderlich machen, ist die entsprechende Verfahrensänderung vor ihrer Durchführung mit dem Auftraggeber abzustimmen. Sie darf nicht ohne dessen in Textform erteilte Einwilligung vollzogen werden.

  6. Erteilt der Auftraggeber Einzelweisungen bzgl. des Umgangs mit personenbezogenen Daten, die über den vertraglich vereinbarten Leistungsumfang gemäß der AGB hinausgehen, z. B. Änderungen an den technischen und organisatorischen Maßnahmen, werden sie als Antrag auf Leistungsänderung behandelt, wobei der Auftragnehmer diesen nicht zustimmen muss und der Auftraggeber ggf. gesondert entstehende Kosten tragen muss soweit diese Maßnahmen umgesetzt werden.

  7. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für die Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

§ 10 Löschung von Daten und Rückgabe von Datenträgern (Art. 28 Abs. 3 g)

  1. Unverzüglich nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber, spätestens aber mit Beendigung der Zusammenarbeit hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen mit personenbezogenen Daten, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht, grundsätzlich innerhalb von 30 Tagen, zu vernichten. Ausgenommen hiervon sind Sicherungskopien, welche automatisiert 30 Tage nach der Löschung der Daten ebenfalls datenschutzkonform vernichtet werden. Innerhalb dieser 30 Tage hat der Auftragnehmer für eine die Vertraulichkeit sichernde Aufbewahrung zu sorgen. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Ein Zurückbehaltungsrecht ist ausgeschlossen.

  2. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der für den betroffenen Dienst geltenden Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Diese kann sie zu ihrer Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 11 Schlussbestimmungen

  1. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommt bzw. diese Lücke ausfüllt.

  2. Änderungen und Ergänzungen bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.

  3. Beide Parteien verpflichten sich, über alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse, insbesondere über die bekannt gewordenen Daten, unter Beachtung des Betriebs- und Geschäftsgeheimnisses Stillschweigen zu bewahren. Diese Verpflichtung gilt auch nach Ende des Vertragsverhältnisses fort.

  4. Die Einrede des Zurückbehaltungsrechts im Sinne des § 273 BGB wird hinsichtlich der für den Verantwortlichen verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

  5. Sollten die personenbezogenen Daten, die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.

§ 12 Verhältnis zu AGB

  1. Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen der AGB.

  2. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus den AGB, gehen die Regelungen aus diesem Vertrag vor.







____________________ ____________________
Ort, Datum Unterschrift, Auftraggeber












  Unterschrift von Sven Frauen
Sven Frauen, CIO
Berlin ________________ _______________________
Ort, Datum Unterschrift, Auftragnehmer

Annex 1: Beschreibung der Verarbeitungstätigkeit

1. Gegenstand des Auftrages:

Durchführung des Vertragsverhältnisses gemäß der AGB

2. Umfang, Art (Art. 4 Nr. 2 DSGVO) und Zweck der Datenverarbeitung:

Durchführung eines digitalen Gästemanagements mit der Möglichkeit zur E-Mailkommunikation zwischen Veranstalter und Gästen, Online-Rückmeldungen über entsprechende Webseiten zu erfassen und Gäste am Veranstaltungsort zu akkreditieren, um deren Anwesenheit zu erfassen. Zudem sollen die Daten für weitere Auswertungen hinsichtlich der Erfolgsmessung des Gästemanagements verarbeitet werden.

Zudem werden die Daten für folgende Zwecke verarbeitet:

  • Übermittlung der Daten der Betroffenen durch den Auftraggeber an den Auftragnehmer
  • Einbindung in System/Struktur des Auftragnehmers
  • Auswertung durch den Auftragnehmer
  • Ggf. Einbindung in Sub-Webseiten des Auftragnehmers

3. Art der Daten:

Lfd. Nr. Bezeichnung der Daten
1 Name, Vorname
2 E-Mailadresse
3 Firma
4 Position
5 Anrede (Geschlecht)
6 Titel
7 Telefonnummer
8 Weitere Daten, dessen Art der Auftraggeber bestimmt und die vom Auftraggeber in das System des Auftragnehmers geladen werden.

Es werden keine besonderen personenbezogenen Daten, d.h. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben erhoben, verarbeitet und genutzt.

4. Kreis der Betroffenen

Lfd. Nr. Bezeichnung der Daten
1 Mitarbeiter, Auszubildende, freie Mitarbeiter und sonstige Beschäftigte des Auftraggebers
2 Interessenten und Kunden des Auftraggebers
3 Beschäftigte und/oder Kunden von Geschäftspartnern des Auftraggebers im Fall von Reklamationen durch die Geschäftspartner gegenüber dem Auftraggeber
4 Sonstige Besucher/Gäste/Kontaktpersonen des Auftraggebers

Annex 2: Technische und organisatorische Maßnahmen

Im Rahmen von Auftragsverarbeitungen verpflichtet sich die MATE Development GmbH (nachfolgend Sweap) in ihrem Verfügungsbereich und bezogen auf den Vertragsgegenstand, die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO im erforderlichen sowie angemessenen Umfang und nach dem allgemein anerkannten Stand der Technik umzusetzen. Die durch Sweap am Vertragszweck orientierten, umzusetzenden Maßnahmen, sind im Wesentlichen mindestens die folgenden:

1. Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu wahren.

  • gesicherte Eingänge
  • Dokumentation und Regulierung der Schlüsselvergabe (Vergabe von Sicherheitsschlüsseln nur an festangestellte Mitarbeiter)
  • Türsicherung mit Sicherheitsschlössern
  • Server ausgelagert: Dokumentation der Sicherheitsbestimmungen des Hosters, VPN-Verbindung zwischen Server und Netzwerk des Unternehmens

2. Zugangs- und Zugriffskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können sowie, dass die berechtigten Personen ausschließlich innerhalb ihrer Berechtigung am Datenverarbeitungssystem arbeiten.

  • Erstellen von Benutzerprofilen
  • Authentifikation mit individuellem Benutzername und individuellen Passwort
  • Dokumentation der Berechtigungen
  • Passwortrichtlinie (16 Zeichen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen für alle Systeme mit hohen Sicherheitsanforderungen, z.B. Zugriff auf Kundendaten oder Sweap Infrastruktur)
  • Automatische Bildschirmsperre nach 15 Minuten Inaktivität
  • Besucher werden ausschließlich von Mitarbeitern eingelassen und dürfen die Büroräume ausschließlich in Begleitung eines Mitarbeiters begehen
  • Berechtigungskonzept (Berechtigungen nach dem „need-to-know“ und „need-to-do“ Prinzip)
  • SSL-Verschlüsselung
  • Anti-Viren-Programm
  • Firewall
  • Verschlüsselung von Datenträgern (Festplatten) in Laptops
  • Einsatz von Zwei-Faktor-Authentifizierung für andere Systeme (soweit möglich)

3. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Protokollierung der Benutzeraktivitäten
  • Protokollierung der IT-Systeme (Anti-Viren, Software Firewall)
  • Regelmäßige Kontrolle der Protokolle
  • Löschung der Protokolle nach Zweckerreichung

4. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Abschluss rechtskonformer Auftragsverarbeitungsverträge gem. Art. 28 DSGVO mit Auftraggebern sowie Auftragnehmern
  • Vertraglich festgelegte Verantwortungen (Weisungsberechtigter und Weisungsempfänger)
  • Sicherstellung, dass personenbezogene Daten des Auftraggebers nur im Auftrag entsprechend der Weisung verarbeitet werden
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  • Regelmäßige Kontrolle der TOM der Auftragsverarbeiter

5. Datentrennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Mindestens sachlogische, im Idealfall physikalische Trennung entsprechend dem Auftragszweck
  • Trennung des Produktiv- und Testsystems durch Verwendung separater Server und/oder Serverclustern im Rechenzentrum der ISPs
  • Keine Verwendung von Live-Systemen für Testzwecke
  • Einhaltung der Löschfristen

6. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • WLAN-Zugänge mit WPA2 gesichert
  • Verschlüsselung auf mobilen Endgeräten über AES-256+SHA2 mit einem 64-byte encryption key
  • Einsatz von VPN mit Passwort
  • Ordnungsgemäßer Aktenvernichtung (Einsatz von Aktenvernichtern mit Sicherheitsstufe P-4 bzw. Dienstleistern)
  • Ordnungsgemäße Datenträgervernichtung (Einsatz von Shreddern mit Sicherheitsstufe H-4 bzw. Dienstleistern; Löschen der Daten: Überschreiben des gesamten Datenträgers; bei SSD: von Anfang an verschlüsseln und wie bei anderen Datenträgern überschreiben)

7. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Privacy by Design bedeutet übersetzt „Datenschutz durch Technikgestaltung“. Ziel soll es sein, dass bereits bei der Entwicklung von Verarbeitungsvorgängen geeignete technische Maßnahmen implementiert werden, um die geplanten Verarbeitungsvorgänge datenschutzkonform zu gestalten.

  • Die Gästemanagement-Plattform von Sweap benötigt so wenig Daten wie möglich für eine Veranstaltung (variable Attribute)
  • Veranstaltung kann auch komplett anonym durchgeführt werden
  • Software beinhaltet datenschutzfreundliche Voreinstellungen (z.B. kein Tracking der Öffnungsrate bei E-Mails, keine Tracking-Software bei Anmeldungen von Gastdaten)

8. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Regelmäßige Durchführung von Updates des Anti-Viren-Programms
  • Ortsgetrennte, redundante und durch USV-Anlagen gesichertes BackupSystem
  • Regelmäßige Test der Datenwiederherstellung aus den Backups
  • Überwachung der Systemauslastung
  • Regelmäßige stichprobenartige Erfolgskontrollen durch Rücksicherung der Daten

9. Organisationskontrolle

Hierbei handelt es sich um Maßnahmen, die sicherstellen, dass die Mitarbeiter über die Anforderungen des Datenschutzes informiert sowie sensibilisiert sind und dass sie auf die Einhaltung des Datenschutzes verpflichtet werden. Außerdem fallen unter den Punkt der Organisation übergreifende Konzepte, in denen die Unternehmensleitung festlegt, wie es den Datenschutz im Unternehmen handhaben will.

  • Nachweisliche Verpflichtung aller Mitarbeiter zur Vertraulichkeit (Datengeheimnis), ggf. auf das Fernmeldegeheimnis und die Wahrung von Berufsgeheimnissen
  • Unternehmenskonzepte für Datenschutz und Datensicherheit
  • Mitarbeiterschulung über Datenschutz und Datensicherheit
  • IT-Notfallplan, dessen Funktionsfähigkeit regelmäßig getestet und dokumentiert wird.
  • Homeoffice-Richtlinie
  • Regelung zur Nutzung des dienstlichen E-Mail- und Internetzugangs im Arbeitsvertrag
  • Dokumentation der eingesetzten IT- Systeme und deren Systemkonfiguration
  • Dauerhafte und gelebte Erinnerung aller Mitarbeiter zum Umgang mit datenschutzkritischen Inhalten

10. Wirksamkeitskontrolle

Alle Handlungen, die zu einem Nachweis führen, dass die eingesetzten Maßnahmen regelmäßig überprüft werden und tatsächlich funktionieren.

  • Regelmäßige Kontrolle der eingesetzten technischen und organisatorischen Maßnahmen
  • Regelmäßige Kontrolle der den Mitarbeitern erteilten Berechtigungen
  • Regelmäßige Kontrolle der Funktionstüchtigkeit der Anti-Viren-Systeme und der Firewalls

Annex 3: Subunternehmer bzw. Unterauftragnehmer

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer bzw. Unterauftragnehmer durchgeführt:

Hosting

  1. IBM Deutschland GmbH (Platform-as-a-Service Provider/Hosting):

    • IBM-Allee 1, 71139 Ehningen, Deutschland
    • Standorte Rechenzentrum: Frankfurt (Deutschland)

  2. Hetzner Online GmbH (DNS und Domainhosting):

    • Industriestr. 25, 91710 Gunzenhausen, Deutschland
    • Standorte Rechenzentrum: Nürnberg, Falkenstein (Deutschland)

  3. hosting.de GmbH (DNS und Domainhosting):

    • Franzstr. 51, 52064 Aachen, Deutschland
    • Standorte Rechenzentrum: Aachen, Köln, Nürnberg (Deutschland)

Cloud-Lösung

  1. Mailjet GmbH (E-Mail Serviceprovider):
    • Alt Moabit 2, 10557 Berlin, Deutschland
    • Standorte Rechenzentrum: Frankfurt (Deutschland), Saint-Ghislain (Belgien)

Annex 4: Weisungsberechtige Personen des Auftraggebers

Lfd. Nr. Bezeichnung der Weisungsberechtigten
1 Geschäftsführung
2 Die vom Auftraggeber bestellten Datenschutzbeauftragte(n)