ALLGEMEINE GESCHÄFTSBEDINGUNGEN
Deutsche Bank AG
DE05 5007 0010 0084 0082 00
- An: RIDE GmbH, Haus Watergate, Falckensteinstraße 49, 10997 Berlin, kontakt@ride.capital
- Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag über den Kauf der folgenden Waren (*)/ die Erbringung der folgenden Dienstleistung Admin-Service/Gründungs-Service/WepPa(*)
- Bestellt am (*)/erhalten am (*)
- Name des/der Verbraucher(s)
- Anschrift des/der Verbraucher(s)
- Unterschrift des/der Verbraucher(s) (nur bei Mitteilung auf Papier)
Datum
______
(*) Unzutreffendes streichen
Vertrag
über die Verarbeitung personenbezogener Daten
im Sinne des Art. 28 Abs. 3 der Verordnung (EU) 2016/679 (DSGVO)
– Auftragsverarbeitungsvertrag –
im Auftrag von Nutzern (Kaufleuten im Sinne des Handelsgesetzbuchs, juristischen Personen und Verbrauchern) der RIDE Plattform und von RIDE Produkten
– Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO –
– nachfolgend „Auftraggeber“ genannt –
durch die
RIDE GmbH
Falkensteinstraße 49
10997 Berlin
– Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO –
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
1Details zum Gegenstand und der Dauer der Verarbeitung ergeben sich jeweils aus dem geschlossenen Vertrag über die Erbringung der folgenden Dienstleistungen: Admin-Service, Wertpapierverbuchungs-Service, Gründungs-Service sowie den Kauf einer Vorratsgesellschaft oder den Erwerb von nicht börsennotierten Unternehmensanteilen (nachfolgend Hauptvertrag genannt). 2Vorliegender Vertrag ist rechtlich unselbständig und teilt das rechtliche Schicksal des Hauptvertrags; eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. 3Es ist den Parteien bewusst, dass ohne Vorliegen eines gültigen Auftragsverarbeitungsvertrags keine (weitere) Auftragsverarbeitung durchgeführt werden darf. 4 Eine isolierte ordentliche Kündigung dieses Vertrags ist ausgeschlossen.
§ 2 Konkretisierung des Auftragsinhalts
(1) Art der Verarbeitung
1Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet. 2Im Einzelnen handelt es sich dabei um das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, die Verknüpfung oder das Löschen.
(2) Zweck der Verarbeitung
Die Datenverarbeitung erfolgt zu folgendem Zweck:
- Zur Verbuchung der Wertpapiertransaktionen mit der RIDE-Software
- Zur Erstellung des Kundenprofils
(3) Ort der Verarbeitung
1Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in Deutschland statt. 2Jede Verlagerung in einen anderen Mitgliedstaat der Europäischen Union (EU), einen anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) oder ein Drittland bedarf einer dokumentierten Weisung des Auftraggebers. 3Eine Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO sowie die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der EU-Verordnung 2016/679 des Europäischen Parlements und des Rates erfüllt sind.
(4) Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
- Personenstammdaten
- Kontakt-/Kommunikationsdaten (z. B. Telefon, Email)
- Auskunftsangaben (von Dritten, z. B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
- Steuerliche Daten und Vermögensdaten
- Depotdaten
(5) Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden bzw. Mandanten
- Gesellschafter und Geschäftsführer
- Endkunden
§ 3 Technische und organisatorische Maßnahmen
(1) 1Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. 2Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. 3Soweit die Prüfung bzw. ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) 1Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c und lit. e Hs. 1, Art. 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, 2 DSGVO, herzustellen. 2Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme und Dienste. 3Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
(3) 1Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. 2Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. 3Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. 4Wesentliche Änderungen sind zu dokumentieren.
§ 4 Qualitätssicherung und sonstige Pflichten des Auftragnehmers gem. Art. 28 Abs. 3 S. 1 DSGVO
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags eigene gesetzliche Pflichten eines Auftragsverarbeiters; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- 1Soweit gesetzlich verpflichtet, benennt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz, die ihre Tätigkeit gemäß Art. 39, 38 DSGVO ausübt. 2Die Kontaktdaten des benannten Datenschutzbeauftragten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitgeteilt. 3Sofern der Auftragnehmer nicht zur Benennung eines Datenschutzbeauftragten verpflichtet ist, benennt er einen Ansprechpartner für Datenschutzangelegenheiten, dessen Kontaktdaten dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitgeteilt werden. 4Sämtliche Änderungen in der Person des Datenschutzbeauftragten bzw. des Ansprechpartners sind dem Auftraggeber unverzüglich anzuzeigen.
- Der Auftragnehmer gewährleistet gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
- Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung (Art. 29, 32 Abs. 4 DSGVO) des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, Art. 32 DSGVO.
- Der Auftraggeber und der Auftragnehmer (und ggf. deren Vertreter) arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).
- 1Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über aufsichtsbehördliche Kontrollhandlungen und Maßnahmen zu informieren, soweit sie sich auf diesen Auftrag beziehen. 2Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
- Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
- Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- Der Auftragnehmer gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 6 dieses Vertrags.
§ 5 Unterauftragsverhältnisse gem. Art. 28 Abs. 3 S. 2 lit. d DSGVO i.V.m. Art. 28 Abs. 2 und 4 DSGVO
(1) 1Als Unterauftragsverhältnisse sind Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. 2Nicht als Unterauftragsverhältnisse sind dagegen solche Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. 3Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen oder Bewachungsdienste. 4Gleichwohl ist der Auftragnehmer verpflichtet, auch bei von Dritten erbrachten Nebenleistungen Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. 5Die Wartung und Pflege von IT-Systemen oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogene Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
(2) In Übereinstimmung mit der Regelung des Art. 28 Abs. 2 S. 1 DSGVO nimmt der Auftragnehmer keinen weiteren Auftragsverarbeiter (Unterauftragnehmer, Sub-Unterauftragnehmer) ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch, wobei die Bestimmungen zu Unterauftragsverhältnissen sowohl für den Unterauftragnehmer als auch für sämtliche in der Folge in Anspruch genommenen weiteren (Sub-)Unterauftragnehmer (entsprechende) Anwendung finden.
(3) Der Auftraggeber stimmt hiermit der Beauftragung nachfolgender Unterauftragnehmer zu:
Name/Firma | Anschrift/Land | (Teil-)Leistung |
DRACOON GmbH | Galgenbergstraße 2a, 93053 Regensburg | Speicherung der hochgeladenen Dokumente |
DocuSign Inc. | 221 Main Street, Suite 1000, San Francisco, CA 94105, USA | Unterzeichnung der Vertragsdokumente |
HubSpot Inc. | 25 First Street, 2nd Floor, Cambridge, MA 02141, USA | Verarbeitung und Speicherung der Daten |
Amazon Web Services Inc. | 410 Terry Avenue North, Seattle WA 98109, USA | Cloud-Anbieter zur Speicherung der Daten |
(4) 1Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragnehmer) durch den Auftragnehmer. 2Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. 3Dem Auftraggeber steht im Einzelfall ein Recht zu, schriftlich oder in Textform Einspruch gegen die Beauftragung eines potenziellen weiteren Auftragsverarbeiters zu erheben. 4Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. 5Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. 6Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung aus anderen als aus wichtigen Gründen, kann der Auftragnehmer diesen Vertrag wie auch gegebenenfalls den Hauptvertrag zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers kündigen.
(5) 1Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen 2erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Insbesondere obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag nach Maßgabe des Art. 28 Abs. 4 S. 1 DSGVO auf den weiteren Auftragsverarbeiter zu übertragen.
(6) 1Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. 2Gleiches gilt, wenn Dienstleister im Sinne des Abs. 1 Satz 2 eingesetzt werden sollen.
(7) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der vorherigen ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
§ 6 Kontrollrechte des Auftraggebers gem. Art. 28 Abs. 3 S. 2 lit. h DSGVO
(1) 1Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer, die nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen dürfen, durchführen zu lassen. 2Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung der Bestimmungen dieses Vertrags durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
(2) 1Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. 2Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) und/oder
- eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit (z. B. nach dem BSI-Grundschutz).
§ 7 Unterstützungs- und Mitteilungspflichten des Auftragnehmers gem. Art. 28 Abs. 3 S. 2 lit. e und f DSGVO
(1) 1Der Auftraggeber ist für die Wahrung der Rechte der betroffenen Person verantwortlich. 2Vor diesem Hintergrund ist der Auftragnehmer gleichwohl verpflichtet, den Auftraggeber abhängig von der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner, des Auftraggebers, Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person, das heißt bei der Beantwortung von Anfragen betroffener Personen in Bezug auf die Informationspflichten des Auftraggebers gegenüber den betroffenen Personen, deren Auskunftsrecht, ihrem Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie damit im Zusammenhang stehenden Mitteilungspflichten des Auftraggebers, dem Widerspruchsrecht oder auf automatisierte Entscheidungen einschließlich Profiling zu unterstützen, wenn die betroffene Person entsprechende Rechte geltend macht. 3Soweit sich die betroffene Person zwecks Geltendmachung eines Rechts unmittelbar an den Auftragnehmer wendet, leitet dieser die Anfragen der betroffenen Person unverzüglich an den Auftraggeber weiter.
(2) 1Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Auftragsverarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen außerdem bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten, also bei der Erfüllung seiner, des Auftraggebers, gesetzlichen Verpflichtungen zur Datensicherheit, zur Meldung von Datenpannen an die Aufsichtsbehörden und die betroffenen Personen, zur Durchführung von Datenschutz-Folgenabschätzungen sowie zur vorherigen Konsultation der zuständigen Aufsichtsbehörde, sofern dies im Rahmen der Datenschutz-Folgenabschätzung erforderlich ist. 2Der Auftragnehmer und der Auftraggeber arbeiten auf Anfragen der zuständigen Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben zusammen.
§ 8 Weisungsbefugnis des Auftraggebers
(1) 1Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist (Art. 28 Abs. 3 S. 3 lit. a, Art. 29 DSGVO). 2Im Falle einer solchen Verpflichtung teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) 1Der Auftragnehmer gewährleistet, dass die Auftragsverarbeitung im Einklang mit den Weisungen des Auftraggebers erfolgt. 2Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darüber zu informieren; nach einer entsprechenden Mitteilung an den Auftraggeber ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. 3Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung beim Auftraggeber liegt.
(3) 1Die Weisungen des Auftraggebers erfolgen grundsätzlich in Schrift- oder Textform. 2Bei Bedarf kann der Auftraggeber Weisungen auch (fern-)mündlich erteilen. 3(Fern-)Mündlich erteilte Weisungen bestätigt der Auftraggeber unverzüglich in Schrift- oder Textform.
§ 9 Löschung und Rückgabe von personenbezogenen Daten gem. Art. 28 Abs. 3 S. 2 lit. g DSGVO
(1) 1Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. 2Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) 1Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. 2Gleiches gilt für Test- und Ausschussmaterial. 3Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(3) 1Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. 2Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
§ 10 Sonstige Bestimmungen
(1) 1Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. 2Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
(3) 1Für Nebenabreden ist die Schriftform erforderlich. 2Dies gilt in gleicher Weise für den Verzicht auf dieses Formerfordernis.
(4) Die Einrede des Zurückbehaltungsrechts, gleich aus welchem Rechtsgrund, wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(5) Dieser Vertrag gilt auch, wenn und soweit Behörden oder Gerichte abweichend eine gemeinsame Verantwortlichkeit der Vertragsparteien nach Art. 26 DSGVO annehmen.
(6) 1Sollten sich einzelne Bestimmungen des Vertrags ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen der Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, so bleiben die übrigen Vertragsbestimmungen und die Wirksamkeit des Vertrags im Ganzen hiervon unberührt. 2An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt. 3Sollte sich der Vertrag als lückenhaft erweisen, so gelten die Bestimmungen als vereinbart, die dem Sinn und Zweck des Vertrags entsprechen und im Falle des Bedachtwerdens vereinbart worden wären.
(7) Der Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner internationalen Verweisungsnormen.
(8) Ausschließlicher Gerichtsstand bei allen Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz des Auftragnehmers.