Privacy Policy

Important Note regarding data processing in connection with Google Analytics™

This website uses Google Analytics, a web analytics service provided by Google Ireland Limited. If the responsible body for the data processing that occurs via this website has their basis outside of the European Economic area and Switzerland, then the associated Google Analytics data processing is carried out by Google LLC. Google Ireland Limited and Google LLC. will hereinafter be referred to as “Google”. As concerns the use of Google Analytics, the data processing in this respect is technically provided by Jimdo. In that regard, reference is hereby made to the Jimdo Privacy Policy. Jimdo GmbH (Jimdo GmbH, Stresemannstrasse 375, 22761 Hamburg, Datenschutz@jimdo.com) and the operator of this website share a joint responsibility for the data processing in connection with Google Analytics on this website.


Google Analytics uses “cookies”, which are text files saved on the site visitor’s computer, to help the website analyze their use of the site. The information generated by the cookie (including the truncated ip address) about the use of the website will normally be transmitted to and stored by Google.


Google Analytics is used exclusively with the extension "_anonymizeIp ()" on this website. This extension ensures an anonymization of the IP address by truncation and excludes a direct personal reference. Via this extension Google truncates the site visitor’s IP address within member states of the European Union or other parties to the Agreement on the European Economic Area. The IP address, that is provided by the site visitor’s browser in using Google Analytics will not be merged by Google with other data from Google.


On behalf of Jimdo and the site operator, Google will use the information collected to evaluate the use of the website, to compile reports on website activity and to provide other website and internet related services to Jimdo and the site operator (Art. 6 (1)( f) GDPR). The legitimate interest in data processing lies in the optimization of this website, the analysis of the use of the website and the adaptation of the content, which is made possible by the provision of the Jimdo statistics function. The interests of the users are adequately protected by the pseudonymization of their data.


Google LLC has certified their compliance with the EU-U.S. Privacy Shield Framework and thereby provides a guarantee to comply with European data protection law. The data sent and linked to the Google Analytics cookies, e.g. user IDs or advertising IDs will be automatically deleted after 50 months. The deletion of data whose retention period has been reached is carried out automatically, once a month.


The website visitor may refuse the use of cookies by selecting the appropriate settings in their browser. They can also object to the future collection and storage of their ip address and the data generated by cookies, at any time via downloading this browser plugin and installing it: https://tools.google.com/dlpage/gaoptout


The website visitor can prevent data collection via Google Analytics on this website by clicking here. An "Opt-out Cookie" shall then be applied which shall prevent any future collection of the site visitors data when visiting this website.


Further information on the Google Terms of Use and Privacy Policy can be found under the Google Analytics Terms and Conditions or under the Google Analytics Overview.


According to the relevant legislation and the GDPR, site visitors have certain rights in relation to their personal data processed via this Google Analytics data processing system. In particular, they have a right to access, rectification, data portability and/ or deletion of their data The site visitor also has the right to object to certain processing of their data. In order to exercise these rights in relation to the data processing via Google Analytics on this website, a data subject(site visitor) can contact Jimdo(Jimdo GmbH privacy@jimdo.com or the owner of this website at any time.

Datenschutzverarbeitung Deiner Daten bei Benutzung der Applikation Q2go

Information über die Verarbeitung Ihrer
personenbezogenen Daten
 
 
Sehr geehrte Damen und Herren,
 
unser Unternehmen legt großen Wert auf den Schutz personenbezogener Daten. Im Folgenden möchten wir Sie darüber aufklären, zu welchem Zweck die Daten erhoben wurden, in welcher Art und Weise die erhobenen Daten verarbeitet werden und welche Rechte betroffene Personen haben.
 
 

1. Wer ist für die Datenverarbeitung verantwortlich?

 
Der Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO ist:
 
Alexander Kohl
 Q2go - Digitale QR Lösungen
 Hermann-Brandi-Str. 50M
 26871 Papenburg
 

2. Welche Ihrer personenbezogenen Daten werden von uns genutzt?

 
Wenn Sie Q2go nutzen können Sie mit Angabe Ihres Vor- und Nachnamens, Ihrer Adresse und Ihrer Telefonnummer einen QR-Code erstellen. 
 

3. Aus welchen Quellen stammen die Daten?

 
Wir verarbeiten personenbezogene Daten, die wir direkt von Ihnen erhalten haben.
 

4. Für welche Zwecke verarbeiten wir Ihre Daten, auf welcher Rechtsgrundlage und an wen werden Ihre Daten weitergegeben?

 
Wir möchten Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen, Besucher etc. davon befreiten mit jedem Besuch die Kontaktdaten zwecks Eindämmung der Covid-19 Pandemie anzugeben. Mit unserer Applikation kann dies ganz bequem mit dem Einsatz eines QR-Codes geschehen.
 
Die Erhebung der personenbezogenen Daten Vor- und Nachnamens, Ihrer Adresse und Ihrer Telefonnummer für Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen etc. ist gesetzlich vorgeschrieben (Rechtsgrundalgen: Art. 6 Abs. 1 S. 1 lit. c, f. DS-GVO, Art. 9 Abs. 2 lit. a, i DS-GVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG).
 
Falls ein Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen etc. auf Anforderung der Gesundheitsbehörden diese Daten übermitteln muss, werden wir mit der Übermittlung der Daten an die zuständige Behörde beauftragt. Die Pflicht zur Übermittlung hat somit der jeweilige  Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen etc. und wir sind in diesem Falle lediglich als sogenannter Auftragsverarbeiter gem. Art. 28 DS-GVO tätig.
 
Die oben genannten Pflichten für Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen etc. ergeben sich aus:
 
Gem. § 16 Abs. 1 Infektionsschutzgesetz (IfSG) gilt: „Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die bei diesen Maßnahmen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.“
 
Für den Fall, dass von der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, ist die Erhebung und Speicherung der Daten entsprechend der behördlichen Anordnung auf Artikel 6 Absatz 1 lit. c sowie Abs. 2 und 3 DS-GVO zu stützen. Einer solchen Anordnung zur Speicherung von Besucherdaten korrespondiert regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Abs. 2 S. 3 IfSG. Demnach besteht die Verpflichtung, auf Verlangen der Behörde die erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.
 

5. Wie sind wir selbst Auftragsverarbeiter und welche Auftragsverarbeiter haben setzen wir ein?

 
Zur Aufrechterhaltung, Betrieb und Wartung unserer Applikation setzen wir Auftragsverarbeiter ein. Um den Schutz Ihrer personenbezogenen Daten gewährleisten zu können, haben wir mit allen Auftragsverarbeiter sogenannte Auftragsverarbeitungsverträge abgeschlossen. 
 
Falls ein Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen etc. auf Anforderung der Gesundheitsbehörden diese Daten übermitteln muss, werden wir mit der Übermittlung der Daten an die zuständige Behörde beauftragt. Die Pflicht zur Übermittlung hat somit der jeweilige  Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen etc. und wir sind in diesem Falle lediglich als sogenannter Auftragsverarbeiter gem. Art. 28 DS-GVO tätig. Alle Veranstalter, Betreiber von Gastronomiebetrieben, Unternehmen etc. sind verpflichtet einen Auftragsverarbeitungsvertrag mit uns abzuschließen. Der entsprechende Vertrag ist als Annex an diese Datenschutzerklärung angefügt („Annex: Vertrag zur Auftragsverarbeitung“).
 

6. Werden Ihre Daten an Länder außerhalb der Europäischen Union (sog. Drittländer) übermittelt?

 
Länder außerhalb der Europäischen Union (und des Europäischen Wirtschaftsraums „EWR“) handhaben den Schutz von personenbezogenen Daten anders als Länder innerhalb der Europäischen Union. Für die Verarbeitung Ihrer Daten setzen wir keine Dienstleister ein, die sich in Drittländern außerhalb der Europäischen Union befinden. 
 

7. Wie lange werden meine Daten gespeichert?

 
Die erhobenen personenbezogenen Daten werden für 4 Wochen aufbewahrt und anschließend datenschutzkonform vernichtet.
 

8. Welche Rechte haben Sie im Zusammenhang mit der Verarbeitung Ihrer Daten?

 
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Widerspruch aus Art. 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.
 
Widerspruchsrecht
 
Sie haben gem. Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund Art. 6 Abs.1 f DSGVO (Datenverarbeitung zur Wahrung eines berechtigten Interesses) erfolgt, Widerspruch einzulegen.
 
Im Falle eines Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
 
Widerruf der Einwilligung
 
Ihre Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit widerrufen. Bitte beachten Sie, dass der Widerruf nur für die Zukunft wirkt.
 
Auskunftsrecht
 
Sie können Auskunft darüber verlangen, ob wir personenbezogenen Daten über Sie gespeichert haben. Wenn Sie es wünschen, teilen wir Ihnen mit, um welche Daten es sich handelt, für welche Zwecke die Daten verarbeitet werden, wem diese Daten offengelegt werden wie lange die Daten gespeichert werden und welche weiteren Rechte Ihnen in Bezug auf diese Daten zustehen.
 
Recht auf Löschung
 
Darüber hinaus haben Sie das Recht auf Berichtigung falscher Daten oder auf Löschung Ihrer Daten. Wenn kein Grund für die weitere Speicherung besteht, werden wir Ihre Daten löschen, ansonsten die Verarbeitung einschränken.
 
Weitere Rechte
 
Sie können auch verlangen, dass wir alle personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format entweder Ihnen oder einer Person oder einem Unternehmen Ihrer Wahl zur Verfügung stellen.
 
Darüber hinaus besteht ein Beschwerderecht bei den Datenschutzaufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG).
 
Wahrnehmung Ihrer Rechte
 
Um die genannten Rechte wahrzunehmen, können Sie sich an den Verantwortlichen unter den oben angegebenen Kontaktdaten wenden.
 
Wir werden Ihre Anfragen umgehend sowie gemäß den gesetzlichen Vorgaben bearbeiten und Ihnen mitteilen, welche Maßnahmen wir ergriffen haben (Art. 12 Abs. 3 DSGVO).
 
 

9. Findet eine automatisierte Entscheidungsfindung oder Profiling statt?

 
Es findet keine automatisierte Entscheidung im Einzelfall im Sinne des Art. 22 DSGVO statt. 
 
 

10. Änderungen dieser Informationen

 
Sollte sich der Zweck oder die Art und Weise der Verarbeitung Ihrer personenbezogenen Daten wesentlich ändern, so werden wir diese Informationen rechtzeitig aktualisieren und Sie rechtzeitig über die Änderungen informieren.
 
 
Stand: 23.09.2020


Vertrag zur Auftragsverarbeitung

 

 

 

zwischen

 

Ihnen – als Anwender der Applikation, der die Pflichten nach dem Infektionsschutzgesetz (Erhebung der Daten von Besuchern, Kunden, Lieferanten etc.) einhalten muss.

 

 

als Verantwortlicher (nachfolgend „Auftraggeber“)

 

und 

 

Alexander Kohl
 Q2go - Digitale QR Lösungen
 Hermann-Brandi-Str. 50M
 26871 Papenburg

 

als Auftragsverarbeiter (nachfolgend „Auftragnehmer“)

 

Präambel

 

Für den Fall, dass der Auftraggeber durch das Gesundheitsamt verpflichtet wird die Daten der Besucher zur Vermeidung der Ausbreitung von Covid-19 zu übermitteln, veranlasst der Auftraggeber den Auftragnehmer mit der Übermittlung der entsprechenden Daten an die zuständige Behörde. Eine Übermittlung findet nur mit Vorlage eines entsprechenden Schreibens der Behörde statt. In der Übermittlung liegt somit eine Auftragsverarbeitung vor. Insbesondere Art. 28 Datenschutzgrundverordnung (DS-GVO) stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

 

§ 1 Begriffsbestimmungen

 

(1)    Verantwortlicher ist gem. Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. 

 

(2)    Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

 

(3)    Personenbezogene Daten sind gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. 

 

(4)    Besonders schutzbedürftige personenbezogene Daten sind Daten gem. Art. 9 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DS-GVO, biometrischen Daten gem. Art. 4 Abs. 14 DS-GVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. 

 

(5)    Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 

 

(6)    Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle. 

 

§ 2 Vertragsgegenstand 

 

(1)    Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der Übermittlung personenbezogener Daten, die durch die Applikation „Q2go“ erhoben wurden und auf Anfrage einer Gesundheitsbehörde an diese übermittelt werden sollen. Dabei kann der Auftragnehmer Zugriff auf personenbezogene Daten erhalten und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers verarbeiten. 

 

(2)    Der Auftragnehmer wird von dem Auftraggeber beauftragt personenbezogene Daten im folgenden Umfang und zu folgendem Zweck zu verarbeiten:

 

·         Übermittlung der personenbezogenen Daten der durch die Applikation „Q2go“ erhobenen Daten an die anfragende Gesundheitsbehörde

 

(3)    Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer können sich aus anderen Verträgen (und der dazugehörigen Leistungsbeschreibungen) ergeben, falls diese nicht bereits in diesem Vertrag genannt sind. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung. 

 

(4)    Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen anderer Verträge vor. 

 

(5)    Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten die mit anderen Verträgen in Zusammenhang stehen und bei der der Auftragnehmer (falls vorhanden: und seine Beschäftigten) oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden. 

 

(6)    Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit anderer Verträge, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben. Falls weder andere Verträge existieren, noch eine Laufzeit in diesem Vertrag definiert ist, ist dieser Vertrag auf unbestimmte Zeit geschlossen.

 

§ 3 Weisungsrecht

 

(1)    Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

 

(2)    Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. 

 

(3)    Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. 

 

(4)    Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

 

§ 4 Art der verarbeiteten Daten, Kreis der Betroffenen

 

(1)    Im Rahmen der Durchführung dieses Vertrages erhält der Auftragnehmer Zugriff auf folgende Kategorien von personenbezogenen Daten: 

 

•   Name, Vorname, Adresse, Telefonnummer, Zeit und Uhrzeit des Besuchs des Auftraggebers

 

(2)    Im Rahmen der Durchführung dieses Vertrages erhält der Auftragnehmer Zugriff auf personenbezogene Daten folgender betroffener Personen (Personenkreis): 

 

•   Besucher des Auftraggebers

 

§ 5 Schutzmaßnahmen des Auftragnehmers 

 

(1)    Der Auftragnehmer ist verpflichtet die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern. 

 

(2)    Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO und § 64 BDSG (Anlage). Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. 

 

(3)    Beim Auftragnehmer ist als Ansprechpartner für den Datenschutz benannt: 

 

·         Alexander Kohl, Telefon: 015223229777, E-Mail: alex@qtogo.de

 

(4)    Für den Fall, dass der Auftragnehmer Personen beschäftigt gilt: Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden „Mitarbeiter“ genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

 

§ 6 Informationspflichten des Auftragnehmers 

 

(1)    Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen: 

 

a)      eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze; 

 

b)     eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

 

(2)    Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen. 

 

(3)    Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind. 

 

(4)    Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber schriftlich zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich schriftlich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem" im Sinne der DS-GVO liegen. 

 

(5)    Über wesentliche Änderungen der Sicherheitsmaßnahmen nach §5 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten. 

 

(6)    Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen. 

 

(7)    Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, dass alle Angaben gem. Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.

 

(8)    An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen. 

 

§ 7 Kontrollrechte des Auftraggebers

 

(1)    Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig einmal pro Jahr von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören. 

 

(2)    Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind. 

 

(3)    Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit. 

 

(4)    Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 5 Abs. 4 auf Verlangen nach, für den Fall, dass dieser Personen beschäftigt. 

 

§ 8 Einsatz von Subunternehmern 

 

(1)    Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der folgenden Subunternehmer durchgeführt. 

 

·         Microsoft, Siemensstraße 27, 61352 Bad Homburg vor der Höhe

·         innomotion media, J. Tolksdorf, Rübenkamp 323, D-22337, Hamburg

 

(2)    Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen. 

 

(3)    Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden. 

 

§ 9 Anfragen und Rechte Betroffener

 

(1)    Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12-22 sowie 32 und 36 DS-GVO. 

 

(2)    Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

 

§ 10 Haftung

 

(1)    Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich. 

 

(2)    Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

 

§ 11 Außerordentliches Kündigungsrecht

 

(1)    Der Auftraggeber kann diesen Vertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen - also weder vorsätzlichen noch grob fahrlässigen - Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.

 

§ 12 Vertragsbeendigung

 

(1)    Der Auftragnehmer wird dem Auftraggeber nach Beendigung dieses Vertrages oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder - auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht - löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. 

 

(2)    Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren. 

 

(3)    Der Auftragnehmer ist verpflichtet, auch über das Ende dieses Vertrages hinaus die ihm im Zusammenhang mit diesem Vertag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende anderer Verträge hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat. 

 

§ 13 Schlussbestimmungen

 

(1)    Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist. 

 

(2)    Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

 

(3)    Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt. 

 

(4)    Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Ort der Hauptniederlassung des Auftragnehmers.

 

(5)    Dieser Vertrag kommt im Zweifel mit der Nutzung der Applikation zustande. Ein Hinweis auf die Datenschutzbestimmungen werden im Zuge der Nutzung gegeben und müssen gelesen und akzeptiert werden.

 

 

 


 

 

Übersicht der allgemeinen technischen und organisatorischen Maßnahmen

 

 

 

 | Zutrittskontrolle |

Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.  ·         allgemeine Maßnahmen zur Gebäudesicherung ·         ausreichende Maßnahmen aller eingesetzter Auftragsverarbeiter 

| Zugangskontrolle |

Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.  ·        Kennwortverfahren ·         automatische Sperrung ·         Verschlüsselung von Datenträgern ·        Firewall ·         Einsatz von Administrations-Software ·         Virenschutz 

| Zugriffskontrolle |

Gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.  ·         Berechtigungs- und Rollenkonzept ·         Benutzerkennung ·         Virenschutz ·         Firewall ·         regelmäßige Updates 

| Pseudonymisierung |

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.  ·         Umwandlung von Identifikationsmerkmalen ·         Identifizierung von Datensätzen mit IDs ·         automatisches
Pseudonomisierungsverfahren 

| Weitergabekontrolle |

Gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.  ·         Verschlüsselung ·         Rechtmäßigkeitsprüfung ·         Protokollierung 

| Eingabekontrolle |

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. ·         Protokollierungs- und Protokollauswertungssysteme ·         Sicherung von Protokolldaten 

| Verfügbarkeitskontrolle |

Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.  ·         Backup-Strategie ·         unterbrechungsfreie Stromversorgung ·         gentrennte Aufbewahrung ·         Überspannungsschutz ·         Virenschutz ·         Firewall 

| Auftragskontrolle |

Es ist sicherzustellen, dass Daten die im Auftrag durch Dienstleister (Subauftragnehmer) verarbeitet werden, nur gemäß der Weisung des Auftragnehmers verarbeitet werden.  ·        Auftragsverarbeitungsverträge ·         Vorabkontrolle 

| Widerstandsfähigkeit- und Ausfallsicherheitskontrolle |

Systeme müssen die Fähigkeit besitzen mit risikobedingten Veränderungen umgehen zu können und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.  ·        Notfallmanagement 

| Kontrollverfahren/ organisatorische Maßnahmen

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen ist zu implementieren.  ·         Datenschutz-Management ·      Incident-Response-Management ·         Privacy-by-Design ·         Privacy-by-Default ·        Auftragskontrolle ·         Ext. Datenschutz-Ansprechpartner  

 

 


Nutzungsbedingungen

Rücknahme- und Stornierungsbedingungen sowie Dienstleistungen
 
1.    Abonnement
Alle Pakete werden in einem monatlichen Abonnement abgeschlossen. Sowohl das Monats- als auch das Jahresabonnement werden automatisch verlängert und sind monatlich kündbar. Die vertraglich ausgehandelten Tarife werden monatlich, die Jahresabonnements dreimonatlich abgerechnet und müssen zum in der Rechnung festgesetzten Zeitpunkt bezahlt werden.

2. Rücknahme- und Stornierungsbedingungen
Rücktrittsrecht: Im Rahmen der EU und des deutschen Rechts haben Verbraucher einen gesetzlichen Anspruch, innerhalb von 14 Tagen von online abgeschlossenen Verträgen zurückzutreten, und zwar ohne Angabe von Gründen. Die Bestellung eines Paketes der Firma Q2go kann also 14 Tage nach Erhalt der Rechnung storniert werden. Hierbei fallen keine zusätzlichen Stornierungsgebühren an.
 
3. Vertragspflichten
Mit Abschluss des Paketes verpflichtet sich Q2go für die Dauer des Vertrages den Zugang zu Plattform bereitzustellen und aufrechtzuerhalten.