6.
Der Auftragnehmer ist lediglich Diensteanbieter (Service-
Allgemeine Geschäftsbedingungen der
Deutschen Post AG für den Internetservice
ADRESSDIALOG
§ 1 Allgemeines
1. Diese Allgemeinen Geschäftsbedingungen, nachfolgend
"AGB", gelten für die vertraglichen Rechtsbeziehungen zwischen
der Deutschen Post AG - nachfolgend " Auftragnehmer" genannt-
und ihren Kunden - nachfolgend " Auftraggeber " genannt für den
Internetservice ADRESSDIALOG.
2. Rechte und Pflichten im Geltungsbereich dieser AGB kommen
durch Vertragsabschluss zustande. Für den jeweiligen
Einzelauftrag gelten die auf den Internetseiten von
ADRESSDIALOG erfassten Auftragsdaten des Auftraggebers, die
nachfolgenden Bedingungen und die zum Versandzeitpunkt des
Mailings gültige Preisliste.
3. Abweichende Bedingungen sind schriftlich zu vereinbaren.
Entgegenstehende oder von diesen Allgemeine
Geschäftsbedingungen abweichende Bedingungen des
Auftraggebers haben keine Geltung.
§ 2 Leistungen
1. Der Auftragnehmer wird die von ihr geschuldeten Leistungen
gemäß den gesetzlichen und vertraglichen Bedingungen mit der
Sorgfalt eines ordentlichen Kaufmanns erbringen. Die Leistungen
umfassen insbesondere die Bereitstellung eines standardisierten,
databaseoptimierten und verschlüsselten Verfahrens zur
personalisierten Mehrkanalansprache von Empfängern über
Mailings und über das Internet mit Dialogkomponente und Online-
Responsemanagement (ADRESSDIALOG).
2. Der genaue Leistungsumfang ist in der Leistungsbeschreibung
dargelegt. Der Auftragnehmer ist berechtigt, die Erfüllung ihrer
Leistungspflichten durch Erfüllungsgehilfen ihrer Wahl
wahrnehmen zu lassen.
3. Der Auftragnehmer wird Störungen ihrer technischen
Einrichtungen im Rahmen ihrer Möglichkeiten so schnell wie
möglich beseitigen.
4. Die Auftragnehmer hält nach Beendigung der Vertragslaufzeit
die hochgeladenen Adressdaten für die Dauer eines Monates
weiter vor.
§ 3 Pflichten des Auftraggebers
Der Auftraggeber ist insbesondere verpflichtet,
1. die Auftraggeber-ID (Benutzerkennung) und das Passwort vor
dem Zugriff durch unberechtigte Dritte zu schützen; der
Auftraggeber haftet dem Auftragnehmer für Schäden, die aus einer
von ihm zu vertretenden unbefugten Benutzung dieser Daten durch
Dritte entstehen;
2. dem Auftragnehmer unverzüglich, spätestens innerhalb eines
Monats schriftlich anzuzeigen jede Änderung der
Auftraggeberdaten;
3. der Auftraggeber wird dem Auftragnehmer alle zur Abwicklung
der vereinbarten Leistungen notwendigen Daten und Unterlagen,
die zur administrativen, organisatorischen und technischen
Vorbereitung und Durchführung der Leistung erforderlich sind,
rechtzeitig vor Beginn der Leistung zur Verfügung stellen.
4. Die einzelnen Formatvorgaben an die vom Auftraggeber zur
Verfügung zu stellenden Daten (Dateiformate etc.) sind in der
Leistungsbeschreibung und den Internetseiten von
ADRESSDIALOG geregelt.
5. Stellt der Auftraggeber die für die Bearbeitung des Auftrages
erforderlichen Daten und Unterlagen nicht, nicht rechtzeitig oder
nicht den Formatvorgaben entsprechend zur Verfügung, kann der
Auftraggeber keinen Anspruch wegen fehlender, verzögerter oder
unvollständiger Ausführung des Auftrages geltend machen. Seine
Zahlungsverpflichtung für fehlerhaft produzierte bleibt bestehen, es
sei denn, der Mangel hinsichtlich der Formatvorgaben war für der
Auftragnehmer vorab feststellbar.
Seite 1 von 5
Provider) i.S.d. Teledienstegesetzes. Für den Inhalt des jeweiligen
Mailings, für die rechtzeitige und vollständige Überlassung der
Adressdaten und sonstigen Inhalte ist ausschließlich der
Auftraggeber verantwortlich. Der Auftraggeber ist dafür
verantwortlich, daß seine Mailings, Website, Produkte, Leistungen,
sowie sonstigen Außenauftritte mit den einschlägigen Gesetzen
und Bestimmungen übereinstimmen, insbesondere im Einklang mit
den wettbewerbs- und datenschutzrechtlichen Bestimmungen
stehen. Der Auftraggeber stellt den Auftragnehmer AG von allen
Ansprüchen frei, die durch die Nichteinhaltung dieser
Bestimmungen entstehen.
7. Der Auftraggeber haftet dafür, dass übermittelte Daten
virenfrei sind. Dateien mit Viren kann der Auftragnehmer löschen,
ohne dass dem Auftraggeber hieraus Ansprüche zustehen. Der
Auftragnehmer behält sich Ersatzansprüche wegen virenbedingter
Schäden vor.
8. Die Einstellung gemieteter Adressen von Adressanbietern
(Einmalnutzung) ohne deren ausdrückliche vorherige Einwilligung
ist unzulässig. Der Auftraggeber ist für die Einhaltung der
geltenden datenschutzrechtlichen Bestimmungen beim Erwerb der
Adressdaten verantwortlich. Er stellt den Auftragnehmer AG von
Ansprüchen frei, die durch die Nichteinhaltung dieser
Bestimmungen entstehen.
9. Der Auftraggeber kann jederzeit sein Projekt deaktivieren. Der
Auftraggeber bleibt jedoch zur Zahlung der bis dahin aufgelaufenen
Vergütung verpflichtet.
§ 4 Vergütung und Abrechnung
Der Auftraggeber hat die im Einzelvertrag vereinbarten Entgelte zu
zahlen.
1. Die Entgelte sind sofort nach Eingang der Rechnung beim
Auftraggeber fällig.
2. Erhebt der Auftraggeber Einwendungen gegen die Höhe der in
Rechnung gestellten Entgelte hat er diese innerhalb von 2 Wochen
nach Zugang der Rechnung der zuständigen Stelle des
Auftragnehmers schriftlich anzuzeigen. Die Unterlassung
rechtzeitiger Einwendungen gilt als Genehmigung. Der
Auftragnehmer wird in den Rechnungen auf die Folgen einer
unterlassenen rechtzeitigen Anzeige besonders hinweisen.
Gesetzliche Ansprüche des Auftraggebers bei begründeten
Einwendungen nach Fristablauf bleiben unberührt.
§ 5 Gewährleistung und Haftung
1. Es ist nach dem derzeitigen Stand der Technik nicht möglich,
alle Unwägbarkeiten im Zusammenhang mit dem Medium Internet
auszuschließen. Aus diesem Grund übernimmt der Auftragnehmer
keine Gewährleistung für technische Mängel, insbesondere für die
ständige und ununterbrochene Verfügbarkeit der Datenbank und
ihrer Inhalte oder für die vollständige und fehlerfreie Wiedergabe
der vom Auftraggeber in die Online-Datenbank eingestellten
Inhalte.
2. Der Auftraggeber hat Mängel der Leistungen des
Auftragnehmers, soweit durch zumutbare Untersuchungen
feststellbar oder festgestellt, unverzüglich nach Kenntniserhalt
anzuzeigen.
3. Sofern ein Mangel der Leistung des Auftragnehmers vorliegt,
ist der Auftragnehmer berechtigt, Nacherfüllung nach ihrer Wahl
durch Mängelbeseitigung oder Neuherstellung zu erbringen.
Schlägt die Nacherfüllung fehl, so kann der Auftraggeber vom
Vertrag zurücktreten oder das Entgelt herabsetzen (mindern).
Schadensersatz kann nur unter den Voraussetzungen von § 5
Ziffer 4 verlangt werden.
4. Schadensersatzansprüche des Auftraggebers, gleich aus
welchem Rechtsgrund, sowie seine Ansprüche auf Ersatz
vergeblicher Aufwendungen sind ausgeschlossen, es sei denn, die
Schadensursache beruht auf einer grob fahrlässigen oder
vorsätzlichen Pflichtverletzung oder auf einer zumindest
fahrlässigen Verletzung wesentlicher Vertragspflichten
(Kardinalpflichten); im letzteren Fall ist die Haftung der Höhe nach
auf den typischerweise, vorhersehbaren Schaden begrenzt. Die
vorstehende Haftungsbegrenzung gilt nicht für Schäden aus der
Verletzung des Lebens, des Körpers oder der Gesundheit, bei
einer Haftung nach dem Produkthaftungsgesetz oder soweit der
Auftragnehmer ausnahmsweise eine Garantie übernommen hat.
AGB-ADV-ADRESSDIALOG.doc…
§ 6 Datenschutz
1. Der Auftragnehmer legt besonderen Wert auf die Sicherheit
und den Schutz der vom Auftraggeber übermittelten Datensätze
und beachtet die Vorgaben des Bundesdatenschutzgesetzes
(BDSG) sowie des Teledienstegesetz (TDG) und des
Teledienstedatenschutzgesetzes (TDDSG). Hierzu schließt der
Auftragnehmer mit den Auftraggebern einen gesonderten
Auftragsdatenverarbeitungsvertrag i.S.d. § 11 BDSG.
2. Der Auftragnehmer als Diensteanbieter im Sinne des
Teledienstegesetzes weist gemäß § 33 BDSG darauf hin, dass
personenbezogene Daten (Bestandsdaten) und andere
Informationen, die sein Nutzungsverhalten und das
Nutzungsverhalten der via Mailing adressierten Kunden
(Verbindungsdaten) betreffen (z.B. Zeitpunkt, Anzahl und Dauer
der Verbindungen, Zugangskennwörter, Up- und Downloads), vom
Diensteanbieter während der Dauer des Vertragsverhältnisses
gespeichert werden, soweit dies zur Erfüllung des Vertragszweck,
insbesondere für Abrechnungszwecke und zur Kundenberatung,
erforderlich ist. Der Auftraggeber erklärt sich mit der Speicherung
einverstanden. Der Diensteanbieter verpflichtet sich, dem
Auftraggeber auf Verlangen jederzeit über den gespeicherten
Datenbestand, soweit er ihn betrifft, vollständig und unentgeltlich
Auskunft zu erteilen. Der Provider wird weder diese Daten noch
den Inhalt privater Nachrichten des Auftraggebers ohne dessen
Einverständnis an Dritte weiterleiten. Dies gilt nur insoweit nicht,
als der Provider gesetzlich verpflichtet ist, Dritten, insbesondere
staatlichen Stellen, solche Daten zu offenbaren oder soweit
international anerkannte technische Normen dies vorsehen und der
Auftraggeber nicht widerspricht.
3. Der Auftragnehmer speichert und verarbeitet
personenbezogene Daten des Auftraggebers (Name, Anschrift
usw.) sowie vom Auftraggeber bereitgestellte personenbezogene
Daten Dritter (Empfängeradressen) nur, soweit dies für die
Erbringung der Leistung und Abwicklung der Auftraggeberaufträge
erforderlich ist. Soweit sich der Auftragnehmer zur Erbringung der
Leistung Erfüllungsgehilfen bedient, ist sie berechtigt, die Daten
den beauftragten Dienstleistungsunternehmen zu diesem Zweck im
erforderlichen Umfang zugänglich zu machen.
4. Über die Erbringung der Leistung und Abwicklung der
Auftraggeberaufträge hinaus erfolgt eine Nutzung der
personenbezogenen Daten des Auftraggebers nur, wenn der
Auftraggeber in diese Nutzung ausdrücklich eingewilligt hat.
5. Der Auftraggeber seinerseits hat dafür Sorge zu tragen, dass
in Bezug auf die von ihm bereitgestellten personenbezogenen
Daten Dritter (Empfängeradressen) alle für die vertragsgemäße
Erbringung der Leistung erforderlichen datenschutzrechtlichen
Einwilligungen und Erklärungen der Empfänger vorliegen.
§ 7 Kündigung: Ausschluss von ADRESSDIALOG
1. Der Auftragnehmer ist berechtigt, den Auftraggeber von der
Inanspruchnahme des ADRESSDIALOG-Dienstes durch Sperren
der Auftraggeber-ID auszuschließen und/oder den Vertrag aus
wichtigem Grund fristlos zu kündigen, wenn der Auftraggeber sich
mit fälligen Entgelten oder einem nicht unerheblichen Teil des
fälligen Entgelts in Verzug befindet oder ein Insolvenzverfahren
über das Vermögen des Auftraggeber beantragt, eröffnet oder
dessen Eröffnung mangels Masse abgelehnt wird.
2. Der Auftragnehmer ist nach vorheriger Androhung unter
Fristsetzung berechtigt, dem Auftraggeber den Zugang zu seinem
Datenmaterial zu verwehren, falls die Frist fruchtlos verstreicht.
Ebenfalls ist eine Sperrung bei Zahlungsverzug mehr als 4 Wochen
nach Rechnungsdatum ohne Fristsetzung möglich. Im Falle einer
Sperrung wird der Server heruntergefahren. Während der Zeit
einer Sperrung können Nutzer nicht auf das Informationsangebot
des Auftraggebers zugreifen. Eine Mahnung kann mit der
Androhung der Sperrung verbunden werden. Während der Zeit der
Sperrung bleibt der Auftraggeber verpflichtet, die Vergütung zu
erbringen, da das Datenmaterial des Auftraggebers weiterhin von
dem Auftragnehmer vorgehalten wird. Bei Gefahr im Verzug kann
die vorherige Androhung unterbleiben. Zur Sperrung berechtigt
insbesondere
1. ein Verstoß gegen die Pflichten aus Ziffer 3, oder
2. die nicht fristgerechte Zahlung einer Rechnung, oder
3. der Verdacht einer Rechtswidrigkeit der Inhalte des
Datenmaterials des Auftraggebers oder die Behauptung einer
Verletzung von Rechten Dritter, nachdem der Auftraggeber
hierüber informiert wurde, oder
Seite 2 von 5
4. die missbräuchliche Nutzung der Infrastruktur. Eine
missbräuchliche Nutzung liegt insbesondere vor, wenn der
Auftraggeber
* nicht angeforderte elektronische kommerzielle
Kommunikationen übermittelt (Spam-Mail), oder
* nicht angeforderte elektronische Kommunikationen in Form
von Massensendungen auch ohne Werbezwecke
übermittelt (Junk-Mail), oder
* im Rahmen des jeweiligen Vertrages Software, wie z.B.
auch Scripte verwendet, die das Betriebsverhalten der
Infrastruktur beeinträchtigt oder zu beeinträchtigen geeignet ist.
Die Sperrung wird aufrechterhalten, um die Haftung des
Auftragnehmers zu vermeiden, bis der Auftraggeber die
Rechtmäßigkeit der Inhalte darlegt oder gegebenenfalls
beweist. Das Gleiche gilt bei Ermittlungen der
Staatsanwaltschaft. Eine Sperrung ist nur bei offensichtlich
unbegründeten Abmahnungen Dritter ausgeschlossen.
5. Das Recht der Vertragsparteien zur - gegebenenfalls auch
fristlosen - Kündigung aus anderem wichtigem Grund bleibt
unberührt.
§ 8 Sonstige Bestimmungen
1. Der Auftragnehmer ist berechtigt, diese Allgemeinen
Geschäftsbedingungen aus betrieblichen, gesetzlichen oder
sonstigen Gründen zu ändern und wird dem Auftraggeber etwaige
Änderungen zur Kenntnis bringen, hierfür genügt eine Mitteilung
per e-mail an die in der Registrierung hinterlegte e-mail Adresse.
2. Ändert der Auftragnehmer ihre Allgemeinen
Geschäftsbedingungen, kann der Auftraggeber der Änderung
innerhalb einer Woche nach Zugang der Änderungsmitteilung
widersprechen, worauf der Auftragnehmer den Auftraggeber in der
Änderungsankündigung ausdrücklich hinweisen wird.
3. Der Auftragnehmer wird den Auftraggeber weiterhin darauf
hinweisen, dass die Änderungen der Allgemeinen
Geschäftsbedingungen als genehmigt gelten, wenn der
Auftraggeber sich nicht fristgerecht anderweitig erklärt. Werden die
geänderten Allgemeinen Geschäftsbedingungen vom Auftraggeber
nicht akzeptiert, ist der Auftragnehmer zur außerordentlichen
Kündigung zum Zeitpunkt des Inkrafttretens der Änderung
berechtigt. Der Auftraggeber kann hieraus keine Anspr üche gegen
der Auftragnehmer geltend machen.
4. Sollte eine gegenwärtige oder zukünftige Bestimmung dieser
AGB unwirksam oder undurchführbar sein oder werden, so wird die
Gültigkeit der übrigen Bestimmungen hierdurch nicht berührt. In
diesem Fall ist die unwirksame oder undurchführbare Bestimmung
durch eine wirksame und durchführbare Bestimmung zu ersetzen,
die den mit der unwirksamen oder undurchführbaren Bestimmung
verfolgten Regelungsziele am nächsten kommen. Gleiches gilt f ür
die Ausfüllung etwaiger Vertragslücken.
5. Ausschließlicher Gerichtsstand für Rechtsstreitigkeiten mit
Kaufleuten, juristischen Personen des öffentlichen Rechts oder
öffentlich-rechtlichen Sondervermögen aus Verträgen, die diesen
AGB unterliegen, ist Bonn.
6. Es gilt deutsches Recht.
Stand: 1. Februar 2010
Vertrag für die Datenverarbeitung im Auftrag
gemäß § 11 Bundesdatenschutzgesetz
(ADV) für den Internetservice
ADRESSDIALOG
Dieser Vertrag für die Datenverarbeitung im Auftrag gemäß § 11
Bundesdatenschutzgesetz (BDSG) gilt für die vertraglichen
Rechtsbeziehungen zwischen der Deutschen Post AG - nachfolgend
" Auftragnehmer" genannt- und ihren Kunden - nachfolgend "
Auftraggeber " genannt für den Internetservice ADRESSDIALOG.
1: Gegenstand und Dauer des Auftrags
Der Gegenstand des Auftrags ergibt sich aus der anliegenden
Leistungsvereinbarung, auf die hier verwiesen wird. Die Dauer
dieses Auftrags (Laufzeit) entspricht der Laufzeit der
Leistungsvereinbarung.
2: Konkretisierung des Auftragsinhalts
AGB-ADV-ADRESSDIALOG.doc…
Umfang, Art und Zweck der Erhebung, Verarbeitung und/oder
Nutzung personenbezogener Daten durch den Auftragnehmer für
den Auftraggeber sind konkret beschrieben in der anliegenden
Leistungsvereinbarung.
Die Verarbeitung und Nutzung der Daten findet ausschließlich im
Gebiet der Bundesrepublik Deutschland.
Gegenstand der Erhebung, Verarbeitung und/oder Nutzung
personenbezogener Daten sind folgende Datenarten/-kategorien
Personenstammdaten
 Kommunikationsdaten (z. B. Telefon, E-Mail)
 Vertragsstammdaten (Vertragsbeziehung, Produkt-
bzw. Vertragsinteresse)
 Kundenhistorie
 Vertragsabrechnungs- und Zahlungsdaten
 Planungs- und Steuerungsdaten
 Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder
aus öffentlichen Verzeichnissen)
 ...
Der Kreis der durch den Umgang ihrer personenbezogenen Daten
im Rahmen dieses Auftrags Betroffenen umfasst:
 Kunden
 Interessenten
 Abonnenten
 Beschäftigte i. S. d. § 3 Abs. 11a BDSG
 Lieferanten
 Handelsvertreter
 Ansprechpartner
 ...
3: Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die im Vorfeld der Auftragsvergabe
dargelegten technischen und organisatorischen umgesetzten
Maßnahmen im Rahmen eines Selbstaudits vor Beginn der
Verarbeitung zu dokumentieren und dem Auftraggeber zur Prüfung
zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die
dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die
Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf
ergibt, ist dieser einvernehmlich umzusetzen.
Bei den Maßnahmen handelt es sich einerseits um nicht
auftragsspezifische Maßnahmen hinsichtlich der
Organisationskontrollen, Zutrittskontrollen, Zugangskontrollen,
Zugriffskontrollen, Weitergabekontrollen, Auftragskontrollen,
Verfügbarkeitskontrollen sowie des Trennungsgebots, die in der
Anlage zu diesem Auftrag dokumentiert sind, sowie andererseits
um auftragsspezifische Maßnahmen insbesondere im Hinblick auf
die Art des
Datenaustauschs/Bereitstellung von Daten, Art/Umstände der
Verarbeitung/Datenhaltung sowie Art/Umstände des Umgangs beim
Output/Datenversand.
Die technischen und organisatorischen Maßnahmen unterliegen
dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist
es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen
umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten
Maßnahmen nicht unterschritten werden. Wesentliche Änderungen
sind zu dokumentieren. Der Auftragnehmer hat auf Anforderung die
Angaben nach § 4g Abs. 2, S.1 BDSG dem Auftraggeber zur
Verfügung zu stellen.
4: Berichtigung, Sperrung und Löschung von Daten
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die
Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen
oder zu sperren. Soweit ein Betroffener sich unmittelbar an den
Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten
wenden sollte, wird der Auftragnehmer diesen Antrag unverzüglich
an den Auftraggeber weitergeben.
5: Kontrollen und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen
dieses Auftrags nach § 11 Abs. 4 BDSG folgende Pflichten:
 Schriftliche Bestellung - soweit gesetzlich vorgeschrieben -
eines Datenschutzbeauftragten, der seine Tätigkeit gemäß
§§ 4f, 4g BDSG ausüben kann. Dessen Kontaktdaten werden
dem Auftraggeber mitgeteilt zum Zweck der direkten
Kontaktaufnahme: Deutsche Post DHL,
Seite 3 von 5
Konzerndatenschutzbeauftragte Gabriela Krader, Charles-de-
Gaulle-Str. 20, 53113 Bonn
 Die Wahrung des Datengeheimnisses entsprechend § 5
BDSG. Alle Personen, die auftragsgemäß auf
personenbezogene Daten des Auftraggebers zugreifen
können, müssen auf das Datengeheimnis verpflichtet und
über die sich aus diesem Auftrag ergebenden besonderen
Datenschutzpflichten sowie die bestehende Weisungs- bzw.
Zweckbindung belehrt werden.
 Die Umsetzung und Einhaltung aller für diesen Auftrag
notwendigen technischen und organisatorischen Maßnahmen
entsprechend § 9 BDSG und der Anlage zu § 9 BDSG.
 Die unverzügliche Information des Auftraggebers über
Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde
nach § 38 BDSG. Dies gilt auch, soweit eine zuständige
Behörde nach §§ 43, 44 BDSG beim Auftragnehmer ermittelt.
 Die Durchführung der Auftragskontrolle mittels regelmäßiger
Prüfungen durch den Auftragnehmer im Hinblick auf die
Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung
und ggf. notwendige Anpassung von Regelungen und
Maßnahmen zur Durchführung des Auftrags.
 Nachweisbarkeit der getroffenen technischen und
organisatorischen Maßnahmen gegenüber dem
Auftraggeber. Hierzu kann der Auftragnehmer auch Testate,
Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B.
Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-
Sicherheitsabteilung, Datenschutzauditoren,
Qualitätsauditoren) vorlegen.
6: Unterauftragsverhältnisse
Soweit mit der Verarbeitung oder Nutzung personenbezogener
Daten des Auftraggebers Unterauftragnehmer einbezogen werden,
wird dies grundsätzlich nur unter folgenden Voraussetzungen
genehmigt:
 Der Auftragnehmer benennt die Unterauftragnehmer.
 Die Einschaltung weiterer Unterauftragnehmer ist nur mit
schriftlicher Zustimmung des Auftraggebers gestattet.
 Der Auftragnehmer hat die vertraglichen Vereinbarungen mit
dem/den Unterauftragnehmer/n so zu gestalten, dass sie den
Datenschutzbestimmungen im Vertragsverhältnis zwischen
Auftraggeber und Auftragnehmer entsprechen.
 Bei der Unterbeauftragung sind dem Auftraggeber Kontroll-
und Überprüfungsrechte entsprechend dieser Vereinbarung
und des § 11 BDSG i.V. mit Nr. 6 der Anlage zu § 9 BDSG
beim Unterauftragnehmer einzuräumen. Dies umfasst auch
das Recht des Auftraggebers, auf schriftliche Anforderung
vom Auftragnehmer Auskunft über den wesentlichen
Vertragsinhalt und die Umsetzung der datenschutzrelevanten
Verpflichtungen im Unterauftragsverhältnis,
erforderlichenfalls durch Einsicht in die relevanten
Vertragsunterlagen, zu erhalten.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind
solche Dienstleistungen zu verstehen, die der Auftragnehmer durch
Dritte als Nebenleistung zur Unterstützung bei der
Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B.
Telekommunikationsleistungen, Wartung und Benutzerservice,
Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der
Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des
Datenschutzes und der Datensicherheit der Daten des
Auftraggebers auch bei ausgelagerten Nebenleistungen
angemessene und gesetzeskonforme vertragliche Vereinbarungen
sowie Kontrollmaßnahmen zu ergreifen.
7: Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu § 9
BDSG vorgesehene Auftragskontrolle im Benehmen mit dem
Auftragnehmer durchzuführen oder durch im Einzelfall zu
benennende Prüfer durchführen zu lassen. Er hat das Recht, sich
durch Stichprobenkontrollen, die in der Regel rechtzeitig
anzumelden sind, von der Einhaltung dieser Vereinbarung durch
den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der
Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung
die zur Wahrung seiner bei der Verarbeitung personenbezogener
Daten bestehende Verpflichtung zur Auftragskontrolle erforderlichen
Auskünfte zu geben und Nachweise zu führen.
Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach §
11 Abs. 2 S. 4 BDSG vor Beginn der Datenverarbeitung und
während der Laufzeit des Auftrags stellt der Auftragnehmer sicher,
dass sich der Auftraggeber von der Einhaltung der getroffenen
technischen und organisatorischen Maßnahmen überzeugen kann.
Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die
Umsetzung der technischen und organisatorischen Maßnahmen
AGB-ADV-ADRESSDIALOG.doc…
gemäß § 9 BDSG und der Anlage nach. Dabei kann der Nachweis
für die Umsetzung solcher Maßnahmen, die nicht nur den konkreten
Auftrag betreffen, auch durch Vorlage eines aktuellen Testats von
unabhängiger Stelle, z.B. von Wirtschaftsprüfern, Revision, dem
Datenschutzbeauftragten des Auftragnehmers, oder einer
geeigneten Zertifizierung durch IT-Sicherheits- oder
Datenschutzaudit (z. B. nach BSI-Grundschutz) erbracht werden.
8: Mitteilung bei Verstößen des Auftragnehmers
Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber eine
Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen
Verstöße gegen Vorschriften zum Schutz personenbezogener Daten
des Auftraggebers oder gegen die im Auftrag getroffenen
Festlegungen vorgefallen sind. Es ist bekannt, dass nach § 42a
BDSG Informationspflichten im Falle des Abhandenkommens oder
der unrechtmäßigen Übermittlung oder Kenntniserlangung von
personenbezogenen Daten bestehen können. Deshalb sind solche
Vorfälle ohne Ansehen auf die Verursachung unverzüglich dem
Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden
Störungen des Betriebsablaufs, beim Verdacht auf sonstige
Verletzungen gegen Vorschriften zum Schutz personenbezogener
Daten oder anderen Unregelmäßigkeiten beim Umgang mit
personenbezogenen Daten des Auftraggebers. Der Auftragnehmer
hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen
zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger
Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber
Pflichten nach § 42a BDSG treffen, hat der Auftragnehmer ihn
hierbei zu unterstützen.
9: Weisungsbefugnis des Auftraggebers
Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der
getroffenen Vereinbarungen und nach Weisung des Auftraggebers
(s. a. § 11 Abs. 3 Satz 1 BDSG). Der Auftraggeber behält sich im
Rahmen der in dieser Vereinbarung getroffenen
Auftragsbeschreibung ein umfassendes Weisungsrecht über Art,
Umfang und Verfahren der Datenverarbeitung vor, das er durch
Einzelweisungen konkretisieren kann. Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind
gemeinsam abzustimmen. Auskünfte an Dritte oder den Betroffenen
darf der Auftragnehmer nur nach vorheriger schriftlicher
Zustimmung durch den Auftraggeber erteilen.
Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich
oder per Email bestätigen. Der Auftragnehmer verwendet die Daten
für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie
an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen
des Auftraggebers nicht erstellt. Hiervon ausgenommen sind
Sicherheitskopien, soweit sie zur Gewährleistung einer
ordnungsgemäßen Datenverarbeitung erforderlich sind sowie Daten,
die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.
Vereinbarungen hierzu getroffen.
13: Sonstiges
Ergänzungen und Änderungen dieses Vertrags bedürfen der
Schriftform.
Sollte Eigentum des Auftraggebers beim Auftragnehmer durch
Maßnahmen Dritter, etwa durch Pfändung, durch ein Konkurs- oder
Vergleichsverfahren oder durch sonstige Ereignisse gefährdet
werden, so hat der Auftragnehmer den Auftraggeber unverzüglich
und vor Eintritt dieser Maßnahmen zu verständigen.
Es besteht bei den Vertragsparteien Einigkeit darüber, dass die
"Allgemeinen Geschäftsbedingungen" des Auftragnehmers auf
diesen Vertrag keine Anwendung finden.
Erweist sich eine Bestimmung dieses Vertrages als unwirksam, so
berührt dies die Wirksamkeit der übrigen Bestimmungen des
Vertrags nicht. Beide Vertragsparteien sind in diesem Falle
verpflichtet, unverzüglich in eine nachträgliche Zusatzbestimmung
einzuwilligen, die nach Sinn und Zweck der unwirksamen
Bestimmung am nächsten kommt.
Alleiniger Gerichtsstand für alle Streitigkeiten aus und im
Zusammenhang mit dieser Vereinbarung ist, vorbehaltlich eines
etwaigen ausschließlich gesetzlichen Gerichtsstandes, Bonn. Beide
Seiten bleiben jedoch zur Erhebung der Klage oder der Einleitung
sonstiger gerichtlicher Verfahren am allgemeinen Gerichtsstand
bzw. Sitz der jeweiligen Gesellschaft berechtigt.
Stand: 1. Februar 2010
Anlage zum Vertrag über die
Datenverarbeitung im Auftrag; hier: Sicherheit
und Datenschutz bei persönlichen Dialogen
im Internet
Die „Allgemeinen Geschäftsbedingungen der Deutschen Post AG
für den Internetservice ADRESSDIALOG“ habe ich zur Kenntnis
genommen. Mit dem Inhalt bin ich einverstanden.
Den „Vertrag für die Datenverarbeitung im Auftrag gemäß § 11
Bundesdatenschutzgesetz (ADV) für den Internetservice
ADRESSDIALOG“ inkl. Anlage habe ich ebenfalls zur Kenntnis
genommen. Mit dem Inhalt bin ich einverstanden.

Der Auftragnehmer hat den Auftraggeber unverzüglich

entsprechend § 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der
Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche
Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der
entsprechenden Weisung solange auszusetzen, bis sie durch den
Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. Ort / Datum: ____________________________________
10: Löschung von Daten und Rückgabe von Datenträgern
Nach Abschluss der vertraglichen Arbeiten oder früher nach Auftragnehmer: ____________________________________
Aufforderung durch den Auftraggeber – spätestens mit Beendigung
der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in
seinen Besitz gelangten Unterlagen, erstellten Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang Unterschrift: ____________________________________
mit dem Auftragsverhältnis stehen, dem Auftraggeber
auszuhändigen oder nach vorheriger Zustimmung
datenschutzgerecht zu vernichten. Gleiches gilt für Test- und
Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung
vorzulegen. Dokumentationen, die dem Nachweis der
ordnungsgemäßen Datenverarbeitung dienen, sind durch den
Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen
über das Vertragsende hinaus aufzubewahren. Er kann sie zu
seiner Entlastung bei Vertragsende dem Auftraggeber übergeben
Ort / Datum: ____________________________________
11: Nutzungsrechte
Durch diesen Vertrag werden keine Nutzungsrechte an den
Betriebsdaten, die über die mit dem Auftrag definierten Zwecke Auftraggeber: ____________________________________
hinausgehen, gewährt.

12: Haftung und Schadensersatz

Unterschrift: ____________________________________
Im Falle von Ansprüchen Betroffener gegen den Auftraggeber
wegen der Verletzung von Datenschutzbestimmungen übernimmt
der Auftragnehmer die Beweislast dafür, dass der Schaden nicht
Folge eines von ihm zu vertretenen Umstandes ist, soweit
personenbezogene Daten des Betroffenen vom Auftragnehmer im
Auftrag des Auftraggebers verarbeitet werden. Für sonstige
Haftungs- und Schadensersatzansprüche gelten die gesetzlichen
Bestimmungen, es sei denn, es werden gesondert vertragliche

Seite 4 von 5 AGB-ADV-ADRESSDIALOG.doc…

Anlage zum Vertrag über die Datenverarbeitung im Auftrag; hier: Sicherheit und Datenschutz bei persönlichen
Dialogen im Internet
Gemäß § 11 BDSG (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag) wird die DPAG bei Adressdialog als
Auftragnehmer tätig. Gem. § 9 BDSG (Technische und organisatorische Maßnahmen) sind folgende Vorkehrungen getroffen:.

Backoffice Adressdialog der Deutschen Post - Kastorhof 2, 56065 Koblenz

1. Zutrittskontrolle - Unbefugten ist der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder
genutzt werden, verwehrt. Folgende Maßnahmen sind getroffen:
- Festlegung befugter Personen
- Schlüsselregelung
- Anwesenheitsaufzeichnung
- Sicherheitsbereich
- Türsicherung (elektrischer Türschließer)

2. Zugangskontrolle – ADRESSDIALOG kann nicht von Unbefugten genutzt werden. Folgende Maßnahmen sind getroffen:
- Verschlüsselung von Archiven. Siehe [Infopost-Manager] und [Adressdialog]
- Eingeschränkte Benutzerberechtigungen
- Verpflichtung auf das Datengeheimnis gem. § 5 BDSG
- Einsatz von Benutzercodes für Daten und Programme
- Richtlinien für die Dateiorganisation
- Protokollierung und Auswertung der Dateinutzung
- Kontrollierte Vernichtung von Adressdateien nach Vertragsablauf

3. Zugriffskontrolle - Zur Benutzung von ADRESSDIALOG Berechtigte können ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden Daten zugreifen. Personenbezogene Daten bei der Verarbeitung, Nutzung und nach Speicherung können nicht unbefugt
gelesen, kopiert, verändert oder entfernt werden. Folgende Maßnahmen sind getroffen:
- Auswertung von Protokollen
- Berechtigungskonzept myADDRESSDIALOG mit weitgehenden Kontrollmöglichkeiten des Auftraggebers

4. Weitergabekontrolle - Personenbezogene Daten können bei der elektronischen Übertragung oder während ihres Transports oder ihrer
Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Es kann überprüft und festgestellt werden, an
welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Folgende
Maßnahmen sind getroffen:
- Eindeutige Festlegung der befugten Personen
- Verschlüsselte Kommunikation
- Keine ungesicherte E-Mail-Kommunikation mit Adressdateien
- Dokumentation der Abruf- und Übermittlungsmechanik

5. Eingabekontrolle - Nachträglich kann überprüft und festgestellt werden, ob und von wem personenbezogene Daten in ADRESSDIALOG
eingegeben, verändert oder entfernt worden sind. Folgende Maßnahmen sind getroffen:
- Protokollierter Projekt- und Dateizugriff
- Verfahrens-, Programm- und Arbeitsablauforganisation
- Verpflichtung auf das Datengeheimnis

6. Auftragskontrolle – Die DPAG unterstützt den Auftraggeber bei der Durchführung der in § 4 des Vertrages geregelten Kontrollen.
7. Verfügbarkeitskontrolle – Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt.
8. Zweckbindungskontrolle - Zu unterschiedlichen Zwecken erhobene Daten können getrennt verarbeitet werden.

9. Dokumentation technischer Maßnahmen

9.1 Software „Infopost-Manager“ der Deutschen Post

- Einheitliches qualitätsgesichertes Adressmanagement frei von Inkonsistenzen
- Einheitlicher Satzaufbau bei crossmedialer Vorgehensweise
- Sichere Codes
- Menügesteuerte, innovative Codierung und Koppelung mit Adressdatenbank
- Integrität von Codes und Steuerdateien für mailing- und webbasierte Kommunikation
- Erzeugung verschlüsselter Archive für Webupload im IAD-Format

9.2 Webservice „Adressdialog“ der Deutschen Post

- Vereinbarung für die Datenverarbeitung im Auftrag ist Bestandteil jeden Auftrags
- Selbstverpflichtungerklärung gegenüber dem Deutschen Dialogmarketing Verband e.V. (DDV)
- Qualitätssiegel Datenverarbeitung DDV
- Geschützter Zugang zum Projektmanagement myADDRESSDIALOG mit Benutzerkennung und Passwort
- Durchgehendes verschlüsseltes HTTPS-Protokoll
- Missbrauchssicherer Transfer/Upload von Adressdateien
- Geschützte Einsicht in Responsedateien und -verläufe
- Sicherer Download von Responsedateien
- Relationales, bedarfsgerechtes Benutzerkonzept
- Fristgerechte Löschung von Adressdateien nach Vertragsende plus 1 weiterem Monat
(auch aller Zwischendateien aus Adressoptimierung und ggf. sichererem Mailverkehr)

9.3 Hosting/Serverbetrieb bei Dienstleister Open IT, Düsseldorf

- Doppelt zugangsgesicherter Serverraum
- Verfügbarkeit der Internetanbindung von 99,95% im Jahresmittel

© 2010 Deutsche Post AG Zentrale – Produktmanagement Dialogmarketing – http://www.adressdialog.de

Seite 5 von 5 AGB-ADV-ADRESSDIALOG.doc