Datenverarbeitung

Vereinbarung zur Verarbeitung der personenbezogenen Daten

Entsprechend Ziffer 3.3 der Teilnahmebedingungen wird zwischen dem Lieferanten bzw. Händler (wie jeweils in den Teilnahmebedingungen definiert) und der Scalerion GmbH (wie in den Teilnahmebedingungen definiert) mit dem Abschluss des Teilnahmevertrages (wie in den Teilnahmebedingungen definiert) diese Vereinbarung zur gemeinsamen Verantwortung nach Art. 26 DSGVO abgeschlossen (nachfolgend der „Vertrag“).

Die vertragsschließenden Parteien werden nachfolgend gemeinsam als „Verantwortliche“ oder einzeln als „Verantwortlicher“ bezeichnet. Die Scalerion GmbH wird auch als „wir“ oder „uns“ bezeichnet.

§ 1 Gegenstand des Vertrags

 

(1) Dieser Vertrag gilt ausschließlich für die in diesem Absatz näher beschriebenen Datenverarbeitungen („erfasste Datenverarbeitungen“):

(a) Wird durch einen Kunden eine Bestellung über die Scalerion-Plattform (wie in den Teilnahmebedingungen definiert) ausgelöst, werden die folgenden Daten erhoben und verarbeitet:

  • Angaben zur Person (Name, Vorname, Geschlecht, Geburtsdatum)
  • Kontaktdaten (Straße, PLZ, Ort, E-Mail, ggf. Telefon)
  • Name und Adresse des Ladenlokals
  • Angaben zum bestellten Produkt (insb. Produktbezeichnung, Preis)
  • Datum der Bestellung
  • Beteiligte Händler und Lieferanten
  • Versandinformationen
  • Daten zur Zahlungsabwicklung (insb. verwendete Zahlungsmittel).

Diese Daten werden verarbeitet, um die Bestellung des Kunden durchführen zu können. Weiterhin werden die Daten benötigt, um den zwischen uns und den Händlern bzw. Lieferanten geschlossenen Teilnahmevertrag (wie in den Teilnahmebedingungen definiert) sowie die Abreden zwischen den Händlern und Lieferanten über den Vertrieb von Waren über unsere Handelsplattform (wie in den Vermittlungsbedingungen definiert) erfüllen zu können.

(b) Für die Erhebung dieser Daten bei der Aufgabe oder Rückabwicklung der Bestellung über unsere Handelsplattform unter Mitwirkung eines Händlers sind wir gemeinsam mit dem jeweiligen Händler – bezogen auf die enthaltenen personenbezogenen Daten – verantwortlich.

(c) Für die Verarbeitung dieser Daten im unmittelbaren Zusammenhang mit der Durchführung der Bestellung über unsere Handelsplattform sind wir gemeinsam mit dem jeweiligen Lieferanten, der die Bestellung durch führt – bezogen auf die enthaltenen personenbezogenen Daten – verantwortlich.

 

(2) Darüber hinaus sind wir alleine für die Verarbeitung der personenbezogenen Daten der Kunden im in Ziffer 3. unserer Datenschutzhinweise für Kunden beschriebenen Umfang verantwortlich. Im Übrigen sind die Händler bzw. Lieferanten für die von ihnen durchgeführte Verarbeitung von personenbezogenen Daten ausschließlich selbst verantwortlich. Insbesondere sind wir nicht für die Verarbeitung von personenbezogenen Daten verantwortlich, die außerhalb der Scalerion-Plattform oder durch nicht bestimmungsgemäße Verwendung der Scalerion-Plattform durch die Händler bzw. Lieferanten erfolgt.

 

(3) Durch diesen Vertrag wird keine gesellschaftsrechtliche Beziehung (insb. GbR, OHG) zwischen den Verantwortlichen geschaffen.

§ 2 Pflichten der Verantwortlichen

 

I. Allgemeine Pflichten jedes Verantwortlichen

Die Verantwortlichen sind gemeinsam dafür verantwortlich, dass erfasste Datenverarbeitungen gemäß den Regelungen dieses Vertrags sowie im Einklang mit der DSGVO verarbeitet werden. Für die Erfüllung von lokalem Datenschutzrecht (bspw. dem BDSG) und allen sonstigen lokalen Rechtsvorschriften sind die jeweiligen Verantwortlichen, die den lokalen Rechtsvorschriften unterworfen sind, ausschließlich selbst verantwortlich.

 

II. Besondere Pflichten jedes Verantwortlichen

Jeder Verantwortliche stellt für die erfassten Datenverarbeitungen sicher, dass die folgenden Verpflichtungen aus der DSGVO in seinem Herrschaftsbereich eingehalten werden: ­

  • Alle mit der Datenverarbeitung befassten Personen werden die Vertraulichkeit der Daten gemäß den Artikeln 28 Abs. 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und werden vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen; ­
  • Die Verantwortlichen ergreifen die für die datenschutzkonforme Ausgestaltung der gemeinsamen Verarbeitung erforderlichen technischen und organisatorischen Maßnahmen; ­
  • Die Verantwortlichen haben eigenständig dafür Sorge zu tragen, dass sie sämtliche, in Bezug auf die Daten bestehende, gesetzliche Aufbewahrungspflichten einhalten können. Sie haben hierzu (unbeschadet entsprechender Regelungen in diesem Vertrag) angemessene Datensicherungsvorkehrungen und ggf. zusätzliche Vereinbarungen zu treffen; ­
  • Die Implementierung, Voreinstellung und der Betrieb der Datenverarbeitungssysteme für erfasste Datenverarbeitungen sind unter Beachtung der Vorgaben der DSGVO, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen; ­
  • Sofern die Verantwortlichen zur Führung eines Verarbeitungsverzeichnisses verpflichtet sind, nehmen sie die erfassten Datenverarbeitungen in das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO auf, auch und insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer Verantwortung; ­
  • Die Verantwortlichen sind bei Vorliegen der gesetzlichen Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu bestellen und den Datenschutzbeauftragten dem anderen Verantwortlichen zu benennen. III. Aufteilung der Pflichten nach der DSGVO zwischen den Verantwortlichen Für die erfassten Datenverarbeitungen haben sich die Verantwortlichen auf die folgende Aufgabenverteilung zur Erfüllung der dort genannten Verpflichtungen nach der DSGVO geeinigt (ein Verantwortlicher, der nach der für eine Verpflichtung nach der DSGVO zuständig ist, wird nachfolgend als „zuständiger Verantwortlicher“ bezeichnet):

 

 

Zuständigkeit

 

 
Verpflichtung zur Sicherstellung einer rechtmäßigen Grundlage für die Verarbeitung Alle Verantwortlichen gemeinschaftlich.

Verpflichtung zur Bereitstellung von Informationen für die betroffenen Personen (insbesondere Art. 12 – 14 DSGVO)

Verpflichtung zur Bearbeitung und Beantwortung von Anfragen durch betroffene Personen (insbesondere Art. 15 – 23 DSGVO)

Anlaufstelle für betroffene Personen zur Bearbeitung von Anfragen durch betroffene Personen (insbesondere Art. 15 – 23 DSGVO)

Verpflichtung, den betroffenen Personen den wesentlichen Inhalt des Vertrags zugänglich zu machen (Art. 26 Abs. 2 DSGVO)

Verpflichtung zur Anzeige von Verletzungen des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und/oder der betroffenen Person (Art. 33, 34 DSGVO)

Verpflichtung zur Ausführung einer Datenschutzfolgenabschätzung (insbesondere Art. 35, 36 DSGVO)

Scalerion GmbH, sofern die Datenverarbeitung ausschließlich durch bestimmungsgemäße Verwendung der Funktionalitäten der Scalerion-Plattform erfolgt. Händler bzw. Lieferant, sofern die Datenverarbeitung außerhalb der Scalerion-Plattform bzw. durch nicht durch bestimmungsgemäße Verwendung der Scalerion-Plattform erfolgt.

 

Der jeweils zuständige Verantwortliche gewährleistet und steht dafür ein, dass die ihm zugewiesenen Verpflichtungen in Übereinstimmung mit der DSGVO erfüllt werden.

§ 3 Gegenseitige Zusammenarbeit

 

I. Allgemeine Regelungen zur Zusammenarbeit

(1) Die Verantwortlichen werden sich gegenseitig in erforderlichem und zumutbarem Maße bei der Erfüllung ihrer Pflichten nach diesem Vertrag sowie den in der DSGVO genannten Pflichten für die erfassten Datenverarbeitungen unterstützen, insbesondere durch die Bereitstellung von Informationen, die Abgabe von Erklärungen und/oder Ausfertigung von Dokumenten („Unterstützungsleistungen„). Unterstützungsleistungen werden insbesondere erbracht, ­

  • soweit die Unterstützungsleistungen vom zuständigen Verantwortlichen zur Erfüllung seiner in der § 2 (III) beschriebenen Verpflichtungen benötigt werden; oder ­
  • für die Erfüllung einer datenschutzrechtlichen Pflicht, insbesondere nach den Artikeln 32 bis 36 DSGVO (Gewährleistung der Sicherheit der Verarbeitung; Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden; Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person; Datenschutz-Folgenabschätzung; vorherige Konsultation) benötigt werden; oder ­
  • im Rahmen einer die DSGVO betreffenden Untersuchung durch eine Aufsichtsbehörde und/oder der internen Revision benötigt werden; oder ­ zur Erfüllung einer die DSGVO betreffenden Anweisung, eines Beschlusses und/oder einer Entscheidung einer Aufsichtsbehörde oder eines Gerichts notwendig sind; oder ­
  • in sonstiger Weise benötigt werden, um die Anforderungen der DSGVO zu erfüllen,

und zwar in jedem Fall unverzüglich, wobei die von der DSGVO, von einer Aufsichtsbehörde bzw. einem Gericht oder einer betroffenen Person auferlegten Fristen zu beachten sind.

(2) Die Verantwortlichen haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn im Zusammenhang mit der erfassten Datenverarbeitung Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der 
DSGVO) festgestellt werden.

 

II. Zusammenarbeit bei Datenschutzvorfällen

(1) Bei der Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO oder bei dem Verdacht einer solchen Verletzung bzgl. der erfassten Datenverarbeitungen („Datenschutzvorfall„), arbeiten die Verantwortlichen wie folgt zusammen: ­

  • Wird einem Verantwortlichen ein Datenschutzvorfall bekannt, zeigt er dies allen anderen Verantwortlichen, die von dem Datenschutzvorfall betroffen sind, unverzüglich an.­
  • Die vom Datenschutzvorfall betroffenen Verantwortlichen werden sich unverzüglich dazu verständigen, ob tatsächlich ein Datenschutzvorfall vorlag, welches Risiko durch den Datenschutzvorfall geschaffen wurde und welche weiteren Maßnahmen zu ergreifen sind. Insbesondere ist abzustimmen, (1) ob durch den Datenschutzvorfall ein Risiko für die Rechte und Freiheit der betroffenen Personen vorliegt, welches zur Meldung des Vorfalls verpflichtet, (2) welche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen sind und (3) ob auch die betroffenen Personen über den Datenschutzvorfall zu informieren sind. ­
  • Der für eine Meldung an die Aufsichtsbehörde bzw. eine Benachrichtigung der betroffenen Personen zuständige Verantwortliche (Art. 33, 34 DSGVO) ist für die Einhaltung aller Fristen nach der DSGVO sowie des für ihn anwendbaren lokalen Datenschutzrechts im Falle eines Datenschutzvorfalls verantwortlich.

(2) Bestehen bei einer Abstimmung nach § 3 Abs. II (1), zweiter Spiegelstrich zwischen den Verantwortlichen Meinungsverschiedenheiten, entscheidet der für Meldung bzw. Benachrichtigung zuständige Verantwortliche über die Meldung bzw. Benachrichtigung und deren jeweiligen Inhalt.

 

III. Zusammenarbeit bei Betroffenenanfragen

(1) Bei der Bearbeitung und Beantwortung von Anfragen betroffener Personen, insbesondere im Zusammenhang mit der Wahrnehmung von Betroffenenrechten gemäß Kapitel III DSGVO („Betroffenenanfragen“), arbeiten die Verantwortlichen wie folgt zusammen: ­

  • Geht einem Verantwortlichen eine Betroffenenanfrage zu, wird er unverzüglich den für die Betroffenenanfragen zuständigen Verantwortlichen informieren und diesem die Betroffenenanfrage zuleiten. ­
  • Der zuständige Verantwortliche prüft die Betroffenenanfrage und übernimmt deren Bearbeitung und fristgemäße Beantwortung; er ist zugleich für die ggf. erforderliche rechtzeitige Bewirkung von Fristverlängerungen verantwortlich. ­
  • Auf Anforderung des zuständigen Verantwortlichen stellen die übrigen Verantwortlichen unverzüglich alle für die rechtskonforme Beantwortung der Betroffenenanfrage notwendigen Informationen zur Verfügung (insb. Aufbereitung der in ihrem Herrschaftsbereich gespeicherten Daten zur Erfüllung der Betroffenenanfrage) bzw. erbringen die notwendigen Unterstützungsleistungen, um dem zuständigen Verantwortlichen die Erfüllung der Betroffenenanfrage zu ermöglichen. Kann eine Unterstützungsleistung nicht binnen einer Frist von 7 Tagen nach Anforderung durch den zuständigen Verantwortlichen erbracht werden, ist auf diesen Umstand umgehend unter Angabe der notwendigen Bearbeitungsdauer nach Zugang der Bitte um Unterstützungsleistung hinzuweisen. ­
  • Ist aufgrund der Betroffenenanfrage eine Änderung der Art und des Umfangs der Verarbeitung erforderlich (insb. deren Berichtigung, Löschung, die Einschränkung oder Einstellung der Verarbeitung), so ändert der zuständige Verantwortliche unverzüglich die Verarbeitung bzw. den betreffenden Datensatz und setzt die übrigen Verantwortlichen über die erforderlichen Änderungen in Kenntnis. Der für die Betroffenenanfragen zuständige Verantwortliche ist für die Prüfung der Rechtmäßigkeit der Änderung der Verarbeitung verantwortlich. ­
  • Die übrigen Verantwortlichen nehmen nach der Information über die Änderungen an der Verarbeitung unverzüglich die notwendigen Handlungen vor, um die vom zuständigen Verantwortlichen veranlassten Änderungen auch in ihrem Herrschaftsbereich umzusetzen (z. B. Berichtigung oder Löschung des Datensatzes). Sie können der Änderung an der Verarbeitung in ihrem Herrschaftsbereich in Übereinstimmung mit der DSGVO widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft; sie sind für die Prüfung der Rechtmäßigkeit der Umsetzung der Änderung bzw. der Abweichung von der Änderung in ihrem Herrschaftsbereich vollumfänglich verantwortlich. Über den Widerspruch und die Abweichungen von der Änderung setzen sie den zuständigen Verantwortlichen unverzüglich in Kenntnis.

(2) Bestehen bezüglich des Inhalts der Antwort auf eine Betroffenenanfrage Meinungsverschiedenheiten, entscheidet der für die Betroffenenanfrage zuständige Verantwortliche über den Inhalt. Die Verpflichtung der übrigen Verantwortlichen zur rechtskonformen Beistellung aller für die Beantwortung benötigen Informationen bleibt unberührt.

 

IV. Zusammenarbeit mit den Aufsichtsbehörden

(1) Die Verantwortlichen werden sich gegenseitig unverzüglich über etwaige Anfragen und Beanstandungen einer Aufsichtsbehörde oder etwaige Meldepflichten gegenüber einer Aufsichtsbehörde, die die erfassten Datenverarbeitungen betreffen, informieren. (2) Die Verantwortlichen werden sich hinsichtlich der auf eine Anfrage oder Beanstandung folgenden Kommunikation mit der Aufsichtsbehörde abstimmen und sich gegenseitig die Gelegenheit geben, an der Kommunikation mit der Aufsichtsbehörde mitzuwirken, soweit die Aufsichtsbehörde dies zulässt. Die Zusammenarbeit mit der Aufsichtsbehörde soll in kooperativer und offener Art und Weise gemäß den zulässigen Anforderungen der Aufsichtsbehörde erfolgen.

 

V. Zusammenarbeit zur Erfüllung von lokalem Datenschutzrecht

Die in diesem § 3 getroffenen Regelungen zur Zusammenarbeit gelten entsprechend, sofern einen Verantwortlichen eine Pflicht aus dem für ihn geltenden lokalen Datenschutzrecht (z. B. BDSG) trifft und zur Erfüllung der Pflicht in Bezug auf die erfasste Datenverarbeitung eine Unterstützungsleistung der übrigen Verantwortlichen erforderlich ist. Gilt das lokale Datenschutzrecht nicht für den Verantwortlichen, der um Unterstützung ersucht wird, kann dieser vom anfragenden Verantwortlichen eine angemessene Vergütung für die erbrachten Unterstützungsleistungen verlangen.

§ 4 Interne und externe Kommunikation

 

(1) Soweit der Vertrag nicht ausdrücklich eine andere Form vorschreibt, können Mitteilungen, Informationen und Erklärungen zwischen den Verantwortlichen nach diesem Vertrag per E-Mail erfolgen. Mitteilungen an die Scalerion GmbH haben zudem zusätzlich stets über das Kontaktformular unter Verwendung des Auswahlfeldes „Datenschutz“ zu erfolgen.

(2) Die Verantwortlichen bevollmächtigen den für Datenschutzvorfälle bzw. Betroffenenanfragen zuständigen Verantwortlichen, die erforderlichen Mitteilungen und/oder Erklärungen (z. B. Benachrichtigung der betroffenen Personen über Datenschutzvorfälle) im Namen aller Verantwortlichen abzugeben, sofern die Verantwortlichen vorab Einigkeit über den Inhalt der Mitteilung und/oder Erklärung erzielt haben oder der zuständige Verantwortliche nach den Regelungen dieses Vertrags bei Meinungsverschiedenheiten entscheiden durfte.

§ 5 Weiterübermittlung

 

(1) Die Übermittlung von personenbezogenen Daten an andere Empfänger darf nur in Übereinstimmung mit den Anforderungen der DSGVO erfolgen. Bei der Übermittlung in Drittländer sind insbesondere die Bestimmungen der Artikel 44 – 49 DSGVO einzuhalten. Für die Beachtung der Anforderungen der DSGVO ist der übermittelnde Verantwortliche zuständig.

(2) Beabsichtigt ein Verantwortlicher, personenbezogene Daten aus erfassten Datenverarbeitungen an einen Dritten zu übermitteln, so wird er ­

  • wenn die Übermittlung notwendig ist, um einer gesetzlichen Verpflichtung, einem gerichtlichen Beschluss bzw. gerichtlichen Entscheidung oder einer behördlichen Anordnung in Übereinstimmung mit der DSGVO Folge zu leisten, die anderen für die erfasste Datenverarbeitung Verantwortlichen unverzüglich informieren, sofern die Information nicht verboten ist; ­
  • in anderen als den im vorherigen Spiegelstrich genannten Fällen einer Übermittlung an einen Dritten, vor der Übermittlung die Zustimmung der übrigen Verantwortlichen für die erfasste Datenverarbeitung einholen.

(3) Die Verantwortlichen können Auftragsverarbeiter beauftragen, sofern die Beauftragung durch eine Vereinbarung gemäß Art. 28 DSGVO erfolgt und im Einklang mit den Regelungen dieses Vertrags steht. Beauftragt ein Verantwortlicher einen Auftragsverarbeiter, geschieht dies im eigenen Namen und auf eigene Rechnung des beauftragenden Verantwortlichen. Der beauftragende Verantwortliche ist allein für die ordnungsgemäße Auswahl und Überwachung des Auftragsverarbeiters verantwortlich und haftet gegenüber den anderen Verantwortlichen für dessen Tätigkeit (§ 278 BGB).

§ 6 Haftung

 

(1) Die Verantwortlichen haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

(2) Die Verantwortlichen stellen einander im Innenverhältnis von allen Ansprüchen frei und kommen für Schäden und Kosten – auch der notwendigen Rechtsverteidigung – auf, welche aus der Verteidigung gegen derartige Ansprüche resultieren, soweit sie jeweils Anteil an der Verantwortung für die haftungsauslösende Ursache tragen. Haftungsauslösende Ursachen können insbesondere in der nicht oder nicht fristgemäßen Erfüllung der Pflichten nach diesem Vertrag (bspw. zur Erbringung von Unterstützungsleistungen) bzw. nach der DSGVO liegen.

(3) Die Freistellungsverpflichtung gilt auch im Hinblick auf eine gegen einen Verantwortlichen verhängte Geldbuße wegen eines Verstoßes gegen die DSGVO mit der Maßgabe, dass der mit der Geldbuße belegte Verantwortliche zunächst die Rechtsmittel gegen den Bußgeldbescheid ausgeschöpft haben muss. Bleibt der jeweilige Verantwortliche danach ganz oder teilweise mit einer Geldbuße belastet, die nicht seinem internen Anteil an der Verantwortung für den Verstoß entspricht, sind die übrigen Verantwortlichen verpflichtet, ihn von der Geldbuße in dem Umfang freizustellen, in dem die übrigen Verantwortlichen jeweils Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß tragen.

(4) Die Verantwortlichen werden sich gegenseitig umgehend schriftlich unterrichten, sofern gegen einen Verantwortlichen ein Schadensersatzanaspruch einer betroffenen Person geltend gemacht wird oder ein Bußgeldbescheid einer Aufsichtsbehörde ergeht. Die Verantwortlichen werden sich in erforderlichem und angemessenem Maße an der Rechtsverteidigung gegen etwaige Schadensersatzansprüche betroffener Personen oder Sanktionen der Aufsichtsbehörden beteiligen. Jeder Abschluss eines Vergleichs über einen geltend gemachten Anspruch bedarf der Zustimmung der anderen Verantwortlichen, es sei denn, der in Anspruch genommene Verantwortliche verzichtet gegenüber den übrigen Verantwortlichen rechtswirksam auf sämtliche Regressansprüche. Der Abschluss eines Vergleichs darf nicht unbillig verweigert werden.

§ 7 Vertragslaufzeit und Kündigung, Streitbeilegung

 

(1) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Teilnahmevertrages (wie in den Teilnahmebedingungen definiert).

(2) Entstehen zwischen den Verantwortlichen Meinungsverschiedenheiten über die datenschutzkonforme Ausgestaltung (einschließlich der Ausgestaltung der Verarbeitung im Herrschaftsbereich eines anderen Verantwortlichen) der erfassten Datenverarbeitung oder die Erfüllung der datenschutzrechtlichen Anforderungen im Zusammenhang mit der erfassten Datenverarbeitung, werden die Verantwortlichen in konstruktiver Weise zusammenarbeiten, um die Meinungsverschiedenheiten beizulegen. Können die Meinungsverschiedenheiten auch binnen einer Frist von 2 Monaten nach Beginn der Auseinandersetzung nicht beigelegt werden, steht jedem Verantwortlichen das Recht zur Kündigung dieses Vertrags und des zugrunde liegenden Teilnahmevertrages (wie in den Teilnahmebedingungen definiert) mit einer Frist von 7 Tagen zum Monatsende gegenüber den anderen Verantwortlichen zu.

(3) Verstößt ein Verantwortlicher wiederholt oder in erheblichem Maße gegen seine Verpflichtungen aus diesem Vertrag (insbesondere die Pflicht, Unterstützungsleistungen zu erbringen) oder in Bezug auf die erfassten Datenverarbeitungen gegen das für ihn geltende Datenschutzrecht, so können die anderen Verantwortlichen den Vertrag und des zugrunde liegenden Teilnahmevertrag (wie in den Teilnahmebedingungen definiert) gegenüber diesem Verantwortlichen mit einer Frist von 14 Tagen zum Monatsende kündigen. Der Kündigung hat in der Regel eine Abmahnung vorauszugehen.

(4) Jede Kündigung bedarf der Schriftform.

§ 8 Folgen bei Vertragsbeendigung

 

(1) Mit dem Ausscheiden aus diesem Vertrag wird jeder ausscheidende Verantwortliche unverzüglich die personenbezogenen Daten der erfassten Datenverarbeitungen den anderen Verantwortlichen in einem zu vereinbarenden lesbaren und verarbeitbaren Format zur Verfügung stellen, soweit die anderen Verantwortlichen jeweils zur weiteren Verarbeitung der personenbezogenen Daten berechtigt sind, etwa weil der Zweck, für den sie erhoben wurden, noch nicht entfallen ist oder gesetzliche Aufbewahrungspflichten eine weitere Speicherung erfordern.

(2) Der ausscheidende Verantwortliche hat die personenbezogenen Daten der erfassten Datenverarbeitungen nach der Herausgabe an die anderen Verantwortlichen nach Abs. 1 unverzüglich in datenschutzkonformer Weise zu löschen bzw. diese zu vernichten, sofern der ausscheidende Verantwortliche die personenbezogenen Daten nicht in Übereinstimmung mit der DSGVO weiter in alleiniger Verantwortung verarbeiten darf. Der ausscheidende Verantwortliche hat ein Protokoll über die Löschung bzw. Vernichtung der Daten zu erstellen und dies auf Verlangen den anderen Verantwortlichen vorzulegen. Setzt der ausscheidende Verantwortliche die Verarbeitung nach seinem Ausscheiden aus diesem Vertrag fort, ist er hierfür ausschließlich allein verantwortlich und haftbar.

(3) Die Scalerion GmbH ist berechtigt, dem ausscheidenden Verantwortlichen zum Zeitpunkt des Ausscheidens aus diesem Vertrag alle Zugriffsmöglichkeiten auf die Scalerion-Plattform für erfasste Datenverarbeitungen zu entziehen.

(4) Die Regelungen nach den § 3, Abs. II und Abs. IV, § 4, § 6, § 8, § 9 gelten nach dem Ausscheiden eines Verantwortlichen aus dem Vertragsverhältnis – unabhängig vom Grund der Beendigung des Vertrags – für eine Dauer von 6 Jahren ab dem Zeitpunkt, in dem mit dem ausgeschiedenen Verantwortlichen eine gemeinsame Verantwortung nicht mehr besteht, fort. Die Regelung nach § 4 gilt entsprechend der vorstehenden Regelung mit der Maßgabe fort, dass für den Austausch von Informationen zwischen den Verantwortlichen die Schriftform erforderlich ist.

§ 9 Sonstige Regelungen

 

(1) Die Verantwortlichen benennen über ihre Anmeldung auf der Scalerion-Plattform jeweils einen festen Ansprechpartner für sämtliche im Zusammenhang mit diesem Vertrag, der Zusammenarbeit oder der Datenverarbeitung aufkommende Fragen. Ein Wechsel in der Person des Datenschutzbeauftragten oder Ansprechpartners ist den jeweils anderen Verantwortlichen unverzüglich mitzuteilen.

(2) Die Verantwortlichen tragen die ihnen für den Abschluss des Vertrags und dessen Durchführung entstehenden Kosten und Auslagen selbst, sofern in diesem Vertrag nicht ausdrücklich etwas anderes geregelt ist.

(3) Dieser Vertrag und seine Auslegung unterliegen dem Recht der Bundesrepublik Deutschland.

(4) Jede Veränderung dieses Vertrags einschließlich seiner Kündigung und dieser Klausel bedarf der Schriftform, was auch in einem elektronischen Format erfolgen kann.

(5) Die Unwirksamkeit oder Undurchführbarkeit einer oder mehrerer Regelungen dieses Vertrags lässt die Wirksamkeit der übrigen Regelungen dieses Vertrags unberührt. Dasselbe gilt für den Fall, dass der Vertrag eine an sich notwendige Regelung nicht enthält. An die Stelle der unwirksamen oder undurchführbaren Regelung oder zur Ausfüllung der Regelungslücke tritt die gesetzlich zulässige und durchführbare Regelung, die dem Sinn und Zweck der unwirksamen, undurchführbaren oder fehlenden Regelung nach der Vorstellung der Parteien wirtschaftlich am nächsten kommt.