Auftragsverarbeitungsvertrag

VERSION: 11.08.2025

(A)          Die CHAMELAION GmbH mit Sitz in Berger Straße 342, D-60385 Frankfurt am Main, Bundesrepublik Deutschland und eingetragen im Handelsregister beim Amtsgericht Frankfurt am Main unter HRB 136581, Umsatzsteuer-Identifikationsnummer: DE450519324 und Wirtschafts-Identifikationsnummer DE450519324, vertreten durch die Geschäftsführung (im Folgenden "Auftragnehmer" im Sinne des Datenschutzrechts) bietet über die unter https://www.chamelaion.com/de erreichbare Webplattform ("Webseite") KI-gestützte Videoübersetzungsdienste an.
(B)           Im Zuge (i.) eines Abonnement-Abschlusses über die Webseite (einschließlich der geltenden Allgemeinen Geschäftsbedingungen sowie der Datenschutzerklärung des Auftragnehmers) bzw. (ii.) einer Enterprise-Order (einschließlich der einbezogenen Besonderen Geschäftsbedingungen für Enterprise-Pakete des Auftragnehmers ("Enterprise-Bedingungen")sowie der subsidiär geltenden Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung des Auftragnehmers (die jeweils einschlägige Vertragsvariante nachfolgend als "Leistungsvereinbarung" bezeichnet)hat der Kunde (im Folgenden "Auftraggeber" im Sinne des Datenschutzrechts) den Auftragnehmer mit der Durchführung von Dienstleistungen im Bereich der KI-basierten Videoübersetzung beauftragt. Begriffe, die unter der Leistungsvereinbarung spezifisch definierte Begriffe darstellen, haben in diesem Auftragsverarbeitungsvertrag dieselbe Bedeutung, sofern sich hieraus nicht ausdrücklich etwas Abweichendes ergibt.
(C)          Im Zuge der Durchführung und Erfüllung der unter der Leistungsvereinbarung vereinbarten Leistungen erhält der Auftragnehmer teilweise Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Artikel 28 in Verbindung mit Artikel 4 Nr. 8 der Verordnung (EU)2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("DSGVO").
(D)         Gegenstand dieses Auftragsverarbeitungsvertrages ist die Einhaltung der nachfolgend genannten Aufgaben und Anforderungen durch den Auftragnehmer betreffend des Datenumgangs im Zusammenhang mit der Leistungsvereinbarung.
‍

Dies vorangeschickt, vereinbaren die Parteien was folgt:

Inhalt
1. Leistungen des Auftragnehmers
2. Kontrollrechte des Auftraggebers
3. Informations- und Unterstützungspflichten des Auftragnehmers
4. Weisungsbefugnis des Auftraggebers
5. Rückgabe von Datenträgern und Löschung von Daten
6. Auftragsdauer, Kündigung
7. Haftung
8. Anwendbares Recht, Erfüllungsort, Gerichtsstand
9. Sonstiges

‍

1                Leistungen des Auftragnehmers

1.1           Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich unmittelbar aus der Leistungsvereinbarung.
1.2           Dem Auftragnehmer ist eine abweichende oder über die Festlegungen in der Leistungsvereinbarung hinausgehende Verarbeitung von personenbezogenen Daten untersagt.
1.3           Unter Berücksichtigung der in der Leistungsvereinbarung festgelegten Details können folgende Datenarten und Datenkategorien Gegenstand der Verarbeitung personenbezogener Daten durch den Auftragnehmer sein:
(a)            Audio- und Videodaten, einschließlich Bild- und Tonaufzeichnungen identifizierbarer Personen;
(b)            in den vorbezeichneten Medienenthaltene gesprochene oder schriftlich dargestellte personenbezogene Informationen wie Namen, Kontaktdaten, Funktions- oder Rollenbezeichnungen, Inhalte persönlicher oder geschäftlicher Kommunikation sowie gegebenenfalls besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO, sofern diese vom Auftraggeber oder seinen Nutzern im Rahmen der Nutzung des Dienstes übermittelt werden;
(c)            Metadaten zu den übermittelten Dateien (wie Zeitstempel, Dateinamen oder Nutzungsinformationen);
(d)            Nutzungs-, Protokoll- und Kommunikationsdaten (soweit diese zur Leistungserbringung erforderlich sind); sowie
(e)            sonstige personenbezogene Daten, die im vom Auftraggeber bereitgestellten audiovisuellen Datenmaterial enthalten sind.
1.4           Der Kreis der durch den Umgang mit personenbezogenen Daten im Rahmen dieses Auftragsverarbeitungsvertrages Betroffenen umfasst – abhängig vom Inhalt der durch den Auftraggeber an den Auftragnehmer übermittelten Videodateien – insbesondere natürliche Personen, die in den vom Auftraggeber übermittelten Videodateien sichtbar oder hörbarsind, wie etwa Sprecher, Teilnehmer, Interviewpartner, Moderatoren, Kunden, Mitarbeiter oder sonstige Dritte. Erfasst sind auch Personen, deren personenbezogene Daten im gesprochenen oder schriftlichen Inhalt dieser Dateienenthalten oder erwähnt sind. Darüber hinaus umfasst der Kreis der Betroffenen Mitarbeiter, Kunden, Geschäftspartner und sonstige Kommunikationspartner des Auftraggebers sowie Nutzer und Administratoren der vom Auftraggeber genutzten Online-Dienste. Der Kreis der betroffenen Personen kann darüber hinaus alle sonstigen natürlichen Personen umfassen, deren personenbezogene Daten vom Auftraggeber im Rahmen der Nutzung des Dienstes verarbeitet werden.
1.5           Die Verarbeitung der Daten findet grundsätzlich ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artikel44 ff. DSGVO erfüllt sind. Ziffer 1.10 bleibt unberührt.
1.6           Die Bestimmungen dieses Auftragsverarbeitungsvertrages finden Anwendung auf alle Tätigkeiten, die mit der Leistungsvereinbarung in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhobenwurden.
1.7           Es werden folgende technisch-organisatorische Maßnahmen vereinbart:
(a)            Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Auftraggeber zur Prüfung vorzulegen. Im Falle der Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage dieses Auftragsverarbeitungsvertrages. Soweit ein Audit des Auftraggebers einen Anpassungsbedarf hinsichtlich der technischen und/oder organisatorischen Maßnahmen ergibt, ist dieser einvernehmlich umzusetzen.
(b)            Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern
(c)            Es ist den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Auftragsverarbeitungsvertrages betraut werden (im Folgenden "Mitarbeiter"), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Artikel 28 Abs. (3)Satz 2 lit. b DSGVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Dem Auftraggeber sind die Verpflichtungen der Mitarbeiter auf Verlangen in geeigneter Weise nachzuweisen.
(d)            Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Datendes Auftraggebers gem. Artikel 32 DSGVO und wird diese für die Dauer der Verarbeitung der Daten aufrechterhalten. Insbesondere trifft der Auftragnehmer Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung. Hierzu gehören unter anderem Zugriffskontrollen zur Verhinderung unbefugten Zutritts zu Datenverarbeitungssystemen, Zugriffs- und Berechtigungskonzepte zur Einschränkung des Datenzugriffs auf autorisierte Personen, Maßnahmen zur Protokollierung und Nachvollziehbarkeit von Zugriffen, Verschlüsselung von Daten bei der Übertragung und gegebenenfalls bei der Speicherung, sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen. Der Auftragnehmer gewährleistet zudem, dass seine Mitarbeiter mit den geltenden Datenschutzbestimmungen vertraut sind, auf das Datengeheimnis verpflichtet wurden und regelmäßig im Umgang mit personenbezogenen Daten geschult werden. Sofern Subunternehmer eingesetzt werden, stellt der Auftragnehmer durchvertragliche Regelungen sicher, dass auch diese ein mit den Anforderungen dieses Vertrages vergleichbares Schutzniveau einhalten.
(e)            Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Ziffer 1.7(d)nicht mehr ausreichend sind und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.
(f)             Dem Auftraggeber ist auf Verlangen die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen in geeigneter Weise nachzuweisen.
1.8           Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Artikeln 12bis 22 DSGVO sowie Artikeln 32 bis 36 DSGVO. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und dessen Weisungen abwarten. Der Auftragnehmer wird ohne entsprechende Einzelweisung des Auftraggebers mit der betroffenen Person nicht in Kontakt treten.
1.9           Zusätzlich zu der Einhaltung der Regelungen dieses Auftragsverarbeitungsvertrages übernimmt der Auftragnehmer folgende Pflichten (jeweils soweit gesetzlich erforderlich):
(a)            Führung eines Verzeichnisses zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Artikeln 30 Abs. (2) DSGVO, wobei sowohl dem Auftraggeber (auf dessen Verlangen) als auch den Datenschutzbehörden (im Falle einer rechtskonformen Anfrage) das Verzeichnis zur Verfügung zu stellen ist;
(b)           Unterstützung des Auftraggebers bei der Erstellung einer Datenschutz-Folgenabschätzung nach Artikel 35DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Artikel 36DSGVO;
(c)            soweit gesetzlich vorgeschrieben, schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gem. Artikeln 38 und 39 DSGVO ausüben kann; der Auftragnehmer wird dem Auftraggeber dessen Kontaktdaten zum Zweck der direkten Kontaktaufnahme mitteilen und bei einem Wechsel des betrieblichen Datenschutzbeauftragten bzw. Ansprechpartners für den Datenschutz dem Auftraggeber unverzüglich die Details des Nachfolgers in Textform mitteilen;
(d)            sofern ihm dies nicht durchgerichtliche oder behördliche Anordnung untersagt worden ist, unverzügliche Information des Auftraggebers durch den Auftragnehmer, wenn beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter die Daten gefährdet werden; der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegt.
1.10        Dem Auftragnehmer ist es allgemeingestattet, nach Maßgabe von Artikel 28 Abs. (2) Satz 2 DSGVO Unterauftragnehmer bzw. Subunternehmer einzubeziehen. Dem Auftraggeber ist bekannt, dass der Auftragnehmer aktuell mit den folgenden Subunternehmern zusammenarbeitet:
(a)            Google Firebase, ein Produkt der GoogleLLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, Web: www.google.com, einschließlich ihrer verbundenen Unternehmen wie der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google");
(b)            OpenAI Ireland Ltd, ein in der Republik Irland eingetragenes Unternehmen mit Sitz in 1st Floor, The LiffeyTrust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland und der Unternehmensnummer 737350, Web: www.openai.com ("OpenAI");
(c)            DeepL SE, Maarweg 165, 50825 Köln, Bundesrepublik Deutschland, Web: www.deepl.com ("DeepL");
(d)            Eleven Labs Inc., 169 Madison Ave #2484, New York, NY 10016, Vereinigte Staaten von Amerika, Web: www.elevenlabs.io ("ElevenLabs"); sowie (e)            ausschließlich in der Modalität "Professional Dubbing Services" (vgl. Ziffer 4 der Enterprise-Bedingungen), dem im Zuge der Erteilung einer Enterprise-Order offengelegten und von Zeit zu Zeitaktualisierten Pool an externen Übersetzungsdienstleistern ("Translation Experts").

Der Auftragnehmer hat mit Google, OpenAI, DeepL und ElevenLabs jeweils einen Auftragsverarbeitungsvertrag abgeschlossen (sog. Data Processing Addendum, jeweils ein "DPA"). Diese DPA sind auf der Webseite des Auftraggebers unter www.chamelaion.com/de/privacy-policy verlinkt und wurden durch den Auftraggeber vor Abschluss der Leistungsvereinbarung in der dann geltenden Fassung geprüft und zur Kenntnis genommen. Dem Auftraggeber ist bekannt, dass von den Genannten aktuell nur Google aktiver Teilnehmer des EU-US Data Privacy Frameworks (DPF – https://www.dataprivacyframework.gov) ist. Dem Auftraggeber ist insbesondere bekannt, dass nach den DPA eine Datenverarbeitung in den Vereinigten Staaten von Amerika stattfinden kann, sich die jeweiligen Subunternehmer jedoch nach Maßgabe des jeweiligen DPA zur Einhaltung europäischer Datenschutzstandards gegenüber dem Auftragnehmer verpflichtet haben und dem Auftragnehmer eine entsprechende Überwachung ermöglichen. Sowohl der Auftraggeber als auch der Auftragnehmer teilen die Rechtsauffassung, dass alle vom Auftragnehmer abgeschlossenen DPA aktuell die Vorgaben aus den Artikeln 44 ff. DSGVO (EU-Standardvertragsklauseln) erfüllen. Der Auftragnehmer hat ferner mit jedem Translation Expert einen Rahmenvertrag (welcher Translation Experts zu strikter Vertraulichkeit und Einhaltung von Datenschutzstandards verpflichtet) sowie einen darin einbezogenen Auftragsverarbeitungsvertrag nach Maßgabe von Art. 28 DSGVO("AVV-TE") abgeschlossen, unter dem Translation Experts ihrerseits als Auftragsverarbeiter für den Auftragnehmer tätig werden. Zur Klarstellung: Daten werden an Translation Experts in jedem Fall nur dann weitergegeben, wenn durch den Auftraggeber explizit der Dienst "Professional Dubbing Service" (vgl. Ziffer 4 der Enterprise-Bedingungen) beauftragt worden ist. Wurde dieser Dienst nicht beauftragt, erfolgt auch kein Datenaustausch mit Translation Experts. Jeder Enterprise-Kunde wird bei Abschluss einer Enterprise-Order, welche "Professional Dubbing Services" umfasst, als Teil der Beauftragung gesondert über die geltenden Datenschutzregelungen belehrt. Vor diesem Hintergrund erteilt der Auftraggeber hiermit sein Einverständnis auch im Sinne von Ziffer 1.5. Der Auftragnehmer wird den Auftraggeber über Änderungen an den DPA bzw. (soweit für den Auftraggeber relevant) dem AVV-TE unterrichten und die jeweils aktuellen Fassungen der DPA auf seiner Webseite unter www.chamelaion.com/de/privacy-policy zur Lektüre verlinken sowie eine lokale Kopie der DPA und des AVV-TE vorhalten, die dem Auftraggeber bei Verlangen kurzfristig übersendet werden können. Der Auftragnehmer wird den Auftraggeber vor der Hinzuziehung weiterer oder dem Austausch bestehender Subunternehmer rechtzeitig informieren und ihm eine angemessene Frist zur Prüfung und zum Widerspruch einräumen.

2                Kontrollrechte des Auftraggebers

2.1           Der Auftraggeber hat das Recht, sich regelmäßig von der Einhaltung der Regelungen dieses Auftragsverarbeitungsvertrages, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gem. Ziffer 1.7(d), zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
2.2           Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Die Parteien werden sich rechtzeitig über den Zeitpunkt sowie die Art der Prüfung verständigen.
2.3           Das Kontrollergebnis wird vom Auftraggeber dokumentiert, der es dem Auftragnehmer mitteilt. Der Auftraggeber teilt dem Auftragnehmer unverzüglich die notwendigen Verfahrensänderungen mit, wenn bei der Kontrolle Sachverhalte festgestellt werden, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern. Der Auftragnehmer wird dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung stellen, die zur Durchführung einer Kontrolle gem. Ziffer 2.1 erforderlich sind. Darüber hinaus verpflichtet sich der Auftragnehmer, dem Auftraggeber auf Verlangen ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie hinsichtlich zugriffsberechtigter Personen zur Verfügung zu stellen.

3                Informations- und Unterstützungspflichten des Auftragnehmers

3.1           Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der überlassenen personenbezogenen Daten durch den Auftragnehmer, für diesen im Zuge der Vertragserfüllung tätige Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von sechzig (60) Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die vorbezeichneten Meldungen enthalten zumindest die in Artikel 33 Abs. (3) DSGVO genannten Angaben.
3.2           Der Auftragnehmer ist verpflichtet, den Auftraggeber im Falle von Ziffer 3.1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des Zumutbaren zu unterstützen. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen, insbesondere zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen, informiert den Auftraggeber hierüber und ersucht diesen um weitere Weisungen.

4                Weisungsbefugnis des Auftraggebers

4.1           Der Auftragnehmer verarbeitet die Daten nur im Rahmen der Leistungsvereinbarung und ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.v. Artikel 28 DSGVO (Auftragsverarbeitung im datenschutzrechtlichen Sinne).
4.2           Sämtliche erteilte Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren (mindestens in Textform). Für den Auftraggeber weisungsberechtigte Personen sind diejenigen, die in dessen Account als solche im Moment der Weisungsgabe hinterlegt sind (i.d.R. im Falle einer natürlichen Person der Account-Inhaber selbst, und im Falle von juristischen Personen oder Personengesellschaften deren organschaftlicher bzw. gesetzliche Vertreter). Empfangsberechtigte Personen des Auftragnehmers sind alle Personen, die laut aktuellem Handelsregisterauszug des Auftragnehmers Geschäftsführer oder Prokuristen des Auftragnehmers sind, sowie alle weiteren im Impressum des Auftragnehmers unter www.chamelaion.com/de/imprint als Empfangsberechtigte bzw. Vertreter benannte Personen.
4.3           Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, eine Weisung des Auftraggebers verstoße gegen datenschutzrechtliche Bestimmungen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

5                Rückgabe von Datenträgern und Löschung von Daten

5.1           Es besteht Einigkeit darüber, dass nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber, spätestens jedoch mit Beendigung der Leistungsvereinbarung, der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverarbeitungsvertrag stehen, dem Auftraggeber auszuhändigen oder nach vorheriger schriftlicher Zustimmung datenschutzgerecht zu vernichten hat, soweit in diesem Auftragsverarbeitungsvertrag nicht anders bestimmt. Gleiches gilt für Test- und Ausschussmaterial und temporäre Dateien. Das Protokoll der Löschung ist auf Anforderung dem Auftraggeber vorzulegen.
5.2           Der Auftragnehmer hat dem Auftraggeber die Löschung schriftlich zu bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren; Ziffer 2.2 gilt hierfür entsprechend.
5.3           Der Auftragnehmer ist verpflichtet, Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Diese Dokumentationen wird er auf Verlangen des Auftraggebers herausgeben. Er kann sie zu seiner Entlastung bereits bei Vertragsende dem Auftraggeber übergeben.
5.4           Der Auftragnehmer ist verpflichtet, auch über das Ende der Leistungsvereinbarung hinaus die ihm im Zusammenhang mit der Leistungsvereinbarung bekannt gewordenen Daten vertraulich zu behandeln.
5.5          Im Übrigen stellt der Auftragnehmer sicher, dass personenbezogene Daten regelmäßig auf die Erforderlichkeit ihrer Vorhaltung geprüft und nicht mehr benötigte Daten gemäß den Anforderungen der DSGVO gelöscht werden.

6                Auftragsdauer, Kündigung

6.1           Die Dauer dieses Auftragsverarbeitungsvertrages entspricht der Dauer der Leistungsvereinbarung, sofern sich aus den Besonderheiten dieses Auftragsverarbeitungsvertrages nichts anderes ergibt. Im Zweifelgilt eine Kündigung der Leistungsvereinbarung auch als Kündigung dieses Auftragsverarbeitungsvertrages und eine Kündigung dieses Auftragsverarbeitungsvertrages als Kündigung der Leistungsvereinbarung.
6.2          Unberührt bleibt das Rechtjeder Partei, diesen Auftragsverarbeitungsvertrag aus wichtigem Grund fristlos zu kündigen.
6.3          Die Verpflichtungen zur Rückgabe oder Löschung der Daten sowie zur Vertraulichkeit und Nachweispflichtbleiben auch nach Vertragsbeendigung für den nach geltendem Recht notwendigen Zeitraum, mindestens jedoch drei (3) Monate, bestehen.

7               Haftung

7.1           Die Haftung der Parteien bestimmt sich nach Artikel 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Auftragsverarbeitungsvertrag oder der Leistungsvereinbarung bleibt hiervon unberührt.
7.2          Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Gleiches gilt entsprechend bei Verhängung einer Geldbuße gegen eine Partei, wobei die Freistellung in dem Umfang zu erfolgen hat, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

8               Anwendbares Recht, Erfüllungsort, Gerichtsstand

8.1           Auf diesen Auftragsverarbeitungsvertrag findet deutsches Recht Anwendung.
8.2           Erfüllungsort ist der Sitz des Auftragnehmers in Frankfurt am Main, Bundesrepublik Deutschland.
8.3           Für Streitigkeiten aus diesem Auftragsverarbeitungsvertrag ist ausschließlicher Gerichtsstand Frankfurt am Main, Bundesrepublik Deutschland, sofern sich aus zwingenden gesetzlichen Vorschriften nichts Abweichendes ergibt.

9                Sonstiges

9.1          Es besteht Einigkeit, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer im Sinne von § 273BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträgerausgeschlossen ist.
9.2          Änderungen, Ergänzungen und Zusätze dieses Auftragsverarbeitungsvertrages haben nur Gültigkeit, wenn sie zwischen den Parteien schriftlich vereinbart werden. Dies gilt auch für die Abänderung dieser Vertragsbestimmung.
9.3           Sollte eine Bestimmung dieses Auftragsverarbeitungsvertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit dieses Auftragsverarbeitungsvertrages im Übrigen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Vertragslücke.
9.4          Für die rechtlichen Wirkungen zwischen den Parteien ist ausschließlich der deutschsprachige Vertragstext dieses Auftragsverarbeitungsvertrages maßgeblich. Etwaige automatisch oder manuell generierte Übersetzungen in andere Sprachen dienen lediglich der Information und entfalten weder direkte noch indirekte Wirkung zwischen den Parteien (schlichte Bequemlichkeitsübersetzungen). Für eine Auslegung im Sinne von §§ 133, 157 BGB ist ausschließlich der deutschsprachige Vertragstextheranzuziehen.