Auftragsverarbeitungsvertrag
VERSION: 03.03.2026
(A) Die CHAMELAION GmbH mit Sitz in Berger Straße 342, D-60385 Frankfurt am Main, Bundesrepublik Deutschland und eingetragen im Handelsregister beim Amtsgericht Frankfurt am Main unter HRB 136581, Umsatzsteuer-Identifikationsnummer: DE450519324, Wirtschafts-Identifikationsnummer: DE450519324, vertreten durch die Geschäftsführung (im Folgenden "Auftragnehmer" im Sinne des Datenschutzrechts) bietet über die unter https://www.chamelaion.com/de erreichbare Webplattform ("Webseite") KI-gestützte Dienste im Bereich der Videoübersetzung und Synchronisation (einschließlich Lippensynchronisation/LipSync) an. Soweit vereinbart, kann der Zugriff auch über eine API erfolgen.
(B) Im Zuge (i.) eines Abonnement-Abschlusses über die Webseite (einschließlich der geltenden Allgemeinen Geschäftsbedingungen sowie der Datenschutzerklärung des Auftragnehmers) bzw. (ii.) einer Enterprise-Order (einschließlich der einbezogenen Besonderen Geschäftsbedingungen für Enterprise-Pakete des Auftragnehmers ("Enterprise-Bedingungen") sowie der subsidiär geltenden Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung des Auftragnehmers (die jeweils einschlägige Vertragsvariante nachfolgend als "Leistungsvereinbarung" bezeichnet) hat der Kunde (im Folgenden "Auftraggeber" im Sinne des Datenschutzrechts) den Auftragnehmer mit der Durchführung von Dienstleistungen im Bereich der KI-basierten Videoübersetzung und Synchronisation (einschließlich Lippensynchronisation/LipSync) beauftragt. Begriffe, die unter der Leistungsvereinbarung spezifisch definierte Begriffe darstellen, haben in diesem Auftragsverarbeitungsvertrag dieselbe Bedeutung, sofern sich hieraus nicht ausdrücklich etwas Abweichendes ergibt.
(C) Im Zuge der Durchführung und Erfüllung der unter der Leistungsvereinbarung vereinbarten Leistungen erhält der Auftragnehmer teilweise Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Artikel 28 in Verbindung mit Artikel 4 Nr. 8 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("DSGVO").
(D) Gegenstand dieses Auftragsverarbeitungsvertrages ist die Einhaltung der nachfolgend genannten Aufgaben und Anforderungen durch den Auftragnehmer betreffend des Datenumgangs im Zusammenhang mit der Leistungsvereinbarung. Dies vorangeschickt, vereinbaren die Parteien was folgt:
Inhalt
Leistungen des Auftragnehmers
Kontrollrechte des Auftraggebers
Informations- und Unterstützungspflichten des Auftragnehmers
Weisungsbefugnis des Auftraggebers
Rückgabe von Datenträgern und Löschung von Daten
Auftragsdauer, Kündigung
Haftung
Anwendbares Recht, Erfüllungsort, GerichtsstandSonstiges
1 Leistungen des Auftragnehmers
1.1 Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich unmittelbar aus der Leistungsvereinbarung. Zur Klarstellung: Die unter der Leistungsvereinbarung erbrachten Leistungen umfassen insbesondere die Verarbeitung von Audio- und Videoinhalten zur Videoübersetzung sowie - sofern vom Auftraggeber genutzt/aktiviert - zur Synchronisation einschließlich Lippensynchronisation („LipSync“).
1.2 Dem Auftragnehmer ist eine abweichende oder über die Festlegungen in der Leistungsvereinbarung hinausgehende Verarbeitung von personenbezogenen Daten untersagt.
1.3 Unter Berücksichtigung der in der Leistungsvereinbarung festgelegten Details können folgende Datenarten und Datenkategorien Gegenstand der Verarbeitung personenbezogener Daten durch den Auftragnehmer sein: (a) Audio- und Videodaten, einschließlich Bild- und Tonaufzeichnungen identifizierbarer Personen; (b) aus den vorgenannten Audio- und Videodaten abgeleitete technische Analyse- und Timing-Informationen (z. B. Frame-/Sequenzinformationensowie Informationen zur Synchronisation von Bild und Ton, einschließlich ggf. mund-/lippenbezogener Bildausschnitte, soweit für LipSync erforderlich);
(c) in den vorbezeichneten Medien enthaltene gesprochene oder schriftlich dargestellte personenbezogene Informationen wie Namen, Kontaktdaten, Funktions- oder Rollenbezeichnungen, Inhalte persönlicher oder geschäftlicher Kommunikation sowie gegebenenfalls besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO, sofern diese vom Auftraggeber oder seinen Nutzern im Rahmen der Nutzung des Dienstes übermittelt werden;
(d) Metadaten zu den übermittelten Dateien (wie Zeitstempel, Dateinamen oder Nutzungsinformationen);(e) Nutzungs-, Protokoll- und Kommunikationsdaten (soweit diese zur Leistungserbringung erforderlich sind); sowie (einschließlich - soweit genutzt - API-bezogener Zugriffsdaten wie Zeitstempel von API-Anfragen, technische Request-Metadaten und Authentifizierungs-/Schlüsselkennungen in gehashter oder pseudonymisierter Form, soweit zur Leistungserbringung und Sicherheit erforderlich); sowie
(f) sonstige personenbezogene Daten, die im vom Auftraggeber bereitgestellten audiovisuellen Datenmaterial enthalten sind.
1.4 Der Kreis der durch den Umgang mitpersonenbezogenen Daten im Rahmen dieses AuftragsverarbeitungsvertragesBetroffenen umfasst – abhängig vom Inhalt der durch den Auftraggeber an denAuftragnehmer übermittelten Videodateien – insbesondere natürliche Personen,die in den vom Auftraggeber übermittelten Videodateien sichtbar oder hörbarsind, wie etwa Sprecher, Teilnehmer, Interviewpartner, Moderatoren, Kunden,Mitarbeiter oder sonstige Dritte. Erfasst sind auch Personen, deren personenbezogeneDaten im gesprochenen oder schriftlichen Inhalt dieser Dateien enthalten odererwähnt sind. Darüber hinaus umfasst der Kreis der Betroffenen Mitarbeiter,Kunden, Geschäftspartner und sonstige Kommunikationspartner des Auftraggeberssowie Nutzer und Administratoren der vom Auftraggeber genutzten Online-Dienste.Der Kreis der betroffenen Personen kann darüber hinaus alle sonstigennatürlichen Personen umfassen, deren personenbezogene Daten vom Auftraggeber imRahmen der Nutzung des Dienstes verarbeitet werden. 1.5 Die Verarbeitung der Daten findet grundsätzlichausschließlich im Gebiet der Bundesrepublik Deutschland, in einemMitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat desAbkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in einDrittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers unddarf nur erfolgen, wenn die besonderen Voraussetzungen der Artikel 44 ff. DSGVOerfüllt sind. Ziffer 1.10 bleibt unberührt.
1.6 Die Bestimmungen dieses Auftragsverarbeitungsvertrages finden Anwendung auf alle Tätigkeiten, die mit der Leistungsvereinbarung in Zusammenhang stehen und bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
1.7 Es werden folgende technisch-organisatorische Maßnahmen vereinbart:
(a) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Auftraggeber zur Prüfung vorzulegen. Im Falle der Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage dieses Auftragsverarbeitungsvertrages. Soweit ein Audit des Auftraggebers einen Anpassungsbedarf hinsichtlich der technischen und/oder organisatorischen Maßnahmen ergibt, ist dieser einvernehmlich umzusetzen.
(b) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern
(c) Es ist den bei der Datenverarbeitung durch denAuftragnehmer beschäftigten Personen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Auftragsverarbeitungsvertrages betraut werden (im Folgenden "Mitarbeiter"), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Artikel 28 Abs. (3) Satz 2 lit. b DSGVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Dem Auftraggeber sind die Verpflichtungen der Mitarbeiter auf Verlangen in geeigneter Weise nachzuweisen.
(d) Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Artikel 32 DSGVO und wird diese für die Dauer der Verarbeitung der Daten aufrechterhalten. Insbesondere trifft der Auftragnehmer Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung. Hierzu gehören unter anderem Zugriffskontrollen zur Verhinderung unbefugten Zutritts zu Datenverarbeitungssystemen, Zugriffs- und Berechtigungskonzepte zur Einschränkung des Datenzugriffs auf autorisierte Personen, Maßnahmen zur Protokollierung und Nachvollziehbarkeit von Zugriffen, Verschlüsselung von Daten bei der Übertragung und gegebenenfalls bei der Speicherung, sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen. Der Auftragnehmer gewährleistet zudem, dass seine Mitarbeiter mit den geltenden Datenschutzbestimmungen vertraut sind, auf das Datengeheimnis verpflichtet wurden und regelmäßig im Umgang mit personenbezogenen Daten geschult werden. Sofern Subunternehmer eingesetzt werden, stellt der Auftragnehmer durch vertragliche Regelungen sicher, dass auch diese ein mit den Anforderungen dieses Vertrages vergleichbares Schutzniveau einhalten.
(e) Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Ziffer 1.7(d) nicht mehr ausreichend sind und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.
(f) Dem Auftraggeber ist auf Verlangen die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen in geeigneter Weise nachzuweisen.
1.8 Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Artikeln 12 bis 22 DSGVO sowie Artikeln 32 bis 36 DSGVO. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an denAuftraggeber weiterleiten und dessen Weisungen abwarten. Der Auftragnehmer wird ohne entsprechende Einzelweisung des Auftraggebers mit der betroffenen Person nicht in Kontakt treten.
1.9 Zusätzlich zu der Einhaltung der Regelungen dieses Auftragsverarbeitungsvertragesübernimmt der Auftragnehmer folgende Pflichten (jeweils soweit gesetzlicherforderlich):
(a) Führung eines Verzeichnisses zu allen Kategorien von imAuftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Artikeln 30Abs. (2) DSGVO, wobei sowohl dem Auftraggeber (auf dessen Verlangen) alsauch den Datenschutzbehörden (im Falle einer rechtskonformen Anfrage) dasVerzeichnis zur Verfügung zu stellen ist;
(b) Unterstützung des Auftraggebers bei der Erstellungeiner Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO und eineretwaigen vorherigen Konsultation der Aufsichtsbehörde nach Artikel 36DSGVO;
(c) soweit gesetzlich vorgeschrieben, schriftlicheBestellung eines Datenschutzbeauftragten, der seine Tätigkeit gem. Artikeln 38 und39 DSGVO ausüben kann; der Auftragnehmer wird dem Auftraggeber dessenKontaktdaten zum Zweck der direkten Kontaktaufnahme mitteilen und bei einemWechsel des betrieblichen Datenschutzbeauftragten bzw. Ansprechpartners für denDatenschutz dem Auftraggeber unverzüglich die Details des Nachfolgers inTextform mitteilen;
(d) sofern ihm dies nicht durch gerichtliche oderbehördliche Anordnung untersagt worden ist, unverzügliche Information desAuftraggebers durch den Auftragnehmer, wenn beim Auftragnehmer durch Pfändungoder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durchsonstige Ereignisse oder Maßnahmen Dritter die Daten gefährdet werden; derAuftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglichdarüber informieren, dass die Entscheidungshoheit über die Daten ausschließlichbeim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegt.
1.10 Dem Auftragnehmer ist es allgemein gestattet, nachMaßgabe von Artikel 28 Abs. (2) Satz 2 DSGVO Unterauftragnehmerbzw. Subunternehmer einzubeziehen. Dem Auftraggeber ist bekannt, dass derAftragnehmer aktuell mit den folgenden Subunternehmern zusammenarbeitet:
(a) Google Firebase, ein Produkt der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, Web: https://www.google.com, einschließlich ihrer verbundenen Unternehmen wie der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google");
(b) OpenAI Ireland Ltd, ein in der Republik Irland eingetragenes Unternehmen mit Sitz in 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland und der Unternehmensnummer 737350, Web: https://www.openai.com ("OpenAI");
(c) DeepL SE, Maarweg 165, 50825 Köln, Bundesrepublik Deutschland, Web: https://www.deepl.com ("DeepL");
(d) Eleven Labs Inc., 169 Madison Ave #2484, New York, NY10016, Vereinigte Staaten von Amerika, Web: https://elevenlabs.io ("ElevenLabs"); sowie
(e) ausschließlich in der Modalität "Professional Dubbing Services" (vgl. Ziffer 4 der Enterprise-Bedingungen), dem im Zuge der Erteilung einer Enterprise-Order offengelegten und von Zeit zu Zeit aktualisierten Pool an externen Übersetzungsdienstleistern ("Translation Experts"). Der Auftragnehmer hat mit Google, OpenAI, DeepL und ElevenLabs jeweils einen Auftragsverarbeitungsvertrag abgeschlossen (sog. Data Processing Addendum, jeweils ein "DPA"). Diese DPA sind auf der Webseite des Auftraggebers unter https://www.chamelaion.com/de/privacy-policy verlinkt und wurden durch den Auftraggeber vor Abschluss der Leistungsvereinbarung in der dann geltenden Fassung geprüft und zur Kenntnis genommen. Dem Auftraggeber ist bekannt, dass von den Genannten aktuell nur Google aktiver Teilnehmer des EU-US Data Privacy Frameworks (DPF – https://www.dataprivacyframework.gov) ist. Dem Auftraggeber ist insbesondere bekannt, dass nach den DPA eine Datenverarbeitung in den Vereinigten Staaten von Amerika stattfinden kann, sich die jeweiligen Subunternehmer jedoch nach Maßgabe des jeweiligen DPA zur Einhaltung europäischer Datenschutzstandards gegenüber dem Auftragnehmer verpflichtet haben und dem Auftragnehmer eine entsprechende Überwachung ermöglichen. Sowohl der Auftraggeber als auch der Auftragnehmer teilen die Rechtsauffassung, dass alle vom Auftragnehmer abgeschlossenen DPA aktuell die Vorgaben aus den Artikeln 44 ff. DSGVO (EU-Standardvertragsklauseln) erfüllen. Der Auftragnehmer hat ferner mit jedem Translation Expert einen Rahmenvertrag (welcher Translation Experts zu strikter Vertraulichkeit und Einhaltung von Datenschutzstandards verpflichtet) sowie einen darin einbezogenen Auftragsverarbeitungsvertrag nach Maßgabe von Art. 28 DSGVO ("AVV-TE") abgeschlossen, unter dem Translation Experts ihrerseits als Auftragsverarbeiter für den Auftragnehmer tätig werden. Zur Klarstellung: Daten werden an Translation Experts in jedem Fall nur dann weitergegeben, wenn durch den Auftraggeber explizit der Dienst "Professional Dubbing Services" (vgl. Ziffer 4 der Enterprise-Bedingungen) beauftragt worden ist. Wurde dieser Dienst nicht beauftragt, erfolgt auch kein Datenaustausch mit Translation Experts. Jeder Enterprise-Kunde wird bei Abschluss einer Enterprise-Order, welche "Professional Dubbing Services" umfasst, als Teil der Beauftragung gesondert über die geltenden Datenschutzregelungen belehrt. Vor diesem Hintergrund erteilt der Auftraggeber hiermit sein Einverständnis auch im Sinne von Ziffer 1.5. Der Auftragnehmer wird den Auftraggeber über Änderungen an den DPA bzw. (soweit für den Auftraggeber relevant) dem AVV-TE unterrichten und die jeweils aktuellen Fassungen der DPA auf seiner Webseite unter https://www.chamelaion.com/de/privacy-policy zur Lektüre verlinken sowie eine lokale Kopie der DPA und des AVV-TE vorhalten, die dem Auftraggeber bei Verlangen kurzfristig übersendet werden können. Der Auftragnehmer wird den Auftraggeber vor der Hinzuziehung weiterer oder dem Austausch bestehender Subunternehmer rechtzeitig informieren und ihm eine angemessene Frist zur Prüfung und zum Widerspruch einräumen.
2 Kontrollrechte des Auftraggebers
2.1 Der Auftraggeber hat das Recht, sich regelmäßig von der Einhaltung der Regelungen dieses Auftragsverarbeitungsvertrages, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gem. Ziffer 1.7(d), zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
2.2 Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Die Parteien werden sich rechtzeitig über den Zeitpunkt sowie die Art der Prüfung verständigen.
2.3 Das Kontrollergebnis wird vom Auftraggeber dokumentiert, der es dem Auftragnehmer mitteilt. Der Auftraggeber teilt dem Auftragnehmer unverzüglich die notwendigen Verfahrensänderungen mit, wenn beider Kontrolle Sachverhalte festgestellt werden, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern.
2.4 Der Auftragnehmer wird dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung stellen, die zur Durchführung einer Kontrolle gem. Ziffer 2.1 erforderlich sind. Darüber hinaus verpflichtet sich der Auftragnehmer, dem Auftraggeber auf Verlangen ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie hinsichtlich zugriffsberechtigter Personen zur Verfügung zu stellen.
3 Informations- und Unterstützungspflichten des Auftragnehmers
3.1 Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der überlassenen personenbezogenen Daten durch den Auftragnehmer, für diesen im Zuge der Vertragserfüllung tätige Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von sechzig (60) Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die vorbezeichneten Meldungen enthalten zumindest die in Artikel 33 Abs. (3) DSGVO genannten Angaben.
3.2 Der Auftragnehmer ist verpflichtet, den Auftraggeber im Falle von Ziffer 3.1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des Zumutbaren zu unterstützen. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen, insbesondere zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen, informiert den Auftraggeber hierüber und ersucht diesen um weitere Weisungen.
4 Weisungsbefugnis des Auftraggebers
4.1 Der Auftragnehmer verarbeitet die Daten nur im Rahmen der Leistungsvereinbarung und ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.v. Artikel 28 DSGVO (Auftragsverarbeitung im datenschutzrechtlichen Sinne).
4.2 Sämtliche erteilte Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren (mindestens in Textform). Für den Auftraggeber weisungsberechtigte Personen sind diejenigen, die in dessen Account als solche im Moment der Weisungsgabe hinterlegt sind (i.d.R. im Falle einer natürlichen Person der Account-Inhaber selbst, und im Falle von juristischen Personen oder Personengesellschaften deren organschaftlicher bzw. gesetzliche Vertreter). Empfangsberechtigte Personen des Auftragnehmers sind alle Personen, die laut aktuellem Handelsregisterauszug des Auftragnehmers Geschäftsführer oder Prokuristen des Auftragnehmers sind, sowie alle weiteren im Impressum des Auftragnehmers unter https://www.chamelaion.com/de/imprint als Empfangsberechtigte bzw. Vertreter benannte Personen.
4.3 Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, eine Weisung des Auftraggebers verstoße gegen datenschutzrechtliche Bestimmungen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
5 Rückgabe von Datenträgern und Löschung von Daten
5.1 Es besteht Einigkeit darüber, dass nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber, spätestens jedoch mit Beendigung der Leistungsvereinbarung, der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverarbeitungsvertrag stehen, dem Auftraggeber auszuhändigen oder nach vorheriger schriftlicher Zustimmung datenschutzgerecht zu vernichten hat, soweit in diesem Auftragsverarbeitungsvertrag nicht anders bestimmt. Gleiches gilt für Test- und Ausschussmaterial und temporäre Dateien. Das Protokoll der Löschung ist auf Anforderung dem Auftraggeber vorzulegen.
5.2 Der Auftragnehmer hat dem Auftraggeber die Löschung schriftlich zu bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren; Ziffer 2.2 gilt hierfür entsprechend.
5.3 Der Auftragnehmer ist verpflichtet, Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Diese Dokumentationen wird er auf Verlangen des Auftraggebers herausgeben. Er kann sie zu seiner Entlastung bereits bei Vertragsende dem Auftraggeber übergeben.
5.4 Der Auftragnehmer ist verpflichtet, auch über das Ende der Leistungsvereinbarung hinaus die ihm im Zusammenhang mit der Leistungsvereinbarung bekannt gewordenen Daten vertraulich zu behandeln.
5.5 Im Übrigen stellt der Auftragnehmer sicher, dass personenbezogene Daten regelmäßig auf die Erforderlichkeit ihrer Vorhaltung geprüft und nicht mehr benötigte Daten gemäß den Anforderungen der DSGVO gelöscht werden.
6 Auftragsdauer, Kündigung
6.1 Die Dauer dieses Auftragsverarbeitungsvertrages entspricht der Dauer der Leistungsvereinbarung, sofern sich aus den Besonderheiten dieses Auftragsverarbeitungsvertrages nichts anderes ergibt. Im Zweifel gilt eine Kündigung der Leistungsvereinbarung auch als Kündigung dieses Auftragsverarbeitungsvertrages und eine Kündigung dieses Auftragsverarbeitungsvertrages als Kündigung der Leistungsvereinbarung.
6.2 Unberührt bleibt das Recht jeder Partei, diesen Auftragsverarbeitungsvertrag aus wichtigem Grund fristlos zu kündigen.
6.3 Die Verpflichtungen zur Rückgabe oder Löschung der Daten sowie zur Vertraulichkeit und Nachweispflicht bleiben auch nach Vertragsbeendigung für den nach geltendem Recht notwendigen Zeitraum, mindestens jedoch drei (3) Monate, bestehen.
7 Haftung
7.1 Die Haftung der Parteien bestimmt sich nach Artikel 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Auftragsverarbeitungsvertrag oder der Leistungsvereinbarung bleibt hiervon unberührt.
7.2 Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Gleiches gilt entsprechend bei Verhängung einer Geldbuße gegen eine Partei, wobei die Freistellung in dem Umfang zu erfolgen hat, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.
8 Anwendbares Recht, Erfüllungsort, Gerichtsstand
8.1 Auf diesen Auftragsverarbeitungsvertrag findet deutsches Recht Anwendung.
8.2 Erfüllungsort ist der Sitz des Auftragnehmers in Frankfurt am Main, Bundesrepublik Deutschland.
8.3 Für Streitigkeiten aus diesem Auftragsverarbeitungsvertrag ist ausschließlicher Gerichtsstand Frankfurt am Main, Bundesrepublik Deutschland, sofern sich aus zwingenden gesetzlichen Vorschriften nichts Abweichendes ergibt.
9 Sonstiges
9.1 Es besteht Einigkeit, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer im Sinne von § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
9.2 Änderungen, Ergänzungen und Zusätze dieses Auftragsverarbeitungsvertrages haben nur Gültigkeit, wenn sie zwischen den Parteien schriftlich vereinbart werden. Dies gilt auch für die Abänderung dieser Vertragsbestimmung.
9.3 Sollte eine Bestimmung dieses Auftragsverarbeitungsvertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit dieses Auftragsverarbeitungsvertrages im Übrigen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Vertragslücke.
9.4 Für die rechtlichen Wirkungen zwischen den Parteien ist ausschließlich der deutschsprachige Vertragstext dieses Auftragsverarbeitungsvertrages maßgeblich. Etwaige automatisch oder manuell generierte Übersetzungen in andere Sprachen dienen lediglich der Information und entfalten weder direkte noch indirekte Wirkung zwischen den Parteien (schlichte Bequemlichkeitsübersetzungen). Für eine Auslegung im Sinne von §§ 133, 157 BGB ist ausschließlich der deutschsprachige Vertragstext heranzuziehen.
© 2025 CHAMELAION GmbH
.avif)