Vereinbarung zwischen gemeinsam Verantwortlichen (Art. 26 DS-GVO)
Direkt veröffentlichbare Fassung (vollständig, ohne Auslassungen)
Vereinbarung zwischen gemeinsam Verantwortlichen
zwischen
Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen
Deutschland
– im Folgenden „Verantwortlicher A" –
und
dem im Hauptvertrag bezeichneten Unternehmen
– im Folgenden „Verantwortlicher B" –
Verantwortlicher A und Verantwortlicher B werden im Folgenden auch einzeln als „Partei" oder gemeinsam als die „Parteien" bezeichnet.
§ 1 Vertragsgegenstand
(1) Die Parteien schließen diese Vereinbarung zwischen gemeinsam Verantwortlichen (im Folgenden „GVV") im Hinblick auf die Verarbeitung personenbezogener Daten im Zusammenhang mit dem zwischen den Parteien abgeschlossenen Hauptvertrag. Nachdem die Parteien gemeinsam die Zwecke der und die Mittel zu den nachstehend beschriebenen Verarbeitungsvorgängen (im Folgenden „Verarbeitungsvorgänge") festgelegt haben, betrachten sie sich als gemeinsam für die Verarbeitung Verantwortliche im Sinne von Art. 26 der Datenschutzgrundverordnung (im Folgenden „DS-GVO").
(2) Zur Klarstellung wird festgehalten, dass hinsichtlich jeglicher Verarbeitungen, die außerhalb des Anwendungsbereichs dieser GVV fallen, jede der Parteien als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO allein verantwortlich und voll haftbar bleibt, und dass insoweit keinerlei Verantwortlichkeiten oder Verpflichtungen einer Partei gegenüber der jeweils anderen Partei bestehen.
(3) Die vorliegende GVV enthält die wechselseitigen Verantwortlichkeiten und Verpflichtungen der Parteien hinsichtlich der Verarbeitungsvorgänge. Sollten die Bestimmungen dieser GVV zu denen des Hauptvertrags in Widerspruch stehen, gehen die erstgenannten vor, wenn und soweit die Verantwortlichkeiten und Verpflichtungen der Parteien hinsichtlich der Verarbeitungsvorgänge betroffen sind. Unbeschadet dessen sind die Parteien darüber einig, dass keine der Parteien für die Erfüllung ihrer Verantwortlichkeiten im Rahmen dieser GVV eine gesonderte Vergütung verlangen kann, sondern dass derlei Ansprüche vollständig von den Vergütungsvereinbarungen unter dem Hauptvertrag abgedeckt werden.
(4) Soweit in dieser GVV nichts Abweichendes bestimmt ist, haben die hierin verwendeten Begriffe die Bedeutung, die ihnen in Art. 4 DS-GVO zugeschrieben wird.
(5) Soweit einzelne Verarbeitungsschritte oder Verarbeitungsvorgänge nach ihrer tatsächlichen Ausgestaltung nicht als gemeinsame Verantwortlichkeit, sondern als Auftragsverarbeitung im Sinne des Art. 28 DS-GVO zu qualifizieren sind, schließen die Parteien hierfür ergänzend eine Vereinbarung zur Auftragsverarbeitung. Die übrigen Regelungen dieser GVV bleiben hiervon unberührt.
§ 2 Grundsätze für die und Einzelheiten der Verarbeitungsvorgänge
(1) Die Parteien sichern einander zu und gewährleisten, dass im Hinblick auf die Verarbeitungsvorgänge sämtliche personenbezogenen Daten in Übereinstimmung mit den Bestimmungen dieser GVV und der anwendbaren Datenschutzgesetze erhoben und weiter verarbeitet werden, insbesondere im Einklang mit den in Art. 5 DS-GVO niedergelegten Grundsätzen für die Verarbeitung personenbezogener Daten. Sollte eine Partei der Ansicht sein, dass die jeweils andere Partei im Rahmen der Ausführung der vorliegenden GVV deren Bestimmungen oder die anwendbaren Datenschutzgesetze verletzt, wird sie diese andere Partei unverzüglich darüber in Kenntnis setzen.
(2) Soweit dies zur Erfüllung gesetzlicher Pflichten oder zur Gewährung von Betroffenenrechten (insbesondere Art. 15 und Art. 20 DS-GVO) erforderlich ist, stellen die Parteien personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereit, soweit dies technisch möglich und verhältnismäßig ist.
(3) Keine der Parteien wird Kopien oder Duplikate der unter dieser GVV verarbeiteten personenbezogenen Daten anfertigen, soweit dies nicht für die Verarbeitungsvorgänge (einschließlich Datensicherungen, Protokollierungen, Redundanzen, Ausfallsicherheit, Debugging im erforderlichen Umfang) oder zwecks Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist.
(4) Die Einzelheiten der Verarbeitungsvorgänge sind in der separat veröffentlichten Übersicht „Data Flow" dargestellt (im Folgenden „Data Flow Übersicht"). Diese Einzelheiten enthalten eine umfassende Darstellung von Art, Zweck und Gegenstand der Verarbeitungsvorgänge, der Kategorien der von den Verarbeitungsvorgängen betroffenen Personen und der Art der verarbeiteten personenbezogenen Daten. Zusätzlich beschreiben die Parteien in der Data Flow Übersicht jeden Schritt der Verarbeitungsvorgänge und halten dabei fest:
(a) welche der Parteien für welchen dieser Schritte verantwortlich ist,
(b) auf welcher Rechtsgrundlage die einzelnen Verarbeitungsvorgänge beruhen,
(c) welche Empfänger oder Kategorien von Empfängern beteiligt sind,
(d) welche Speicher- und Löschfristen bzw. Kriterien zur Festlegung der Dauer gelten, und
(e) welche technischen und organisatorischen Maßnahmen (TOMs) jeweils einschlägig sind.
(5) Wenn dies wegen einer Veränderung der Verarbeitungsvorgänge selbst und/oder aufgrund einer Änderung oder Ergänzung des Hauptvertrags erforderlich wird, werden die Parteien die Festlegungen in der Data Flow Übersicht entsprechend anpassen. Angesichts der Verpflichtungen der Parteien als gemeinsam für die Verarbeitung Verantwortliche, ist jede Partei dafür verantwortlich, die jeweils andere Partei darüber zu unterrichten, wenn sie eine Anpassung der Festlegungen in der Data Flow Übersicht für notwendig erachtet. Unbeschadet dessen wird jede Partei regelmäßig, zumindest aber einmal jährlich, prüfen, ob die Festlegungen in der Data Flow Übersicht die dann aktuellen Verarbeitungsvorgänge widerspiegeln.
(6) Die jeweils zuständige Aufsichtsbehörde hinsichtlich der Verarbeitungsvorgänge für den Verantwortlichen A ist die Aufsichtsbehörde des Landes Nordrhein-Westfalen. Für den Verantwortlichen B ist die jeweils zuständige Aufsichtsbehörde an dessen Sitz zuständig.
§ 3 Ort der Datenverarbeitung; Übermittlung in Drittländer
(1) Die Parteien werden personenbezogene Daten ausschließlich an ihrem eigenen Sitz oder dem Sitz ihrer befugten Auftragsverarbeiter verarbeiten. Danach werden sämtliche Verarbeitungsvorgänge grundsätzlich in den Mitgliedsstaaten der Europäischen Union oder in einem anderen Staat ausgeführt, der Partei des Vertrags über den Europäischen Wirtschaftsraum ist.
(2) Jede Verarbeitung personenbezogener Daten außerhalb von EU/EWR ist nur bei vorheriger Vereinbarung zwischen den Parteien und nur dann zulässig, wenn die Voraussetzungen der Art. 44 ff. DS-GVO eingehalten werden.
(3) Die Parteien sind darüber einig, dass, in Ermangelung eines Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DS-GVO, jede Übermittlung von personenbezogenen Daten in ein Land außerhalb von EU/EWR nur zulässig ist, wenn die Parteien keinen Grund zu der Annahme haben, dass die Rechtsvorschriften und Praktiken im Bestimmungsdrittland, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur daran hindern sicherzustellen, dass das durch die DS-GVO garantierte Schutzniveau natürlicher Personen nicht unterlaufen wird. Die Partei, die beabsichtigt, personenbezogene Daten in ein Land außerhalb von EU/EWR zu übermitteln, hat daher vor der Übermittlung der jeweils anderen Partei schriftlich nachzuweisen, dass sie (a) die konkreten Umstände der Übermittlung, (b) die Gesetze und Praktiken des Drittlands, die im Hinblick auf die konkreten Umstände der Übermittlung relevant sind, einschließlich etwaiger einschränkender Bestimmungen und Schutzmaßnahmen, und (c) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zur Ergänzung der im Rahmen dieser GVV vereinbarten Schutzmaßnahmen vorgesehen sind, angemessen berücksichtigt hat.
§ 4 Rechte der betroffenen Personen
(1) Die Parteien werden den betroffenen Personen die Informationen gemäß Art. 13 und 14 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache mitteilen. In diesem Zusammenhang stimmen die Parteien darin überein, dass (a) die unter „Datenschutz" abrufbaren Datenschutz-Hinweise den vorgenannten Anforderungen des Art. 12 Abs. 1 DS-GVO entsprechen, (b) im Hinblick auf Art. 13 Abs. 4 und Art. 14 Abs. 5 Nr. 1 DS-GVO keine weiteren Informationspflichten hinsichtlich der Verarbeitungsvorgänge bestehen, und (c) die Datenschutz-Hinweise das Wesentliche der Vereinbarung im Sinne des Art. 26 Abs. 2 DS-GVO enthalten, das auf diese Weise den betroffenen Personen zur Verfügung gestellt werden. § 2 Abs. 5 gilt entsprechend. Die Parteien stellen zudem sicher, dass die wesentlichen Inhalte dieser Vereinbarung im Sinne des Art. 26 Abs. 2 DS-GVO den betroffenen Personen in geeigneter Weise zur Verfügung gestellt werden.
(2) Die Parteien geben den Verantwortlichen A als Anlaufstelle für die betroffenen Personen an. Die Parteien sind sich dabei gleichwohl bewusst, dass die betroffenen Personen desungeachtet ihre Rechte bei und gegenüber jeder Partei geltend machen. Aus diesem Grunde hat der Verantwortliche B den Verantwortlichen A unverzüglich über jede Beschwerde, Mitteilung oder Anfrage zu unterrichten, die er direkt von einer betroffenen Person hinsichtlich dessen oder deren personenbezogener Daten erhält, ohne auf jene Anfrage zu antworten. Der Verantwortliche B wird dem Verantwortlichen A die notwendige Unterstützung im Hinblick auf jede Beschwerde, Mitteilung oder Anfrage einer betroffenen Person zuteilwerden lassen. Der Verantwortliche B wird Anfragen, Beschwerden oder Mitteilungen betroffener Personen innerhalb von 48 Stunden nach Eingang an Verantwortlichen A weiterleiten und keine inhaltliche Antwort gegenüber der betroffenen Person erteilen, es sei denn, Verantwortlicher A stimmt dem ausdrücklich zu.
(3) Der Verantwortliche A wird der betroffenen Person bestätigen, ob sie betreffende personenbezogene Daten im Rahmen der Verarbeitungsvorgänge verarbeitet werden. Soweit dies der Fall ist, wird der Verantwortliche A der betroffenen Person die Informationen gemäß Art. 15 Abs. 1 DS-GVO sowie eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, gemäß Art. 15 Abs. 3 DS-GVO zur Verfügung stellen.
(4) Der Verantwortliche A wird mit der gebotenen Sorgfalt jede Anfrage einer betroffenen Person hinsichtlich (a) der Berichtigung ihrer vermeintlich unrichtigen personenbezogenen Daten, (b) der Löschung ihrer personenbezogenen Daten, (c) der Einschränkung der Verarbeitung ihrer personenbezogenen Daten, (d) des Rechts dieser betroffenen Person auf Datenportabilität sowie (e) eines Widerspruchs nach Art. 21 DS-GVO untersuchen. Nach Abschluss der Untersuchung wird der Verantwortliche A entscheiden, ob die Anfrage begründet ist oder nicht, und welche der Parteien oder ob beide Parteien verpflichtet ist bzw. sind, die personenbezogenen Daten zu berichtigen oder zu löschen, oder ihre Verarbeitung einzuschränken, oder der betroffenen Person das Recht auf Datenportabilität zu gewähren bzw. dem Widerspruch nach Art. 21 DS-GVO nachzukommen. Der Verantwortliche A wird den Verantwortlichen B entsprechend informieren.
(5) Die Parteien verpflichten sich, ein internes Verfahren zur Bearbeitung von Betroffenenanfragen zu implementieren (z. B. Ticket-System), um die fristgerechte Erfüllung innerhalb der gesetzlichen Fristen sicherzustellen. Verantwortlicher B unterstützt Verantwortlichen A unverzüglich, spätestens jedoch innerhalb von 5 Werktagen, durch Bereitstellung der erforderlichen Informationen und Daten, soweit dies zur Bearbeitung der Anfrage notwendig ist.
(6) Wenn eine Anfrage betreffend die Löschung personenbezogener Daten begründet ist, oder nach Kündigung oder Auslaufen des Hauptvertrags werden die Parteien die betreffenden oder sämtliche personenbezogenen Daten löschen. Wenn die Datenschutzgesetze, denen eine Partei unterliegt, es dieser Partei verbieten, alle oder Teile der personenbezogenen Daten zu löschen, muss diese Partei garantieren, dass (a) die Vertraulichkeit dieser personenbezogenen Daten gewahrt bleibt, (b) sie die personenbezogenen Daten nicht mehr aktiv verarbeitet und (c) sie diese personenbezogenen Daten löschen wird, sobald die gesetzliche Verpflichtung, die Daten nicht zu löschen, nicht mehr besteht. Jede Partei wird ein Protokoll über die Löschung personenbezogener Daten aufsetzen, welches der jeweils anderen Partei auf Anfrage bereitzustellen ist.
§ 5 Gemeinsame Zusicherungen der Parteien
(1) Die Parteien haben bevollmächtigte Vertreter und deren Stellvertreter als alleinige Ansprechpartner für sämtliche Kommunikation betreffend die Verarbeitungsvorgänge bestimmt. Die Parteien werden einander sofort schriftlich über jeden Wechsel in der Person des bevollmächtigten Vertreters oder dessen Stellvertreter unterrichten und einen Ersatz benennen. Bis eine solche Mitteilung die jeweils andere Partei erreicht hat, bleiben die benannten Personen berechtigt, Nachrichten der jeweils anderen Partei entgegenzunehmen und an diese gerichtete Nachrichten gelten als ordnungsgemäß übermittelt.
(2) Jegliche Kommunikation zwischen den Parteien erfolgt grundsätzlich schriftlich oder zumindest in Textform durch die hierzu nach der vorliegenden GVV berechtigten Personen. Mündliche Mitteilungen werden unverzüglich schriftlich oder in Textform bestätigt.
(3) Mitarbeiter beider Parteien: (a) die Zugang zu personenbezogenen Daten haben, haben sich einer Verpflichtung zur Vertraulichkeit unterworfen oder unterliegen einer gesetzlichen Geheimhaltungspflicht; (b) dürfen personenbezogene Daten nur nach Weisung der anstellenden Partei verarbeiten, wenn nicht eine anderweitige gesetzliche Verpflichtung zur Verarbeitung besteht; und (c) werden regelmäßig, zumindest aber einmal im Jahr, im Hinblick auf die Verpflichtungen der Parteien unter der vorliegenden GVV, den Datenschutzgesetzen und insbesondere der DS-GVO geschult.
(4) Auf Anfrage werden die Parteien einander im Falle von Ermittlungen oder Anfragen einer Aufsichtsbehörde unterstützen, wenn und soweit sich diese Ermittlung oder Anfrage auf die Verarbeitungsvorgänge bezieht. Die Parteien unternehmen die erforderlichen Schritte, um jegliche Verpflichtungen im Zusammenhang mit einer solchen Ermittlung oder Anfrage einzuhalten. Unabhängig von einer Unterstützungsanfrage werden die Parteien einander in jedem Falle über jegliche derartige Ermittlung oder Anfrage einer Aufsichtsbehörde unterrichten.
(5) Die Parteien werden einander unverzüglich, in keinem Fall später als 24 Stunden, nachdem sie eine Verletzung des Schutzes personenbezogener Daten festgestellt haben, hierüber unterrichten. Diese Mitteilung muss die Informationen gemäß Art. 33 Abs. 3 DS-GVO oder, wenn die mitteilende Partei nicht in der Lage ist, diese Informationen innerhalb der 24-Stunden-Frist zur Verfügung zu stellen, zumindest eine Erklärung enthalten zu (a) den Gründen für dieses Unvermögen, (b) dem zu erwartenden zusätzlichen Zeitraum bis zur Vervollständigung der Informationen und (c) soweit vorhanden, dem Einfluss dieses Unvermögens auf die ergriffenen Maßnahmen zur Abmilderung der nachteiligen Auswirkungen dieser Verletzung des Schutzes personenbezogener Daten. Sollte eine Partei wegen eines Risikos für die Rechte und Freiheiten natürlicher Personen gesetzlich dazu verpflichtet sein, Informationen bereitzustellen (insbesondere, aber nicht ausschließlich nach Art. 33 und 34 DS-GVO), hat die jeweils andere Partei die verpflichtete Partei nach besten Kräften bei der Erfüllung ihrer Informationspflichten zu unterstützen. Soweit möglich, soll jede Kommunikation mit der zuständigen Aufsichtsbehörde und/oder den betroffenen Personen im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten vor ihrer Absendung zwischen den Parteien abgestimmt werden.
(6) Die Parteien haben auf Basis des derzeitigen Stands der Verarbeitungsvorgänge geprüft, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO erforderlich ist, und gehen aktuell davon aus, dass keine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung besteht. Die Parteien verpflichten sich, diese Bewertung anlassbezogen, insbesondere bei Änderungen der Verarbeitungsvorgänge, sowie mindestens einmal jährlich zu überprüfen. Sollte eine Datenschutz-Folgenabschätzung erforderlich werden, unterstützen sich die Parteien gegenseitig in angemessenem Umfang bei deren Durchführung. Eine etwaige Verpflichtung zur vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DS-GVO bleibt unberührt.
§ 6 Technische und organisatorische Maßnahmen
(1) Vor Beginn der Verarbeitung haben die Parteien die in den TOMs genannten technischen und organisatorischen Maßnahmen umzusetzen und diese während der Laufzeit der vorliegenden GVV aufrechtzuerhalten. Hierbei handelt es sich (a) um Maßnahmen zur Sicherstellung der Einhaltung der Rechte der betroffenen Personen und (b) um technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten. Dabei müssen der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden.
(2) Weil die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und technologischen Fortentwicklungen unterliegen, ist es den Parteien erlaubt, alternative und angemessene Maßnahmen umzusetzen, wenn hierdurch der Sicherheitsstandard der in den TOMs spezifizierten Maßnahmen nicht unterschritten wird.
(3) Unbeschadet dessen ist eine Partei zur Umsetzung weiterer Maßnahmen verpflichtet, wenn sich herausstellt, dass (a) die in den TOMs spezifizierten Maßnahmen angesichts des technischen Fortschritts und technologischer Fortentwicklungen nicht länger angemessen im Sinne des Abs. 1 sind und/oder (b) ein Audit oder eine Untersuchung durch eine Aufsichtsbehörde ergeben hat, dass die Maßnahmen in den TOMs unzureichend sind.
(4) Jede der Parteien wird jegliche Änderungen im vorstehenden Sinne dokumentieren und der jeweils anderen Partei eine Kopie der solcherart ergänzten oder aktualisierten technischen und organisatorischen Maßnahmen zur Verfügung stellen.
§ 7 Weitere Verantwortliche; Einschaltung von Auftragsverarbeitern für die hier in gemeinsamer Verantwortlichkeit stehenden Daten
(1) Die Parteien erkennen an, dass keinen weiteren Verantwortlichen durch Beitritt zu dieser GVV Zugriff auf die bis zu diesem Zeitpunkt als Teil der Verarbeitungsvorgänge verarbeiteten personenbezogenen Daten gewährt werden darf. Die Parteien sind weiter darüber einig, dass, sofern sie einen weiteren Verantwortlichen in künftige Verarbeitungsvorgänge einbeziehen wollten, dies (a) eine Ergänzungsvereinbarung sowohl zum Hauptvertrag als auch zu dieser GVV, (b) eine sorgfältige Durchführung des in § 2 Abs. 5 niedergelegten Prozesses und (c) eine aktualisierte Information an die betroffenen Personen im Sinne des § 4 Abs. 1 erforderlich machen würde.
(2) Setzt eine Partei einen Auftragsverarbeiter ein, muss sie diesem Verpflichtungen zu Datenschutz, Vertraulichkeit und Datensicherheit auferlegen, die (a) den Anforderungen der Art. 28 und 20 DS-GVO genügen und (b) zumindest so streng ausfallen wie die in dieser GVV niedergelegten. § 3 Abs. 2 und 3 gelten entsprechend.
(3) Eine Partei muss der jeweils anderen Partei schriftlich mitteilen, wenn sie beabsichtigt einen neuen Auftragsverarbeiter einzusetzen. Wenn die informierte Partei der einsetzenden Partei innerhalb von 30 Tagen ab Erhalt dieser Mitteilung schriftlich in nachvollziehbarer Weise ihre Ablehnung des vorgeschlagenen Einsatzes mitteilt, werden die Parteien nach Treu und Glauben eine beidseits akzeptable Alternativlösung aushandeln.
(4) Erfüllt ein Auftragsverarbeiter seine Verpflichtungen im Hinblick auf die Verarbeitungsvorgänge nicht, so hat die einsetzende Partei gegenüber der jeweils anderen Partei vollumfänglich für die Einhaltung der Verpflichtungen des Auftragsverarbeiters einzustehen.
(5) Die Parteien sind darüber einig, dass die Erbringer von Hilfsdienstleistungen keine Auftragsverarbeiter im Sinne der Datenschutzgesetze sind; dies betrifft insbesondere Transportdienstleistungen von Post- oder Kurierdiensten, Geldtransportleistungen, Telekommunikationsleistungen, Sicherheitsdienste und Reinigungsleistungen. Unbeschadet dessen werden die Parteien mit solchen Dienstleistern übliche Vertraulichkeitsvereinbarungen abschließen.
§ 8 Auditrechte
(1) Jede Partei hat das Recht, die Einhaltung dieser GVV aufseiten der jeweils anderen Partei zu überprüfen, wenn dies erforderlich ist, um (a) einer Verpflichtung gegenüber einer Aufsichtsbehörde ordnungsgemäß nachzukommen oder (b) sich selbst davon zu überzeugen, dass die jeweils andere Partei nach einem Datenschutzvorfall ihre Abläufe an die Bestimmungen dieser GVV angepasst hat.
(2) Wenn und soweit eine solche Überprüfung Vor-Ort-Inspektionen erfordert, sollen diese gewöhnlich während der üblichen Geschäftszeiten und ohne unnötige Störungen des Betriebsablaufs stattfinden. Die Partei, die eine Überprüfung durchführt, wird die jeweils andere Partei mit einer angemessenen Frist im Vorwege über alle mit der Überprüfung verbundenen Umstände unterrichten.
(3) Eine Partei darf einen Dritten mit der Durchführung der Überprüfung beauftragen. In einem solchen Fall ist der Dritte schriftlich auf die strikte Wahrung von Geheimhaltung und Vertraulichkeit zu verpflichten, wenn nicht der Dritte einer beruflichen Verschwiegenheitspflicht unterliegt.
(4) Audits sind auf den zur Prüfung erforderlichen Umfang zu beschränken und unter Wahrung von Geschäfts- und Betriebsgeheimnissen der jeweils anderen Partei durchzuführen. Soweit möglich, werden statt Vor-Ort-Prüfungen zunächst geeignete Nachweise (z. B. Zertifikate, Prüfberichte, TOM-Dokumentation) zur Verfügung gestellt.
§ 9 Haftung
(1) Die Parteien erkennen an, dass sie beide hinsichtlich der Verarbeitungsvorgänge gegenüber betroffenen Personen nach Art. 82 Abs. 2 bis 4 DS-GVO haftbar sind.
(2) Hat eine Partei gemäß Art. 82 Abs. 4 DS-GVO einer betroffenen Person vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist diese Partei berechtigt, von der jeweils anderen Partei den Teil des Schadenersatzes zurückzufordern, der dem Anteil dieser anderen Partei an der Verantwortung für den Schaden entspricht.
(3) Abs. 2 findet entsprechende Anwendung für den Fall, dass eine Aufsichtsbehörde ein Bußgeld gegen eine Partei verhängt hat, wenn und soweit der Verstoß, der Anlass für das Bußgeld gegeben hat, ganz oder teilweise auf einen Verstoß der jeweils anderen Partei gegen die vorliegende GVV oder die anwendbaren Datenschutzgesetze beruht. Unbeschadet dessen kann eine Partei nur dann Entschädigung für ein Bußgeld verlangen, wenn sie alle angemessenen Anstrengungen unternommen hat, dieses Bußgeld im Rahmen der verwaltungsrechtlichen Verfahren abzuwehren oder zu reduzieren.
§ 10 Sonstige Bestimmungen
(1) Die vorliegende GVV unterliegt demselben Recht wie der Hauptvertrag, und für alle Streitigkeiten aus und im Zusammenhang mit dieser GVV sind ausschließlich diejenigen Gerichte zuständig, auf welche sich die Parteien im Hauptvertrag verständigt haben.
(2) Änderungen oder Ergänzungen der vorliegenden GVV sind nur wirksam, wenn sie schriftlich abgefasst wurden.
(3) Wenn eine Bestimmung dieser GVV von dem zuständigen Gericht für unwirksam oder nicht durchsetzbar erklärt wird, bleiben die übrigen Bestimmungen uneingeschränkt wirksam.
(4) Diese GVV tritt mit Unterschrift des Hauptvertrages der Parteien in Kraft. Sie gilt ungeachtet des Endes der Vertragslaufzeit des Hauptvertrags so lange, bis sämtliche personenbezogenen Daten von den Parteien und/oder sämtlichen eingesetzten Auftragsverarbeitern gelöscht worden sind, und tritt sodann automatisch außer Kraft.
Ort/Datum: ___________________________
Fitness Nation GmbH (Verantwortlicher A)
Unterschrift: ___________________________
Name/Funktion: _________________________
[Unternehmen] (Verantwortlicher B)
Unterschrift: ___________________________
Name/Funktion: _________________________