Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

zwischen

Betreiber von Sport- und Wellnessanlagen

 (nachfolgend „Studio“ genannt)

und der

Magicline GmbH, Raboisen 6, 20095 Hamburg

(nachfolgend „Magicline“ genannt)

Version: 12-2021

Präambel:

Das Studio und Magicline haben eine Vereinbarung geschlossen, welche das Studio zur Nutzung der Magicline Verwaltungssoftware in Form eines „Software as a Service“-Dienstes sowie zur Inanspruchnahme sonstiger Serviceleistungen berechtigt („Hauptvertrag“).

Die Erfüllung der auf Basis des Hauptvertrages seitens Magicline geschuldeten Leistungen bedingt, dass Magicline mit personenbezogenen Daten des Studios (nachfolgend auch „Vertragsdaten“) umgeht. Die Verarbeitung der Vertragsdaten erfolgt im Rahmen einer Auftragsverarbeitung durch Magicline als Auftragsverarbeiter für das Studio, unter Beachtung der Regelungen des Art. 28 EU- Datenschutzgrundverordnung (“DSGVO”). Dieser Vertrag konkretisiert die für beide Parteien insoweit geltenden datenschutzrechtlichen Rechte und Pflichten.

§ 1 Gegenstand des Vertrags, Art der Daten, Kreis der Betroffenen

1. Magicline erbringt gegenüber dem Studio die gemäß Hauptvertrag geschuldeten Dienstleistungen, insbesondere:
   

(i) Durchführung der gemäß Hauptvertrag geschuldeten Verarbeitungsvorgänge im Sinne von Art. 4 Ziff. 2 DSGVO, im Rahmen der vertragsgemäßen Nutzung der Magicline Verwaltungssoftware innerhalb der jeweiligen, vom Studio genutzten Software-Funktionalitäten. Die Magicline Verwaltungssoftware kann seitens des Studios insbesondere zu folgenden Zwecken genutzt werden:

• Verwaltung von Mitgliederdaten
• Erfassung von trainingsrelevanten Daten von Mitgliedern
• Planung von Terminen und Kursen
• Kommunikation mit Mitgliedern über verschiedene Kanäle (insbesondere E-Mail, Post, SMS, Push-Nachrichten)
• Technische Unterstützung bei der Zutrittskontrolle von Mitgliedern und Trainierenden  zu den Studioeinrichtungen (inklusive Schließfachnutzung etc.)
• Unterstützung des Studios bei der Erstellung von Abrechnungsdaten
• Unterstützung des Studios im Rahmen des Mahnwesen und Inkassoanbindung
• Abwicklung von Online-Zahlungen durch Mitglieder
• Warenwirtschaftssystem mit angeschlossenem Kassensystem
• Unterstützung bei der Gewinnung von Neukunden durch Marketingkampagnen
• Verwaltung von Mitarbeiterdaten und technische Unterstützung bei der Personaleinsatzplanung
• Technische Unterstützung bei der Aufgabenverwaltung und -planung für Mitarbeiter
• Auswertung diverser Unternehmenskennzahlen

Magicline erhebt und speichert in der Magicline Verwaltungssoftware seitens des Studios, des jeweiligen Kunden des Studios inklusive Personen, mit potentiellem Interesse am Erwerb einer Mitgliedschaft beim Studio ( nachfolgend zusammenfassend "Mitglied(er)") sowie von sonstigen Dritten ("Trainierenden"), bereitgestellte Vertragsdaten. Im Zuge der Nutzung der Funktionalitäten der Verwaltungssoftware Magicline durch das Studio, werden die Vertragsdaten, je nach vom Studio gewählter Anwendernutzung, unter Beachtung aller datenschutzrechtlicher Vorgaben sowie mit Hilfe von bei Magicline etablierter Prozesse, in der Magicline Verwaltungssoftware abgeglichen, verknüpft, nach Vorgaben des Hauptvertrages offengelegt und wieder gelöscht.

(ii) Verarbeitung der für das Studio über die Magicline Verwaltungssoftware verwalteten  Vertragsdaten zur Erstellung von anonymisierten Marktanalysen. Die für die jeweilige Analyse relevanten Datensätze der Vertragsdaten (z.B. Tarif, Vertragsstart und -ende, Zahlungsdaten, Checkin-Ins, Trainingsdaten, Marketingdaten, etc.) werden jeweils ohne Personenbezug aus dem kundenspezifischen Bereich der Magicline Verwaltungssoftware in den allgemeinen Datenverarbeitungsbereich der Magicline zur weiteren Verarbeitung gemeinsam mit anonymisierten Daten anderer Studios übermittelt. Nach einer Übermittlung in den allgemeinen Datenverarbeitungsbereich ist ein Bezug zum Studio nicht mehr möglich.

2. Magicline ist verpflichtet, sämtliche Vertragsdaten, auf welche Magicline im Zuge der Erfüllung der nach diesem Vertrag sowie dem Hauptvertrag geschuldeten Leistungen Zugriff erlangt, in logisch unterschiedlichen Bereichen mit unterschiedlichen Zugriffsrechten zu speichern und mit einem kundenspezifischen Schlüssel zu verschlüsseln. Dadurch können die Daten des Studios getrennt von jedweden Daten von Magicline sowie jedweden Daten Dritter, verarbeitet und gelöscht werden.

3. Von der Auftragsdatenverarbeitung können Daten folgender Personengruppen betroffen sein:
   

(i) Inhaber sowie Mitarbeiter des Studios und

(ii) Mitglieder des Studios.
(iii) Soweit Bestandteil des Leistungsangebotes des Studios:

Trainierende, also Personen, die als vertraglich gebundenes Mitglied eines anderen Studios, das Leistungsangebot des Studios in Anspruch nehmen möchten (nachfolgend auch "Kreuzzutritte")

Es handelt sich dabei ausnahmslos um folgende personenbezogenen Daten des vorbezeichneten Kreises der Betroffenen:

(i) Bezüglich Inhaber des Studios:

• Firmen und Organisationsdaten des Studios (HR-Nummer, Angaben zur Geschäftsführung, Bankverbindungen, Adressdaten, etc.)
• Interne Geschäftszahlen des Studios (Mitgliederzahl, Vertragszahl, Kündigungsquote, Rücklastschriftquote etc.)

(ii) Bezüglich Mitarbeitern des Studios:

• Name, Adresse, Kontaktdaten, Zahlungsdaten (IBAN, BIC) des jeweiligen Mitarbeiters
• Geburtsdatum des jeweiligen Mitarbeiters
• Foto des jeweiligen Mitarbeiters
• Daten, die das Arbeitsverhältnis mit dem Studio betreffen und in der Verwaltungssoftware Magicline erfasst werden (Vertragslaufzeit, Zahlungsmodalitäten, Stundensätze, Arbeitszeiten, etc.)
• Anmeldevorgänge am System
• Termin- und Kursbuchungen des jeweiligen Mitarbeiters
• Sowie alle sonstigen vom Studio in die Magicline Verwaltungssoftware (“Freitext”) eingegebenen Informationen über den jeweiligen Mitarbeiter

(iii) Bezüglich Mitgliedern des Studios:

• Name, Adresse, Kontaktdaten, Zahlungsdaten (IBAN, BIC, Lastschriftmandat), Mitgliedsnummer, UID der Mitgliedskarten, gesetzlicher Vertreter des jeweiligen Mitglieds
• Geburtsdatum des jeweiligen Mitglieds
• Foto des jeweiligen Mitglieds
• Vertragslaufzeit und Zahlungsmodalitäten des jeweiligen Mitglieds
• Einwilligung zu Marketing-Aktionen
• Teilnahme an Empfehlungs- und Kundenbindungsprogrammen
• Offene Verbindlichkeiten, Zahlungen sowie Mahn- oder Inkassostatus des jeweiligen Mitglieds
• Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch das Mitglied (Art, Häufigkeit und Dauer der Nutzung durch das Mitglied, u.a. Check-In)
• Informationen aus der Nutzung der vom Studio angebotenen Leistungen (z.B. Trainingspläne, Kurstermine des Mitglieds, Schließfachnutzung, Automatennutzung sowie sonstige persönliche Informationen)
• Gesundheitsdaten (z.B. COVID-Impfstatus, CORONA-Testergebnis, Größe, Gewicht, Körperfett sowie sonstige persönliche Informationen)
• Kommunikation mit dem Mitglied über verschiedene Kanäle (Brief, E-Mail, SMS u.ä.)
• Sowie alle sonstigen vom Studio und/oder dem Mitglied in die Magicline Verwaltungssoftware (“Freitext”) eingegebenen Informationen über das Mitglied

(iv) Soweit Bestandteil des Leistungsangebotes des Studios:

Bezüglich Trainierenden ohne Mitgliedschaft beim Studio, bei Vorliegen eines Kreuzzutritts:

-           Name des Trainierenden

-           Mitgliedsnummer, UID der Mitgliedskarte des Trainierenden

-           Name des Studios mit dem der Trainierende Mitgliedsvertrag hat inklusive Vertragsende

-           Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch das Mitglied (Art, Häufigkeit und Dauer der Nutzung durch das Mitglied)

-           Informationen aus der Nutzung der vom Studio angebotenen Leistungen (z.B. Kurs-/Gerätenutzung, Schließfachnutzung, Automatennutzung)

• - sowie alle sonstigen vom Studio in die Magicline Verwaltungssoftware ("Freitextfeld") eingegebenen Informationen über den Trainierenden

4. Zweck der Verarbeitung der Vertragsdaten ist zum einen die Unterstützung des Studios bei der Verwaltung der mit den Mitgliedern des Studios geschlossenen Verträge (Mitgliederverwaltung), die Unterstützung bei der Zutrittskontrolle zu Leistungen des Studios sowie bei der Erstellung von Abrechnungsdaten. Zweck ist zum anderen, dem Studio für dessen Selbst- und Marktanalysen in anonymisierter Form interne und externe Marktdaten unter Nutzung der Vertragsdaten zur Verfügung zu stellen. Zweck der Verarbeitung der Mitarbeiterdaten ist schließlich eine technische Unterstützung des Studios bei der Personalverwaltung.
5. Es werden Verarbeitungsvorgänge der in Art. 4 Ziff. 2 DSGVO beschriebenen Art durchgeführt. Es werden also die Vertragsdaten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst und verändert, ausgelesen, abgefragt, verwendet und offengelegt durch Übermittlung. Es werden auch Vertragsdaten abgeglichen, verknüpft und nach Vorschrift gelöscht

§ 2 Verantwortlichkeiten sowie Weisungsbefugnis des Studios

1. Für die Zulässigkeit der Datenverarbeitung gemäß Art. 6 DSGVO sowie für die Wahrung der Rechte der Personen, deren Daten verarbeitet werden (den Betroffenen) nach den Art. 12 bis 22 DSGVO ist allein das Studio verantwortlich.
2. Bei der Erfüllung der Rechte gegenüber den Betroffenen nach Art. 12 bis 22 DSGVO durch das Studio, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Studios hat Magicline im notwendigen Umfang mitzuwirken und das Studio soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Magicline wird alle Anfragen von Betroffenen, sofern sie erkennbar ausschließlich an das Studio gerichtet sind, unverzüglich an dieses weiterleiten.
3. Magicline verarbeitet die Vertragsdaten ausschließlich gemäß den Regelungen des mit dem Studio geschlossenen Hauptvertrages sowie im Rahmen der vom Studio erteilten Weisungen, außer es liegt ein Ausnahmefall im Sinne von Art. 28 Abs. 3 lit. a DSGVO vor. Magicline verwendet die zur Datenverarbeitung überlassenen Vertragsdaten nicht anderweitig und bewahrt sie nicht länger auf, als es das Studio bestimmt.
4. Das Studio erteilt alle Weisungen in der Regel unter Nutzung hierfür eingerichteter, spezieller Funktionalitäten der Magicline Verwaltungssoftware. Die Nutzung der Funktionalitäten zur Erteilung von Weisungen durch das Studio wird seitens Magicline dokumentiert. Außerhalb der Magicline Verwaltungssoftware  erteilt das Studio Weisungen  in der Regel per E-Mail oder schriftlich.
5. Ist Magicline der Ansicht, dass eine Weisung des Studios gegen die DSGVO oder andere Vorschriften über den Datenschutz verstößt, weist Magicline das Studio unverzüglich darauf hin. Magicline ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen des Studios nach Überprüfung bestätigt oder geändert wird.
6. Das Studio informiert Magicline unverzüglich, wenn es Fehler oder Unregelmäßigkeiten bei der Prüfung der Verarbeitungsergebnisse feststellt.

§ 3 Datenschutzbeauftragter von Magicline, Verzeichnis der Verarbeitungstätigkeit

1. Bei Magicline ist als betrieblicher Datenschutzbeauftragter bestellt:
   Marc Althaus, DS Extern GmbH, Frapanweg 22, 22589 Hamburg, https://www.dsextern.de/anfragen
2. Der Datenschutzbeauftragte hat die Ausführungen der DSGVO sowie andere Vorschriften über den Datenschutz im Hinblick auf das Auftragsverhältnis sicherzustellen. Hierzu führt der Datenschutzbeauftragte regelmäßige Kontrollen durch. Über die Kontrollen wird ein Protokoll angefertigt. Stellt der Datenschutzbeauftragte im Rahmen seiner Aufgaben Unregelmäßigkeiten bei der Datenverarbeitung fest, so informiert er unverzüglich die Geschäftsführung von Magicline. Ein Wechsel des Datenschutzbeauftragten wird dem Studio unverzüglich mitgeteilt.

§ 4 Vertraulichkeit

1. Magicline darf, soweit in diesem Vertrag (vgl. § 1 Ziffer 1) nicht ausdrücklich anderweitig geregelt, ohne Weisung oder Zustimmung des Studios die Vertragsdaten nicht an Dritte oder den Betroffenen weitergeben oder Auskünfte hierüber geben.
2. Magicline hat alle im Rahmen dieses Vertragsverhältnisses überlassenen Unterlagen, Dokumente und andere Informationsträger vertraulich zu behandeln. Dies gilt auch für alle weiteren Informationen, die Magicline bei der Durchführung dieses Auftrages bekannt werden. Diese Verpflichtung gilt – vorbehaltlich abweichender Rechtsvorschriften, gerichtlicher oder behördlicher Anordnungen - während und auch nach Beendigung dieses Vertrages.
3. Magicline verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers Vertraulichkeit im Sinne von Art. 28 Abs. 3 b) DSGVO zu wahren. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
4. Das Studio ist verpflichtet, alle im Rahmen dieses Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der Magicline vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

§ 5 Berichtigung, Löschung, Einschränkung der Verarbeitung von Daten

Magicline hat die Vertragsdaten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn das Studio dies mittels einer Weisung verlangt und berechtigte Interessen von Magicline dem nicht entgegenstehen. Unabhängig davon hat Magicline die Vertragsdaten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Weisung des Studios ein berechtigter Anspruch des Betroffenen aus Art. 16, 17 und 18 DSGVO zugrunde liegt. Soweit ein Betroffener sich hinsichtlich Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten unmittelbar an Magicline wenden sollte, wird Magicline dieses Ersuchen unverzüglich an das Studio weiterleiten.

§ 6 Drittstaatentransfer, Unterauftragsverhältnisse

1. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausnahmslos auf Servern statt, deren Standort sich innerhalb  eines Mitgliedstaats der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum befinden. Eine Datenverarbeitung  in Drittstaaten, ergibt sich ausschließlich aufgrund von Unterauftragsverhältnissen mit Unterauftragnehmern in Drittstaaten (vgl. nachstehend Abs. 2). Einzelheiten sind Anlage 1  zu entnehmen.
2. Zum Zeitpunkt des Abschlusses dieses Vertrages sind die in der Anlage 1 aufgeführten Unternehmen als Unterauftragnehmer für Teilleistungen für Magicline tätig und verarbeiten in diesem Zusammenhang auch unmittelbar die Vertragsdaten. Die bei Vertragsschluss gültige Fassung der Anlage 1 liegt diesem Vertrag bei. Für die dort genannten Unterauftragnehmer gilt die Einwilligung für das Tätigwerden als erteilt. Eine Beauftragung von Unterauftragnehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln inklusive Transfer Impact Assessment (TIA), genehmigte Verhaltensregeln).
3. Magicline informiert das Studio über jede beabsichtigte Änderung der in Anlage 1 genannten Unterauftragnehmer, gleich ob Hinzuziehung weiterer oder Ersetzung vorhandener Unterauftragnehmer, unter Angabe von Name und Anschrift sowie vorgesehene Tätigkeit des betreffenden Unterauftragnehmers und wird die beabsichtigte Änderung der Fassung der Anlage 1 unter https://public.sportalliance.com/magicline/de/dpa/ssp online bereitstellen; hierdurch erhält das Studio die Möglichkeit, innerhalb von einer Woche nach Zugang der Anzeige, gegen die betreffende Änderung Einspruch zu erheben. Magicline wird das Studio auf diese Frist in der Anzeige hinweisen. Erhebt das Studio keinen Einspruch, ersetzt die unter https://public.sportalliance.com/magicline/de/dpa/ssp online bereitstehende Fassung die bisher bestehende Fassung der Anlage 1.
4. Erhebt das Studio Einspruch aus anderen als aus wichtigen Gründen, kann Magicline diesen Vertrag sowie den Hauptvertrag mit dem Studio zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers ohne Einhaltung einer Frist kündigen, ohne dass dem Studio gegen Magicline in diesem Zusammenhang Schadensersatz- oder sonstige Zahlungsansprüche zustehen. Ein wichtiger Grund für einen Einspruch seitens des Studios liegt insbesondere dann vor, wenn die Inanspruchnahme der Dienste des Unterauftragnehmers gegen Bestimmung in Art. 28 Abs. 3 Satz 2 lit d) DSGVO verstößt.
5. Magicline hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen dem Studio und Magicline auch gegenüber Unterauftragnehmern gelten. In dem Vertrag mit dem Unterauftragnehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten von Magicline und dem Unterauftragnehmer deutlich voneinander abgegrenzt werden. Werden mehrere Unterauftragnehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Unterauftragnehmern.
6. Magicline hat die Einhaltung der datenschutzrelevanten Verpflichtungen durch den jeweiligen Unterauftragnehmer zu überprüfen. Durch schriftliche Aufforderung ist das Studio berechtigt, von Magicline Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. Unter den in § 7 dieses Vertrages geregelten Voraussetzungen müssen Vor-Ort Kontrollen des Studios oder durch das Studio beauftragte Dritte beim Unterauftragnehmer möglich sein.
7. Der Vertrag mit dem Unterauftragnehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).  
8. Die Weiterleitung von Daten an den Unterauftragnehmer ist erst zulässig, wenn der Unterauftragnehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.
9. Magicline haftet gegenüber dem Studio dafür, dass der Unterauftragnehmer den Datenschutzpflichten nachkommt, die ihm durch Magicline im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.
10. Ein zustimmungspflichtiges Unterauftragsverhältnis liegt nicht vor, wenn Magicline Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei Personal-, Post- und Versanddienstleistungen. Magicline ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der personenbezogenen Daten aus diesem Vertragsverhältnis auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. Die Nebenleistungen sind auf Anforderung des Studios detailliert zu benennen.

§ 7 Kontrolle durch das Studio sowie Mitwirkungs- und Duldungspflichten

1. Das Studio ist berechtigt, durch einen zur Geheimhaltung verpflichteten Bevollmächtigten, vor Beginn der Dienstleistung sowie regelmäßig während der Dauer der Dienstleistung in angemessenen Abständen die Einhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz und die Datenverarbeitung von Magicline und deren Unterauftragnehmern zu überprüfen. Das Studio wird Vor-Ort-Kontrollen mit einer angemessenen Frist ankündigen und bei der Durchführung auf den Geschäftsbetrieb und Betriebsablauf von Magicline Rücksicht nehmen. Vom Studio mit der Kontrolle betraute Personen oder Dritte sind mit Beauftragung nachweislich zur Wahrung der Vertraulichkeit zu verpflichten. Dritte im Sinne dieser Regelung dürfen keine Vertreter von Wettbewerbern von Magicline oder deren Konzernunternehmen sein. Der Magicline entstehende Kosten für eine Vor-Ort-Kontrolle sind vom Studio zu tragen.
2. Das Studio erklärt, die in Absatz 1 beschriebenen Kontrollrechte dadurch auszuüben, dass es anstatt einer Vor-Ort-Kontrolle Magicline anweist, den Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen durch die Vorlage eines geeigneten aktuellen Prüfberichts von unabhängigen Personen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) zu erbringen. Der Prüfungsbericht muss es dem Studio in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen.
3. Kommt das Studio zu dem Ergebnis, dass die von Magicline nach Abs. 2 erteilten Informationen Anlass zu einer Vor-Ort-Kontrolle geben, insbesondere, weil sie unvollständig, widersprüchlich oder sonst fehlerhaft sind, oder hält das Studio eine Vor-Ort-Kontrolle aus sonstigen Gründen für erforderlich, kann es die in Abs. 2 beschriebene Anweisung durch schriftliche Weisung gegenüber Magicline ändern. Wenn sich Magicline weigert, eine entsprechende Anweisung des Studios in Bezug auf Audits oder Inspektionen zu befolgen, ist das Studio berechtigt, den Hauptvertrag und diese Vereinbarung mit sofortiger Wirkung zu kündigen.

§ 8 Festlegung der technischen und organisatorischen Maßnahmen

1. Magicline trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkreten, von Magicline ergriffenen technischen und organisatorischen Maßnahmen werden in Anlage 2 aufgelistet. Anlage 2 steht in ihrer jeweils geltenden Fassung unter https://public.sportalliance.com/magicline/de/dpa/tom online bereit.
2. Magicline informiert das Studio über jede Änderung der Anlage 2. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, darf Magicline andere und gleichwertige Maßnahmen umsetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren, die geeignet sind, das Sicherheitsniveau zu reduzieren, sind mit dem Studio im Voraus in dokumentierter Form (schriftlich, elektronisch) abzustimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.
3. Magicline unterstützt das Studio mit seinen technischen und organisatorischen Maßnahmen, bei dessen Verpflichtung zur Beantwortung von Anträgen auf Wahrnehmung der in Art. 12 ff DSGVO genannten Rechte der betroffenen Personen nachzukommen.

§ 9 Mitteilungs- und Unterstützungspflichten des Auftragnehmers bei Datensicherheitsvorfällen

1. Magicline unterstützt das Studio im gesetzlich vorgeschriebenen Umfang bei der Erfüllung seiner Pflichten nach Art. 32 bis 36 DSGVO.
2. Magicline informiert das Studio unverzüglich, wenn Magicline oder eine bei Magicline beschäftigte Person gegen Vorschriften zum Schutz personenbezogener Daten, gegen Festlegungen nach diesem Vertrag oder gegen eine vom Studio erteilte Weisung verstoßen hat, wenn Anhaltspunkte dafür bestehen, dass ein Dritter – egal aus welchem Grund – unrechtmäßig Kenntnis von Vertragsdaten erlangt haben könnte, oder wenn in sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Vertragsdaten eingetreten ist („Datensicherheitsvorfall“).
3. Die Information über den Datensicherheitsvorfall hat Angaben über den Zeitpunkt und die Art des Vorfalls (einschließlich einer Information, welche Auftragsdaten in welcher Form betroffen sind), das betroffene EDV-System, den Betroffenen, den Zeitpunkt der Entdeckung, denkbare nachteilige Folgen des Datensicherheitsvorfalls sowie die von Magicline ergriffenen Maßnahmen und alle sonstigen in Art. 33 Abs. 3 DSGVO bezeichneten Informationen zu enthalten. Magicline hat des Weiteren konkret mitzuteilen, ob eine Verletzung des Schutzes der Vertragsdaten voraussichtlich zu einem Risiko für Rechte und Freiheiten natürlicher Personen im Sinne des Art. 33 Abs. 1 Satz 1 DSGVO führt und ob das Risiko voraussichtlich hoch im Sinne von Art. 34 Abs. 1 DSGVO ist.
4. Eine erste Information des Studios hat unverzüglich, eine dezidierte Information hat innerhalb von 24 Stunden nach Kenntniserlangung von dem Datensicherheitsvorfall zu erfolgen. Soweit Magicline nicht innerhalb von 24 Stunden sämtliche Informationen gemäß vorstehendem Abs. (3) bereitstellen kann, werden diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt.
5. Magicline wird nach Bekanntwerden eines Datensicherheitsvorfalls unverzüglich sämtliche zumutbaren Maßnahmen ergreifen, um die entstandenen Gefährdungen für die Integrität oder Vertraulichkeit der Vertragsdaten zu minimieren und zu beseitigen, die Vertragsdaten zu sichern und mögliche nachteilige Folgen für Betroffene zu verhindern oder in ihren Auswirkungen so weit wie möglich zu begrenzen.
6. Magicline ist verpflichtet, das Studio im Falle eines Datensicherheitsvorfalls bei dessen diesbezüglichen Aufklärungs-, Abhilfehandlungen, einschließlich aller Handlungen zur Erfüllung gesetzlicher Verpflichtungen, auf erstes Anfordern, im Rahmen des Zumutbaren, zu unterstützen.
7. Magicline ist verpflichtet, unverzüglich nach Kenntniserlangung von einem Datensicherheitsvorfall eine Analyse der Ursachen durchzuführen, diese zu dokumentieren und dem Studio die Dokumentation auf Verlangen auszuhändigen. Stellt Magicline im Rahmen der Analyse fest, dass die technischen und organisatorischen Maßnahmen die bislang zum Schutz der Vertragsdaten ergriffen wurden, nicht ausreichen um ein angemessenes Schutzniveau herzustellen, wird Magicline auf eigene Kosten erforderliche zusätzliche technischen und organisatorischen Maßnahmen umzusetzen.
8. Magicline ist verpflichtet das Studio über Ermittlungen, Kontrollen und Maßnahmen durch die Aufsichtsbehörde(n), soweit Vertragsdaten betroffen sind, unverzüglich zu informieren.

§ 10 Laufzeit dieses Vertrages

1. Dieser Vertrag beginnt mit Unterzeichnung und wird für die Dauer der Laufzeit des Hauptvertrages abgeschlossen (auflösende Befristung).
2. Die fristlosen Kündigungsrechte der Parteien bleiben hiervon unberührt. Das Studio ist berechtigt, diesen Vertrag fristlos zu kündigen, wenn ein schwerwiegender Verstoß von Magicline gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, Magicline eine Weisung des Studios nicht ausführen kann oder will oder die Wahrnehmung von Kontrollrechten durch das Studio vertragswidrig verweigert.
3. Jede Partei ist berechtigt, diesen Vertrag mit einer Frist von zwei Wochen zum Ende eines Kalendermonats zu kündigen, wenn die Durchführung des Hauptvertrages und/oder die Durchführung dieses Vertrages von einer hierfür zuständigen Aufsichtsbehörde (insbesondere der zuständigen Datenschutzbehörde) beanstandet wird und eine von dieser Behörde zur Abstellung festgestellter Mängel gesetzte Frist erfolglos verstreicht oder mindestens eine der Parteien von der hierfür zuständigen Behörde die weitere Durchführung des Hauptvertrages und/oder dieses Vertrages untersagt wird.
4. Jede Kündigung bedarf der Schriftform.
5. Hinsichtlich der im Zeitpunkt der Beendigung dieses Vertrages gespeicherten Vertragsdaten, verpflichtet sich Magicline zur Beachtung von Art. 28 Abs. 3 lit. g DSGVO. Magicline ist zur Aufbewahrung solcher Dokumentationen über die Beendigung diese Vertrages hinaus berechtigt, die Magicline zum Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung benötigt. Mit Ablauf der jeweiligen Aufbewahrungsfristen ist Magicline auch insoweit zur datenschutzkonformen Löschung verpflichtet.

§ 11 Sonstiges

1. Sollte das Eigentum oder die Vertragsdaten bei Magicline durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat Magicline das Studio unverzüglich zu verständigen.
2. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der Vertragsdaten und der zugehörigen Datenträger ausgeschlossen
3. Mündliche Nebenabreden sind nicht getroffen. Änderungen und Ergänzungen dieses Vertrages bedürfen der in § 28 Abs. 9 DSGVO geregelten Form. Dies gilt auch für eine Änderung des Formerfordernisses selbst.
4. Sollte eine Bestimmung des Vertrages unwirksam sein oder werden, so verpflichten sich die Parteien, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Willen der Parteien möglichst nahekommt. Das Gleiche gilt im Falle einer Regelungslücke.
5. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Hamburg. Die Parteien vereinbaren die Anwendbarkeit des deutschen Rechts.

Hamburg, 01.12.2021

.....................................................................        

Ort, Datum        

..............................................................
Magicline GmbH (Auftragnehmer)