Allgemeine Geschäftsbedingungen für die App „meinBR“

1. Allgemeine Bestimmungen

(1) Die nachstehenden Allgemeinen Geschäftsbedingungen für die das Produkt „meinBR“ (nachfolgend: das „Produkt“), d.h. der Bereitstellung der mobilen App und der zugehörigen Website (nachfolgend: die „Website“) als Informationsangebot des Betriebsrates für die Beschäftigten des Betriebs (nachfolgend: „AGB-meinBR“) gelten für den Nutzungsvertrag zwischen Ihnen und uns (Bund-Verlag GmbH).

(2) Die vorliegenden AGB-meinBR geltend ergänzend zu den Allgemeinen Geschäftsbedingungen des Bund-Verlags (AGB: https://www.bund-verlag.de/agb) und haben im Fall von Abweichungen Vorrang.

2. Online-Dienst; Leistungserbringung durch den ÖGB-Verlag

(1) Die Nutzung des Produkts beinhaltet die Nutzung des damit verbundenen Online-Dienstes (zur Pflege des Informationsangebots über ein WordPress-Backend als Content-Management-System; zur Kommunikation zwischen Betriebsrat und Beschäftigten) gemäß Ziffer 7 AGB (Zugang zu Online-Produkten). Zusätzlich gelten die Nutzungsrichtlinien in Anhang 1. Die registrierten Nutzer des WordPress-Backends (Redakteure, also betreffende Mitglieder des Betriebsrats und ggf. externe beauftragte Personen) sowie die registrierten Nutzer der App und/oder Website (Beschäftigte, die bei der Teilnahme an Umfragen oder Gewinnspielen Eingaben machen können, die im System gespeichert werden) müssen bei der Registrierung des Accounts im Backend bzw. beim Aktivieren des für sie angelegten Accounts in der App und/oder Website (beim ersten Log-in) den Nutzungsrichtlinien zustimmen, damit wir unsere Pflichten nach der Verordnung (EU) 2022/2065 (Gesetz über digitale Dienste) erfüllen können, nämlich im Hinblick auf die Entfernung/Sperrung etwaiger rechtswidriger Inhalte, die wir im Rahmen des Online-Dienstes speichern. Sie sind damit einverstanden, dass wir von allen Nutzern des Backends bzw. der App und/oder Website die Zustimmung zu den Nutzungsrichtlinien verlangen.

(2) Müssen wir wiederholt Maßnahmen wegen unzulässiger Nutzerinhalte oder unzulässiger Handlungen gemäß den Nutzungsrichtlinien ergreifen (häufiger als einmal im Monat oder in insgesamt mehr als drei Fällen), sind wir berechtigt, den mit Ihnen geschlossenen Nutzungsvertrag für das Produkt fristlos zu kündigen; für die im Voraus bezahlten jährlichen Kosten erhalten Sie eine zeitanteilige (tagesgenaue) Rückerstattung entsprechend der wegfallenden Restlaufzeit.

(3) Wir haben mit dem Verlag des Österreichischen Gewerkschaftsbundes GmbH, Johann-Böhm-Platz 1, 1020, Wien, Österreich („ÖGB-Verlag“), der das Produkt entwickelt hat, einen Kooperationsvertrag geschlossen. Der ÖGB-Verlag ist damit beauftragt, als unser Auftragnehmer die mit der Bereitstellung der App und ggf. Website verbundenen Leistungen gegenüber unseren Kunden zu erbringen und die dafür erforderlichen technischen Systeme zu betreiben.

(4) Ihnen gegenüber bleiben wir als Ihr Vertragspartner in vollem Umfang zur Leistung verpflichtet. Wir leisten das Onboarding auf das Produkt (Setup, 1 Anwenderschulung und Unterstützung bis zum Live-Gang) und erbringen den Kundendienst („1st-Level-Support“); bei Fragen, die nicht im Rahmen des 1st-Level-Supports gelöst werden können („2nd-Level-Support“), arbeiten wir mit dem ÖGB-Verlag zusammen, wir bleiben aber Ihr Ansprechpartner.
Unsere Servicezeiten im 1st-Level-Support sind Mo. bis Do. von 9 - 16:30 Uhr und Fr. von 9 - 15 Uhr; ausgenommen sind gesetzliche Feiertage in Hessen.
Die Servicezeiten des ÖBG-Verlags im 2nd-Level-Support sind Mo. bis Do. 10 - 14 Uhr; ausgenommen sind gesetzliche Feiertage in Österreich.

3. Verarbeitung personenbezogener Daten

(1) Über die Verarbeitung personenbezogener Daten der Nutzer bei der Nutzung der App informieren die in der App abrufbaren Datenschutzhinweise.

(2) Ergänzend zum Nutzungsvertrag für das Produkt  vereinbaren wir mit Ihnen eine Auftragsdatenverarbeitung gemäß Art. 28 DSGVO, da ein Betriebsrat, der die App/Website nutzt und den Beschäftigten als Informationsangebot bereitstellt, dabei als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO („Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“) handelt und uns als seinen Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO („Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“) einsetzt. Der in Anhang 2 enthaltene Auftragsverarbeitungsvertrag wird zugleich mit dem Abschluss des Nutzungsvertrages abgeschlossen.

(3) Im Hinblick darauf, dass der Betriebsrat der datenschutzrechtlich Verantwortliche ist, weisen wir noch auf Folgendes hin:

• Es liegt in der Verantwortung des Betriebsrats, welche Daten er von den Beschäftigten im Rahmen von Umfragen oder Formularen erfragt. Es sollte stets vorher geprüft werden, ob und in welchem Umfang die Verarbeitung personenbezogener Daten für die Erfüllung der Aufgaben des Betriebsrats gemäß § 26 Abs. 1 Satz 1 BDSG erforderlich ist.
• Der Betriebsrat sollte die Beschäftigten darauf hinweisen, dass diese selbst entscheiden müssen, welche auf sie als identifizierbare Person bezogenen Daten sie im Rahmen von Umfragen oder in Formularen eingeben.
• Von der Eingabe vertraulicher Daten ist abzuraten.

4. Gewährleistung (Service-Level)

(1) Wir gewährleisten eine Verfügbarkeit der App und ggf. Website von 99 % im Jahresmittel.

(2) Nicht erfasst von dieser Verfügbarkeit werden Zeiten der Nichtverfügbarkeit, die (i) dadurch verursacht sind, dass die vom Kunden bzw. Nutzungsberechtigten zu schaffenden erforderlichen technischen Voraussetzungen für den Zugang zu den technischen Systemen  nicht gegeben sind; (ii) auf Fehlern des Datenübertragungsnetzes beruhen; (iii) im  Verantwortungsbereich des Datenübertragungsunternehmens liegen; oder (iv) auf einem unbefugten Zugriff bzw. Angriff Dritter auf die technischen Systeme des ÖGB-Verlags oder Erfüllungsgehilfen des ÖGB-Verlags beruhen, sofern dieser Zugriff oder Angriff nicht vorsätzlich oder grob fahrlässig vom ÖGB-Verlag oder seinen gesetzlichen Vertretern oder Erfüllungsgehilfen ermöglicht wurde. Ferner nicht erfasst sind Zeiten der Nichtverfügbarkeit in Fällen höherer Gewalt oder in sonstigen Fällen, in denen die Ursache der Nichtverfügbarkeit außerhalb des Verantwortungsbereichs des ÖGB-Verlags liegt, insbesondere bei Stromausfällen und Störungen der Telekommunikationsnetze. Nicht erfasst sind außerdem Zeiten der Nichtverfügbarkeit wegen routinemäßiger Wartungs- oder Aktualisierungsmaßnahmen zwischen 17:00 Uhr und 02:00 Uhr sowie wegen angekündigter erforderlicher Wartungen.
Kurzfristige Unterbrechungen unserer Leistungen, durch die gewährleistete Verfügbarkeit nicht unterschritten wird, stellen keinen Mangel dar. Ein Minderungsrecht im Hinblick auf die vereinbarte Vergütung steht Ihnen nur bei einem Ausfall der Online-Dienste über einen erheblichen Zeitraum außerhalb der genannten Nichtverfügbarkeiten zu.

5. Änderungen unserer Leistungen

(1) Wir sind berechtigt, unsere Leistungen zu ändern, wenn dafür ein sachlicher Grund vorliegt und die Änderung für Sie zumutbar ist. Ein sachlicher Grund besteht, wenn der ÖGB-Verlag technische Änderungen oder Updates des Produkts vornimmt; diese umfassen Updates zur Verbesserung der Sicherheit, Erweiterungen oder Einschränkungen der Funktionalität, Anpassungen der Benutzeroberfläche, Änderungen an technischen Voraussetzungen, die für die Nutzung der Applikation erforderlich sind.

(2) Die Änderung unserer Leistungen ist zumutbar, wenn die Funktionalität des Produkts lediglich erweitert oder die Sicherheit verbessert wird, oder wenn eine etwaige Einschränkung der Funktionalität oder Nutzbarkeit nicht erheblich ist.

(3) Wir verpflichten uns, Sie auf geeignetem Wege (z. B. per E-Mail, App-Benachrichtigung oder auf unserer Website www.meinbr.de) und innerhalb eines angemessenen Zeitrahmens zu informieren, sobald wir Kenntnis von geplanten Änderungen haben. Wir bemühen uns dabei, Sie so frühzeitig wie möglich zu informieren, um Ihnen die Anpassung an die Änderungen zu ermöglichen.

(4) Ist eine Änderung unserer Leistungen in erheblichem Umfang für Sie nachteilig, sind Sie ohne Einhaltung einer Kündigungsfrist berechtigt, den Nutzungsvertrag zu dem Zeitpunkt zu kündigen, zu dem die Änderung umgesetzt werden soll.

(5) Im Fall einer Kündigung nach Absatz 4 gilt: Für die im Voraus bezahlten jährlichen Kosten erhalten Sie eine zeitanteilige (tagesgenaue) Rückerstattung entsprechend der wegfallenden Restlaufzeit.

6. Laufzeit

(1) Der Nutzungsvertrag wird auf unbestimmte Zeit geschlossen, sofern nicht ausdrücklich eine Befristung vereinbart wurde. Die Mindestlaufzeit beträgt ein Jahr ab Beginn des Nutzungsjahres, d.h. ab Übermittlung der Zugangsdaten an Sie.

(2) Der Nutzungsvertrag verlängert sich danach automatisch jeweils für ein weiteres Jahr, wenn der Vertrag nicht unter Einhaltung einer Kündigungsfrist von 6 Wochen zum Ende des Nutzungsjahres schriftlich gekündigt wird.

(3) Mit Beendigung des Nutzungsvertrages wird der Zugang zum Backend gesperrt und die Firma aus der App-Liste genommen. Die in das Informationsangebot eingepflegten Inhalte stehen danach nicht mehr zur Verfügung.

7. Rechnungsstellung

Die Rechnungsstellung erfolgt jeweils am Beginn des Nutzungsjahres, d.h. erstmals nach Übermittlung der Zugangsdaten an Sie (vgl. Ziffer 6 Abs. 1).

8. Preisanpassung

(1) Sollten sich die für die Kalkulation der Preise relevanten Kosten erhöhen, ist die Bund-Verlag GmbH berechtigt, die Preise während der Laufzeit jeweils zum Beginn des neuen Nutzungsjahres entsprechend zu erhöhen.

(2) Bei Preiserhöhungen von mehr als 10 % haben Sie ein Sonderkündigungsrecht und können den Vertrag ohne Einhaltung einer Kündigungsfrist zu dem Zeitpunkt kündigen, ab dem der neue Preis wirksam würde. Für die eventuelle Rückerstattung von im Voraus bezahlten jährlichen Kosten gilt Ziffer 5 Abs. 5 entsprechend.

AGB-meinBR Anhang 1: Nutzungsrichtlinien

1. Anwendungsbereich und Begriffsbestimmungen

1.1 Die Nutzungsrichtlinien gelten für die Nutzung der App „meinBR“ und des damit verbundenen Online-Dienstes (die ggf. parallel zur App bereitgestellte Website als Teil des Informationsangebots des Betriebsrats; das WordPress-Backend, über das der Betriebsrat das Informationsangebot pflegt).

1.2 „Nutzerinhalte“ sind Informationen, die der Betriebsrat bzw. ein vom Betriebsrat zur Nutzung der App/Website und/oder des Backends berechtigter Nutzer (nachfolgend: „Nutzer“) bereitstellt (eingibt oder hochlädt) und die die Bund-Verlag GmbH, Emil-von-Behring-Str. 14, 60439 Frankfurt am Main (nachfolgend: „Anbieter“) für den Nutzer speichert; dies gilt für alle gespeicherten Inhalte unabhängig davon, für wen die Inhalte abrufbar sind. Die Gruppe der Nutzer umfasst:

• Backend-berechtigte Nutzer (Redakteure): die registrierten Nutzer des WordPress-Backends (betreffende Mitglieder des Betriebsrats und ggf. externe beauftragte Personen);
• Endnutzer der App/Website: Beschäftigte, die bei der Teilnahme an Umfragen oder Gewinnspielen Eingaben machen können, die im System gespeichert werden.

1.3 Durch die Zustimmung zu diesen Nutzungsrichtlinien (bei der Registrierung des Accounts im Backend bzw. bei der Aktivierung des für des Nutzer eingerichteten Accounts Endnutzer der App/Website) wird ein Nutzungsvertrag zwischen dem Nutzer und dem Betriebsrat geschlossen. Der Nutzer verpflichtet sich gegenüber dem Betriebsrat und zugleich gegenüber dem Anbieter, der für den Betriebsrat mit dem Produkt „meinBR“ verbundenen Online-Dienst betreibt, auf diese Nutzungsrichtlinien.

1.4    Unzulässige Inhalte

Der Nutzer darf keine unzulässigen Inhalte bereitstellen. Unzulässig sind:

• Inhalte, deren Erwerb oder Verbreitung strafbar ist, z.B. Kennzeichen verfassungswidriger Organisationen;
• rassistische, diskriminierende, verhetzende, extremistische, gegen die freiheitlich-demokratische Grundordnung gerichtete Inhalte; Aufruf zu Straftaten oder Billigung von Straftaten;
• Verherrlichung oder Verharmlosung von Gewalt; Gewaltdarstellungen und Inhalte, die gegen die Menschenwürde verstoßen; pornographische Inhalte und Inhalte, die Kinder oder Jugendliche in unnatürlich geschlechtsbetonter Körperhaltung darstellen oder beschreiben; sonstige jugendgefährdende oder entwicklungsbeeinträchtigende Inhalte;
• Inhalte, die Rechte Dritter verletzen, insbesondere geistiges Eigentum oder Persönlichkeitsrechte (z.B. beleidigende Inhalte; bewusst unwahre Tatsachenbehauptungen über Dritte, einschließlich gefälschter oder verfälschter Abbildungen; heimliche Bildaufnahmen, Nacktdarstellungen)

1.5 Unzulässige Handlungen

Der Nutzer darf keine unzulässigen Handlungen vornehmen. Unzulässig sind:

• strafbare oder gesetzlich verbotene Handlungen; Setzen von Hyperlinks zu Inhalten, die unzulässig sind oder der Begehung unzulässiger Handlungen dienen;
• Offenlegung von privaten Adressen, Kontaktdaten und anderen nicht allgemein bekannten Informationen über Dritte ohne deren Einwilligung oder eine andere Rechtfertigung;
• Drohungen und ähnliche Verursachung von psychischem Stress (Mobbing);
• Stalking und ähnliche Belästigungen anderer Nutzer, z.B. durch unerwünschte Kontaktaufnahme;
• massenhafte Verbreitung von Inhalten (Spam); Werbung für kommerzielle Produkte oder Dienstleistungen; Werbung für Wetten, Glücksspiele oder Gewinnspiele;
• Täuschung Dritter;
• Ausspähen von Daten, Datenveränderung, Computersabotage; Verbreitung von Computerviren und sonstiger Malware; Beeinträchtigung des technischen Betriebs der Online-Dienste

2. Vorgehen gegen unzulässige Inhalte und Handlungen

Der Anbieter kann wie nachfolgend beschrieben Maßnahmen gegen unzulässige Nutzerinhalte zu ergreifen und unzulässige Handlungen zu unterbinden.

2.1 Überprüfung von Nutzerinhalten

Der Anbieter überprüft gespeicherte Nutzerinhalte nur im Einzelfall, wenn er auf einen mutmaßlich unzulässigen Inhalt hingewiesen wird; er nimmt keine anlassunabhängigen Kontrollen vor.

2.2 Entscheidung über Maßnahmen

2.2.1 Der Anbieter ergreift verhältnismäßige Maßnahmen, um gegen unzulässige Inhalte/Handlungen vorzugehen. Er nimmt Rücksicht einerseits auf die Sicherheit des Betriebs der Online-Dienste und der Nutzer, den Schutz der Rechte Dritter und der Interessen der Allgemeinheit und andererseits auf die Meinungsäußerungsfreiheit der Nutzer.

• Ist ein Nutzerinhalt offensichtlich strafrechtlich relevant oder verletzt er Rechte eines anderen erheblich, löscht der Anbieter den Nutzerinhalt ohne vorherige Ankündigung.
• Ist eine Handlung des Nutzers unzulässig, unterbindet der Anbieter die Handlung und ergreift, soweit möglich und angemessen, Maßnahmen:
  • Ist ein Nutzerinhalt unzulässig, aber nicht strafbar oder erheblich rechtsverletzend oder ist die Strafbarkeit oder Rechtsverletzung nicht eindeutig erkennbar, sperrt der Anbieter den Nutzerinhalt vorläufig und teilt dies dem Nutzer mit. Dem Nutzer wird eine angemessene Frist gesetzt, um sich zur Zulässigkeit des Nutzerinhalts zu äußern. Der Anbieter entscheidet dann über eine dauerhafte Sperrung oder Löschung des Nutzerinhalts.
  • Der Anbieter kann neben den genannten Maßnahmen auch eine Verwarnung aussprechen.
  • Der Anbieter kann zur Verhinderung der erneuten Bereitstellung unzulässiger Nutzerinhalte bzw. erneuten Begehung unzulässiger Handlungen vorübergehend die Erbringung der Online-Dienste für den Nutzer einschränken oder unterbrechen, längstens einen Monat. Dasselbe gilt, wenn der konkrete Verdacht besteht, dass der Nutzer die Bereitstellung unzulässiger Inhalte oder unzulässige Handlungen plant.

2.2.2 Wenn der Nutzer trotz einer Verwarnung vorsätzlich (i) erneut einen in ähnlicher Weise unzulässigen Nutzerinhalt bereitstellt; oder (ii) erneut eine vergleichbare unzulässige Handlung vornimmt, kann der Anbieter den Nutzer von der Nutzung ausschließen und/oder betreffende Nutzerinhalte ohne Vorankündigung dauerhaft sperren oder löschen.

2.2.3 Der Anbieter teilt dem Nutzer die getroffene Entscheidung mit Begründung mit.

2.2.4 Hat ein Dritter dem Anbieter einen Nutzerinhalt als rechtswidrig oder unzulässig gemeldet, teilt der Anbieter die Entscheidung, Maßnahmen zu ergreifen oder nicht zu ergreifen, diesem Dritten mit Begründung mit.

2.2.5 Der Anbieter weist die Nutzer darauf hin, dass der Anbieter dann, wenn er mehrfach Maßnahmen ergreifen musste, gegenüber dem Betriebsrat zur fristlosen Kündigung des Vertrags über die Nutzung von „meinBR“ berechtigt ist.

2.3 Meldung des Verdachts bei bestimmten Straftaten

In bestimmten Fällen strafbarer Inhalte oder Handlungen ist der Anbieter gesetzlich verpflichtet, die zuständigen Behörden zu benachrichtigen, nämlich gemäß Art. 18 der Verordnung (EU) 2022/2065 (Gesetz über digitale Dienste), (i) wenn der Anbieter Kenntnis von Informationen erhält, die den Verdacht begründen, dass eine Straftat, die eine Gefahr für das Leben oder die Sicherheit einer Person oder von Personen darstellt, begangen wurde, begangen wird oder begangen werden könnte; (ii) oder wenn die Nichtanzeige nach § 138 StGB strafbar wäre.    

3. Rechtsbehelfe

3.1 Der Nutzer, gegen den der Anbieter eine Maßnahme nach Ziffer 2.2 getroffen hat, und gegebenenfalls der Dritte, der die Nutzerinhalte als rechtswidrig oder unzulässig gemeldet hat, können gegen die Entscheidung des Anbieters gerichtliche Klage einreichen.

3.2 Der Anbieter ist nicht verpflichtet, an Verfahren vor einer zertifizierten außergerichtlichen Streitbeilegungsstelle gemäß Art. 21 der Verordnung (EU) 2022/2065 teilzunehmen.

3.3 Nutzer werden gebeten, sich zunächst an den Anbieter zu wenden, wenn sie eine Entscheidung für ungerechtfertigt halten.

AGB-meinBR Anhang 2: Auftragsverarbeitungsvertrag

zwischen dem Betriebsrat („Auftraggeber“) und der
Bund-Verlag GmbH („Auftragsverarbeiter“)

1.    Vertragsgegenstand: Gegenstand des Vertrages ist die Verarbeitung personenbezogener Daten im Auftrag (im Folgenden: „Auftragsverarbeitung“) gemäß Art. 28 DSGVO. Dieser Vertrag ergänzt gemäß Ziffer 3 Abs. 2 AGB-meinBR) den zwischen den Parteien geschlossenen Nutzungsvertrag (im Folgenden: „Hauptvertrag“).

2.    Laufzeit: Die Laufzeit der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages und endet gleichzeitig mit dieser, ohne dass eine gesonderte Kündigung erforderlich ist.

3.    Art und Zweck der Verarbeitung:  Die Verarbeitung personenbezogener Daten der Nutzer des Produkts r erfolgt, um dem Auftraggeber die Funktionalitäten der des Produkts „meinBR“ im Rahmen des damit verbundenen Online-Dienstes (ggf. eine zugehörige Website als Teil des Informationsangebots des Betriebsrats; das WordPress-Backend als Content-Management-System) bereitzustellen.

4.    Art der personenbezogenen Daten und Kategorien betroffener Personen

4.1    Gegenstand der Auftragsverarbeitung sind folgende Arten personenbezogener Daten:

• Name, Kontaktdaten
• von einem Nutzer freiwillig bereitgestellte Informationen, z.B. im Rahmen einer Umfrage
• Protokolldaten

4.2    Betroffene Personen im Rahmen der Auftragsverarbeitung sind Mitglieder des Betriebsrats; weitere vom Betriebsrat im Wordpress-Backend als Nutzer des Backends angelegte Personen; Beschäftigte des Betriebs, die das vom Betriebsrat bereitgestellte Informationsangebot „meinBR“ (App/Website) nutzen.

5.    Technische und organisatorische Maßnahmen

5.1    Der Auftragnehmer dokumentiert die von ihm getroffenen technischen und organisatorischen Maßnahmen („TOM“). Die TOM des Auftragnehmers sind in der aktuellen Fassung in der untenstehenden „Anlage TOM“ dargestellt. Sie werden Grundlage des Vertrages.

5.2    Der Auftragnehmer ergreift die erforderlichen TOM zur Gewährleistung der Datensicherheit und eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sowie der raschen Wiederherstellbarkeit der Verfügbarkeit und des Zugangs zu personenbezogenen Daten. Er berücksichtigt dabei den Stand der Technik und die Implementierungskosten sowie Art, Umfang und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 DSGVO.

5.3    Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Daher ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der nach Ziffer 5.1 festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

6.    Pflichten des Auftragnehmers

6.1    Ansprechpartner der Parteien

• Ansprechpartner beim Auftragnehmer ist: Jürgen Scholl, Geschäftsführer; E-Mail: kontakt@bund-verlag.de
• Datenschutzbeauftragter des Auftragnehmers: Christian Köhler, E-Mail: datenschutz@bund-verlag.de
• Zur Erteilung von Weisungen im Namen des Auftraggebers ist der vom Auftraggeber zu benennende Ansprechpartner beim Auftraggeber befugt. Der Auftraggeber teilt dem Auftragnehmer Namen und Kontaktdaten dieses Ansprechpartners unverzüglich nach Vertragsschluss schriftlich mit.

Der Auftraggeber hat Weisungen im Sinne von Art. 28 Abs. 1 Satz 2 Buchst. a DSGVO stets an den Ansprechpartner beim Auftragnehmer zu richten.

6.2    Verpflichtung auf die Vertraulichkeit: Alle Mitarbeiter*innen, die im Rahmen der Auftragsverarbeitung auf personenbezogene Daten des Auftraggebers zugreifen können, müssen zuvor auf die Vertraulichkeit verpflichtet worden sein. Der Auftragnehmer und seine Beschäftigten sowie sonstige dem Auftragnehmer unterstellte Personen (Organe, freie Mitarbeiter*innen), die im Rahmen der Auftragsverarbeitung Zugang zu personenbezogenen Daten haben, dürfen diese Daten gemäß Art. 29 DSGVO ausschließlich auf Weisung des Auftraggebers verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

6.3    Zusammenarbeit mit Aufsichtsbehörden: Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

6.4    Unverzügliche Information des Auftraggebers über Kontrollen und Maßnahmen der Aufsichtsbehörde: Der Auftragnehmer informiert den Auftraggeber unverzüglich über alle Kontrollen und sonstigen Maßnahmen einer Aufsichtsbehörde, die die Auftragsverarbeitung betreffen.

6.5    Unterstützung des Auftraggebers: Ist der Auftraggeber einer Kontrolle einer Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt, unterstützt ihn der Auftragnehmer angemessen. Der Auftragnehmer unterstützt den Auftraggeber ferner im Rahmen seiner Informationspflicht gegenüber der betroffenen Person zu und stellt alle relevanten Informationen unverzüglich zur Verfügung; er unterstützt den Auftraggeber bei einer Datenschutz-Folgenabschätzung des Auftraggebers und im Rahmen einer Konsultation mit der Aufsichtsbehörde.

6.6    Dokumentation der technischen und organisatorischen Maßnahmen: Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit vorlegen.

6.7    Datenschutzverletzungen: Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn durch ihn oder eine ihm unterstellte Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder Verpflichtungen aus dem vorliegenden Vertrag verstoßen wurde.

7.    Verarbeitung personenbezogener Daten außerhalb von EU/EWR

Die Datenverarbeitung findet ausschließlich in der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR) statt. Die Verlagerung in ein Drittland, einschließlich der Einschaltung eines Unterauftragnehmers (Ziffer 8) in einem Drittland darf nur nach schriftlicher Zustimmung des Auftraggebers und unter den Voraussetzungen der Art. 44 ff. DSGVO erfolgen.

8.    Unterauftragsverhältnisse

8.1    Sollen Unterauftragnehmer (weitere Auftragsverarbeiter gemäß Art. 28 DSGVO) einbezogen werden sollen, gilt:

• Die Einschaltung von Unterauftragnehmern ist nur mit schriftlicher Zustimmung des Auftraggebers gestattet. Ohne eine solche Zustimmung kann der Auftragnehmer zur Vertragsdurchführung einen Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies dem Auftraggeber vor Beginn der Verarbeitung schriftlich mitgeteilt hat und der Auftraggeber der Unterbeauftragung nicht innerhalb eines Monats nach Zugang der Mitteilung schriftlich widersprochen hat.
• Der Auftragnehmer gestaltet die vertraglichen Vereinbarungen mit dem Unterauftragnehmer so, dass sie Art. 28 DSGVO entsprechen.
• Die Einschaltung des Unterauftragnehmers ist unzulässig, solange nicht alle Voraussetzungen erfüllt sind.

8.2    Die vorstehenden Regelungen gelten entsprechend, wenn der Unterauftragnehmer seinerseits ein Unterauftragsverhältnis begründen will.

8.3    Erbringt der Unterauftragnehmer seine Leistungen nicht in der EU oder dem EWR stellt der Auftragnehmer sicher, dass die Verarbeitung personenbezogener Daten gemäß Art. 44 ff. DSGVO zulässig ist.

8.4    Abweichend von Ziffer 8.1, erster Spiegelstrich, gestattet der Auftraggeber bereits jetzt die Einschaltung der folgenden Unterauftragnehmer vorbehaltlich der Einhaltung der sonstigen Voraussetzungen gemäß Ziffern 8.1 bis 8.3:

• Verlag des Österreichischen Gewerkschaftsbundes GmbH, Johann-Böhm-Platz 1, 1020, Wien, Österreich (ÖGB-Verlag)
• internex GmbH, Lagerstraße 15, 3950 Gmünd, Österreich (Auftragsverarbeiter des ÖGB-Verlags)

9.    Weisungsbefugnis des Auftraggebers

9.1    Der Auftraggeber hat ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich.

9.2    Der Auftragnehmer darf nur nach dokumentierter Weisung des Auftraggebers Daten berichtigen, löschen oder ihre Verarbeitung einschränken. Wendet sich eine betroffene Person an den Auftragnehmer, leitet dieser das Ersuchen an den Auftraggeber weiter. Auskünfte darf der Auftragnehmer nur nach vorheriger Zustimmung in Textform durch den Auftraggeber erteilen.

9.3    Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

9.4    Der Auftragnehmer verarbeitet gemäß Ziffer 9.1 bis 9.3 die Daten nur auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

10.    Kontrollrechte des Auftraggebers

10.1    Der Auftraggeber hat das Recht, Kontrollen im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung der vertraglichen Pflichten durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

10.2    Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach.

11.    Löschung von Daten

11.1    Nach Aufforderung durch den Auftraggeber sowie unaufgefordert bei Beendigung der Auftragsverarbeitung wird der Auftragnehmer sämtliche in seinen Besitz gelangte Datenbestände, die im Zusammenhang mit der Auftragsverarbeitung stehen, dem Auftraggeber übermitteln oder datenschutzgerecht vernichten/löschen. Der Auftragnehmer kann dem Auftraggeber schriftlich eine Frist von 14 Tagen setzen, schriftlich die Übermittlung der Daten zu verlangen; äußert sich der Auftraggeber innerhalb der Frist nicht, darf der Auftragnehmer die Daten vernichten/löschen.

11.2    Der Auftragnehmer hat an Daten und Datenträgern kein Zurückbehaltungsrecht.

12.    Schlussbestimmungen

12.1    Dieser Vertrag ersetzt etwaige frühere Abreden der Parteien über den Vertragsgegenstand.

12.2    Wenn in diesem Vertrag Schriftform verlangt wird, genügt eine E-Mail oder Fax.

Stand: September 2025

Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 Abs. 1 DSGVO

 

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit b) DSGVO

 

1. Zutrittskontrolle

 

Technische Maßnahmen	Organisatorische Maßnahmen
Chipkarten / Transpondersysteme an allen Eingängen zu den Firmenräumen	Schlüsselverwaltung / Dokumentation der Schlüsselvergabe (RFID-Chips) durch Personalabteilung/Geschäftsführung
Manuelles Schließsystem	Bewachung außerhalb der Betriebszeiten
Elektronische Türöffner (Außentüren)	Sorgfalt bei Auswahl Reinigungsdienste
Serverraum mit Schutzvorkehrungen Schließsystem mit Codesperre Videoüberwachung	Zugang zum Serverraum für dritte nur unter Aufsicht
Türen mit Knauf Außenseite
Generalschlüssel
Videoüberwachung des Serverraums
Schutzvorkehrungen für Backups	Schutzkonzept für Backups

 

 

2. Zugangskontrolle

 

Technische Maßnahmen	Organisatorische Maßnahmen
Login mit Benutzername + Passwort	Zentrale Verwaltung von Benutzerberechtigungen
	Begrenzung der Anzahl befugter Benutzer
Login mit biometrischen Daten Anmeldung Tablet, Handy	Autorisierungsprozess für Zugangsberechtigungen
Single Sign-On	Erstellen von Benutzerprofilen
Multi-Faktor-Authentifizierung	Zentrale Passwortvergabe
Anti-Viren-Software Server Kaspersky	Sichere Dokumentation und Aufbewahrung der Passwörter
Anti-Virus-Software Clients s.o.	Richtlinie „Sicheres Passwort“; regelmäßige Änderung von Kennwörtern
Anti-Virus-Software mobile Geräte Kaspersky- in der Einführung	Richtlinie „Löschen / Vernichten“
Firewall (Hardware, Software, Multilayer)	Richtlinie „Clean desk“
Intrusion Detection/Prevention System	Allg. Richtlinie zur IT-Sicherheit
Mobile Device Management	Mobile Device Policy (Betriebsvereinbarung)
Einsatz VPN bei Remote-Zugriffen	Anleitung „Manuelle Desktopsperre“
Verschlüsselung der internen Notebook SSDs	Vertraulichkeitsverpflichtung der zur Verarbeitung personenbezogener Daten befugten Personen
Verschlüsselung von Smartphones
Verschlüsselung von Tablet
BIOS Schutz (separates Passwort)
Automatische Desktopsperre

 

 

3. Zugriffskontrolle

 

Technische Maßnahmen	Organisatorische Maßnahmen
Aktenshredder (mind. Stufe 3, crosscut)	Einsatz Berechtigungskonzepte (differenzierte Berechtigungen: Profile/ Rollen)
Externer Aktenvernichter (DIN 66399, entspricht alt: DIN 32757)	Minimale Anzahl an Administratoren
Physische Löschung von Datenträgern	Datenschutztresor
Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten auf Fileserver und Sharepoint.	Verwaltung Benutzerrechte durch  Administratoren; Löschkonzept mit Löschfristen und Anweisungen ist vorhanden und wird fortgeschrieben.
Verschlüsselung von CD/ DVD, externen Festplatten, USB-Sticks; mobile Speichermedien werden möglichst selten benutzt	Genehmigungsroutinen (Zeichnungsrichtlinie)
Sichtschutzfolien für öffentliche/mobile Bildschirme Personalbereich	Vier-Augen-Prinzip
Mobile Device Management-System
Nicht-reversible Löschung von Datenträgern

 

 

4. Trennungskontrolle

 

Technische Maßnahmen	Organisatorische Maßnahmen
Trennung von Produktiv- und Testumgebung	Steuerung über Berechtigungskonzept
Physikalische Trennung (Systeme /  Datenbanken / Datenträger)	Festlegung von Datenbankrechten
Mandantenfähigkeit relevanter  Anwendungen
Datensätze sind mit Zweckattributen versehen

 

 

 

5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

 

Technische Maßnahmen	Organisatorische Maßnahmen
	Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
	Verwaltung und Dokumentation von differenzierten Berechtigungen auf die Zusatzinformationen zur Identifikation

 

6. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

 

 

Technische Maßnahmen	Organisatorische Maßnahmen
Verschlüsselung von mobilen Endgeräten wie Laptops, Tablets, Smartphones s.o.	Verschlüsselte Aufbewahrung von Passwörtern
Verschlüsselung von mobilen Speichermedien (CD/DVD, USB-Stick, externen Festplatten)	Verschiedene Passwörter zur Verschlüsselung
Gesicherte Datenweitergabe (z.B. SSL, FTPS, TLS)
Gesichertes WLAN (WPA3, VLAN separiert, WAN separiert)

 

II. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

 

1. Weitergabekontrolle

Technische Maßnahmen	Organisatorische Maßnahmen
Bereitstellung über verschlüsselte Verbindungen u.a. TLS, sftp, ipSec	Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
Einsatz von VPN	Übersicht regelmäßiger Abruf- und Übermittlungsvorgängen
	Zugriffsrechtekonzept

 

2. Eingabekontrolle

 

Technische Maßnahmen	Organisatorische Maßnahmen
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts	Klare Zuständigkeiten für Löschungen
Auditing (Filezugriff)

 

 III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

1. Verfügbarkeitskontrolle

 

Technische Maßnahmen	Organisatorische Maßnahmen
Feuer- und Rauchmeldeanlagen	Backup & Recovery-Konzept (ausformuliert)
Feuerlöscher Serverraum	Kontrolle des Sicherungsvorgangs
Schutzsteckdosenleisten Serverraum	Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
Serverraum klimatisiert	Aufbewahrung der Sicherungsmedien an  einem sicheren Ort außerhalb des Serverraums
USV im Serverraum	Keine sanitären Anschlüsse im oder oberhalb des Serverraums
Alarmmeldung bei Zutritt zu Serverraum	Existenz eines Notfallplans (z.B. BSI IT- Grundschutz 100-4)
Datenschutztresor (S60DIS, S120DIS,  andere geeignete Normen mit Quelldichtung etc.)	Getrennte Partitionen für Betriebssysteme und Daten
RAID-System / Festplattenspiegelung
Videoüberwachung Serverraum
regelmäßige Backups
Trennung von Webserver/Webapplikationen und Geschäftsanwendungen

 

 

IV.  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

 

(Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

1. Datenschutz-Management

 

Technische Maßnahmen	Organisatorische Maßnahmen
Dokumentiertes Sicherheits- Konzept	Externer Datenschutzbeauftragter Herr Markus Strauss tactix Consulting GmbH Walbecker Straße 53 47608 Geldern Tel 069 - 713 731 8-0, Fax -50 Interner Datenschutz-Koordinator als Ansprechpartner Datenschutz-E-Mail-Postfach: datenschutz@bund-verlag.de
Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind.  jährlich durchgeführt	Mitarbeiter geschult und auf Vertraulichkeit verpflichtet
	Interner Informationssicherheits-  Beauftragter
	Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
	Die Organisation kommt den Informations- pflichten nach Art. 13 und 14 DSGVO nach
	Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

 

 

 

2. Incident-Response-Management

(Unterstützung bei der Reaktion auf Sicherheitsverletzungen)

 

Technische Maßnahmen	Organisatorische Maßnahmen
Einsatz von Firewall und regelmäßige  Aktualisierung	Dokumentierter Prozess zur Erkennung und Meldung von Informations­sicher­heitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
Einsatz von Spamfilter und regelmäßige  Aktualisierung	Dokumentierte Vorgehensweise zum Umgang mit Datenschutzvorfällen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
Einsatz von Virenscanner und regelmäßige  Aktualisierung	Einbindung von Datenschutzbeauftragtem und Informationssicherheitsbeauftragtem in Sicherheitsvorfälle und Datenpannen
Intrusion Detection System (IDS) in Einführung	Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
Intrusion Prevention System (IPS) in Einführung

 

3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO (Privacy-by-design / Privacy-by-default)

 

Technische Maßnahmen	Organisatorische Maßnahmen
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind	der Datenschutzbeauftragte wird in neue Prozesse zur Verarbeitung personenbezogener Daten frühestmöglich eingebunden.
Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

 

4. Auftragskontrolle (Outsourcing an Dritte)

Organisatorische Maßnahmen

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)

Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln