Datenschutzvereinbarung
zur Sicherstellung der Konformität zum § 11 Bundesdatenschutzgesetz (BDSG) und zu Artikel 28 EU Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten im Auftrag zwischen
Project-X Consulting UG – Munderkinger Str. 20 – 89607 Emerkingen und dessen Cooperationspartner
als Verantwortlicher (nachstehend Auftragnehmer genannt)
und Ihnen, lieber Kunde
zur Hauptvereinbarung zwischen den Parteien (nachstehend Vertrag genannt).
1 Definitionen, Auslegung und Übergang vom BDSG zur DSGVO und zum BDSG (neu)1. „BDSG“ meint das Bundesdatenschutzgesetz in bis zum 25. Mai 2018 gültigen Fassung.
2. „BDSG (neu)“ meint das Bundesdatenschutzgesetz in bis ab dem 25. Mai 2018 gültigen Fassung.
3. „EU-Datenschutz-Grundverordnung“ oder „DSGVO“ meint die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ sowie alles anwendbaren Gesetze der EU-Mitgliedstaaten, welche die DSGVO ausgestalten und spezifizieren.
4. Soweit in dieser Vereinbarung Begriffe verwendet werden, die in der DSGVO definiert sind, sind diese Begriffe auch vor Geltung der DSGVO im Sinne der DSGVO zu verstehen. Hierbei gelten die nachfolgenden Klarstellungen:
a. „Auftragsverarbeiter“ meint bis zum 25. Mai 2018 den Auftragsdatenverarbeiter im Sinne des BDSG.
b. „Betroffene Person“ meint bis zum 25. Mai 2018 den „Betroffenen“ im Sinne des BDSG.
c. „Datenschutz-Folgenabschätzung“ meint bis zum 25. Mai 2018 die Vorabkontrolle im Sinne des BDSG.
d. „Einschränkung der Verarbeitung“ meint bis zum 25. Mai 2018 „Sperren“ im Sinne des BDSG.
e. „Verantwortlicher“ meint bis zum 25. Mai 2018 die verantwortliche Stelle im Sinne des BDSG.
f. „Verarbeitung“ meint bis zum 25. Mai 2018 auch die Erhebung und Nutzung personenbezogener Daten im Sinne des BDSG.
g. „Verzeichnis von Verarbeitungstätigkeiten“ meint bis zum 25. Mai 2018 das Verfahrensverzeichnis im Sinne des BDSG.
5. Soweit diese Vereinbarung Regelungen enthält, die ausschließlich unter der DSGVO und/oder dem BDSG (neu) erforderlich sind und nicht ausdrücklich etwas gegenteiliiges geregelt ist, gelten diese Regelungen erst mit Wirkung zum 25. Mai 2018. Der Auftragnehmer hat diese Regelungen so umzusetzen, dass eine Einhaltung ab diesem Datum sichergestellt ist.
6. Verweise auf das BDSG in dieser Vereinbarung treten mit Wirkung zum 25. Mai 2018 außer Kraft.
7. Sofern diese Vereinbarung neben der Schriftform auch Erklärungen in elektronischem Format zulässt, gilt dies erst ab dem 25. Mai 2018.
2. Gegenstand der Vereinbarung
2.1. Diese Vereinbarung regelt die Maßnahmen zur Sicherstellung der Durchführung der Vorschriften des § 11 BDSG und Artikel 28 DSGVO bei der Datenverarbeitung im Auftrag, die sich aus der Beauftragung gemäß Ziffer 2.1. im Hinblick auf den Umgang mit personenbezogenen Daten ergeben.
2.2. Der Auftrag umfasst Folgendes:
2.2.1. Gegenstand des Auftrages: Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich zur Durchführung des Vertrags. Eine detaillierte Beschreibung der Tätigkeiten des Auftragnehmers, des Gegenstands und der Dauer des Auftrags sind dem Vertrag zu entnehmen. Dieser bildet einen wesentlichen Bestandteil dieser Vereinbarung.
2.2.2. Die Beschreibung des Umfangs, der Art und des Zwecks der Datenverarbeitung, der Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen wird in der Anlage A schriftlich oder in elektronischem Format vereinbart.
2.3. Die Bestimmungen dieser Vereinbarung mitsamt ihrer Anlagen haben Vorrang gegenüber den Regelungen des Vertrags.
3. Pflichten des Auftraggebers
3.1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung, für die Wahrung der Rechte der Betroffenen und sonstige datenschutzrechtliche Anforderungen (z.B. Durchführung einer Datenschutz-Folgeabschätzung, vorherige Konsultation der Datenschutzaufsichtsbehörde) ist im Außenverhältnis allein der Auftraggeber verantwortlich. Er sichert entsprechend zu, dass er berechtigt ist, die Daten für die Zwecke dieser Vereinbarung an den Auftragnehmer weiterzugeben und die Daten jeweils für die Zwecke die in der Anlage A aufgeführt sind verarbeitet werden dürfen. Der Auftraggeber informiert den Auftragnehmer über Änderungen im lokalen anwendbaren Datenschutzrecht, die Auswirkungen auf diese Vereinbarung und/oder die Verarbeitung der Daten unter dieser Vereinbarung haben bzw. haben können, rechtzeitig vor dem Inkrafttreten einer solchen Änderung.
3.2. Der Auftraggeber erteilt den Auftrag in schriftlicher [oder elektronischer] Form. Änderungen des Vertragsgegenstandes und Verfahrensänderungen sind abzustimmen und entsprechend Nr. 2 Abs. 2.2 festzulegen. Die Weisungsrechte des Auftraggebers nach Nr. 4 bleiben unberührt.
3.3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung des Ergebnisses der Auftragsleistung feststellt.
3.4. Der Auftraggeber ist verpflichtet, alle im Rahmen des Auftragsverhältnisses erlangten Kenntnisse über technische und organisatorische Maßnahmen beim Auftragnehmer vertraulich zu behandeln.
4. Weisungen
4.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieser Vereinbarung und der jeweils projektbezogenen Anlage A Ausdruck finden. Der Auftragnehmer erkennt die Datenherrschaft des Auftraggebers als Dateneigentümer an und übernimmt diesem gegenüber die Verantwortung, dass diese Daten ausschließlich im Rahmen dieser Vereinbarung verwendet werden.
4.2. Weisungsberechtigte Personen des Auftraggebers sind in Ziffer 2 der Anlage A festgelegt. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner der Nachfolger bzw. der Vertreter in schriftlicher oder elektronischer Form mitzuteilen.
4.3. Der Auftraggeber ist verpflichtet, dem Auftragnehmer ausschließlich datenschutzrechtlich zulässige Weisungen zu erteilen. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt oder eine Schadenersatzpflicht gegenüber einem Dritten begründen würde. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung nach vorheriger Mitteilung solange auszusetzen, bis der Auftraggeber die Weisung geändert hat oder die Parteien im Rahmen des jeweils anwendbaren Eskalationsverfahrens zum Ergebnis kommen, dass kein Verstoß gegen Datenschutzrecht vorliegt.
4.4. Unabhängig von anderen Regelungen in dieser Vereinbarung ist des Auftragnehmers berechtigt, personenbezogene Daten ohne oder entgegen der Weisungen des Auftraggebers zu verarbeiten, sofern er durch das Recht der EU oder der EU-Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer weitergehenden Verarbeitung
verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. In jedem Fall darf der Auftragnehmer die Daten anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen.
4.5. Die Verarbeitung der Daten außerhalb des Gebiets der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („Drittland“), einschließlich der Übermittlung in ein und Zugriff aus einem Drittland, wenn die besonderen Voraussetzungen der Übermittlung personenbezogener Daten in ein Drittland erfüllt sind. Das angemessene Schutzniveau Drittland kann wie folgt hergestellt werden:
a) durch einen Angemessenheitsbeschluss der Kommission ;
b) durch verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules);
c) durch Standarddatenschutzklauseln/Standardvertragsklauseln;
d) durch genehmigte Verhaltensregeln;
e) durch einen genehmigten Zertifizierungsmechanismus;
f) durch Genehmigung der zuständigen Datenschutzaufsichtsbehörde im Einzelfall. Falls ein Unterauftragnehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Nr. 15.
5 Allgemeine Unterstützungspflichten des Auftragnehmers
5.1. Soweit erforderlich, wenn der Auftraggeber tatsächlich nicht in der Lage ist, dies selbst vorzunehmen, ist der Auftraggeber verpflichtet den Auftragnehmer in angemessenem Umfang bei der Wahrung der Rechte und Erfüllung der Ansprüche der betroffenen Personen, insbesondere bei der Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten, sowie bei der Bereitstellung von Informationen und Daten für betroffene Personen zu unterstützen.
5.2. Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, wird dieser den Auftraggeber hierüber unverzüglich informieren und alle weiteren Schritten mit dem Auftraggeber abstimmen, soweit dies rechtlich zulässig ist. 5.3. Für Unterstützungsleistungen nach diesem Nr. 5, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
6 Beauftragter für den Datenschutz des Auftragnehmers Beim Auftragnehmer ist als Beauftragte(r) Herr Jürgen May – Alte Landstraße 1 – 89614 Öpfingen
bestellt. Ein Wechsel des Beauftragten für den Datenschutz ist dem Auftraggeber mitzuteilen.
7 Datentransport und -übermittlung, Trennungsprinzip
7.1. Die Datenträger sind vom Auftraggeber und Auftragnehmer als Einschreiben oder Wertsendung oder durch Boten zu versenden. Hierfür sind – soweit Behälter erforderlich sind – stabile Transportbehältnisse zu verwenden. Lässt der Auftraggeber Unterlagen durch Boten beim Auftragnehmer abholen, stattet der Auftraggeber seinen Boten mit einem schriftlichen Berechtigungsnachweis aus.
7.2. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden vom Auftragnehmer besonders gekennzeichnet und unterliegen der laufenden automatisierten Verwaltung. Der Auftragnehmer dokumentiert Eingang und Ausgang.
7.3. Daten können auch mittels Datenfernübertragung unter Einhaltung der in Anlage A dokumentierten Maßnahmen sicher übersendet werden.
7.4. Sofern nicht abweichend vereinbart und soweit dies nicht Gegenstand des Auftrages ist, gewährleistet der Auftragnehmer, dass die verarbeiteten Daten von sonstigen Datenbeständen Dritter oder des Auftraggebers getrennt erhoben, verarbeitet oder genutzt werden.
8 Vertraulichkeit
8.1. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis nach § 5 BDSG sowie Vertraulichkeit zu wahren. Nr. 4 Abs. 4 dieser Vereinbarung gilt entsprechend.
8.2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und diese sich schriftlich auf das Datengeheimnis nach § 5 BDSG und zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
9 Sicherheit der Verarbeitung
Der Auftragnehmer hat dafür zu sorgen und hinreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen des BDSG bzw. der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet sowie seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Ver- schlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintritts-wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Das im Anhang B beschriebene Datenschutzkonzept stellt die Auswahl
der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.
10 Informationspflichten, Verletzung des Schutzes personenbezogener Daten
10.1. Der Auftragnehmer unterrichtet den Auftraggeber nach § 11 Abs. 2 Satz 2 Nr. 8 BDSG unverzüglich bei schwerwiegenden Störungen des Verarbeitungsablaufs, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers.
10.2. Der Auftragnehmer informiert den Auftraggeber unverzüglich sobald er Kenntnis einer tatsächlichen oder vermuteten Verletzung des Schutzes personenbezogener Daten im Sinne des Artikel 4 Nr. 12 DSGVO, die beim Auftragnehmer oder bei einem Unterauftragnehmer auftritt, erhält und hat den Auftraggeber in angemessenem Umfang bei der Untersuchung, Schadensbegrenzung und Behebung und, falls erforderlich, bei der Meldung an die zuständigen Datenschutzaufsichtsbehörden und der Benachrichtigung der betroffenen Personen zu unterstützen.
10.3. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
11 Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers
11.1. Der Auftragnehmer kontrolliert regelmäßig die eigenen internen Prozesse sowie die technischen und organisatorischen Maßnahmen sowie die seiner Unterauftragnehmer, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
11.2. Auf Nachfrage stellt der Auftragnehmer dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Voraussetzungen des Artikel 28 DSGVO zur Verfügung. Die entsprechenden Nachweise können insbesondere durch
a) die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO;
b) die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DSGVO;
c) aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); oder
d) eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erfolgen.
11.3. Unter den Voraussetzungen des § 11 Abs. 4 und soweit datenschutzrechtlich erforderlich, ist der Auftraggeber oder ein vom Auftraggeber beauftragter unabhängiger Dritter in den nachfolgenden Fällen berechtigt, die Einhaltung der Voraussetzungen dieser Vereinbarung durch den Auftragnehmer, insbesondere die internen Kontrollprozesse und Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen, zu überprüfen; soweit erforderlich schließt dies Vor-Ort- Kontrollen ein:
a) Der Auftraggeber hat für die Einhaltung dieser Vereinbarung trotz Aufforderung durch den Auftraggeber keine ausreichenden Nachweise nach § 11 Abs. 2 vorgelegt;
b) Es ist zu einer Verletzung des Schutzes personenbezogener Daten gekommen;c) Der Auftraggeber kann tatsächliche Anhaltspunkte vorbringen, die den Verdacht begründen, dass der Auftragnehmer seine Verpflichtungen nach dieser Vereinbarung nicht erfüllt;
d) Die Überprüfung wurde durch eine für den Auftraggeber zuständige Datenschutzaufsichtsbehörde oder andere zuständige Behörde (einschließlich Strafverfolgungsbehörden) angeordnet.
11.4. Die Prüfungsrechte des Auftraggebers bestehen im folgenden Umfang:
a) Soweit nicht datenschutzrechtlich zwingend erforderlich, kann eine Überprüfung nach § 11 Abs. 3 lediglich einmal pro Kalenderjahr durchgeführt werden;
b) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens vier Wochen vorher) über die Überprüfung und alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren, soweit eine behördliche Anordnung oder andere zwingende rechtliche Gründe nicht eine kürzere Frist oder unangekündigte Überprüfung erforderlich machen;
c) Die Überprüfung erfolgt im Rahmen der üblichen Geschäftszeiten auf Kosten des Auftraggebers, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers;
d) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
e) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen;
f) Der Auftraggeber stellt dem Auftragnehmer eine kostenlose Kopie des Prüfungsberichts zur Verfügung.
11.5. Der Auftragnehmer wird der Datenschutzaufsichtsbehörde oder andere zuständige Behörde (einschließlich Strafverfolgungsbehörden) unmittelbar alle Informationen im Zusammenhang mit dieser Vereinbarung geben und entsprechende Auskünfte erteilen und der Aufsichtsbehörde die Möglichkeit einräumen, Prüfungen in demselben Umfang durchzuführen wie sie die Aufsichtsbehörde beim Auftraggeber durchführen darf. Der Auftragnehmer gewährt der zuständigen Aufsichtsbehörde auch in diesem Rahmen alle erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
12 Laufzeit
Diese Beauftragung gilt für die Dauer des folgenden zwischen den Parteien bestehenden Vertrages: (Benennung des Vertrages)
13 Löschung und Rückgabe personenbezogener Daten
13.1. Überlassene Dokumente, personenbezogene Daten und Datenträger sowie Kopien derselben sind grundsätzlich nach Beendigung des Auftrags nach Wahl des Auftraggebers entweder durch den Auftragnehmer zu löschen bzw. zu vernichten oder zurückzugeben, sofern für den Auftragnehmer nicht nach dem Recht der Europäischen Union oder dem Recht der Mitgliedsstaaten der Europäischen Union eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Besteht eine weitere Verpflichtung zur Speicherung hat der Auftragnehmer die Verarbeitung der personenbezogenen Dateneinzuschränken und die Daten nur für die Zwecke zu nutzen, für die Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung nach § 9 bestehen fürden Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.
13.2. Der Auftraggeber kann auch vorher jederzeit die Löschung bzw. Vernichtung oder Herausgabe verlangen, sofern die in Nr. 13 Abs. 1 aufgeführten Aufbewahrungspflichtendes Auftragnehmers nicht entgegenstehen.
13.3. Test und Ausschussmaterial ist unverzüglich datenschutzgerecht zu vernichten oder ebenfalls dem Auftraggeber auszuhändigen.
14 Haftung
Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen und der vereinbarten Haftungsbeschränkung für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen. Ebenso haftet er für schuldhaftes Verhalten seiner Unterauftragnehmer sowie deren Unterauftragnehmer.
15 Sonstiges
15.1. Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht. Beide Seiten sind in diesem Fall verpflichtet, unverzüglich in eine nachträgliche Zusatz-bestimmung einzuwilligen, die nach Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
15.2. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
15.3. Für Nebenabreden ist die Schriftform oder elektronische Form erforderlich.
15.4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder in Zusammenhang mit dieser Vereinbarung ist Ulm.
15.5. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
15.6. Dieser Vertrag ist in 2 (zwei) Exemplaren, von denen jeder Vertragspartner eines erhält, ausgefertigt. Die Vertragspartner dürfen den Vertrag übersetzen, jedoch ist die deutsche Originalfassung maßgebend.