(GERMAN: ALLGEMEINE GESCHÄFTSBEDINGNUNGEN)

For all purchase agreements made on this page, the following terms and conditions apply: Your contractor and supplier “TAKEaWALK.in” is a service of: eQuisto Customized Commerce GmbH Offices: Metzer Str. 15, 10405 Berlin, Germany Legally registered and headquartered at: Gehrtsstr. 14, 40235 Düsseldorf, Germany Managing Director: Thomas Janson Commercial Register: Düsseldorf HRB 40954 VAT ID: DE217116068 1 SCOPE AND PARTIES (1) These General Terms and Conditions, in the version applicable at the time an order is placed, govern the relationship between eQuisto Customized Commerce GmbH, Gehrtsstr. 14, 40235 Düsseldorf (the “Seller”) and the customer (the “Customer”), and apply to transactions at the Online Store http://takeawalk.in (the “Online Store”). When placing an order the Customer can access the General Terms and Conditions via the links in the Online Store or save them on his computer and/or print them out. The General Terms and Conditions that apply to the Customer’s order will, however, be sent to him separately, together with the acknowledgment and receipt or contract confirmation, as well as when the goods are delivered, on a durable storage media (e.g. as an e-mail, pdf attachment or printout on paper). (2) The following company provides customer service for the Online Store on the Seller’s behalf. The Customer may contact it with questions, requests or complaints: eQuisto Customized Commerce GmbH, Metzer Str. 15, 10405 Berlin, Germany, Phone: +493012053530, E-mail: contact@TAKeaWALK.in (3) The range of goods in the Online Store is aimed only at consumers of legal age. 2 THE ORDER PROCESS (1) The Online Store merely constitutes an invitation to the Customer to make an offer to enter into a purchase contract for the goods presented in the Online Store. (2) The Customer may select items from the Seller’s range of goods and collect these in a “Shopping Bag” by clicking on the “Add to Shopping Bag” button. By clicking on the button “Place order and pay”, the Customer makes an offer to purchase the goods that are in his Shopping Bag (the “Order”). (3) Goods will only be delivered in the quantities usual for private households. (4) Before placing an Order, the Customer can view and amend the details of his Order at any time by clicking on the “Shopping Bag & Checkout” button. (5) After submitting his Order, the Customer will automatically be sent an acknowledgment of receipt by e-mail with a summary of the details of his Order. This automatic acknowledgment of receipt does not constitute acceptance of the Customer’s offer by the Seller; it merely documents the fact that the Seller has received the Customer’s Order. (6) A binding contract of sale is first concluded when the Seller accepts the Customer’s Order. The Seller is entitled but not obliged to accept the Customer’s offer within 7 days from its receipt. The Seller declares its acceptance by sending the Customer a dispatch confirmation by e-mail (also referred to as the “Contract Confirmation”). (7) If several items are included in an Order, a contract is only concluded in respect of the items expressly mentioned in the Contract Confirmation. (8) The aforegoing also applies where, due to his selected method of payment, the Customer has already paid the purchase price or given payment instructions before the conclusion of the contract. If for any reason no contract is concluded, the Seller will notify the Customer of this by e-mail (in the case of contractual acceptance in respect of part of the Order, it will do this together with Contract Confirmation in respect of available items), and refund the Customer the pre-payment without delay. (9) The Customer’s statutory right of withdrawal (see § 7) remains unaffected by the preceding provision. (10) The contract is concluded in English. The Seller will save a copy of the contract wording (consisting of the Order, the General Terms and Conditions and the Contract Confirmation), and forward it to the Customer. 3 DELIVERY, DELIVERY TIMES, AVAILABILITY OF GOODS (1) Unless agreed otherwise, the goods will be delivered to the Customer at the delivery address provided. Delivery is only available within the above-mentioned countries. The Seller will notify the Customer of the delivery time, where appropriate, during the order process, and in the dispatch confirmation. Unless otherwise stated, delivery time for standard deliveries will be approximately 2 to 5 business days from the contract confirmation within the European Union and 5 to 10 business days outside of the European Union (subject to availability). Further information about dispatch options, the carriers used and the delivery process may be viewed on the Online Store’s information pages. (2) After the goods have been handed over to the carrier, the Customer will receive an e-mail with a confirmation of dispatch from the Seller. The delivery is made through DHL. (3) If the Seller is unable for reasons beyond his control to meet a binding delivery deadline (unavailability of goods, for example, due to failure of the Seller’s own supplier to deliver or force majeure), it will inform the Customer without delay and, where applicable, specify a new estimated date of delivery. If the new delivery time is unacceptable to the Customer or the goods are also not available within the new delivery time or not available at all, either party will be entitled to rescind the contract in respect of the goods concerned; in this case the Seller will give the Customer a refund for any payment already made. Any statutory rights of the parties will remain unaffected. 4 PRICES AND DELIVERY CHARGES (1) All of the prices listed on the Seller’s website include the currently applicable statutory value-added tax. (2) The Seller will notify the Customer, where applicable, of the delivery charges as well as of any additional charges, e.g. for gift wrapping, on the order form immediately before the Order is placed. The Customer will bear the notified delivery charges and any additional charges. 5 PAYMENT (1) The Seller only accepts the methods of payment shown during the order process. (2) To protect itself against the risk of default in payment by the Customer, the Seller reserves the right to exclude certain methods of payment in an individual case. (3) For orders we offer the payment methods credit card, PayPal, and – if feasible – bank transfer. We reserve the right to exclude certain payment for certain clients. (4) If you are paying by credit card, the value of the order will be debited from the account upon order completion. (5) If you are paying via bank transfer you only need the account number, bank code, PIN and TAN. The purchase amount is immediately transferred to the merchant´s account. If you select the payment method, a pre-filled form is automatically opening. This already includes our bank details. Moreover, the transfer amount and intended use are already displayed in the form. 6 GIFT CARDS TAKEaWALK.in Printed and Virtual Gift Cards are sold subject to the following terms and conditions: (1) Gift Cards are valid for 12 months from date of purchase. (2) Gift Cards can be redeemed against all products on takeawalk.in. (3) Gift Cards may not be returned or redeemed for cash. (4) If your order total is less than the value of the Gift Card, the remaining balance will stay credited and will be redeemed against subsequent orders. In this case please contact our support via contact@TAKeaWALK.in (5) If your order exceeds the value of the Gift Card the exceeding amount must be paid additionally. (6) If you return products you have purchased using a Gift Card, the remaining balance will stay credited and will be redeemed against subsequent orders. (7) Gift Cards will be send to the buyer once the full order has been processed and payment has been taken. (8) TAKEaWALK.in is not responsible if a Gift Card is lost, stolen, destroyed or used without permission. (9) TAKEaWALK.in reserves the right to cancel a Gift Card if we deem such action necessary. (10) Sales tax and shipping is applicable on any products purchased with a TAKEaWALK.in Gift Card. 7 Retention of Title The goods remain the property of the Seller until the Customer has paid the purchase price in full. 8 RIGHT OF WITHDRAWAL (1) Consumers as defined in § 13 German Civil Code have a legal right of withdrawal in the case of goods bought at a distance. In accordance with the legal provisions, we would like to inform you about this right as follows: INSTRUCTIONS ON WITHDRAWAL RIGHT OF WITHDRAWAL You have the right to withdraw from this contract within fourteen days without giving any reason. The time limit begins after receipt of this instruction in text form, however not before receipt of the goods by the recipient (in case of recurring deliveries of similar goods not before receipt of the first partial delivery) and also not before the fulfilment of our obligations under Article 246 §2 in connection with §1 paragraph 1 and 2 draft law and our obligations according to §312e Section 1 Clause 1 German Civil Code in conjunction with Article 246 §3 German Civil Code. To exercise your right of withdrawal, you must inform us (see below for contact details) of your decision to withdraw from this contract by an unequivocal statement (e.g. a letter sent by post or e-mail). You may use the attached model withdrawal form, but it is not obligatory. You can also download a withdrawal form on our website electronically. You can also exercise your right of withdrawal by returning the relevant item to us within the time limit for withdrawal; no separate declaration is then necessary. To exercise your right of withdrawal within the withdrawal period, it is sufficient for you to send a notice concerning your exercise of the right of withdrawal before that period has expired. Contact details for the exercise of the right of withdrawal: To exercise your right of withdrawal by letter, please write to: eQuisto Customized Commerce GmbH, Metzer Str. 15, 10405 Berlin, Germany To exercise your right of withdrawal by e-mail, please e-mail us at contact@TAKeaWALK.in To exercise your right of withdrawal by telephone, please phone: +493012053530 To exercise your right of withdrawal by returning the goods, please send them to: eQuisto Customized Commerce GmbH, Metzer Str. 15, 10405 Berlin, Germany EFFECTS OF WITHDRAWAL If you withdraw from this contract, we shall reimburse to you all payments received from you, including the costs of delivery (with the exception of the supplementary costs resulting from your choice of a type of delivery other than the economical standard delivery offered by us), without undue delay and in any event not later than 14 days from the earlier of the day on which we receive the returned goods from you or evidence that you have sent them back. We will carry out such reimbursement using the same means of payment as you used for the initial transaction, unless we have expressly agreed otherwise with you; in any event, we will not impose any fee for such reimbursement. We may withhold reimbursement until we have received the returned goods or until you have supplied evidence of having sent back the goods, whichever is the earliest. You shall send back the goods or hand them over to us without delay and in any event not later than fourteen days from the day on which you communicate your withdrawal from this contract to us (see above). The deadline is met if you send back the goods before the period of fourteen days has expired. We will bear the cost of returning the goods for you if you use the pre-printed returns label which was included in the delivery. Otherwise you will bear the direct cost of returning the goods. You are only liable for any diminished value of the goods if the goods were handled in a manner other than that necessary to establish the nature, characteristics and functioning of the goods. EXCLUSION OF THE RIGHT OF WITHDRAWAL No right of withdrawal exists inter alia in the case of contracts for the supply of – non-prefabricated goods made on the basis of an individual choice of or decision by the consumer or which are clearly personalised, – the supply of sealed goods which were unsealed after delivery and are thus not suitable for return due to health protection or hygiene reasons. 9 WARRANTIES The Customer has certain rights under the law. These include: (i) that any products supplied by the Seller will be of satisfactory quality, fit for their intended purpose, and will conform to any description given on the Online Store and (ii) certain remedies if a product is defective. Nothing in these General Terms and Conditions is intended to affect these rights. The Seller will only be liable for loss or damage in accordance with the provisions of § 9. 10 LIABILITY (1) The Seller does not exclude liability for fraud or for death or personal injury caused by its negligence or that of its employees or agents. (2) The Seller is not responsible for losses and damage that the Customer might suffer which are: – not caused by the Seller’s breach of these General Terms and Conditions; – a side effect of the main loss or damage and which are not reasonably foreseeable by you and us when the Customer begins to use the Website; a result of the Seller’s failure to provide the Website (or any part of it) or withdrawal of products from the Website or a result of our refusal to accept an order for any reason; – caused by a distributed denial-of-service attack, virus or other technologically harmful material that may affect your computer equipment, programs, data or other material due to the Customer’s use of the Website (including your downloading any content from the Website or any website linked to it); – failure by the Seller to meet any of its obligations where it is prevented from doing so by events beyond its control (including, but not limited to, fire, flood, storm, riot, civil disturbance, war, nuclear accident, terrorist activity and acts of God). (3) The Seller’s total liability to the Customer for any loss or damage arising in connection to this Agreement will be limited to 150% of the value of products purchased by the Customer. (4) The aforementioned limitations on liability are also valid for the legal representative and agents of the Seller. (5) The aforementioned limitations on liability do not apply where the Seller has fraudulently concealed a defect or has guaranteed that the goods are of a certain nature. 11 CHOICE OF LAW AND JURISDICTION (1) Contracts between the Seller and the Customer as well as these General Terms and Conditions are governed by the laws of Germany. Berlin is the exclusive place of jurisdiction for all disputes arising indirectly resulting disputes. (2) The contractual language is English (3) These terms and Conditions as well as the further relationship between TAKEaWALK.in and the customer are subject to German law. The CISG does not apply. 12 DISCOUNT CODES (1) Multiple discount codes cannot be combined for a purchase. (2) Discount codes cannot be used for products which are already on sale. Effective Date: May 26, 2017 Alternative Dispute Resolution in accordance with Art. 14 (1) ODR-VO and § 36 VSBG: The European Commission provides a platform for online dispute resolution (OS), which is accessible at http://ec.europa.eu/consumers/odr/. We are neither obliged nor willing to participate in dispute settlement proceedings before a consumer arbitration board.

As a German company, we publish this information in the official language of our jurisdiction: Auftragsverarbeitung gemäß Art. 28 DSGVO Zwischen dem PowerControlCenter-Kunden (Verantwortlicher) und der eQuisto Customized Commerce GmbH (Auftragsverarbeiter) wird nachfolgender Vertrag geschlossen. Präambel Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Vertrag über die Nutzung des in Ziffer 1 näher bezeichneten PowerControlCenters (im Weiteren Kundenvertrag) des Auftragsverarbeiters durch den Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Umsetzung eigener Geschäftszwecke im Zusammenhang mit dem Dienstleistungsvertrag – eine Übertragung von ‚Funktionen‘ ist ausdrücklich nicht beabsichtigt. 1. Gegenstand und Dauer des Auftrags 1.1 Gegenstand des Auftrags Das PowerControlCenter ist eine in einem Rechenzentrum zum Zweck des Speichern und Aufrufen von Dateien betriebene Computeranwendung (Cloud-Lösung). Der Verantwortliche hat auf diese Zugriff mittels durch ihn selbst betriebene Software-Clients (wie Browser oder FTP-Programme) sowie die Anbindung über das Internet. Des Weiteren gibt es verschiedene zusätzliche periphere Funktionen, wie z.B. das Hinzufügen von Kommentaren zu diesen Dateien. Die Nutzung erfolgt vorwiegend mittels eindeutiger, personenspezifischer Nutzer-Accounts. Der Gegenstand dieses Auftrags ergibt sich im Übrigen aus dem Kundenvertrag und den AGB, auf die hier verwiesen wird (im Weiteren Kundenvertrag“). Dies beinhaltet die Verarbeitung personenbezogener Daten (im Weiteren „Daten“) durch den Auftragsverarbeiter lediglich in geringem Umfang und nur zum Zwecke der Nutzerzugangsverwaltung. Die Verwaltung personenbezogener Daten ist nicht Zweck der Applikation. Dies ist insbesondere für personenbezogenen Finanz- oder Gesundheitsdaten der Fall. 1.2 Dauer der Vereinbarung Die Laufzeit dieses Vertrages ist dem Kundenvertrag zu entnehmen. 2. Konkretisierung des Auftragsverhältnisses 2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten Der Zweck des PowerControlCenters ist es, Unternehmen bei der Verfügbarmachung von Mediadateien wie Filmen und Bildern für ihre Kunden zu unterstützen. Der Auftragsverarbeiter erhält dabei Zugriff auf personenbezogenen Daten, welche bei Benutzung der vertragsgegenständlichen Anwendung gespeichert werden. Folgende Datenkategorien können vom Verantwortlichen durch direkte Eingabe oder durch Hochladen im PowerControlCenter verarbeitet werden: Angaben zu Kunden und Lieferanten: Stammdaten wie Name, E-Mail-Adresse und Mobilfunknummer und Firmenzugehörigkeit Alle Kernfunktionen des PowerControlCenter wurden und werden ausschließlich in Deutschland entwickelt und gehostet. Jede Verlagerung einer Datenverarbeitung in ein Drittland außerhalb der EU/EWR bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Das angemessene Schutzniveau in den USA wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DS-GVO). 2.2 Kategorien betroffener Personen Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Kunden und Lieferanten des Verantwortlichen Ansprechpartner bei Kunden und Lieferanten des Verantwortlichen Mitbenutzer (User), die durch den Verantwortlichen zur Mitarbeit im PowerControlCenter freigeschaltet werden 3. Technische und organisatorische Maßnahmen 3.1 Der Auftragsverarbeiter verpflichtet externe Rechenzentren sowie sonstige Unterauftragsverarbeiter, die innerbetriebliche Organisation so zu gestalten, dass es den besonderen Anforderungen des Datenschutzes gerecht wird. Insbesondere findet die Datenverarbeitung auf Datenverarbeitungsanlagen statt, für die das Rechenzentrum oder der sonstige Unterauftragsverarbeiter alle technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. 3.2 Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. 3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. 4. Berichtigung, Einschränkung und Löschung von Daten 4.1 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. 4.2 Der Auftragsverarbeiter wird die Daten des Verantwortlichen nach dem Ende des Kundenvertrages löschen. 5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: Der Auftragsverarbeiter sichert zu, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt zu haben, dem die erforderliche Zeit zur Erledigung seiner Aufgaben gewährt wird. Datenschutzbeauftragter des Auftragsverarbeiters ist: Thomas Janson, Telefon: ‭+49 30 12053530‬, E-Mail: thomas.janson@equisto.com Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt. Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen. Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages. 6. Unterauftragsverhältnisse Als Unterauftragsverhältnisse im Sinne dieses Vertrags sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. Die Auslagerung auf Unterauftragsverarbeiter oder der Wechsel der bestehenden genehmigten Unterauftragsverarbeiter sind zulässig, soweit der Auftragsverarbeiter eine solchen Einschaltung von Unterauftragsverarbeitern dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird. Im Falle des Einspruchs des Verantwortlichen steht dem Auftragsverarbeiter ein außerordentliches Kündigungsrecht sowohl hinsichtlich dieser Vereinbarung als auch bezüglich der Leistungsvereinbarung zu. Der Verantwortliche stimmt der Beauftragung der PlusServer GmbH Hohenzollernring 72 50672 Köln Deutschland zu, unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. 7. Kontrollrechte des Verantwortlichen Der Verantwortliche hat nach Vorankündigung das Recht, die Einhaltung der über die datenschutzrechtlichen Prozesse und der vertraglichen Vereinbarung durch den Auftragsverarbeiter oder das externe Rechenzentrum/den Unterauftragsverarbeiter zu kontrollieren. Dies kann entweder durch die Einholung von Auskünften oder die Vorlage von aktuellen Testaten, Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter) oder durch eine geeignete Zertifizierung mittels IT-Sicherheits- oder Datenschutzaudit erfolgen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DS-GVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. 8. Mitteilung bei Verstößen des Auftragsverarbeiters Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden die Verpflichtung, dem Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen. 9. Weisungsbefugnis des Verantwortlichen Mündliche Weisungen bestätigt der Verantwortliche unverzüglich (mind. Textform). Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstöße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. 10. Löschung und Rückgabe von personenbezogenen Daten Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. 11. Schlussbestimmungen Änderungen und Ergänzungen dieser Vertragsregelung und all ihrer Bestandteile, einschließlich etwaiger Zusicherungen des Auftragsverarbeiters, bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vertragsregelung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Sollten einzelne Teile dieser Vertragsregelung unwirksam sein, so berührt dies die Wirksamkeit der Vertragsregelung im Übrigen nicht. An Stelle der unwirksamen Bestimmung soll eine Bestimmung vereinbart werden, die dem von den Partnern hiermit verfolgten wirtschaftlichen Zweck möglichst nahekommt. Entsprechendes gilt im Falle einer Regelungslücke. Diese Vertragsregelung unterliegt ausschließlich dem formellen und materiellen Recht der Bundesrepublik Deutschland. Die Anwendung des internationalen Privatrechts sowie des einheitlichen UN-Kaufrechts (CISG) wird ausdrücklich ausgeschlossen. Diese Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO tritt mit Unterzeichnung in Kraft. Anlage 1: Technisch organisatorische Maßnahmen 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) Zutrittskontrolle: Gebäude allgemein: Der Auftragsverarbeiter hat keine Büroräume und speichert keinerlei Nutzerdaten lokal auf Papier oder elektronische Speichermedien Rechenzentrumsräume: PowerControlCenter-Kundendaten werden in Rechenzentren von PlusServer GmbH Hohenzollernring 72, 50672 Köln, Deutschland verarbeitet und gespeichert. Siehe hierzu den gesonderten Vertrag. Technisch organisatorische Maßnahmen bei PlusServer GmbH Hohenzollernring 72 50672 Köln Deutschland werden gesondert bereitgestellt. Zugangskontrolle: Der Benutzer- und Administratorzugriff auf das PowerControlcenter System beruht auf einem rollenbasierten Zugriffsberechtigungsmodell. Jeder Nutzer erhält eine eindeutige ID, um sicherzustellen, dass alle Systemkomponenten nur von berechtigten Benutzern und Administratoren genutzt werden können. Es existieren technische Policies zur Passwortkomplexität und Passwort-Rotation. Beim PowerControlCenter gilt das Prinzip der Minimalberechtigung. Jeder Benutzer erhält nur die Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen. Benutzerkonten werden immer zunächst mit den wenigsten Zugriffsrechten ausgestattet. Für die Einräumung von Zugriffsrechten über die Minimalberechtigung hinaus muss eine entsprechende Berechtigung vorliegen. Einsatz von Firewallsystemen, Virenscanner und Intrusion Detection Systemen auf PowerControlCenter Serversystemen Auf PowerControCenter-Equipment (z.B. Notebooks) sind Virenscanner installiert, die eine Malware-Erkennung und einen E-Mail Filter enthalten. Der Zugriff auf PowerControlCenter-Serversysteme erfolgt via SSH und ist somit verschlüsselt („Public-Key-Cryptography“). Zugriffskontrolle: Zugriffsberechtigung auf PowerControlCenter-Produktivsysteme ist derzeit auf einen Mitarbeiter beschränkt Der Hosting-Dienstleister hat keinen Administrationszugang auf das PowerControlCenter-System Trennungskontrolle: Datensätze unterschiedlicher PowerControlCenter-Kunden werden in einer einheitlichen Datenbank speziell markiert (Tenant-ID, softwareseitige Mandantenfähigkeit). Test- und Produktivdaten sind strikt getrennt in unabhängigen Systemen, Entwicklungssysteme sind ebenfalls unabhängig von Test- und Produktivsystemen Unterschiedliche Domains und SSL Zertifikate für Test- und Produktivsysteme 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) Weitergabekontrolle: Soweit Daten zu beauftragten Partnern übertragen werden, sind diese Datenübertragungskanäle immer TLS verschlüsselt Wo dies technisch möglich ist, kommen VPN-Verbindungen zum Einsatz Datenabrufe und Übermittlungsaktivitäten werden protokolliert 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) Die Leistung wird laut Vertrag explizit nicht zur dauerhaften Speicherung nicht redundant vorhandener Daten Angeboten. Vielmehr bezieht sich das Nutzungsangebot ausschließlich auf die zeitlich begrenzte Verfügbarmachung von Daten einer Organisation für externe Dritte. Applikations-Backups ohne Nutzerdaten werden extern gesichert. Nutzerdaten werden RZ-intern durch RAID-Systeme und redundante Server gesichert. 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Verantwortlichen Klare, eindeutige Weisungen Verhinderung von Zugriffen unbefugter Dritter auf die Daten Verbot, Daten in unzulässiger Weise zu kopieren Vereinbarungen über Art des Datentransfers und deren Dokumentation Kontrollrechte durch den Auftraggeber Vereinbarung von Vertragsstrafen Strenge Auswahl der Dienstleister Nachkontrollen