"AGB & Sonderbedingungen für Auditierung & Zertifizierung"

Sehr geehrte Kunden und Kooperationspartner, unsere

Allgemeinen Geschäftsbedingungen

sowie unsere

Sonderbedingungen für Dienstleistungen im Rahmen der Auditierung und Zertifizierung 
finden Sie hier zum Download.

Das PDF-Format kann mit dem kostenlosen Adobe Acrobat Reader gelesen werden, den Sie hier erhalten. 

Gerne schicken wir Ihnen die AGB sowie die besonderen Bestimmungen auch zu.

(1) Die nachfolgenden Allgemeinen Geschäftsbedingungen (AGB) werden mit Vertragsschluss ergänzender Bestandteil eines jeden mit der datenschutz cert GmbH abgeschlossenen Vertrages.

(2) Die AGB der datenschutz cert GmbH gelten ausschließlich und auch bei evtl. entgegenstehenden Geschäftsbedingungen des Vertragspartners. Vertragsbedingungen des Vertragspartners werden auch dann nicht vertraglicher Bestandteil, wenn die datenschutz cert GmbH ihnen nicht ausdrücklich widerspricht.

(1) Leistungsfristen und -termine werden durch Schätzungen des Arbeitsumfanges aufgrund der Angaben des Auftraggebers berechnet und sind nur verbindlich, wenn sie von der datenschutz cert GmbH schriftlich als verbindlich gekennzeichnet werden.

(2) Verbindlich vereinbarte Fristen beginnen zu laufen, wenn der Auftraggeber die zur Durchführung der vereinbarten Leistung erforderlichen Unterlagen fristgemäß vorgelegt hat.

(1) Die Abrechnung erfolgt grundsätzlich nach Fortschritt der Leistung. Sind mehr als 10 Arbeitstage zur Leistungserbringung vereinbart, kann die datenschutz cert GmbH einen Kostenvorschuss i.H.v. 30% verlangen.

(2) Verlangt die datenschutz cert GmbH keinen Kostenvorschuss, ist sie berechtigt, 10% der Auftragssumme als Aufwandsentschädigung in Rechnung zu stellen, falls die vereinbarte Leistung nicht innerhalb von 6 Monaten nach Vertragsschluss oder dem vereinbarten Projektbeginn abgerufen wird.

(3) Der maßgebliche Preis für die von der datenschutz cert GmbH erbrachten Leistungen ergibt sich aus dem jeweils letztgültigen Angebot bzw. dem Vertrag. Ist bei der Erteilung des Auftrages der Leistungsumfang nicht schriftlich festgelegt, erfolgt die Abrechnung nach Aufwand. Ist kein Entgelt schriftlich vereinbart, erfolgt die Abrechnung nach der zum Zeitpunkt der Leistungserbringung gültigen Preise der datenschutz cert GmbH.

(4) Alle Beträge gelten zzgl. der jeweils geltenden gesetzlichen MwSt.

(5) Rechnungen sind spätestens zwei Wochen nach Erhalt zu begleichen.

(6) Eine Aufrechnung ist dem Vertragspartner nur mit anerkannter oder rechtskräftig festgestellter Gegenforderung möglich.

(7) Befindet sich der Auftraggeber in Verzug, ist die datenschutz cert GmbH vorbehaltlich weiterer Ansprüche berechtigt, einen Zinssatz in Höhe des aktuellen Basiszinssatzes der Deutschen Bundesbank sowie eine Verzugspauschale i.H.v. 40,- € zu verlangen.

(8) Befindet sich der Auftraggeber trotz einer Nachfristsetzung in Verzug mit der Rechnungsbegleichung oder ist ein Insolvenzverfahren gegen ihn eröffnet oder mangels Masse abgelehnt worden, ist die datenschutz cert GmbH berechtigt, vom Vertrag zurücktreten, ggf. erteilte Zertifikate zu entziehen, Schadenersatz wegen Nichterfüllung zu verlangen und die weitere Leistungserbringung zu verweigern.

(1) Der Auftraggeber stellt der datenschutz cert GmbH bzw. den mit der Projektdurchführung beauftragten Mitarbeitern rechtzeitig alle für die Durchführung der vereinbarten Leistung notwendigen Unterlagen und Informationen kostenlos zur Verfügung. Ist für die Durchführung des Vertrags eine Besichtigung von Systemen im Einflussbereich des Auftraggebers erforderlich, gewährt der Auftraggeber entsprechenden Zugang hierzu.

(2) Der Auftraggeber benennt einen oder mehrere Ansprechpartner, die die Mitarbeiter der datenschutz cert GmbH im Rahmen der Vereinbarung unterstützen.

(3) Änderungen, die sich auf Arbeitsergebnisse, Bewertungen oder die Gültigkeit eines Zertifikates auswirken, zeigt der Auftraggeber unverzüglich an. Hierzu gehören insbesondere Änderungen der technischen Spezifikationen eines zu zertifizierenden bzw. zu bewertenden Produktes oder Systems oder der Unternehmensstruktur.

(1) Die Lieferung der Arbeitsergebnisse erfolgt zu dem individuell vereinbarten Termin, wobei dieser Termin nicht als Fixgeschäft i.S.d. § 323 Absatz 2 Nr. 2 des Bürgerlichen Gesetzbuches gilt. Das Ein-treten von Ereignissen höherer Gewalt befreit die datenschutz cert GmbH von der Pflicht zur rechtzei-tigen Leistung. Erfüllungsort für sämtliche Ansprüche aus dem zugrundeliegenden Vertrag ist Bremen.

(2) Die Arbeitsergebnisse gelten spätestens mit Ablauf von einer Woche nach Übergabe als abge-nommen.

(3) Bei nicht fristgerechter Leistung durch die datenschutz cert GmbH kann der Auftraggeber eine an-gemessene Nachfrist setzen, verbunden mit einer Ablehnungsandrohung, wenn innerhalb dieser Frist keine Leistung erfolgt. Ein möglicher Schadensersatz wegen Nichterfüllung ist auf den typischerweise bei Vertragsschluss zu erwartenden Schaden, maximal 20% des Auftragswertes, begrenzt, es sei denn, den von der datenschutz cert GmbH eingesetzten Erfüllungsgehilfen fällt Vorsatz oder grobe Fahrlässigkeit zur Last.

Die Gewährleistungsfrist beträgt, soweit es sich nicht um einen Kaufvertrag handelt, sechs Monate und beginnt mit der Abnahme der Arbeitsergebnisse. Mängel an den Arbeitsergebnissen müssen unverzüglich schriftlich geltend gemacht werden. Die datenschutz cert GmbH hat daraufhin das Recht, zwei Nachbesserungen vorzunehmen. Schlägt die Nachbesserung fehl, hat der Vertragspartner das Recht, das Honorar zu mindern oder vom Vertrag zurückzutreten.

(1) Mit Lieferung der Arbeitsergebnisse überträgt die datenschutz cert GmbH dem Vertragspartner die einfachen Nutzungsrechte in dem zur Erreichung des Vertragszwecks erforderlichen Umfang. Die da-tenschutz cert GmbH behält sich dabei alle Rechte zur internen Verwendung der Arbeitsergebnisse in gleicher oder veränderter Form vor.

(2) Die datenschutz cert GmbH versichert, dass die im Rahmen des Vertragsverhältnisses erbrachten Arbeitsergebnisse frei von Schutzrechten Dritter sind und dass nach ihrer Kenntnis auch keine sonsti-gen Rechte bestehen, die eine Nutzung der Arbeitsergebnisse in irgendeiner Weise einschränken oder ausschließen. Etwas anderes kann zwischen der datenschutz cert GmbH und dem Vertragspartner schriftlich geregelt werden.

(3) Die datenschutz cert GmbH ist berechtigt, den Namen des Vertragspartners sowie ein Firmenlogo des Vertragspartners zu Referenzzwecken auf den Webseiten www.datenschutz-cert.de sowie in Printmedien und Präsentationen zu nutzen, sofern nichts anderes ausdrücklich vereinbart ist.

(1) Die datenschutz cert GmbH haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung der datenschutz cert GmbH oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen der datenschutz cert GmbH beruhen.

(2) Im Übrigen tritt die Haftung der datenschutz cert GmbH tritt nur ein, wenn der Schaden

---  durch schuldhafte Verletzung wesentlicher Pflichten in einer das Erreichen des Vertragszwecks gefährdenden Weise verursacht wurde oder

---  auf grobe Fahrlässigkeit oder Vorsatz der gesetzlichen Vertreter oder der leitenden Angestellten der datenschutz cert GmbH zurückzuführen ist. Die Haftung der sonstigen Erfüllungsgehilfen richtet sich nach § 8 Abs. 3.

(3) Die datenschutz cert GmbH haftet für leichte Fahrlässigkeit nur, sofern eine Pflicht verletzt wird, deren Einhaltung für die Erreichung des Vertragszwecks von wesentlicher Bedeutung ist (Kardinalpflicht). Bei Verletzung der Kardinalpflicht ist die Haftung summenmäßig beschränkt auf das Zweifache der Zertifizierungsgebühr bzw. der vereinbarten Prüfungskosten pro betroffenem Arbeitspaket sowie auf solche Schäden, mit deren Entstehung im Rahmen einer Prüfung, Evaluation, Auditierung oder Zertifizierung typischerweise gerechnet werden muss.

(4) Die datenschutz cert GmbH haftet nicht für die Verwendbarkeit der Arbeitsergebnisse zu einem bestimmten Zweck, für Mangel-, Mangelfolgeschäden oder für entgangenen Gewinn.

(5) Die Haftung nach Abschnitt 1 ist in jedem Fall begrenzt auf den Schadensumfang, mit dessen Entstehen die datenschutz cert GmbH bei Auftragserteilung typischerweise rechnen musste.

(6) Für den Verlust von Daten und Programmen und deren Wiederherstellung haftet die datenschutz cert GmbH nur insoweit, als dieser Verlust nicht durch angemessene Vorsorgemaßnahmen durch den Vertragspartner, insbesondere die Anfertigung von Sicherungskopien, vermeidbar gewesen wäre.

Als in den Geschäftsbereichen Datenschutz und Datensicherheit tätiges Unternehmen ist der datenschutz cert GmbH der Schutz der personenbezogenen Daten ihrer Vertragspartner ein besonderes Anliegen und Grundlage ihrer wirtschaftlichen Tätigkeit. Die Erhebung, Verarbeitung, Nutzung und Speicherung personenbezogener Daten erfolgt nur so, wie es nach den einschlägigen Datenschutzgesetzen zulässig ist, wobei den Grundsätzen der Datensparsamkeit und Datenvermeidung in besonderer Weise Rechnung getragen wird.

(1) Sämtliche zwischen der datenschutz cert GmbH und dem Vertragspartner im Rahmen des Vertragsverhältnisses und auch während der Vorverhandlungen vor Abschluss eines Vertrages ausgetauschten Informationen (u.a. Dokumente, Dateien, Konzepte, Ideen, Bilder und sonstige körperliche oder nichtkörperliche geistige Schöpfungen) gelten als vertraulich und sind nur solchen Personen zugänglich zu machen, die diese Informationen zur Erfüllung des Vertragszwecks benötigen oder die aufgrund von Rechtsvorschriften oder anerkannten Akkreditierungsvereinbarungen zur Einsicht befugt sind. Bei einer Weitergabe von vertraulichen Informationen informieren sich die Vertragspartner hierzu, es sei denn, die Weitergabe ist offensichtlich.

(2) Die Kommunikation der Beteiligten erfolgt unter Verwendung angemessener, auf dem aktuellen Stand der Technik stehender Sicherheitsstandards.

(3) Die Verpflichtung zur Geheimhaltung besteht über einen Zeitraum von 2 Jahren nach Beendigung der Geschäftsbeziehung hinaus.

(1) Für sämtliche Ansprüche aus dem zugrundeliegenden Vertrag gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

(2) Gerichtsstand ist, sofern der Vertragspartner Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist, für Ansprüche bis 5.000,- € das AG Bremen, im Übrigen das LG Bremen.

(3) Änderungen oder Ergänzungen dieser Bedingungen oder sonstiger vertraglicher Vereinbarungen sind nur wirksam, wenn sie schriftlich getroffen sind.

(4) Sollten einzelne Bestimmungen dieser AGB unwirksam sein, berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. Es gilt § 306 Abs. 2 BGB mit der Maßgabe, dass die gesetzliche Bestimmung gilt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(5) AGB von Vertragspartnern werden nur insoweit anerkannt, soweit sie diesen Bestimmungen nicht widersprechen. Eine Kollision ist durch schriftliche, vertragliche Regelung zu lösen.

Soweit die datenschutz cert mit der Durchführung von Auditierungs- bzw. Zertifizierungsdienstleistungen beauftragt wird, gelten neben den allgemeinen Geschäftsbedingungen der datenschutz cert GmbH die folgenden besonderen Bedingungen. Dies gilt insbesondere für Dienstleistungen im Rahmen von Auditierungen, wie z.B. Prüfungen, Evaluationen, Konformitätsbewertungen, Bestätigungen, Begutachtungen sowie für Zertifizierungen der datenschutz cert GmbH. Die Sonderbedingungen der datenschutz cert GmbH gelten ausschließlich und auch bei evtl. entgegenstehenden Geschäftsbedingungen des Vertragspartners. Vertragsbedingungen des Vertragspartners werden auch dann nicht vertraglicher Bestandteil, wenn die datenschutz cert GmbH ihnen nicht ausdrücklich widerspricht.

(1) Die datenschutz cert GmbH bietet Konformitätsbewertungen auf dem Gebiet des Datenschutzes und der Informationssicherheit an. Diese Konformitätsbewertungen schließen sowohl Prüf- als auch Zertifizierungstätigkeiten ein. Je nach Vereinbarung werden dabei IT-Systeme oder Produkte, Dienst-leistungen, Verfahren oder Managementprozesse auf Grundlage nationaler oder internationaler Regelwerke und Standards oder aufgrund eigener, von der datenschutz cert GmbH aufgestellter Kriterien geprüft und/oder zertifiziert. Eine Beratungsleistung wird dabei nicht erbracht. Die Konformitätsbewertungen finden unabhängig von einer Beratung durch eine andere Stelle oder andere Person statt.(2) Ablauf, Umfang und Gültigkeit der Prüfung bzw. Zertifizierung richten sich nach den jeweils einschlägigen Regelwerken, im Übrigen nach den hier allgemein aufgestellten Bedingungen und individuellen Vereinbarungen, sofern diese nicht den Regelwerken widersprechen. Änderungen der Regelwerke, die den Umfang oder den Ablauf verändern, werden dem Auftraggeber unverzüglich mitgeteilt.(3) Soweit für die Prüfung oder Zertifizierung eine Anerkennung bei einer dritten Stelle notwendig ist, unterwirft sich die datenschutz cert GmbH den jeweiligen Anforderungen dieser Stelle. Die datenschutz cert GmbH ist berechtigt, im Rahmen einer Prüfung oder Zertifizierung Beobachter (z.B. im Whitness-Audit) dieser Anerkennungsstellen zuzulassen. Der Auftraggeber ist hierüber zu benachrichtigen.(4) Die datenschutz cert GmbH setzt für die Prüfung und Zertifizierung fachkundiges, zuverlässiges und zur Vertraulichkeit verpflichtetes Personal ein. Die datenschutz cert GmbH kann Gutachter (Evalu-atoren, Auditoren und Prüfstellen) durch Vertrag berufen und auf die Einhaltung der jeweiligen Prüf- und Zertifizierungsvoraussetzungen verpflichten. Mit Zustimmung des Auftraggebers können auch externe Gutachter (Evaluatoren, Auditoren und Prüfstellen) für die vereinbarte Tätigkeit eingesetzt werden. Die Zustimmung hierfür gilt als erteilt, wenn der Auftraggeber nicht innerhalb von 7 Tagen hiergegen widerspricht.

(1) Der Auftraggeber teilt der datenschutz cert GmbH unverzüglich Änderungen mit, die den Umfang oder den Ablauf der Prüfung bzw. Zertifizierung beeinträchtigen können, insbesondere Änderungen
---    der Rechts- oder Organisationsform, der wirtschaftlichen Verhältnisse oder der Besitzverhältnisse,
---    der personellen Organisation oder des Managements, soweit dieses in die Prüfung eingebunden ist,
---    der Kontaktadresse oder der in die Bewertung einbezogenen Standorte,
---    des Prüf- bzw. Zertifizierungsgegenstandes oder -tätigkeitsfeldes,
---    des Managementsystems und der Prozesse bzw. des Produktes.
(2) Verstöße gegen die Mitteilungspflichten berechtigen die datenschutz cert GmbH zur sofortigen Kündigung der Vereinbarung und können zum Entzug des Zertifikats führen.
(3) Der Auftraggeber verpflichtet sich bei identifizierten Nichtkonformitäten, die Ursachen zu analysieren und die spezifischen, durchgeführten oder geplanten Korrekturen und Korrekturmaßnahmen zu beschreiben, um die erkannten Nichtkonformitäten in einem festgelegten Zeitraum zu beseitigen.
(4) Der Auftraggeber gewährt der Zertifizierungsstelle und dem beauftragten Auditor/ Evaluator/ Prüfstelle einen unbeschränkten Zutritt und Zugang zu allen Bereichen, Dokumenten und Informationen, die für die Konformitätsbewertung benötigt werden. Die seitens der Zertifizierungsstelle eingesetzten Mitarbeiter, Auditoren, Evaluatoren und Prüfstellen sind vertraglich zur Vertraulichkeit verpflichtet worden.
(5) Regelwerksabhängig sind Laufzeiten zu beachten und Wiederholungsbegutachtungen möglich; eine Beschreibung des jeweiligen Prüfverfahrens findet sich auf der Webseite der datenschutz cert GmbH.
(6) Der Auftraggeber verpflichtet sich, stets die Zertifizierungsanforderungen gemäß Regelwerk umzusetzen, einschließlich der Umsetzung von Änderungen, wenn diese durch die Zertifizierungsstelle mitgeteilt werden.
(7) Der Auftraggeber verpflichtet sich, Aufzeichnungen aller Beschwerden aufzubewahren, die ihm in Bezug auf die Einhaltung der Zertifizierungsanforderungen bekannt gemacht wurden und diese Aufzeichnungen der Zertifizierungsstelle auf Anfrage zur Verfügung zu stellen. Ferner verpflichtet sich der Auftraggeber, geeignete Maßnahmen zu ergreifen in Bezug auf solche Beschwerden sowie jegliche Mängel, die an den Produkten/ Dienstleistungen entdeckt wurden und die die Einhaltung der Anforde-rungen an die Zertifizierung beeinflussen; diese Maßnahmen werden dokumentiert.

(1) Die Gültigkeit des Zertifikates ist abhängig vom Regelwerk; eine Beschreibung des Prüfverfahrens findet sich auf www.datenschutz-cert.de.

(2) Sofern die Auditierung/ Evaluierung und Zertifizierung mit einem positiven Ergebnis abgeschlossen wurde, erhält der Auftraggeber das entsprechende Zertifikat und ein Siegel durch die datenschutz cert GmbH.

(3) Zertifikat, Zertifikatsdokumente, Urkunden, Logos und Abbildungen verbleiben im Eigentum der datenschutz cert GmbH. Der Auftraggeber erhält mit Erteilung des Zertifikats das einfache, nicht übertragbare und nicht ausschließliche Recht, das Zertifikat und das Siegel gemäß den jeweiligen Zertifi-zierungsbedingungen und der jeweiligen Gültigkeit zu nutzen. Dabei ist der Geltungsbereich des Zertifikats zu benennen. Veränderungen an Zertifikat und Siegel dürfen durch den Auftraggeber nicht vorgenommen werden.

(4) Der Auftraggeber ist verpflichtet, bei werblicher Nutzung des Zertifikats und des Siegels/ Logos, diese korrekt und unmissverständlich darzustellen. Insbesondere verpflichtet sich der Auftraggeber,

---    den Zertifizierungsstatus korrekt in allen verwendeten Medien, Erklärungen und Dokumenten einzuhalten,

---    keine irreführenden Angaben bezüglich der Zertifizierung zu machen oder zu gestatten,

---    Zertifizierungsdokumente nicht in irreführender Weise zu verwenden oder solche Verwendung zu gestatten,

---    bei Aussetzung, Beendigung oder Zurückziehung des Zertifikats sowie Einschränkung des Geltungsbereiches die Verwendung von Zertifikat und Siegel in allen relevanten Medien zu beenden bzw. zu ändern,

---    keinen Verweis auf eine Managementsystemzertifizierung zuzulassen, welcher ausdrücklich oder stillschweigend andeuten könnte, dass die Zertifizierungsstelle ein IT-System oder Produkt zertifiziert,

---    keinen Verweis auf eine IT-System- oder Produktzertifizierung zuzulassen, welcher ausdrücklich oder stillschweigend andeuten könnte, dass die Zertifizierungsstelle ein Managementsystem zertifiziert,

---    nicht ausdrücklich oder stillschweigend anzudeuten, dass die Zertifizierung für Tätigkeiten gilt, die außerhalb des Geltungsbereichs der Zertifizierung liegen,

---    die Zertifizierung nicht in einer Art und Weise zu verwenden, die die Zertifizierungsstelle und/oder das Zertifizierungssystem in Misskredit bringt oder geeignet ist, das öffentliche Vertrauen hierin zu erschüttern.

(5) Die datenschutz cert GmbH ist berechtigt, die ordnungsgemäße Verwendung zu überprüfen. Das Nutzungsrecht erlischt mit dem Ablauf der Gültigkeit des Zertifikates. Es erlischt ebenfalls, wenn der Vertragspartner das Zertifikat oder das Siegel entgegen den benannten Verpflichtungen oder in vertrags- oder regelwidriger Weise nutzt oder eine solche Nutzung gestattet.

(6) Zertifikate, welche die datenschutz cert GmbH als akkreditierte Zertifizierungsstelle ausstellt, werden mit Widerruf oder Ablauf der Akkreditierung der datenschutz cert GmbH ebenfalls ungültig. Das Nutzungsrecht erlischt auch in diesem Fall. Die datenschutz cert GmbH informiert den Vertragspartner hierüber rechtzeitig.

(7) Die datenschutz cert GmbH ist jederzeit berechtigt, ein Zertifikat auszusetzen, zurückzuziehen, wiederherzustellen oder bzgl. des Geltungsbereiches einzuschränken, sofern die Zertifizierungsbestimmungen dies vorsehen oder die Akkreditierung der datenschutz cert GmbH erlischt. Für diesen Fall wird kein Ersatz gewährleistet. Eine Rückerstattung bereits getätigter Leistungen ist ausgeschlossen. Die Haftung richtet sich nach den Allgemeinen Geschäftsbedingungen der Datenschutz cert GmbH.

(8) Der Vertragspartner ist verpflichtet, das Nutzungsrecht nach Beendigung unverzüglich und vollständig an die datenschutz cert GmbH herauszugeben.

(9) Die Zertifizierungsstelle ist zur Veröffentlichung sowie Darlegung der Zertifizierungsverfahren gegenüber der für das Regelwerk zuständigen Akkreditierungsstelle verpflichtet. Der Vertragspartner stimmt einer Veröffentlichung sowie der Darlegung gegenüber der Akkreditierungsstelle zu.

(10) Die ständige Verfügbarkeit und Abrufbarkeit der Webseiten sowie von Zertifikaten, die online auf Servern der datenschutz cert GmbH abgerufen werden, wird nicht garantiert. Insbesondere kann es bei notwendigen Wartungsarbeiten zu Ausfällen kommen.

(1) Sofern die Zertifizierungsstelle vertrauliche Informationen zu einem Zertifizierungsprozess einem Dritten zugänglich machen muss – etwa der Akkreditierungsstelle –, verpflichtet sich die Zertifizierungsstelle, den Auftraggeber zu informieren. 

(2) Die datenschutz cert GmbH verpflichtet sich, Änderungen der Anerkennungs-, Akkreditierungs- und Zertifizierungs-Anforderungen sowie einen eventuellen Verlust der Anerkennung oder Akkreditierung als Zertifizierungs- und Prüfstelle dem Auftraggeber mitzuteilen.