ALLGEMEINE GESCHÄFTSBEDINGUNGEN
1) Geltungsbereich
1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") der Tödter & Shehata GbR (vertreten durch Amin Shehata und Markus Tödter), Seestedt 10, 27337 Blender (nachfolgend "Anbieter"), gelten für alle Verträge, die ein Unternehmer (nachfolgend „Kunde“) mit dem Anbieter hinsichtlich der vom Anbieter auf seiner Website oder sonstigen Medien dargestellten Leistungen (sogenannte Software as a Service) abschließt. Hiermit wird der Einbeziehung von eigenen Bedingungen des Kunden widersprochen, es sei denn, es ist etwas anderes vereinbart.
1.2 Diese AGB gelten auch ausschließlich, wenn der Anbieter in Kenntnis entgegenstehender oder von diesen Bedingungen abweichender Bedingungen des Kunden die Leistung für diesen ohne besonderen Vorbehalt ausführt.
1.3 Unternehmer im Sinne dieser AGB ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.
2) Leistungen des Anbieters
2.1 Der Anbieter wird die für den Kunden bereit gestellte Software unter anderem im Wege der Bereitstellung über ein vom Anbieter angemietetes Rechenzentrum zur Verfügung stellen (Cloud). Sofern angeboten, kann der Kunde die Software über einen gängigen Webbrowser bedienen. Die Anbindung erfolgt über das Internet.
2.2 Die Leistungen des Anbieters bei der Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom Anbieter betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für den Kunden bereitgestellten Server. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist dem Anbieter nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
2.3 Der Online-Dienst des Anbieters wird unter dem Vorbehalt der Verfügbarkeit angeboten. Eine Verfügbarkeit zu 100 Prozent ist technisch nicht zu realisieren und kann deshalb dem Kunden vom Anbieter nicht gewährleistet werden. Der Anbieter bemüht sich jedoch, den Dienst möglichst konstant verfügbar zu halten. Insbesondere Wartungs-, Sicherheits- oder Kapazitätsbelange sowie Ereignisse, die nicht im Machtbereich des Anbieters stehen (Störungen von öffentlichen Kommunikationsnetzen, Stromausfälle etc.), können zu Störungen oder zur vorübergehenden Stilllegung des Dienstes führen.
2.4 Der Anbieter erbringt die vorgenannten Leistungen mit einer Gesamtverfügbarkeit von 99%. Die Verfügbarkeit berechnet sich auf der Grundlage der im Vertragszeitraum auf den jeweiligen Kalendermonat entfallenden Zeit abzüglich der Wartungszeiten. Der Anbieter wird die Wartungsarbeiten, soweit dies möglich ist, in nutzungsarmen Zeiten durchführen.
2.5 Soweit nicht anders vereinbart, erstellt der Anbieter keine Sicherungskopien der Kundeninhalte. Der Kunde ist dafür verantwortlich, ausreichende Sicherungskopien seiner beim Anbieter abgelegten Inhalte zu erstellen und vorzuhalten sowie diese nicht ausschließlich auf den Servern des Anbieters zu speichern.
2.6 Der Anbieter ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die vom Kunden auf dem Server abgelegten Inhalte, um das Erbringen der Leistungen des Anbieters zu gewährleisten, so wird der Anbieter dem Kunden diese zusätzlichen Anforderungen rechtzeitig mitteilen. Der Kunde hat dem Anbieter in diesem Fall bis spätestens vier Wochen vor dem Umstellungszeitpunkt mitzuteilen, ob er seine Inhalte rechtzeitig - das heißt bis spätestens drei Werktage vor dem Umstellungszeitpunkt - zur Umstellung an die zusätzlichen Anforderungen anpassen wird. Verweigert der Kunde die Anpassung seiner Inhalte oder erklärt er sich hierzu nicht innerhalb vorgenannter Frist gegenüber dem Anbieter, kann der Anbieter das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt kündigen.
3) Leistungsänderungen
3.1 Der Anbieter behält sich vor, die angebotenen Leistungen zu ändern oder abweichende Leistungen anzubieten, es sei denn, dies ist für den Kunden nicht zumutbar.
3.2 Der Anbieter behält sich darüber hinaus vor, die angebotenen Leistungen zu ändern oder abweichende Leistungen anzubieten,
soweit er hierzu aufgrund einer Änderung der Rechtslage verpflichtet ist;
soweit er damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt;
soweit die jeweilige Änderung notwendig ist, um bestehende Sicherheitslücken zu schließen;
wenn die Änderung lediglich vorteilhaft für den Kunden ist; oder
wenn die Änderung rein technischer oder prozessualer Natur ohne wesentliche Auswirkungen für den Kunden ist.
3.3 Änderungen mit lediglich unwesentlichem Einfluss auf die Leistungen des Anbieters stellen keine Leistungsänderungen im Sinne dieser Ziffer dar. Dies gilt insbesondere für Änderungen rein graphischer Art und die bloße Änderung der Anordnung von Funktionen.
4) Vertragsschluss
4.1 Die auf der Website des Anbieters beschriebenen Leistungen stellen keine verbindlichen Angebote seitens des Anbieters dar, sondern dienen zur Abgabe eines verbindlichen Angebots durch den Kunden.
4.2 Der Kunde kann das Angebot per E-Mail oder telefonisch gegenüber dem Verkäufer abgeben.
4.3 Der Anbieter kann das Angebot des Kunden innerhalb von 14 Tagen annehmen,
indem er dem Kunden eine schriftliche Auftragsbestätigung oder eine Auftragsbestätigung in Textform (E-Mail) übermittelt, wobei insoweit der Zugang der Auftragsbestätigung beim Kunden maßgeblich ist, oder
indem er den Kunden nach Abgabe von dessen Bestellung zur Zahlung auffordert.
Liegen mehrere der vorgenannten Alternativen vor, kommt der Vertrag in dem Zeitpunkt zustande, in dem eine der vorgenannten Alternativen zuerst eintritt. Nimmt der Anbieter das Angebot des Kunden innerhalb vorgenannter Frist nicht an, so gilt dies als Ablehnung des Angebots mit der Folge, dass der Kunde nicht mehr an seine Willenserklärung gebunden ist.
4.4 Die Frist zur Annahme des Angebots beginnt am Tag nach der Absendung des Angebots durch den Kunden zu laufen und endet mit dem Ablauf des vierzehnten Tages, welcher auf die Absendung des Angebots folgt.
4.5 Bei der Abgabe eines Angebots über das Online-Bestellformular des Anbieters wird der Vertragstext nach dem Vertragsschluss vom Anbieter gespeichert und dem Kunden nach Absendung von dessen Bestellung in Textform (z. B. E-Mail) übermittelt. Eine darüber hinausgehende Zugänglichmachung des Vertragstextes durch den Anbieter erfolgt nicht.
4.6 Vor verbindlicher Abgabe der Bestellung über das Online-Bestellformular des Anbieters kann der Kunde seine Eingaben laufend über die üblichen Tastatur- und Mausfunktionen korrigieren. Darüber hinaus werden alle Eingaben vor der verbindlichen Abgabe der Bestellung noch einmal in einem Bestätigungsfenster angezeigt und können auch dort mittels der üblichen Tastatur- und Mausfunktionen korrigiert werden.
4.7 Für den Vertragsschluss steht ausschließlich die deutsche Sprache zur Verfügung. Abweichend kann der Anbieter nach eigenem Ermessen die englische Sprache zur Verfügung stellen.
4.8 Die Bestellabwicklung und Kontaktaufnahme finden in der Regel per E-Mail und ggf. automatisierter Bestellabwicklung statt. Der Kunde hat sicherzustellen, dass die von ihm zur Bestellabwicklung angegebene E-Mail-Adresse zutreffend ist, so dass unter dieser Adresse die vom Anbieter versandten E-Mails empfangen werden können. Insbesondere hat der Kunde bei dem Einsatz von SPAM-Filtern sicherzustellen, dass alle vom Anbieter oder von diesem mit der Bestellabwicklung beauftragten Dritten versandten E-Mails zugestellt werden können.
4.9 Dem Kunden wird bei Nutzung der Software für die Dauer des jeweiligen Vertrages ein nicht ausschließliches, nicht übertragbares, zeitlich auf die Vertragslaufzeit beschränktes Recht zum Zugriff auf die vom Anbieter bereitgestellte Software übertragen.
4.10 Das Nutzungsrecht ist auf die jeweils vereinbarte Laufzeit beschränkt und entfällt nach Beendigung der Laufzeit oder Vertragsbeendigung gleich welchen Grundes ohne weitere Rechtshandlung. Das Nutzungsrecht ist nicht, auch nicht konzernintern, übertragbar, es sei denn, es wurde eine andere individuelle Lizenzierung vereinbart.
5) Pflichten des Kunden
5.1 Der Kunde räumt dem Anbieter das Recht ein, die von ihm bereitgestellten Informationen bei Abfragen über das Internet zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen, zu verarbeiten und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können. Der Kunde prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt.
5.2 Der Kunde verpflichtet sich, Informationen bereitzustellen, die gegen geltendes Recht verstoßen oder Dritte in ihren Rechten verletzen..
5.3 Der Kunde stellt den Anbieter von sämtlichen Ansprüchen frei, die Dritte dem Anbieter gegenüber wegen Verletzung ihrer Rechte aufgrund der Nutzung der Leistung des Anbieters durch den Kunden geltend machen. Der Kunde übernimmt hierbei die Kosten der notwendigen Rechtsverteidigung einschließlich aller Gerichts- und Anwaltskosten in angemessener Höhe. Dies gilt nicht, wenn die Rechtsverletzung vom Kunden nicht zu vertreten ist. Der Kunde ist verpflichtet, dem Anbieter im Falle einer Inanspruchnahme durch Dritte unverzüglich, wahrheitsgemäß und vollständig alle Informationen zur Verfügung zu stellen, die für die Prüfung der Ansprüche und eine Verteidigung erforderlich sind.
5.4 Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die vorstehenden Verpflichtungen sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen den Anbieter ist der Anbieter berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Kunden die Bereitstellung der Leistung ganz oder teilweise mit sofortiger Wirkung vorübergehend einzustellen. Der Anbieter wird den Kunden über diese Maßnahme unverzüglich informieren.
5.5 Gefährden oder beeinträchtigen vom Kunden installierte Programme, Skripte o.ä. den Betrieb des Servers oder des Kommunikationsnetzes des Anbieters oder die Sicherheit und Integrität anderer auf den Servern des Anbieters abgelegter Daten, so kann der Anbieter diese Programme, Skripte etc. deaktivieren oder deinstallieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist der Anbieter auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. Der Anbieter wird den Kunden über diese Maßnahme unverzüglich.
6) Vergütung und Zahlungsbedingungen
6.1 Sofern sich aus der Leistungsbeschreibung des Anbieters nichts anderes ergibt, handelt es sich bei den angegebenen Preisen um Netto-Preise exkl. gesetzlicher Mehrwertsteuer.
6.2 Die Vergütung für die Leistungen des Anbieters ist vom Kunden monatlich im Voraus bis spätestens zum siebten Werktag eines jeden Monats zu zahlen, sofern nichts anderes vereinbart ist. Die Pflicht zur Zahlung der Vergütung beginnt mit der Freischaltung des Dienstes durch den Anbieter. Für den Monat, in dem die erstmalige Freischaltung erfolgt, beträgt die Vergütung für jeden Tag, der auf die Freischaltung folgt, 1/30 des vereinbarten Betrages.
6.3 Die Vergütung wird monatlich im Voraus vom Kunden auf das in der Rechnung angegebene Bankkonto des Anbieters überwiesen.
6.4 Die Erbringung der Leistungen durch den Anbieter ist daran gebunden, dass der Kunde seinen Zahlungsverpflichtungen rechtzeitig nachkommt. Kommt der Kunde für zwei aufeinanderfolgende Monate mit der Entrichtung eines nicht unerheblichen Teils der geschuldeten Vergütung in Verzug, so kann der Anbieter das Vertragsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.
7) Vertragsdauer und Vertragsbeendigung
7.1 Der Vertrag wird unbefristet, mindestens jedoch für die Dauer von drei Monaten (Mindestlaufzeit) geschlossen. Während der Mindestlaufzeit kann der Vertrag mit einer Frist von einem Monat zum Ende der Mindestlaufzeit gekündigt werden. Wird der Vertrag nicht fristgerecht gekündigt, so verlängert er sich jeweils um drei weitere Monate und kann dann jeweils wieder mit einer Frist von einem Monat zum Ende der jeweiligen Vertragslaufzeit gekündigt werden.
7.2 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt vor, wenn dem kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung oder bis zum Ablauf einer Kündigungsfrist nicht zugemutet werden kann.
7.3 Kündigungen haben schriftlich oder in Textform (z. B. per E-Mail) zu erfolgen.
8) Haftung
8.1 Der Anbieter haftet aus allen vertraglichen, vertragsähnlichen und gesetzlichen, auch deliktischen Ansprüchen auf Schadens- und Aufwendungsersatz wie folgt:
8.1.1 Der Anbieter haftet aus jedem Rechtsgrund uneingeschränkt
bei Vorsatz oder grober Fahrlässigkeit,
bei vorsätzlicher oder fahrlässiger Verletzung des Lebens, des Körpers oder der Gesundheit,
aufgrund eines Garantieversprechens, soweit diesbezüglich nichts anderes geregelt ist,
aufgrund zwingender Haftung wie etwa nach dem Produkthaftungsgesetz.
8.2 Verletzt der Anbieter fahrlässig eine wesentliche Vertragspflicht, ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt, sofern nicht gemäß vorstehender Ziffer unbeschränkt gehaftet wird. Wesentliche Vertragspflichten sind Pflichten, die der Vertrag dem Anbieter nach seinem Inhalt zur Erreichung des Vertragszwecks auferlegt, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.
8.3 Im Übrigen ist eine Haftung des Anbieters ausgeschlossen.
8.4 Vorstehende Haftungsregelungen gelten auch im Hinblick auf die Haftung des Anbieters für seine Erfüllungsgehilfen und gesetzlichen Vertreter.
9) Änderung der AGB
9.1 Der Anbieter behält sich vor, diese AGB jederzeit ohne Angabe von Gründen zu ändern, es sei denn, dies ist für den Kunden nicht zumutbar. Der Anbieter wird den Kunden über Änderungen der AGB rechtzeitig in Textform benachrichtigen. Widerspricht der Kunde der Geltung der neuen AGB nicht innerhalb einer Frist von vier Wochen nach der Benachrichtigung, gelten die geänderten AGB als vom Kunden angenommen. Der Anbieter wird den Kunden in der Benachrichtigung auf sein Widerspruchsrecht und die Bedeutung der Widerspruchsfrist hinweisen. Widerspricht der Kunde den Änderungen innerhalb der vorgenannten Frist, so besteht das Vertragsverhältnis zu den ursprünglichen Bedingungen fort.
9.2 Der Anbieter behält sich darüber hinaus vor, diese AGB zu ändern,
soweit er hierzu aufgrund einer Änderung der Rechtslage verpflichtet ist;
soweit er damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt;
soweit er zusätzliche, gänzlich neue Dienstleistungen, Dienste oder Dienstelemente einführt, die einer Leistungsbeschreibung in den AGB bedürfen, es sei denn, dass bisherige Nutzungsverhältnis wird dadurch nachteilig verändert;
wenn die Änderung lediglich vorteilhaft für den Kunde ist; oder
wenn die Änderung rein technisch oder prozessual bedingt ist, es sei denn, sie hat wesentliche Auswirkungen für den Kunden.
9.3 Das Kündigungsrecht des Kunden gemäß Ziffer 7 bleibt hiervon unberührt.
10) Anwendbares Recht, Gerichtsstand
10.1 Für sämtliche Rechtsbeziehungen der Parteien gilt das Recht der Bundesrepublik Deutschland.
10.2 Handelt der Kunde als Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen mit Sitz im Hoheitsgebiet der Bundesrepublik Deutschland, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag der Geschäftssitz des Anbieters. Hat der Kunde seinen Sitz außerhalb des Hoheitsgebiets der Bundesrepublik Deutschland, so ist der Geschäftssitz des Anbieters ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag. Der Anbieter ist in den vorstehenden Fällen jedoch in jedem Fall berechtigt, das Gericht am Sitz des Kunden anzurufen.
11) Datenschutz-Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO
Zwischen
dem Kunden - nachstehend Auftraggeber genannt -
und
dem Anbieter - nachstehend Auftragnehmer genannt -
gilt folgende Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO.
1. Gegenstand und Dauer des Auftrags
1.1 Der Gegenstand des Auftrags zur Verarbeitung personenbezogener Daten ist basierend auf dem geschlossenen vertrag zwischen den Parteien die Durchführung folgender Aufgaben durch den Auftragnehmer: Bereitstellung maßgeschneideter KI-basierten Chat-Bot-Lösung als Software as a Service Monatliche Optimierung und Wartung der KI-basierten Chat-Bot-Lösung
1.2 Dauer der Datenverarbeitung: Die Dauer der Verarbeitung der personenbezogenen Daten ergibt sich aus dem abgeschlossenen Hauptvertrag.
1.3 Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet (einschließlich Backups).
1.4 Im Fall eines Widerspruchs zwischen dieser Datenschutz-Vereinbarung und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, hat diese Vereinbarung Vorrang.
2. Konkretisierung des Auftragsinhalts
2.1 Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber lassen sich folgendermaßen beschreiben: Die personenbezogenen Daten werden erhoben, ausgelesen und verarbeitet, damit der Auftraggeber KI-basierter Chat-Bot auf der Website des Kunden bereitgestellt, betrieben und optimiert bzw. gewartet werden kann. Näheres kann dem abgeschlossenen Hauptvertrag entnommen werden.
2.2 Die Arten der verwendeten personenbezogenen Daten sind folgende:
Name und Bestelldaten des Nutzers
Vom Auftraggeber bereitgestellte Trainingsdaten
Chatverläufe des Nutzers
Kommunikationsdaten (z.B. IP-Adresse des Nutzers) zur Bereitstellung der Software
Sonstige Geräteinformationsdaten des Nutzers
2.3 Die Kategorien der durch die Verarbeitung betroffenen Personen sind ausschließlich Besucher der Website sowie Kunden des Auftraggebers.
3. Technische und organisatorische Maßnahmen
3.1 Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung (Anlage 1). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage der Vereinbarung.
3.2 Soweit eine Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3.3 Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber in Kenntnis zu setzten.
4. Rechte von betroffenen Personen
4.1 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von betroffenen Personen erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt. 4.2 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß der Nr. 4.1 und 4.2 befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat (zusätzlich zu den Pflichten nach dieser Vereinbarung) eigene gesetzliche Pflichten gemäß der DSGVO. Die Vereinbarung entbindet den Auftraggeber nicht davon. Zu den gesetzlichen Pflichten zählen insbesondere, aber nicht nur:
5.1. Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und Art. 39 DSGVO ausübt.
5.2. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 Buchst. b, Art. 29, Art. 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
5.3. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
5.4. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
5.5. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
5.6. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
5.7. Die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Nr. 8 dieser Vereinbarung.
5.8. Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Art. 33, 34 DSGVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.
5.9. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
5.10. Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
6. Unterauftragsverhältnisse
6.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.2 Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
Der Auftraggeber stimmt der Beauftragung der in Anhang 2 bezeichneten Unterauftragnehmer zu.
Die Auslagerung auf Unterauftragnehmer und der Wechsel von bestehenden Unterauftragnehmern sind nur zulässig, soweit:
a) der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab (mindestens 14 Tage) schriftlich oder in Textform anzeigt und
b) der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
c) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO sowie die Vorgaben dieser Vereinbarung zugrunde gelegt werden.
6.3 Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend dieser Vereinbarung und gemäß der Datenschutz-Grundverordnung unterliegt.
6.4 Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
6.5 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
7. Internationale Datenübermittlungen
7.1 Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Datenschutz-Grundverordnung im Einklang stehen.
7.2 Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Nr. 6 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Datenschutz-Grundverordnung beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Datenschutz-Grundverordnung sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Datenschutz-Grundverordnung erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
8. Kontrollrechte des Auftraggebers
8.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
8.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
8.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
9. Weisungsbefugnis des Auftraggebers
9.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
9.2 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Datenschutz-Grundverordnung oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
10. Löschung und Rückgabe von personenbezogenen Daten
10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
10.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – löscht der Auftragsverarbeiter, innerhalb von maximal 60 Tagen, nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personen- bezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers Anlage 2: Genehmigte Unterauftragsverhältnisse
Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers
nach Art. 32 DSGVO (zu Nr. 3 der Datenschutz-Vereinbarung)
Konkrete Beschreibung der technisch-organisatorischen Maßnahmen des Auftragnehmers unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten betroffener Personen (eine allgemeine Beschreibung ist nicht ausreichend):
1. Pseudonymisierung
Die Pseudonymisierung ist wie folgt umgesetzt:
☒ Verwendung von (Personal-, Kunden-) Kennziffern statt Namen
☒ Verwaltung und Dokumentation von differenzierten Berechtigungen auf die Zusatzinformationen zur Identifikation
☒ Autorisierungsprozess oder Genehmigungsroutinen für Berechtigungen zur Verarbeitung von Zusatzinformationen zur Identifikation
2. Maßnahmen zur Verschlüsselung
☒ Verschlüsselung von mobilen Endgeräten wie Laptops, Tablets, Smartphones ☒ Verschlüsselung von mobilen Speichermedien (CD / DVD- ROM, USB-Stick, externe Festplatten)
☒ Verschlüsselung von Dateien
☒ Verschlüsselung von Systemen / Anlagen
☒ Verschlüsselte Aufbewahrung von Passwörtern
☒ Verschlüsselung von Email bzw. Email-Anhängen
☒ Gesicherte Datenweitergabe (z.B. SSL, FTPS, TLS)
☒ Gesichertes WLAN
3. Maßnahmen zur Sicherstellung von Vertraulichkeit
a. Maßnahmen, durch die Unbefugten der Zutritt verwehrt wird:
☒ Zutrittskontrollsystem inkl. physischem Schließsystem
b. Maßnahmen, die verhindern, dass Unbefugte die Verarbeitungssysteme nutzen können:
☒ Persönlicher und individueller User-Log-In bei der Anmeldung am System bzw. am Unternehmensnetzwerk
☒ Autorisierungsprozess für Zugangsberechtigungen
☒ Begrenzung der befugten Benutzer
☒ Zwei-Faktor-Authentifizierung
☒ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
☒ Protokollierung des Zugangs
☒ Firewall
c. Maßnahmen, die gewährleisten, dass nur berechtigte Personen auf die Verarbeitungssysteme zugreifen und personenbezogene Daten nicht unbefugt lesen, kopieren, verändern oder entfernen können:
☒ Verwaltung und Dokumentation von differenzierten Berechtigungen
☒ Auswertungen / Protokollierungen von Datenverarbeitungen
☒ Genehmigungsroutinen
☒ Profile / Rollen
☒ Verschlüsselung von CD / DVD- ROM, externen Festplatten und / oder Laptops (etwa per Betriebssystem, Safe Guard Easy, PGP)
d. Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
☒ Speicherung der Datensätze in logisch getrennten Datenbanken
☒ Mandantenfähigkeit von IT-Systemen
☒ Verwendung von Testdaten
☒ Trennung von Entwicklungs- und Produktionsumgebung
4. Maßnahmen zur Sicherstellung von Integrität
☒ Zugriffsrechte
☒ Systemseitige Protokollierungen
☒ Protokollierung von Datenübertragung oder Datentransport
☒ Protokollierung von lesenden Zugriffen
☒ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
5. Maßnahmen zur Sicherstellung und Wiederherstellung von Verfügbarkeit
☒ Bedarfsgerechtes Einspielen von Sicherheits-Updates
☒ Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
☒ Klimatisierter Serverraum
☒ Virenschutz
☒ Firewall
☒ Notfallplan
6. Maßnahmen zur Sicherstellung der Belastbarkeit
☒ Ausreichende Kapazität von IT-Systeme und Anlagen
☒ Resilienz und Fehler-Management 7. Weisungskontrolle / Auftragskontrolle
☒ Vertrag zur Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragsverarbeiters und Verantwortlichen.
☒ Prozess zur Erteilung und / oder Befolgung von Weisungen
☒ Bestimmung von Ansprechpartnern und / oder verantwortlichen Mitarbeitern
☒ Kontrolle / Überprüfung weisungsgebundener Auftragsdurchführung
☒ Schulungen / Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragsverarbeiter
☒ Verpflichtung der Mitarbeiter zur Vertraulichkeit
☒ Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-GVO
Anlage 2: Genehmigte Unterauftragsverhältnisse
Unterauftragsverarbeiter und Beschreibung der Datenverarbeitung:
Contabo GmbH, mit Sitz in der Aschauer Straße 32a, 81549 München, Deutschland:
Dieses Unternehmen stellt Cloud-Computing-Dienste für das Backend-Hosting bereit.TIXAE LLC, ansässig unter der Adresse 5220 S University Dr, Davie, FL 33328, USA:
TIXAE ist verantwortlich für Cloud-Computing im Bereich Dashboard und Datenanalyse. Zudem werden dort Chatverläufe gespeichert.OpenAI Inc., mit Sitz in der 3180 18th St, San Francisco, USA:
OpenAI stellt das Sprachmodell bereit und übernimmt Cloud-Computing-Leistungen zur Verarbeitung von Texteingaben und ggf. Spracheingaben.
1) Geltungsbereich
1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") der Tödter & Shehata GbR (vertreten durch Amin Shehata und Markus Tödter), Seestedt 10, 27337 Blender (nachfolgend "Anbieter"), gelten für alle Verträge, die ein Unternehmer (nachfolgend „Kunde“) mit dem Anbieter hinsichtlich der vom Anbieter auf seiner Website oder sonstigen Medien dargestellten Leistungen (sogenannte Software as a Service) abschließt. Hiermit wird der Einbeziehung von eigenen Bedingungen des Kunden widersprochen, es sei denn, es ist etwas anderes vereinbart.
1.2 Diese AGB gelten auch ausschließlich, wenn der Anbieter in Kenntnis entgegenstehender oder von diesen Bedingungen abweichender Bedingungen des Kunden die Leistung für diesen ohne besonderen Vorbehalt ausführt.
1.3 Unternehmer im Sinne dieser AGB ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.
2) Leistungen des Anbieters
2.1 Der Anbieter wird die für den Kunden bereit gestellte Software unter anderem im Wege der Bereitstellung über ein vom Anbieter angemietetes Rechenzentrum zur Verfügung stellen (Cloud). Sofern angeboten, kann der Kunde die Software über einen gängigen Webbrowser bedienen. Die Anbindung erfolgt über das Internet.
2.2 Die Leistungen des Anbieters bei der Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom Anbieter betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für den Kunden bereitgestellten Server. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist dem Anbieter nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
2.3 Der Online-Dienst des Anbieters wird unter dem Vorbehalt der Verfügbarkeit angeboten. Eine Verfügbarkeit zu 100 Prozent ist technisch nicht zu realisieren und kann deshalb dem Kunden vom Anbieter nicht gewährleistet werden. Der Anbieter bemüht sich jedoch, den Dienst möglichst konstant verfügbar zu halten. Insbesondere Wartungs-, Sicherheits- oder Kapazitätsbelange sowie Ereignisse, die nicht im Machtbereich des Anbieters stehen (Störungen von öffentlichen Kommunikationsnetzen, Stromausfälle etc.), können zu Störungen oder zur vorübergehenden Stilllegung des Dienstes führen.
2.4 Der Anbieter erbringt die vorgenannten Leistungen mit einer Gesamtverfügbarkeit von 99%. Die Verfügbarkeit berechnet sich auf der Grundlage der im Vertragszeitraum auf den jeweiligen Kalendermonat entfallenden Zeit abzüglich der Wartungszeiten. Der Anbieter wird die Wartungsarbeiten, soweit dies möglich ist, in nutzungsarmen Zeiten durchführen.
2.5 Soweit nicht anders vereinbart, erstellt der Anbieter keine Sicherungskopien der Kundeninhalte. Der Kunde ist dafür verantwortlich, ausreichende Sicherungskopien seiner beim Anbieter abgelegten Inhalte zu erstellen und vorzuhalten sowie diese nicht ausschließlich auf den Servern des Anbieters zu speichern.
2.6 Der Anbieter ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die vom Kunden auf dem Server abgelegten Inhalte, um das Erbringen der Leistungen des Anbieters zu gewährleisten, so wird der Anbieter dem Kunden diese zusätzlichen Anforderungen rechtzeitig mitteilen. Der Kunde hat dem Anbieter in diesem Fall bis spätestens vier Wochen vor dem Umstellungszeitpunkt mitzuteilen, ob er seine Inhalte rechtzeitig - das heißt bis spätestens drei Werktage vor dem Umstellungszeitpunkt - zur Umstellung an die zusätzlichen Anforderungen anpassen wird. Verweigert der Kunde die Anpassung seiner Inhalte oder erklärt er sich hierzu nicht innerhalb vorgenannter Frist gegenüber dem Anbieter, kann der Anbieter das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt kündigen.
3) Leistungsänderungen
3.1 Der Anbieter behält sich vor, die angebotenen Leistungen zu ändern oder abweichende Leistungen anzubieten, es sei denn, dies ist für den Kunden nicht zumutbar.
3.2 Der Anbieter behält sich darüber hinaus vor, die angebotenen Leistungen zu ändern oder abweichende Leistungen anzubieten,
soweit er hierzu aufgrund einer Änderung der Rechtslage verpflichtet ist;
soweit er damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt;
soweit die jeweilige Änderung notwendig ist, um bestehende Sicherheitslücken zu schließen;
wenn die Änderung lediglich vorteilhaft für den Kunden ist; oder
wenn die Änderung rein technischer oder prozessualer Natur ohne wesentliche Auswirkungen für den Kunden ist.
3.3 Änderungen mit lediglich unwesentlichem Einfluss auf die Leistungen des Anbieters stellen keine Leistungsänderungen im Sinne dieser Ziffer dar. Dies gilt insbesondere für Änderungen rein graphischer Art und die bloße Änderung der Anordnung von Funktionen.
4) Vertragsschluss
4.1 Die auf der Website des Anbieters beschriebenen Leistungen stellen keine verbindlichen Angebote seitens des Anbieters dar, sondern dienen zur Abgabe eines verbindlichen Angebots durch den Kunden.
4.2 Der Kunde kann das Angebot per E-Mail oder telefonisch gegenüber dem Verkäufer abgeben.
4.3 Der Anbieter kann das Angebot des Kunden innerhalb von 14 Tagen annehmen,
indem er dem Kunden eine schriftliche Auftragsbestätigung oder eine Auftragsbestätigung in Textform (E-Mail) übermittelt, wobei insoweit der Zugang der Auftragsbestätigung beim Kunden maßgeblich ist, oder
indem er den Kunden nach Abgabe von dessen Bestellung zur Zahlung auffordert.
Liegen mehrere der vorgenannten Alternativen vor, kommt der Vertrag in dem Zeitpunkt zustande, in dem eine der vorgenannten Alternativen zuerst eintritt. Nimmt der Anbieter das Angebot des Kunden innerhalb vorgenannter Frist nicht an, so gilt dies als Ablehnung des Angebots mit der Folge, dass der Kunde nicht mehr an seine Willenserklärung gebunden ist.
4.4 Die Frist zur Annahme des Angebots beginnt am Tag nach der Absendung des Angebots durch den Kunden zu laufen und endet mit dem Ablauf des vierzehnten Tages, welcher auf die Absendung des Angebots folgt.
4.5 Bei der Abgabe eines Angebots über das Online-Bestellformular des Anbieters wird der Vertragstext nach dem Vertragsschluss vom Anbieter gespeichert und dem Kunden nach Absendung von dessen Bestellung in Textform (z. B. E-Mail) übermittelt. Eine darüber hinausgehende Zugänglichmachung des Vertragstextes durch den Anbieter erfolgt nicht.
4.6 Vor verbindlicher Abgabe der Bestellung über das Online-Bestellformular des Anbieters kann der Kunde seine Eingaben laufend über die üblichen Tastatur- und Mausfunktionen korrigieren. Darüber hinaus werden alle Eingaben vor der verbindlichen Abgabe der Bestellung noch einmal in einem Bestätigungsfenster angezeigt und können auch dort mittels der üblichen Tastatur- und Mausfunktionen korrigiert werden.
4.7 Für den Vertragsschluss steht ausschließlich die deutsche Sprache zur Verfügung. Abweichend kann der Anbieter nach eigenem Ermessen die englische Sprache zur Verfügung stellen.
4.8 Die Bestellabwicklung und Kontaktaufnahme finden in der Regel per E-Mail und ggf. automatisierter Bestellabwicklung statt. Der Kunde hat sicherzustellen, dass die von ihm zur Bestellabwicklung angegebene E-Mail-Adresse zutreffend ist, so dass unter dieser Adresse die vom Anbieter versandten E-Mails empfangen werden können. Insbesondere hat der Kunde bei dem Einsatz von SPAM-Filtern sicherzustellen, dass alle vom Anbieter oder von diesem mit der Bestellabwicklung beauftragten Dritten versandten E-Mails zugestellt werden können.
4.9 Dem Kunden wird bei Nutzung der Software für die Dauer des jeweiligen Vertrages ein nicht ausschließliches, nicht übertragbares, zeitlich auf die Vertragslaufzeit beschränktes Recht zum Zugriff auf die vom Anbieter bereitgestellte Software übertragen.
4.10 Das Nutzungsrecht ist auf die jeweils vereinbarte Laufzeit beschränkt und entfällt nach Beendigung der Laufzeit oder Vertragsbeendigung gleich welchen Grundes ohne weitere Rechtshandlung. Das Nutzungsrecht ist nicht, auch nicht konzernintern, übertragbar, es sei denn, es wurde eine andere individuelle Lizenzierung vereinbart.
5) Pflichten des Kunden
5.1 Der Kunde räumt dem Anbieter das Recht ein, die von ihm bereitgestellten Informationen bei Abfragen über das Internet zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen, zu verarbeiten und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können. Der Kunde prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt.
5.2 Der Kunde verpflichtet sich, Informationen bereitzustellen, die gegen geltendes Recht verstoßen oder Dritte in ihren Rechten verletzen..
5.3 Der Kunde stellt den Anbieter von sämtlichen Ansprüchen frei, die Dritte dem Anbieter gegenüber wegen Verletzung ihrer Rechte aufgrund der Nutzung der Leistung des Anbieters durch den Kunden geltend machen. Der Kunde übernimmt hierbei die Kosten der notwendigen Rechtsverteidigung einschließlich aller Gerichts- und Anwaltskosten in angemessener Höhe. Dies gilt nicht, wenn die Rechtsverletzung vom Kunden nicht zu vertreten ist. Der Kunde ist verpflichtet, dem Anbieter im Falle einer Inanspruchnahme durch Dritte unverzüglich, wahrheitsgemäß und vollständig alle Informationen zur Verfügung zu stellen, die für die Prüfung der Ansprüche und eine Verteidigung erforderlich sind.
5.4 Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die vorstehenden Verpflichtungen sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen den Anbieter ist der Anbieter berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Kunden die Bereitstellung der Leistung ganz oder teilweise mit sofortiger Wirkung vorübergehend einzustellen. Der Anbieter wird den Kunden über diese Maßnahme unverzüglich informieren.
5.5 Gefährden oder beeinträchtigen vom Kunden installierte Programme, Skripte o.ä. den Betrieb des Servers oder des Kommunikationsnetzes des Anbieters oder die Sicherheit und Integrität anderer auf den Servern des Anbieters abgelegter Daten, so kann der Anbieter diese Programme, Skripte etc. deaktivieren oder deinstallieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist der Anbieter auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. Der Anbieter wird den Kunden über diese Maßnahme unverzüglich.
6) Vergütung und Zahlungsbedingungen
6.1 Sofern sich aus der Leistungsbeschreibung des Anbieters nichts anderes ergibt, handelt es sich bei den angegebenen Preisen um Netto-Preise exkl. gesetzlicher Mehrwertsteuer.
6.2 Die Vergütung für die Leistungen des Anbieters ist vom Kunden monatlich im Voraus bis spätestens zum siebten Werktag eines jeden Monats zu zahlen, sofern nichts anderes vereinbart ist. Die Pflicht zur Zahlung der Vergütung beginnt mit der Freischaltung des Dienstes durch den Anbieter. Für den Monat, in dem die erstmalige Freischaltung erfolgt, beträgt die Vergütung für jeden Tag, der auf die Freischaltung folgt, 1/30 des vereinbarten Betrages.
6.3 Die Vergütung wird monatlich im Voraus vom Kunden auf das in der Rechnung angegebene Bankkonto des Anbieters überwiesen.
6.4 Die Erbringung der Leistungen durch den Anbieter ist daran gebunden, dass der Kunde seinen Zahlungsverpflichtungen rechtzeitig nachkommt. Kommt der Kunde für zwei aufeinanderfolgende Monate mit der Entrichtung eines nicht unerheblichen Teils der geschuldeten Vergütung in Verzug, so kann der Anbieter das Vertragsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.
7) Vertragsdauer und Vertragsbeendigung
7.1 Der Vertrag wird unbefristet, mindestens jedoch für die Dauer von drei Monaten (Mindestlaufzeit) geschlossen. Während der Mindestlaufzeit kann der Vertrag mit einer Frist von einem Monat zum Ende der Mindestlaufzeit gekündigt werden. Wird der Vertrag nicht fristgerecht gekündigt, so verlängert er sich jeweils um drei weitere Monate und kann dann jeweils wieder mit einer Frist von einem Monat zum Ende der jeweiligen Vertragslaufzeit gekündigt werden.
7.2 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt vor, wenn dem kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung oder bis zum Ablauf einer Kündigungsfrist nicht zugemutet werden kann.
7.3 Kündigungen haben schriftlich oder in Textform (z. B. per E-Mail) zu erfolgen.
8) Haftung
8.1 Der Anbieter haftet aus allen vertraglichen, vertragsähnlichen und gesetzlichen, auch deliktischen Ansprüchen auf Schadens- und Aufwendungsersatz wie folgt:
8.1.1 Der Anbieter haftet aus jedem Rechtsgrund uneingeschränkt
bei Vorsatz oder grober Fahrlässigkeit,
bei vorsätzlicher oder fahrlässiger Verletzung des Lebens, des Körpers oder der Gesundheit,
aufgrund eines Garantieversprechens, soweit diesbezüglich nichts anderes geregelt ist,
aufgrund zwingender Haftung wie etwa nach dem Produkthaftungsgesetz.
8.2 Verletzt der Anbieter fahrlässig eine wesentliche Vertragspflicht, ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt, sofern nicht gemäß vorstehender Ziffer unbeschränkt gehaftet wird. Wesentliche Vertragspflichten sind Pflichten, die der Vertrag dem Anbieter nach seinem Inhalt zur Erreichung des Vertragszwecks auferlegt, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.
8.3 Im Übrigen ist eine Haftung des Anbieters ausgeschlossen.
8.4 Vorstehende Haftungsregelungen gelten auch im Hinblick auf die Haftung des Anbieters für seine Erfüllungsgehilfen und gesetzlichen Vertreter.
9) Änderung der AGB
9.1 Der Anbieter behält sich vor, diese AGB jederzeit ohne Angabe von Gründen zu ändern, es sei denn, dies ist für den Kunden nicht zumutbar. Der Anbieter wird den Kunden über Änderungen der AGB rechtzeitig in Textform benachrichtigen. Widerspricht der Kunde der Geltung der neuen AGB nicht innerhalb einer Frist von vier Wochen nach der Benachrichtigung, gelten die geänderten AGB als vom Kunden angenommen. Der Anbieter wird den Kunden in der Benachrichtigung auf sein Widerspruchsrecht und die Bedeutung der Widerspruchsfrist hinweisen. Widerspricht der Kunde den Änderungen innerhalb der vorgenannten Frist, so besteht das Vertragsverhältnis zu den ursprünglichen Bedingungen fort.
9.2 Der Anbieter behält sich darüber hinaus vor, diese AGB zu ändern,
soweit er hierzu aufgrund einer Änderung der Rechtslage verpflichtet ist;
soweit er damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt;
soweit er zusätzliche, gänzlich neue Dienstleistungen, Dienste oder Dienstelemente einführt, die einer Leistungsbeschreibung in den AGB bedürfen, es sei denn, dass bisherige Nutzungsverhältnis wird dadurch nachteilig verändert;
wenn die Änderung lediglich vorteilhaft für den Kunde ist; oder
wenn die Änderung rein technisch oder prozessual bedingt ist, es sei denn, sie hat wesentliche Auswirkungen für den Kunden.
9.3 Das Kündigungsrecht des Kunden gemäß Ziffer 7 bleibt hiervon unberührt.
10) Anwendbares Recht, Gerichtsstand
10.1 Für sämtliche Rechtsbeziehungen der Parteien gilt das Recht der Bundesrepublik Deutschland.
10.2 Handelt der Kunde als Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen mit Sitz im Hoheitsgebiet der Bundesrepublik Deutschland, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag der Geschäftssitz des Anbieters. Hat der Kunde seinen Sitz außerhalb des Hoheitsgebiets der Bundesrepublik Deutschland, so ist der Geschäftssitz des Anbieters ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag. Der Anbieter ist in den vorstehenden Fällen jedoch in jedem Fall berechtigt, das Gericht am Sitz des Kunden anzurufen.
11) Datenschutz-Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO
Zwischen
dem Kunden - nachstehend Auftraggeber genannt -
und
dem Anbieter - nachstehend Auftragnehmer genannt -
gilt folgende Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO.
1. Gegenstand und Dauer des Auftrags
1.1 Der Gegenstand des Auftrags zur Verarbeitung personenbezogener Daten ist basierend auf dem geschlossenen vertrag zwischen den Parteien die Durchführung folgender Aufgaben durch den Auftragnehmer: Bereitstellung maßgeschneideter KI-basierten Chat-Bot-Lösung als Software as a Service Monatliche Optimierung und Wartung der KI-basierten Chat-Bot-Lösung
1.2 Dauer der Datenverarbeitung: Die Dauer der Verarbeitung der personenbezogenen Daten ergibt sich aus dem abgeschlossenen Hauptvertrag.
1.3 Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet (einschließlich Backups).
1.4 Im Fall eines Widerspruchs zwischen dieser Datenschutz-Vereinbarung und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, hat diese Vereinbarung Vorrang.
2. Konkretisierung des Auftragsinhalts
2.1 Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber lassen sich folgendermaßen beschreiben: Die personenbezogenen Daten werden erhoben, ausgelesen und verarbeitet, damit der Auftraggeber KI-basierter Chat-Bot auf der Website des Kunden bereitgestellt, betrieben und optimiert bzw. gewartet werden kann. Näheres kann dem abgeschlossenen Hauptvertrag entnommen werden.
2.2 Die Arten der verwendeten personenbezogenen Daten sind folgende:
Name und Bestelldaten des Nutzers
Vom Auftraggeber bereitgestellte Trainingsdaten
Chatverläufe des Nutzers
Kommunikationsdaten (z.B. IP-Adresse des Nutzers) zur Bereitstellung der Software
Sonstige Geräteinformationsdaten des Nutzers
2.3 Die Kategorien der durch die Verarbeitung betroffenen Personen sind ausschließlich Besucher der Website sowie Kunden des Auftraggebers.
3. Technische und organisatorische Maßnahmen
3.1 Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung (Anlage 1). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage der Vereinbarung.
3.2 Soweit eine Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3.3 Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber in Kenntnis zu setzten.
4. Rechte von betroffenen Personen
4.1 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von betroffenen Personen erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt. 4.2 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß der Nr. 4.1 und 4.2 befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat (zusätzlich zu den Pflichten nach dieser Vereinbarung) eigene gesetzliche Pflichten gemäß der DSGVO. Die Vereinbarung entbindet den Auftraggeber nicht davon. Zu den gesetzlichen Pflichten zählen insbesondere, aber nicht nur:
5.1. Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und Art. 39 DSGVO ausübt.
5.2. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 Buchst. b, Art. 29, Art. 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
5.3. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
5.4. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
5.5. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
5.6. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
5.7. Die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Nr. 8 dieser Vereinbarung.
5.8. Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Art. 33, 34 DSGVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.
5.9. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
5.10. Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
6. Unterauftragsverhältnisse
6.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.2 Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
Der Auftraggeber stimmt der Beauftragung der in Anhang 2 bezeichneten Unterauftragnehmer zu.
Die Auslagerung auf Unterauftragnehmer und der Wechsel von bestehenden Unterauftragnehmern sind nur zulässig, soweit:
a) der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab (mindestens 14 Tage) schriftlich oder in Textform anzeigt und
b) der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
c) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO sowie die Vorgaben dieser Vereinbarung zugrunde gelegt werden.
6.3 Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend dieser Vereinbarung und gemäß der Datenschutz-Grundverordnung unterliegt.
6.4 Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
6.5 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
7. Internationale Datenübermittlungen
7.1 Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Datenschutz-Grundverordnung im Einklang stehen.
7.2 Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Nr. 6 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Datenschutz-Grundverordnung beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Datenschutz-Grundverordnung sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Datenschutz-Grundverordnung erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
8. Kontrollrechte des Auftraggebers
8.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
8.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
8.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
9. Weisungsbefugnis des Auftraggebers
9.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
9.2 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Datenschutz-Grundverordnung oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
10. Löschung und Rückgabe von personenbezogenen Daten
10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
10.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – löscht der Auftragsverarbeiter, innerhalb von maximal 60 Tagen, nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personen- bezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers Anlage 2: Genehmigte Unterauftragsverhältnisse
Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers
nach Art. 32 DSGVO (zu Nr. 3 der Datenschutz-Vereinbarung)
Konkrete Beschreibung der technisch-organisatorischen Maßnahmen des Auftragnehmers unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten betroffener Personen (eine allgemeine Beschreibung ist nicht ausreichend):
1. Pseudonymisierung
Die Pseudonymisierung ist wie folgt umgesetzt:
☒ Verwendung von (Personal-, Kunden-) Kennziffern statt Namen
☒ Verwaltung und Dokumentation von differenzierten Berechtigungen auf die Zusatzinformationen zur Identifikation
☒ Autorisierungsprozess oder Genehmigungsroutinen für Berechtigungen zur Verarbeitung von Zusatzinformationen zur Identifikation
2. Maßnahmen zur Verschlüsselung
☒ Verschlüsselung von mobilen Endgeräten wie Laptops, Tablets, Smartphones ☒ Verschlüsselung von mobilen Speichermedien (CD / DVD- ROM, USB-Stick, externe Festplatten)
☒ Verschlüsselung von Dateien
☒ Verschlüsselung von Systemen / Anlagen
☒ Verschlüsselte Aufbewahrung von Passwörtern
☒ Verschlüsselung von Email bzw. Email-Anhängen
☒ Gesicherte Datenweitergabe (z.B. SSL, FTPS, TLS)
☒ Gesichertes WLAN
3. Maßnahmen zur Sicherstellung von Vertraulichkeit
a. Maßnahmen, durch die Unbefugten der Zutritt verwehrt wird:
☒ Zutrittskontrollsystem inkl. physischem Schließsystem
b. Maßnahmen, die verhindern, dass Unbefugte die Verarbeitungssysteme nutzen können:
☒ Persönlicher und individueller User-Log-In bei der Anmeldung am System bzw. am Unternehmensnetzwerk
☒ Autorisierungsprozess für Zugangsberechtigungen
☒ Begrenzung der befugten Benutzer
☒ Zwei-Faktor-Authentifizierung
☒ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
☒ Protokollierung des Zugangs
☒ Firewall
c. Maßnahmen, die gewährleisten, dass nur berechtigte Personen auf die Verarbeitungssysteme zugreifen und personenbezogene Daten nicht unbefugt lesen, kopieren, verändern oder entfernen können:
☒ Verwaltung und Dokumentation von differenzierten Berechtigungen
☒ Auswertungen / Protokollierungen von Datenverarbeitungen
☒ Genehmigungsroutinen
☒ Profile / Rollen
☒ Verschlüsselung von CD / DVD- ROM, externen Festplatten und / oder Laptops (etwa per Betriebssystem, Safe Guard Easy, PGP)
d. Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
☒ Speicherung der Datensätze in logisch getrennten Datenbanken
☒ Mandantenfähigkeit von IT-Systemen
☒ Verwendung von Testdaten
☒ Trennung von Entwicklungs- und Produktionsumgebung
4. Maßnahmen zur Sicherstellung von Integrität
☒ Zugriffsrechte
☒ Systemseitige Protokollierungen
☒ Protokollierung von Datenübertragung oder Datentransport
☒ Protokollierung von lesenden Zugriffen
☒ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
5. Maßnahmen zur Sicherstellung und Wiederherstellung von Verfügbarkeit
☒ Bedarfsgerechtes Einspielen von Sicherheits-Updates
☒ Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
☒ Klimatisierter Serverraum
☒ Virenschutz
☒ Firewall
☒ Notfallplan
6. Maßnahmen zur Sicherstellung der Belastbarkeit
☒ Ausreichende Kapazität von IT-Systeme und Anlagen
☒ Resilienz und Fehler-Management 7. Weisungskontrolle / Auftragskontrolle
☒ Vertrag zur Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragsverarbeiters und Verantwortlichen.
☒ Prozess zur Erteilung und / oder Befolgung von Weisungen
☒ Bestimmung von Ansprechpartnern und / oder verantwortlichen Mitarbeitern
☒ Kontrolle / Überprüfung weisungsgebundener Auftragsdurchführung
☒ Schulungen / Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragsverarbeiter
☒ Verpflichtung der Mitarbeiter zur Vertraulichkeit
☒ Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-GVO
Anlage 2: Genehmigte Unterauftragsverhältnisse
Unterauftragsverarbeiter und Beschreibung der Datenverarbeitung:
Contabo GmbH, mit Sitz in der Aschauer Straße 32a, 81549 München, Deutschland:
Dieses Unternehmen stellt Cloud-Computing-Dienste für das Backend-Hosting bereit.TIXAE LLC, ansässig unter der Adresse 5220 S University Dr, Davie, FL 33328, USA:
TIXAE ist verantwortlich für Cloud-Computing im Bereich Dashboard und Datenanalyse. Zudem werden dort Chatverläufe gespeichert.OpenAI Inc., mit Sitz in der 3180 18th St, San Francisco, USA:
OpenAI stellt das Sprachmodell bereit und übernimmt Cloud-Computing-Leistungen zur Verarbeitung von Texteingaben und ggf. Spracheingaben.
1) Geltungsbereich
1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") der Tödter & Shehata GbR (vertreten durch Amin Shehata und Markus Tödter), Seestedt 10, 27337 Blender (nachfolgend "Anbieter"), gelten für alle Verträge, die ein Unternehmer (nachfolgend „Kunde“) mit dem Anbieter hinsichtlich der vom Anbieter auf seiner Website oder sonstigen Medien dargestellten Leistungen (sogenannte Software as a Service) abschließt. Hiermit wird der Einbeziehung von eigenen Bedingungen des Kunden widersprochen, es sei denn, es ist etwas anderes vereinbart.
1.2 Diese AGB gelten auch ausschließlich, wenn der Anbieter in Kenntnis entgegenstehender oder von diesen Bedingungen abweichender Bedingungen des Kunden die Leistung für diesen ohne besonderen Vorbehalt ausführt.
1.3 Unternehmer im Sinne dieser AGB ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.
2) Leistungen des Anbieters
2.1 Der Anbieter wird die für den Kunden bereit gestellte Software unter anderem im Wege der Bereitstellung über ein vom Anbieter angemietetes Rechenzentrum zur Verfügung stellen (Cloud). Sofern angeboten, kann der Kunde die Software über einen gängigen Webbrowser bedienen. Die Anbindung erfolgt über das Internet.
2.2 Die Leistungen des Anbieters bei der Übermittlung von Daten beschränken sich allein auf die Datenkommunikation zwischen dem vom Anbieter betriebenen Übergabepunkt des eigenen Datenkommunikationsnetzes an das Internet und dem für den Kunden bereitgestellten Server. Eine Einflussnahme auf den Datenverkehr außerhalb des eigenen Kommunikationsnetzes ist dem Anbieter nicht möglich. Eine erfolgreiche Weiterleitung von Informationen von oder zu dem die Inhalte abfragenden Rechner ist daher insoweit nicht geschuldet.
2.3 Der Online-Dienst des Anbieters wird unter dem Vorbehalt der Verfügbarkeit angeboten. Eine Verfügbarkeit zu 100 Prozent ist technisch nicht zu realisieren und kann deshalb dem Kunden vom Anbieter nicht gewährleistet werden. Der Anbieter bemüht sich jedoch, den Dienst möglichst konstant verfügbar zu halten. Insbesondere Wartungs-, Sicherheits- oder Kapazitätsbelange sowie Ereignisse, die nicht im Machtbereich des Anbieters stehen (Störungen von öffentlichen Kommunikationsnetzen, Stromausfälle etc.), können zu Störungen oder zur vorübergehenden Stilllegung des Dienstes führen.
2.4 Der Anbieter erbringt die vorgenannten Leistungen mit einer Gesamtverfügbarkeit von 99%. Die Verfügbarkeit berechnet sich auf der Grundlage der im Vertragszeitraum auf den jeweiligen Kalendermonat entfallenden Zeit abzüglich der Wartungszeiten. Der Anbieter wird die Wartungsarbeiten, soweit dies möglich ist, in nutzungsarmen Zeiten durchführen.
2.5 Soweit nicht anders vereinbart, erstellt der Anbieter keine Sicherungskopien der Kundeninhalte. Der Kunde ist dafür verantwortlich, ausreichende Sicherungskopien seiner beim Anbieter abgelegten Inhalte zu erstellen und vorzuhalten sowie diese nicht ausschließlich auf den Servern des Anbieters zu speichern.
2.6 Der Anbieter ist berechtigt, die zur Erbringung der Leistungen eingesetzte Hard- und Software an den jeweiligen Stand der Technik anzupassen. Ergeben sich aufgrund einer solchen Anpassung zusätzliche Anforderungen an die vom Kunden auf dem Server abgelegten Inhalte, um das Erbringen der Leistungen des Anbieters zu gewährleisten, so wird der Anbieter dem Kunden diese zusätzlichen Anforderungen rechtzeitig mitteilen. Der Kunde hat dem Anbieter in diesem Fall bis spätestens vier Wochen vor dem Umstellungszeitpunkt mitzuteilen, ob er seine Inhalte rechtzeitig - das heißt bis spätestens drei Werktage vor dem Umstellungszeitpunkt - zur Umstellung an die zusätzlichen Anforderungen anpassen wird. Verweigert der Kunde die Anpassung seiner Inhalte oder erklärt er sich hierzu nicht innerhalb vorgenannter Frist gegenüber dem Anbieter, kann der Anbieter das Vertragsverhältnis mit Wirkung zum Umstellungszeitpunkt kündigen.
3) Leistungsänderungen
3.1 Der Anbieter behält sich vor, die angebotenen Leistungen zu ändern oder abweichende Leistungen anzubieten, es sei denn, dies ist für den Kunden nicht zumutbar.
3.2 Der Anbieter behält sich darüber hinaus vor, die angebotenen Leistungen zu ändern oder abweichende Leistungen anzubieten,
soweit er hierzu aufgrund einer Änderung der Rechtslage verpflichtet ist;
soweit er damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt;
soweit die jeweilige Änderung notwendig ist, um bestehende Sicherheitslücken zu schließen;
wenn die Änderung lediglich vorteilhaft für den Kunden ist; oder
wenn die Änderung rein technischer oder prozessualer Natur ohne wesentliche Auswirkungen für den Kunden ist.
3.3 Änderungen mit lediglich unwesentlichem Einfluss auf die Leistungen des Anbieters stellen keine Leistungsänderungen im Sinne dieser Ziffer dar. Dies gilt insbesondere für Änderungen rein graphischer Art und die bloße Änderung der Anordnung von Funktionen.
4) Vertragsschluss
4.1 Die auf der Website des Anbieters beschriebenen Leistungen stellen keine verbindlichen Angebote seitens des Anbieters dar, sondern dienen zur Abgabe eines verbindlichen Angebots durch den Kunden.
4.2 Der Kunde kann das Angebot per E-Mail oder telefonisch gegenüber dem Verkäufer abgeben.
4.3 Der Anbieter kann das Angebot des Kunden innerhalb von 14 Tagen annehmen,
indem er dem Kunden eine schriftliche Auftragsbestätigung oder eine Auftragsbestätigung in Textform (E-Mail) übermittelt, wobei insoweit der Zugang der Auftragsbestätigung beim Kunden maßgeblich ist, oder
indem er den Kunden nach Abgabe von dessen Bestellung zur Zahlung auffordert.
Liegen mehrere der vorgenannten Alternativen vor, kommt der Vertrag in dem Zeitpunkt zustande, in dem eine der vorgenannten Alternativen zuerst eintritt. Nimmt der Anbieter das Angebot des Kunden innerhalb vorgenannter Frist nicht an, so gilt dies als Ablehnung des Angebots mit der Folge, dass der Kunde nicht mehr an seine Willenserklärung gebunden ist.
4.4 Die Frist zur Annahme des Angebots beginnt am Tag nach der Absendung des Angebots durch den Kunden zu laufen und endet mit dem Ablauf des vierzehnten Tages, welcher auf die Absendung des Angebots folgt.
4.5 Bei der Abgabe eines Angebots über das Online-Bestellformular des Anbieters wird der Vertragstext nach dem Vertragsschluss vom Anbieter gespeichert und dem Kunden nach Absendung von dessen Bestellung in Textform (z. B. E-Mail) übermittelt. Eine darüber hinausgehende Zugänglichmachung des Vertragstextes durch den Anbieter erfolgt nicht.
4.6 Vor verbindlicher Abgabe der Bestellung über das Online-Bestellformular des Anbieters kann der Kunde seine Eingaben laufend über die üblichen Tastatur- und Mausfunktionen korrigieren. Darüber hinaus werden alle Eingaben vor der verbindlichen Abgabe der Bestellung noch einmal in einem Bestätigungsfenster angezeigt und können auch dort mittels der üblichen Tastatur- und Mausfunktionen korrigiert werden.
4.7 Für den Vertragsschluss steht ausschließlich die deutsche Sprache zur Verfügung. Abweichend kann der Anbieter nach eigenem Ermessen die englische Sprache zur Verfügung stellen.
4.8 Die Bestellabwicklung und Kontaktaufnahme finden in der Regel per E-Mail und ggf. automatisierter Bestellabwicklung statt. Der Kunde hat sicherzustellen, dass die von ihm zur Bestellabwicklung angegebene E-Mail-Adresse zutreffend ist, so dass unter dieser Adresse die vom Anbieter versandten E-Mails empfangen werden können. Insbesondere hat der Kunde bei dem Einsatz von SPAM-Filtern sicherzustellen, dass alle vom Anbieter oder von diesem mit der Bestellabwicklung beauftragten Dritten versandten E-Mails zugestellt werden können.
4.9 Dem Kunden wird bei Nutzung der Software für die Dauer des jeweiligen Vertrages ein nicht ausschließliches, nicht übertragbares, zeitlich auf die Vertragslaufzeit beschränktes Recht zum Zugriff auf die vom Anbieter bereitgestellte Software übertragen.
4.10 Das Nutzungsrecht ist auf die jeweils vereinbarte Laufzeit beschränkt und entfällt nach Beendigung der Laufzeit oder Vertragsbeendigung gleich welchen Grundes ohne weitere Rechtshandlung. Das Nutzungsrecht ist nicht, auch nicht konzernintern, übertragbar, es sei denn, es wurde eine andere individuelle Lizenzierung vereinbart.
5) Pflichten des Kunden
5.1 Der Kunde räumt dem Anbieter das Recht ein, die von ihm bereitgestellten Informationen bei Abfragen über das Internet zugänglich machen zu dürfen, insbesondere sie hierzu zu vervielfältigen, zu verarbeiten und zu übermitteln sowie sie zum Zwecke der Datensicherung vervielfältigen zu können. Der Kunde prüft in eigener Verantwortung, ob die Nutzung personenbezogener Daten durch ihn datenschutzrechtlichen Anforderungen genügt.
5.2 Der Kunde verpflichtet sich, Informationen bereitzustellen, die gegen geltendes Recht verstoßen oder Dritte in ihren Rechten verletzen..
5.3 Der Kunde stellt den Anbieter von sämtlichen Ansprüchen frei, die Dritte dem Anbieter gegenüber wegen Verletzung ihrer Rechte aufgrund der Nutzung der Leistung des Anbieters durch den Kunden geltend machen. Der Kunde übernimmt hierbei die Kosten der notwendigen Rechtsverteidigung einschließlich aller Gerichts- und Anwaltskosten in angemessener Höhe. Dies gilt nicht, wenn die Rechtsverletzung vom Kunden nicht zu vertreten ist. Der Kunde ist verpflichtet, dem Anbieter im Falle einer Inanspruchnahme durch Dritte unverzüglich, wahrheitsgemäß und vollständig alle Informationen zur Verfügung zu stellen, die für die Prüfung der Ansprüche und eine Verteidigung erforderlich sind.
5.4 Im Falle eines unmittelbar drohenden oder eingetretenen Verstoßes gegen die vorstehenden Verpflichtungen sowie bei der Geltendmachung nicht offensichtlich unbegründeter Ansprüche Dritter gegen den Anbieter ist der Anbieter berechtigt, unter Berücksichtigung auch der berechtigten Interessen des Kunden die Bereitstellung der Leistung ganz oder teilweise mit sofortiger Wirkung vorübergehend einzustellen. Der Anbieter wird den Kunden über diese Maßnahme unverzüglich informieren.
5.5 Gefährden oder beeinträchtigen vom Kunden installierte Programme, Skripte o.ä. den Betrieb des Servers oder des Kommunikationsnetzes des Anbieters oder die Sicherheit und Integrität anderer auf den Servern des Anbieters abgelegter Daten, so kann der Anbieter diese Programme, Skripte etc. deaktivieren oder deinstallieren. Falls die Beseitigung der Gefährdung oder Beeinträchtigung dies erfordert, ist der Anbieter auch berechtigt, die Anbindung der auf dem Server abgelegten Inhalte an das Internet zu unterbrechen. Der Anbieter wird den Kunden über diese Maßnahme unverzüglich.
6) Vergütung und Zahlungsbedingungen
6.1 Sofern sich aus der Leistungsbeschreibung des Anbieters nichts anderes ergibt, handelt es sich bei den angegebenen Preisen um Netto-Preise exkl. gesetzlicher Mehrwertsteuer.
6.2 Die Vergütung für die Leistungen des Anbieters ist vom Kunden monatlich im Voraus bis spätestens zum siebten Werktag eines jeden Monats zu zahlen, sofern nichts anderes vereinbart ist. Die Pflicht zur Zahlung der Vergütung beginnt mit der Freischaltung des Dienstes durch den Anbieter. Für den Monat, in dem die erstmalige Freischaltung erfolgt, beträgt die Vergütung für jeden Tag, der auf die Freischaltung folgt, 1/30 des vereinbarten Betrages.
6.3 Die Vergütung wird monatlich im Voraus vom Kunden auf das in der Rechnung angegebene Bankkonto des Anbieters überwiesen.
6.4 Die Erbringung der Leistungen durch den Anbieter ist daran gebunden, dass der Kunde seinen Zahlungsverpflichtungen rechtzeitig nachkommt. Kommt der Kunde für zwei aufeinanderfolgende Monate mit der Entrichtung eines nicht unerheblichen Teils der geschuldeten Vergütung in Verzug, so kann der Anbieter das Vertragsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist kündigen.
7) Vertragsdauer und Vertragsbeendigung
7.1 Der Vertrag wird unbefristet, mindestens jedoch für die Dauer von drei Monaten (Mindestlaufzeit) geschlossen. Während der Mindestlaufzeit kann der Vertrag mit einer Frist von einem Monat zum Ende der Mindestlaufzeit gekündigt werden. Wird der Vertrag nicht fristgerecht gekündigt, so verlängert er sich jeweils um drei weitere Monate und kann dann jeweils wieder mit einer Frist von einem Monat zum Ende der jeweiligen Vertragslaufzeit gekündigt werden.
7.2 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt vor, wenn dem kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung oder bis zum Ablauf einer Kündigungsfrist nicht zugemutet werden kann.
7.3 Kündigungen haben schriftlich oder in Textform (z. B. per E-Mail) zu erfolgen.
8) Haftung
8.1 Der Anbieter haftet aus allen vertraglichen, vertragsähnlichen und gesetzlichen, auch deliktischen Ansprüchen auf Schadens- und Aufwendungsersatz wie folgt:
8.1.1 Der Anbieter haftet aus jedem Rechtsgrund uneingeschränkt
bei Vorsatz oder grober Fahrlässigkeit,
bei vorsätzlicher oder fahrlässiger Verletzung des Lebens, des Körpers oder der Gesundheit,
aufgrund eines Garantieversprechens, soweit diesbezüglich nichts anderes geregelt ist,
aufgrund zwingender Haftung wie etwa nach dem Produkthaftungsgesetz.
8.2 Verletzt der Anbieter fahrlässig eine wesentliche Vertragspflicht, ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt, sofern nicht gemäß vorstehender Ziffer unbeschränkt gehaftet wird. Wesentliche Vertragspflichten sind Pflichten, die der Vertrag dem Anbieter nach seinem Inhalt zur Erreichung des Vertragszwecks auferlegt, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.
8.3 Im Übrigen ist eine Haftung des Anbieters ausgeschlossen.
8.4 Vorstehende Haftungsregelungen gelten auch im Hinblick auf die Haftung des Anbieters für seine Erfüllungsgehilfen und gesetzlichen Vertreter.
9) Änderung der AGB
9.1 Der Anbieter behält sich vor, diese AGB jederzeit ohne Angabe von Gründen zu ändern, es sei denn, dies ist für den Kunden nicht zumutbar. Der Anbieter wird den Kunden über Änderungen der AGB rechtzeitig in Textform benachrichtigen. Widerspricht der Kunde der Geltung der neuen AGB nicht innerhalb einer Frist von vier Wochen nach der Benachrichtigung, gelten die geänderten AGB als vom Kunden angenommen. Der Anbieter wird den Kunden in der Benachrichtigung auf sein Widerspruchsrecht und die Bedeutung der Widerspruchsfrist hinweisen. Widerspricht der Kunde den Änderungen innerhalb der vorgenannten Frist, so besteht das Vertragsverhältnis zu den ursprünglichen Bedingungen fort.
9.2 Der Anbieter behält sich darüber hinaus vor, diese AGB zu ändern,
soweit er hierzu aufgrund einer Änderung der Rechtslage verpflichtet ist;
soweit er damit einem gegen sich gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt;
soweit er zusätzliche, gänzlich neue Dienstleistungen, Dienste oder Dienstelemente einführt, die einer Leistungsbeschreibung in den AGB bedürfen, es sei denn, dass bisherige Nutzungsverhältnis wird dadurch nachteilig verändert;
wenn die Änderung lediglich vorteilhaft für den Kunde ist; oder
wenn die Änderung rein technisch oder prozessual bedingt ist, es sei denn, sie hat wesentliche Auswirkungen für den Kunden.
9.3 Das Kündigungsrecht des Kunden gemäß Ziffer 7 bleibt hiervon unberührt.
10) Anwendbares Recht, Gerichtsstand
10.1 Für sämtliche Rechtsbeziehungen der Parteien gilt das Recht der Bundesrepublik Deutschland.
10.2 Handelt der Kunde als Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen mit Sitz im Hoheitsgebiet der Bundesrepublik Deutschland, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag der Geschäftssitz des Anbieters. Hat der Kunde seinen Sitz außerhalb des Hoheitsgebiets der Bundesrepublik Deutschland, so ist der Geschäftssitz des Anbieters ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag. Der Anbieter ist in den vorstehenden Fällen jedoch in jedem Fall berechtigt, das Gericht am Sitz des Kunden anzurufen.
11) Datenschutz-Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO
Zwischen
dem Kunden - nachstehend Auftraggeber genannt -
und
dem Anbieter - nachstehend Auftragnehmer genannt -
gilt folgende Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO.
1. Gegenstand und Dauer des Auftrags
1.1 Der Gegenstand des Auftrags zur Verarbeitung personenbezogener Daten ist basierend auf dem geschlossenen vertrag zwischen den Parteien die Durchführung folgender Aufgaben durch den Auftragnehmer: Bereitstellung maßgeschneideter KI-basierten Chat-Bot-Lösung als Software as a Service Monatliche Optimierung und Wartung der KI-basierten Chat-Bot-Lösung
1.2 Dauer der Datenverarbeitung: Die Dauer der Verarbeitung der personenbezogenen Daten ergibt sich aus dem abgeschlossenen Hauptvertrag.
1.3 Der Vertrag gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet (einschließlich Backups).
1.4 Im Fall eines Widerspruchs zwischen dieser Datenschutz-Vereinbarung und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, hat diese Vereinbarung Vorrang.
2. Konkretisierung des Auftragsinhalts
2.1 Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber lassen sich folgendermaßen beschreiben: Die personenbezogenen Daten werden erhoben, ausgelesen und verarbeitet, damit der Auftraggeber KI-basierter Chat-Bot auf der Website des Kunden bereitgestellt, betrieben und optimiert bzw. gewartet werden kann. Näheres kann dem abgeschlossenen Hauptvertrag entnommen werden.
2.2 Die Arten der verwendeten personenbezogenen Daten sind folgende:
Name und Bestelldaten des Nutzers
Vom Auftraggeber bereitgestellte Trainingsdaten
Chatverläufe des Nutzers
Kommunikationsdaten (z.B. IP-Adresse des Nutzers) zur Bereitstellung der Software
Sonstige Geräteinformationsdaten des Nutzers
2.3 Die Kategorien der durch die Verarbeitung betroffenen Personen sind ausschließlich Besucher der Website sowie Kunden des Auftraggebers.
3. Technische und organisatorische Maßnahmen
3.1 Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung (Anlage 1). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage der Vereinbarung.
3.2 Soweit eine Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3.3 Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber in Kenntnis zu setzten.
4. Rechte von betroffenen Personen
4.1 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von betroffenen Personen erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt. 4.2 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß der Nr. 4.1 und 4.2 befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat (zusätzlich zu den Pflichten nach dieser Vereinbarung) eigene gesetzliche Pflichten gemäß der DSGVO. Die Vereinbarung entbindet den Auftraggeber nicht davon. Zu den gesetzlichen Pflichten zählen insbesondere, aber nicht nur:
5.1. Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und Art. 39 DSGVO ausübt.
5.2. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 Buchst. b, Art. 29, Art. 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
5.3. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
5.4. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
5.5. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
5.6. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
5.7. Die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Nr. 8 dieser Vereinbarung.
5.8. Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Art. 33, 34 DSGVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.
5.9. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
5.10. Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
6. Unterauftragsverhältnisse
6.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.2 Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
Der Auftraggeber stimmt der Beauftragung der in Anhang 2 bezeichneten Unterauftragnehmer zu.
Die Auslagerung auf Unterauftragnehmer und der Wechsel von bestehenden Unterauftragnehmern sind nur zulässig, soweit:
a) der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab (mindestens 14 Tage) schriftlich oder in Textform anzeigt und
b) der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
c) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO sowie die Vorgaben dieser Vereinbarung zugrunde gelegt werden.
6.3 Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend dieser Vereinbarung und gemäß der Datenschutz-Grundverordnung unterliegt.
6.4 Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
6.5 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
7. Internationale Datenübermittlungen
7.1 Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Datenschutz-Grundverordnung im Einklang stehen.
7.2 Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Nr. 6 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Datenschutz-Grundverordnung beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Datenschutz-Grundverordnung sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Datenschutz-Grundverordnung erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
8. Kontrollrechte des Auftraggebers
8.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
8.2 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
8.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
9. Weisungsbefugnis des Auftraggebers
9.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
9.2 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Datenschutz-Grundverordnung oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
10. Löschung und Rückgabe von personenbezogenen Daten
10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
10.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – löscht der Auftragsverarbeiter, innerhalb von maximal 60 Tagen, nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personen- bezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers Anlage 2: Genehmigte Unterauftragsverhältnisse
Anlage 1: Technische und organisatorische Maßnahmen des Auftragnehmers
nach Art. 32 DSGVO (zu Nr. 3 der Datenschutz-Vereinbarung)
Konkrete Beschreibung der technisch-organisatorischen Maßnahmen des Auftragnehmers unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten betroffener Personen (eine allgemeine Beschreibung ist nicht ausreichend):
1. Pseudonymisierung
Die Pseudonymisierung ist wie folgt umgesetzt:
☒ Verwendung von (Personal-, Kunden-) Kennziffern statt Namen
☒ Verwaltung und Dokumentation von differenzierten Berechtigungen auf die Zusatzinformationen zur Identifikation
☒ Autorisierungsprozess oder Genehmigungsroutinen für Berechtigungen zur Verarbeitung von Zusatzinformationen zur Identifikation
2. Maßnahmen zur Verschlüsselung
☒ Verschlüsselung von mobilen Endgeräten wie Laptops, Tablets, Smartphones ☒ Verschlüsselung von mobilen Speichermedien (CD / DVD- ROM, USB-Stick, externe Festplatten)
☒ Verschlüsselung von Dateien
☒ Verschlüsselung von Systemen / Anlagen
☒ Verschlüsselte Aufbewahrung von Passwörtern
☒ Verschlüsselung von Email bzw. Email-Anhängen
☒ Gesicherte Datenweitergabe (z.B. SSL, FTPS, TLS)
☒ Gesichertes WLAN
3. Maßnahmen zur Sicherstellung von Vertraulichkeit
a. Maßnahmen, durch die Unbefugten der Zutritt verwehrt wird:
☒ Zutrittskontrollsystem inkl. physischem Schließsystem
b. Maßnahmen, die verhindern, dass Unbefugte die Verarbeitungssysteme nutzen können:
☒ Persönlicher und individueller User-Log-In bei der Anmeldung am System bzw. am Unternehmensnetzwerk
☒ Autorisierungsprozess für Zugangsberechtigungen
☒ Begrenzung der befugten Benutzer
☒ Zwei-Faktor-Authentifizierung
☒ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
☒ Protokollierung des Zugangs
☒ Firewall
c. Maßnahmen, die gewährleisten, dass nur berechtigte Personen auf die Verarbeitungssysteme zugreifen und personenbezogene Daten nicht unbefugt lesen, kopieren, verändern oder entfernen können:
☒ Verwaltung und Dokumentation von differenzierten Berechtigungen
☒ Auswertungen / Protokollierungen von Datenverarbeitungen
☒ Genehmigungsroutinen
☒ Profile / Rollen
☒ Verschlüsselung von CD / DVD- ROM, externen Festplatten und / oder Laptops (etwa per Betriebssystem, Safe Guard Easy, PGP)
d. Maßnahmen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
☒ Speicherung der Datensätze in logisch getrennten Datenbanken
☒ Mandantenfähigkeit von IT-Systemen
☒ Verwendung von Testdaten
☒ Trennung von Entwicklungs- und Produktionsumgebung
4. Maßnahmen zur Sicherstellung von Integrität
☒ Zugriffsrechte
☒ Systemseitige Protokollierungen
☒ Protokollierung von Datenübertragung oder Datentransport
☒ Protokollierung von lesenden Zugriffen
☒ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
5. Maßnahmen zur Sicherstellung und Wiederherstellung von Verfügbarkeit
☒ Bedarfsgerechtes Einspielen von Sicherheits-Updates
☒ Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
☒ Klimatisierter Serverraum
☒ Virenschutz
☒ Firewall
☒ Notfallplan
6. Maßnahmen zur Sicherstellung der Belastbarkeit
☒ Ausreichende Kapazität von IT-Systeme und Anlagen
☒ Resilienz und Fehler-Management 7. Weisungskontrolle / Auftragskontrolle
☒ Vertrag zur Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragsverarbeiters und Verantwortlichen.
☒ Prozess zur Erteilung und / oder Befolgung von Weisungen
☒ Bestimmung von Ansprechpartnern und / oder verantwortlichen Mitarbeitern
☒ Kontrolle / Überprüfung weisungsgebundener Auftragsdurchführung
☒ Schulungen / Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragsverarbeiter
☒ Verpflichtung der Mitarbeiter zur Vertraulichkeit
☒ Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-GVO
Anlage 2: Genehmigte Unterauftragsverhältnisse
Unterauftragsverarbeiter und Beschreibung der Datenverarbeitung:
Contabo GmbH, mit Sitz in der Aschauer Straße 32a, 81549 München, Deutschland:
Dieses Unternehmen stellt Cloud-Computing-Dienste für das Backend-Hosting bereit.TIXAE LLC, ansässig unter der Adresse 5220 S University Dr, Davie, FL 33328, USA:
TIXAE ist verantwortlich für Cloud-Computing im Bereich Dashboard und Datenanalyse. Zudem werden dort Chatverläufe gespeichert.OpenAI Inc., mit Sitz in der 3180 18th St, San Francisco, USA:
OpenAI stellt das Sprachmodell bereit und übernimmt Cloud-Computing-Leistungen zur Verarbeitung von Texteingaben und ggf. Spracheingaben.