Terms & Conditions (German)

Anchorpoint Software GmbH
Allgemeine Geschäftsbedingungen (“AGB“)

SaaS Agreement

1.Geltungsbereich

1.1 Diese AGB gelten für sämtliche Verträge (jeweils ein „Vertrag“) über Softwarelösungen zur Unterstützung von Geschäftsprozessen zur Nutzung über das Internet als Applikation („SaaS-Lösung”) der Anchorpoint Software GmbH, Florinsmarkt 14 56068 Koblenz  (“Anchorpoint”).
1.2 Kunden von Anchorpoint können ausschließlich Unternehmen sein, d.h. natürliche oder juristische Personen, die im Zusammenhang mit ihrer geschäftlichen oder selbständigen Tätigkeit handeln (jeweils ein „Kunde“; Anchorpoint und Kunden sind jeweils eine „Partei“ und gemeinsam die „Parteien“).
1.3 Anchorpoint erkennt abweichende Geschäftsbedingungen oder andere Vertragsbedingungen des Kunden nicht an, es sei denn, Anchorpoint hat ihrer Geltung zuvor ausdrücklich schriftlich zugestimmt. Anchorpoint widerspricht bereits jetzt ausdrücklich der Geltung von Geschäftsbedingungen des Kunden.

2.Vertragsschluss

2.1 Die Anchorpoint erstellt auf Anfrage des Kunden ein unverbindliches Angebot(„Angebot“) über die vom Kunden gewünschte Nutzung der SaaS-Lösung. Ein Angebot gilt erst als vereinbart im Sinne eines Vertragsschlusses, wenn es durch einen bevollmächtigten Vertreter der jeweiligen Vertragspartei unterzeichnet wurde.
2.2 Der Vertragsbeginn wird in dem Angebot durch die Parteien festgelegt(„Vertragsbeginn“). Ist kein konkretes Datum als Vertragsbeginn festgelegt,beginnt der Vertrag mit Datum der letzten Unterschrift eines bevollmächtigten Vertreters im Rahmen des Vertragsschlusses.

3.Vertragsgegenstand

3.1 Der konkrete Funktionsumfang der SaaS-Lösung sowie die Anforderungen an die Hardware- und Softwareumgebung, die auf Kundenseite erfüllt sein müssen,ergeben sich aus dem jeweiligen Angebot und der Dokumentation, die Anchorpoint Kunden zusammen mit der SaaS-Lösung zugänglich macht oder zur Verfügung stellt(„Anwenderdokumentation“).
3.2 Als Bestandteil der SaaS-Lösung wird Speicherplatz auf zentralen Servern durch Anchorpoint zur Verfügung gestellt, auf den die für den Kunden mit der SaaS-Lösung erzeugten und verarbeiteten Daten und Informationen sowie vom Kunden hochgeladene Informationen (z.B. Metainformationen) für dieDauer des Vertragsverhältnisses gespeichert werden.
3.3 Leistungsübergabepunkt ist der Anchorpoint Router-Ausgang zum Internet. Auf Kundenseite muss der Kunde selbst Sorge tragen für die Anbindung an das Internet, das Bereitstellen oder das Aufrechterhalten der Netzverbindung zum Leistungsübergabepunkt sowie das Beschaffen und Bereitstellen von Netzzugangskomponenten für das Internet.
3.4 Der Zugang des Kunden zur SaaS-Lösung erfolgt gesichert über das Internet. Anchorpointstellt dem Kunden nach Vertragsschluss Zugangsdaten für den Zugang zu seinem Konto („Kundenkonto“) in der SaaS-Lösung und zur Nutzung der SaaS-Lösung zur Verfügung. Der Kunde ist verpflichtet, seine Zugangsdaten inkl. Passwort geheim zu halten und vor Missbrauch durch Dritte zu schützen. In diesem Zusammenhang weist Anchorpoint darauf hin, dass Mitarbeiter von Anchorpoint nicht berechtigt sind, telefonisch oder schriftlich Passwörter oder Zugangsdaten abzufragen. Der Kunde wird das von Anchorpoint für den erstmaligen Log-in zur Verfügung gestellte Passwort ändern. Bei der Wahl des Passwortes sollten die allgemein bekannten Regeln beachtet werden (Länge, Komplexität des Passwortes). Der Kunde hat Anchorpoint bei Verlust der Zugangsdaten inkl. des Passwortes oder bei Verdacht der missbräuchlichen Nutzung dieser Daten unverzüglich zu unterrichten. Im Übrigen ist Anchorpoint berechtigt, bei Missbrauch den Zugang zum Kundenkonto zur SaaS-Lösung zu sperren. Der Kunde haftet bei von ihm zu vertretendem Missbrauch.

4. Servicelevel Regelungen

4.1 Für die SaaS-Lösung gelten die folgenden Servicelevel:
• Betriebszeit: 12 Stunden pro Tag an fünf (5) Tagen der Woche („Betriebszeiten“);
• Wartungszeiten: Wartungsarbeiten, die vorab geplant durchgeführt werden und die eine Unterbrechung des der Verfügbarkeit der SaaS-Lösung erfordern, führt Anchorpoint,soweit dies technisch möglich ist, an Werktagen zwischen 20:00 und 08:30 Uhrdurch („Geplante Wartungsarbeiten“);
• Verfügbarkeit während der Betriebszeiten: 99% im Mittel eines Kalendermonats(„Verfügbarkeit“), wobei Geplante Wartungsarbeiten und Ausfallzeiten, die außerhalb der Kontrolle von Anchorpoint liegen, von der Berechnung der Verfügbarkeit ausgenommen sind.
4.2 Soweit aus dringenden, unaufschiebbaren technischen Gründen ausnahmsweise Wartungsarbeiten während der Betriebszeiten erforderlich werden, die keine Geplanten Wartungsarbeiten darstellen, mit der Folge, dass die SaaS-Lösung in dieser Zeit nicht zur Verfügung steht, wird Anchorpoint den Kunden nach Möglichkeit rechtzeitig mittels E-Mail an die vom Kunden genannte Adresse informieren.
4.3 Anchorpoint führt die Analyse und Behebung dokumentierter, reproduzierbarer Fehler der SaaS-Lösung (nachfolgend „Supportleistungen”) gemäß anerkannten Industriestandards durch. Anchorpoint übernimmt keine Garantie für den Erfolgbei der Beseitigung von Fehlern. „Fehler” im Sinne dieser AGB ist jede vom Kunden gemeldete Störung, die zur Folge hat, dass die Beschaffenheit und Funktionsfähigkeit der SaaS-Lösung von Angebot und Anwenderdokumentation abweicht und
• sich dies auf deren Gebrauchstauglichkeit mehr als unwesentlich auswirkt,oder
• Korruption von Daten oder Verlust von Daten eintritt, die mit der SaaS-Lösungbearbeitet oder von ihr erzeugt werden.
Falls eine aufgetretene Störung nicht reproduziert werden kann, gilt diese nicht als Fehler. Die Parteien werden in diesem Fall das weitere Vorgehen gemeinsam abstimmen.
4.4 Der Kunde muss auftretende Fehler unverzüglich mit genauer Beschreibung des Problems melden. Die Meldung kann zunächst mündlich erfolgen, ist jedoch spätestens am nächsten Werktag in Textform (E-Mail) zu wiederholen. Anchorpointist zur Entgegennahme von Fehlermeldungen per E-Mail montags – freitags von 09:00 Uhr bis 17:00 Uhr unter der folgenden E-Mail Adresse erreichbar: support@anchorpoint.app
4.5 Die Art und Dauer der Prüfung und Bearbeitung von Fehlern ist abhängig von der Fehlerklasse und den entsprechenden Reaktionszeiten:
4.5.1 Fehlerklassen
• Fehlerklasse 1: Ein produktiver Einsatz der SaaS-Lösung ist nicht oder nur erheblich eingeschränkt möglich oder wesentliche Leistungsmerkmale werden verfehlt.
• Fehlerklasse 2: Die Kernfunktionalität ist gewährleistet, es liegt jedoch ein wesentlicher Fehler in einem Teilmodul vor, der das Arbeiten mit diesem Modul verhindert oder erheblich einschränkt.
• Fehlerklasse 3: Alle übrigen Fehler
4.5.2 Die Reaktionszeiten hängen von den zwischen Anchorpoint und dem Kunden vereinbarten Support Leistungen ab:
Standard Support
• Fehlerklasse 1: Bis zum nächsten Werktag
• Fehlerklasse 2: Nach Ermessen von Anchorpoint
• Fehlerklasse 3: Nach Ermessen von Anchorpoint
Enterprise Support
• Fehlerklasse 1: Eine (1) Stunde
• Fehlerklasse 2: Zwei (2) Werktage
• Fehlerklasse 3: Fünf (5) Werktage
Innerhalb der Reaktionszeiten legt Anchorpoint einen Vorschlag für die Behebung des Fehlers vor. Der Vorschlag umfasst Folgendes:
• Durchführung einer Fehleranalyse und Darstellung der Ergebnisse der durchgeführten Analyse;
• Darstellung der Auswirkungen des Fehlers auf andere Funktionalitäten(Kritikalität);
• Vorschlag einer Vorgehensweise, um den Fehler zu beheben.
4.6 Anchorpoint ist nicht verpflichtet, Supportleistungen zu erbringen:
• bei Fehlern, die auf unzulässigen Änderungen oder Anpassungen der SaaS-Lösungdurch den Kunden oder im Auftrag des Kunden beruhen;
• für andere Software als die SaaS-Lösung (insbesondere Fremdsoftware, die auf Kundensystemen eingesetzt wird);
• bei Fehlern, die auf unsachgemäßer oder nicht autorisierter Nutzung der SaaS-Lösung oder auf Bedienungsfehlern des Kunden beruhen, sofern die Bedienung nicht in Übereinstimmung mit der Anwenderdokumentation vorgenommen wird;
• bei jeglichen Hardwaredefekten;
• bei Nutzung der SaaS-Lösung durch den Kunden auf anderen als den in der Anwenderdokumentation angegebenen zulässigen Hardware- und Betriebssystemumgebungen;oder
• in Form von Vor-Ort-Einsätzen von Mitarbeitern von Anchorpoint.
4.7 Die Rechte des Kunden bei Nicht-Verfügbarkeit sind ausschließlich in dieser Ziffer 4 geregelt. Weitergehende Rechte sindausgeschlossen. Hiervon unberührt ist das Recht des Kunden auf Kündigung undSchadensersatz nach Maßgabe dieser AGB.

5.Backups und Datenspeicherung

Der Kunde ist verpflichtet, Kundeninhalte ausreichend zu sichern. Anchorpointführt zudem tägliche Backups des Services und der Daten des Kunden durch.Backups werden bis zu zwölf (12) Monate gespeichert. Nach Kündigung (ordentlich oder außerordentlich) des Vertrags durch eine Partei werden die über die SaaS-Lösung verarbeiteten Daten des Kunden weitere drei (3) Monate gespeichert,bevor sie endgültig durch Anchorpoint vorbehaltlich etwaiger gesetzlicher Aufbewahrungsfristen von Anchorpoint gelöscht werden.

6.Nutzungsrechte SaaS-Lösung und Kundeninhalte

6.1 Anchorpoint gewährt dem Kunden, vorbehaltlich der Bestimmungen dieses Vertrages, das einfache, weltweite, entgeltliche ausschließlich an die gemäß Angebot vereinbarte Anzahl an Nutzer des Kundenkontos unter lizenzierbare Recht,die SaaS-Lösung während der Laufzeit des Vertrages für interne vertragsgemäße Zwecke zu nutzen. Der Kunde darf die SaaS-Lösung nur im Rahmen der im Angebot vereinbarten Kapazität nutzen.
6.2 Vorbehaltlich der nach diesen AGB eingeräumten Rechte, behält sich Anchorpoint alle Rechte und Rechtsansprüche an der SaaS-Lösung, darauf basierten Entwicklungen oder Programmierungen sowie dem damit verbundenen geistigen Eigentum und Know-how vor. Der Kunde erkennt an, dass er keine weiteren Rechte als die ausdrücklich nach diesen AGB gewährten Rechte erhält und erwirbt.
6.3 Der Kunde gewährt Anchorpoint hiermit das nicht ausschließliche Recht, (a)Kundeninhalte in dem Umfang, in dem sie für die Erbringung der Services an den Kunden gemäß dieses Vertrags notwendig sind, zu kopieren, zu nutzen, zu ändern,zu verteilen, anzuzeigen und offen zulegen, (b) Kundeninhalte in Verbindung mit internen Abläufen und Funktionen zu kopieren, zu ändern und zu nutzen,einschließlich, aber nicht beschränkt auf, zum Zwecke operativer Analyse und Reporting, interner Finanzberichterstattung und -analysen, Auditfunktionen und Archivierung und (c) aggregierte und anonymisierte Kundeninhalte für Zwecke des Marketing oder der Produktoptimierung zu nutzen, wobei die aggregierten Daten keine Informationen enthalten, die den Kunden oder Nutzer, Marken oder Nutzerals die Quelle dieser Daten identifizieren oder identifizierbar machen.

7. Testversion

Sofern Anchorpoint und der Kunde die Zurverfügungstellung einer Version der SaaS-Lösung zu Testzwecken vereinbart haben „Testversion“), gelten diese AGB entsprechend im auf die Testversion anwendbaren Umfang. Der konkrete Leistungsumfang für die Testversion ergibt sich aus dem entsprechenden Angebot.

8. Mitwirkungspflichten

Die für die Durchführung der vertrags gegenständlichen Leistungen durch Anchorpoint erforderlichen Mitwirkungsleistungen des Kunden sind vollständig und rechtzeitig zu erbringen. Vorbehaltlich weiterer Spezifikationen im Angebot für den Kunden und der Anwenderdokumentation umfassen die Mitwirkungspflichten des Kunden insbesondere Folgendes:
• bei der Nutzung der SaaS-Lösung sind alle anwendbaren Gesetze und sonstigen Rechtsvorschriften zu beachten. Der Kunde darf keine Daten oder Inhalte auf Server von Anchorpoint übertragen, die gegen Rechtsvorschriften verstoßen oder fremde Schutz- oder Urheberrechte oder sonstige Rechte Dritter verletzen;
• bei einer Fehlermeldung ist Anchorpoint unverzüglich alle Dokumentationen,Protokolle und andere für die Fehlerbehebung relevanten Informationen vom Kunden zur Verfügung zu stellen;
• der Kunde ist verpflichtet, regelmäßig an den von Anchorpoint angebotenen Produktschulungen teilzunehmen oder sich auf andere Weise das notwendige Wissen zur Nutzung der SaaS-Lösung anzueignen;
• der Kunde darf nur solche Daten über die Saas-Lösung übermitteln, die frei von Computerviren oder anderem schädlichen Code / anderen schädlichen Technologien sind;
• der Kunde darf weder Software noch andere Techniken oder Verfahren im Zusammenhang mit der Nutzung der SaaS-Lösung verwenden, die geeignet sind, den Betrieb, die Sicherheit und die Verfügbarkeit der Saas-Lösung zu beeinträchtigen.

9.Anpassung der Vergütung

Anchorpoint ist berechtigt, die vom Kunden für die Nutzung der Saas-Lösung zuzahlende Vergütung während der Laufzeit des Vertrages anzupassen. Eine solche Preisänderung ist jedoch nur einmal im Jahr zulässig. Preiserhöhungen sind spätestens sechs (6) Wochen vor ihrem Wirksam werden per E-Mail von Anchorpoint an die vom Kunden genannte E-Mail Adresse anzukündigen(„Preiserhöhungsankündigung“). Für den Fall, dass die Preiserhöhung mehr als 10% der bisherigen Vergütung ausmacht hat der Kunde ein Sonderkündigungsrecht,das er mit einer Frist von einem (1) Monat zum Ende des Kalendermonats nach Zugang der Preiserhöhungsankündigung schriftlich ausüben kann.

10. Sperrung von Daten

Macht ein Dritter Anchorpoint gegenüber eine Rechtsverletzung durch Daten oder Inhalte geltend, die vom Kunden auf die von Anchorpoint bereitgestellten Datenspeicher übermittelt wurden („Gemeldete Inhalte“), ist Anchorpoint berechtigt, die entsprechenden Gemeldeten Inhalte vorläufig zu sperren, wenn der Dritte die Rechtsverletzung schlüssig dargetan hat. Anchorpoint wird den Kunden in diesem Falle auffordern, innerhalb einer angemessenen Frist die Rechtsverletzung einzustellen oder die Rechtmäßigkeit der Gemeldeten Inhalte nachzuweisen. Wird dieser Aufforderung nicht oder nicht genügend nachgekommen,ist Anchorpoint unbeschadet weiterer Rechte und Ansprüche berechtigt, den Vertrag aus wichtigem Grund ohne Einhaltung einer Frist zu kündigen. Soweit die Rechtsverletzung vom Kunden zu vertreten ist, ist er auch zum Ersatz des darausentstehenden Schadens verpflichtet und hat Anchorpoint insoweit von etwaigen Ansprüchen Dritter auf erstes Anfordern freizustellen. Weitergehende Rechte bleiben vorbehalten.

11. Leistungsänderungen

Anchorpoint ist jederzeit berechtigt, die SaaS-Lösung teilweise oder insgesamt weiterzuentwickeln, zu ändern oder zu ergänzen. Anchorpoint wird vertragsrelevante, erhebliche Änderungen spätestens sechs (6) Wochen vor ihrem Wirksamwerden per E-Mail an die vom Kunden genannte E-Mail Adresse ankündigen(„Leistungsänderungsmitteilung“). Der Kunde kann den Änderungen mit einer Frist von einem (1) Monat ab Zugang der Leistungsänderungsmitteilung schriftlich oder per E-Mail widersprechen. Unwidersprochen werden die Änderungen Bestandteil des Vertrages zwischen Anchorpoint und dem Kunden. In der Leistungsänderungsmitteilung wird auf die Folgen des Widerspruchs hingewiesen.Im Falle des fristgerechten Widerspruchs ist Anchorpoint berechtigt, den Vertrag mit einer Frist von einem (1) Monat zum Ende des Kalendermonats schriftlich zu kündigen.

12. Schutzrechte Dritter

12.1 Werden durch die vertragsgemäße Nutzung der SaaS-Lösung gewerbliche Schutzrechte und Urheberrechte Dritter durch Anchorpoint verletzt und erheben Dritte wegen solcher Rechtsverletzung Ansprüche gegen den Kunden, so wird Anchorpoint nach Wahl auf eigene Kosten entweder
• die für die SaaS-Lösung erforderlichen Nutzungsrechte verschaffen; oder
• die SaaS-Lösung so umarbeiten, dass sie nicht mehr gegen Rechte Dritter verstößt und mindestens die vertraglich mit dem Kunden vereinbarten Eigenschaften aufweist.
12.2 Anchorpoint verteidigt den Kunden gegen oder stellt ihn nach eigener Wahl im Rahmen der Haftungsbeschränkungen aus Ziffer 13 frei von Schäden, die sich unmittelbar aus einer Geltendmachung von entsprechenden Ansprüchen aus Rechtsverletzungen Dritter ergeben und gegen den Kunden gerichtlich geltend gemacht werden, soweit diese Ansprüche des Dritten nicht auf Folgendem beruhen:
• Änderungen der SaaS-Lösung durch den Kunden, die von Anchorpoint nicht im Rahmen dieses Vertrages oder in sonstiger Weise genehmigt wurden; oder
• Nutzung der SaaS-Lösung in anderer Weise als gemäß der Zweckbestimmung dieses Vertrages vereinbart; oder
• Nutzung der SaaS-Lösung auf von Anchorpoint nicht freigegebener Hardware oder Betriebssystemumgebungen.
Die Ersatzpflicht ist ausgeschlossen, wenn Anchorpoint nachweist, dass der Kunde die Verletzung von Rechten Dritter selbst zu vertreten hat.
12.3 Der Kunde ist verpflichtet, Anchorpoint unverzüglich zu unterrichten,falls Dritte Schutzrechtsverletzungen im Zusammenhang mit der SaaS-Lösung gegen ihn geltend machen. Der Kunde ist nur berechtigt, Maßnahmen zu ergreifen,insbesondere sich gerichtlich gegen die Ansprüche zu verteidigen oder gesetzliche Ansprüche des Dritten unter Vorbehalt zu befriedigen, sofern Anchorpoint zuvor mitgeteilt hat, dass Anchorpoint den Kunden gegen den Anspruch nicht verteidigen wird.

13. Haftung

Anchorpoint haftet für sämtliche sich im Zusammenhang mit diesem Vertragergebenden Schäden, gleich aus welchem tatsächlichen oder rechtlichen Grund nur nach Maßgabe der folgenden Regelungen:
13.1 Bei Vorsatz und grober Fahrlässigkeit, Ansprüchen nach dem deutschen Produkthaftungsgesetz sowie bei einer Verletzung des Lebens, des Körpers oder der Gesundheit haftet Anchorpoint unbeschränkt nach den gesetzlichen Vorschriften.
13.2 Im Übrigen beschränkt sich die Haftung pro Kalenderjahr auf den bei Vertragsschluss vorhersehbaren Schaden bis zu einem Gesamtbetrag für alle Schadensfälle pro Kalenderjahr, der 50% der in diesem Kalenderjahr vom Kunden gezahlten Vergütung entspricht. Diese Haftungsbeschränkung gilt auch für den Fall des Datenverlusts und der Datenverschlechterung sowie für datenschutzrechtliche Verstöße von Anchorpoint im Sinne der Auftragsverarbeitungsvereinbarung zwischen den Parteien.

14. Datenschutz

Bei der Zurverfügungstellung der SaaS-Lösung erhält Anchorpoint möglicherweise Zugang zu personenbezogenen Daten, die Anchorpoint als Auftragsverarbeiter für den Kunden auf Basis der mit dem Kunden zu diesem Vertrag geschlossenen Auftragsverarbeitungsvereinbarung („AVV“) verarbeitet.

15. Vertraulichkeit

Es gelten vorrangig die Regelungen der zwischen den Parteien vereinbarten Geheimhaltungsvereinbarung.
Sofern nicht ausdrücklich eine Vereinbarung geschlossen wurde, gilt das Folgende:
15.1 Den Parteien ist bekannt, dass sie während der Laufzeit des Vertrages Zugang zu bestimmten vertraulichen Informationen der anderen Partei oder vertraulichen Informationen von Dritten, zu deren vertraulicher Behandlung die offenlegende Partei verpflichtet ist, haben. Vertrauliche Informationen sind alle schriftlichen, elektronischen oder mündlichen Informationen, die (i) eine Partei der anderen Partei bekanntgegeben hat, (ii) weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile allgemein bekannt oder öffentlich zugänglich sind, (iii) sich auf die Tätigkeit einer Partei oder eines Dritten beziehen, (iv) die angemessenen technischen und organisatorischen Schutzmaßnahmen der offen legenden Partei unterliegen und (v) entweder als vertraulich bezeichnet wurden oder aufgrund der Art der Umstände, unter denen die Bekanntgabe erfolgt, angemessener weise als vertraulich behandelt werden sollten („Vertrauliche Informationen“). Beide Parteien erkennen an, dass die offenlegende Partei bzw. der Dritte Inhaber aller Rechte an Vertraulichen Informationen bleibt.
15.2 Jede Partei verpflichtet sich, (i) die von der anderen Partei offen gelegten Vertraulichen Informationen nur soweit in diesem Vertrag erlaubt und beabsichtigt sind, (ii) die von der anderen Partei erlangten Vertraulichen Informationen strikt vertraulich zu behandeln und unter Umsetzung geeigneter technischer und organisatorischer Maßnahmen vor Kenntnisnahme und Nutzung durch Dritte zu schützen, (iii) den Zugang zu den von der anderen Partei offen gelegten Vertraulichen Informationen auf diejenigen ihrer Mitarbeiter,Vertreter und/oder etwaigen Berater zu beschränken, die von diesen Informationen Kenntnis haben müssen und die schriftlich zur vertraulichen Behandlung dieser Informationen nach Maßgabe dieses Vertrages verpflichtet worden sind, und (iv) alle von der anderen Partei offen gelegten Vertraulichen Informationen, die bei Kündigung oder Auslaufen dieses Vertrages in ihrem Besitz sind, herauszugeben oder zu vernichten. Unbeschadet des Vorstehenden erkennt der Kunde an, dass Anchorpoint anonymisierte statistische Daten über die Nutzung von Anchorpoint durch den Kunden verwenden und diese statistischen Daten an Dritte weitergeben darf. Die vertraglichen Geheimhaltungsverpflichtungen gelten für zwei (2) Jahre nach Beendigung des Vertrages fort.
15.3 Unbeschadet des Vorstehenden finden die Bestimmungen der Ziffern 15.1 und 15.2 der Allgemeinen Geschäftsbedingungen keine Anwendung auf Vertrauliche Informationen, die (i) zum Zeitpunkt ihrer Offenlegung frei zugänglich bzw.allgemein bekannt sind, (ii) ohne Verschulden des Empfängers frei zugänglich bzw. allgemein bekannt werden, (iii) dem Empfänger rechtmäßig von Personen übermittelt wurden, die in dieser Hinsicht nicht an Geheimhaltungsverpflichtungen gebunden waren, (iv) sich zum Zeitpunkt der Offenlegung bereits im Besitz des Empfängers befinden, ohne dass daran Geheimhaltungsverpflichtungen geknüpft sind, (v) vom Empfänger eigenständig entwickelt wurden, oder (vi) von der offen legenden Partei ohne Einschränkung zur Freigabe oder Weitergabe zugelassen sind. Unbeschadet des Vorstehenden darf jede Partei Vertrauliche Informationen in dem erforderlichen Umfang weitergeben, (i) um eine gerichtliche oder behördliche Anordnung zu befolgen oder anderweitig die Anforderungen zwingender gesetzlicher Vorschriften zu erfüllen, wobei die Partei, welche die Vertraulichen Informationen gemäß der Verfügung offen legt, die andere Partei zuvor schriftlich zu informieren sowie angemessene Anstrengungen zu unternehmen hat, um eine Schutzanordnung zu erwirken, oder (ii) um die Rechte einer Partei nach diesem Vertrag durch ein Gericht feststellen zu lassen; dies schließt hierfür erforderliche Anträge ein.

16. Vertragslaufzeit und Kündigung

16.1 Der Vertrag tritt zum Vertragsbeginn in Kraft und läuft, sofern keine anderweitigen Vereinbarungen auf Basis des Angebots getroffen wurden, für zwölf(12) Monate („Mindestlaufzeit“), sofern er nicht nach Maßgabe dieser Ziffer 16 gekündigt wird. Der Vertrag verlängert sich automatisch um jeweils ein Jahr,sofern er nicht von einer Partei mit einer Frist von einem (1) Monat vor Ablauf des aktuellen Verlängerungszeitraums schriftlich gekündigt wird (die Mindestlaufzeit und etwaige Verlängerungszeiträume werden zusammen als„Laufzeit“ bezeichnet).
16.2 Im Falle der Kündigung eines Vertrags mit gemäß Angebot vereinbarter Kündigungsfrist oder Mindestlaufzeit hat der Kunde bis zum Ende der vertraglichen Laufzeit weiterhin Anspruch auf die vertraglich vereinbarten Leistungen.
16.3 Jede Kündigung hat in Textform (Brief, Telefax, E-Mail) zu erfolgen. Eine Nichtnutzung der SaaS-Lösung gilt nicht als Kündigung. Ohne frist- und formgerecht eingehende Kündigung verlängert sich die Vertragsdauer automatisch.

17. Beendigung, Folgen der Beendigung

17.1 Das Recht beider Parteien zur Kündigung aus wichtigem Grund bleibt unberührt. Anchorpoint ist insbesondere berechtigt, diesen Vertrag ohne Einhaltung einer Frist außerordentlich zu kündigen, wenn
• der Kunde mit der Bezahlung eines Betrags für einen Zeitraum von mehr als zwei (2) Monaten in Verzug ist, der mindestens dem vereinbarten Entgelt für die Nutzung für den Zeitraum von zwei (2) Monaten entspricht;
• über das Vermögen des Kunden das Insolvenzverfahren oder ein anderes derSchuldenregulierung dienendes gerichtliches oder außergerichtliches Verfahren eingeleitet ist oder wird;
• das Benutzerkonto des Dritten übertragen oder die Zugangsdaten zur SaaS-Lösung jeweils ohne vorherige Zustimmung von Anchorpoint Dritten zugänglich gemacht wurden;
• der Kunde seine Verpflichtungen aus diesem Vertrag im Übrigen verletzt hat und trotz Fristsetzung die Vertragsverletzung nicht einstellt oder Maßnahmen nachweist, die geeignet sind die Wiederholung der Vertragsverletzung künftig auszuschließen.
17.2 Im Falle der Beendigung des Vertragsverhältnisses, gleich aus welchem Rechtsgrund, sind die Parteien verpflichtet, das Vertragsverhältnis ordnungsgemäß abzuwickeln. Hierzu wird Anchorpoint in Übereinstimmung mit der AVV
• die im Rahmen des Vertrages bei Anchorpoint gespeicherten Daten spätestens vier (4) Wochen nach der Beendigung des Vertrages nach Wahl des Kunden entweder im Wege der Datenfernübertragung oder auf Datenträger an den Kunden oder einen von ihm benannten Dritten übergeben;
• die Daten nach Bestätigung der erfolgreichen Datenübernahme durch den Kunden oder einen designierten Dritten unverzüglich löschen und sämtliche angefertigten Kopien vernichten.
17.3 Über die Ziffer 17.2 hinausgehende Unterstützungsleistungen für die Migration der Daten kann Anchorpoint aufgrund gesonderter Beauftragung erbringen. Solche weitergehenden Unterstützungsleistungen werden gemäß der jeweils gültigen Preisliste von Anchorpoint vergütet.

18. Zahlungsbedingungen

18.1 Der Kunde ist verpflichtet, Anchorpoint die in dem Angebot vereinbarten Gebühren in Euro oder ggf. einer abweichenden in dem Angebot aufgeführten Währung im Voraus in den im Angebot vereinbarten Intervallen (sofern nichts vereinbart wurde: jährlich) gemäß Ziffer 18.2 zu bezahlen.
18.2 Die Abrechnung der nach diesem Vertrag fälligen Gebühren erfolgt während der Vertragslaufzeit in den im Auftrag vereinbarten Intervallen (sofern nichts vereinbart wurde: jährlich), jeweils im Voraus für das Folgejahr, erstmals mit Rechnungsdatum des ersten Tags der Vertragslaufzeit. Der Kunde akzeptiert eine elektronische Rechnung.
18.3 Jeder Rechnungsbetrag ist fünfzehn (15) Tage nach dem Zugang der Rechnung beim Kunden fällig.
18.4 Alle Entgelte verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer und zuzüglich jeder sonstigen anwendbaren Steuer, für deren Zahlung allein der Kunde verantwortlich ist.
18.5 Der Kunde gerät in Zahlungsverzug, wenn er den Rechnungsbetrag nicht innerhalb von dreißig (30) Tagen nach Rechnungsstellung bezahlt. Die Verzugszinsen betragen 9%-Punkte über dem Basiszinssatz pro Jahr ab Fälligkeit.
18.6 Wenn der Kunde eine Rechnung oder einen anderen gemäß diesem Vertrag fälligen Betrag beanstandet, wird er dies Anchorpoint innerhalb von dreißig(30) Tagen nach Erhalt der Rechnung oder nach dem Datum der Fälligkeit unter genauer Angabe der Gründe für die Beanstandung schriftlich mitteilen(„Beanstandete Rechnung“). Bis auf Beanstandete Rechnungen gelten alle Rechnungen oder fälligen Beträge als anerkannt und sind ohne Abzug zahlbar. Anchorpoint wird die Rechte nach Ziffer 18.4 hinsichtlich von Entgelten, die Gegenstand einer begründeten Beanstandung des Kunden sind, nicht geltend machen.

19. Vertragsübernahme

Anchorpoint ist berechtigt, mit einer Ankündigungsfrist von vier (4) Wochen Rechte und Pflichten aus diesem Vertragsverhältnis ganz oder teilweise aufeinen Dritten zu übertragen. In diesem Fall ist der Kunde berechtigt, den Vertrag innerhalb von zwei (2) Wochen nach Ankündigung der Vertragsübernahme zukündigen.

20. Sonstiges

20.1 Änderungen dieser AGB. Anchorpoint behält sich nach Maßgabe der nachfolgenden Bestimmungen das Recht vor, diese AGB zu ändern, sofern diese Änderung unter Berücksichtigung der Interessen von Anchorpoint für den Kunden zumutbar ist; dies ist insbesondere der Fall, wenn die Änderung für den Kunden ohne wesentliche rechtliche oder wirtschaftliche Nachteile ist, z.B. bei Änderungen von Kontaktinformationen. Im Übrigen wird Anchorpoint Kunden vor einer Änderung dieser Geschäftsbedingungen mit angemessenem Vorlauf, mindestens jedoch einen (1) Monat vor dem beabsichtigten Inkrafttreten der Änderungen an die vom Kunden genannte E-Mail Adresse informieren („AGB Änderungsankündigung“).
Sollte der Kunde mit einer von Anchorpoint beabsichtigten Änderung nichteinverstanden sein, hat er das Recht, der Änderung innerhalb eines (1) Monats ab Zugang der AGB Änderungsankündigung zu widersprechen. Im Falle des fristgerechten Widerspruchs ist Anchorpoint berechtigt, den Vertrag mit einer Frist von einem(1) Monat zum Ende des Kalendermonats zu kündigen.
20.2 Gesamter Vertrag. Dieser Vertrag einschließlich dem Angebot und Anlagensowie Anhängen regelt abschließend sämtliche Vereinbarungen zwischen den Parteien in Bezug auf den Vertragsgegenstand und geht, soweit nicht ausdrücklich anderweitig in diesem Vertrag geregelt, allen früheren mündlichen und schriftlichen Vereinbarungen und Absprachen zwischen den Parteien in Bezug auf seinen Gegenstand vor. Keine der Parteien ist durch andere Bedingungen oder Zusicherungen als die ausdrücklich in diesem Vertrag einschließlich dem Angebot und Anlagen sowie Anhängen zu diesem Vertrag vorgesehenen gebunden.
20.3 Änderungen und Ergänzungen. Sofern nicht anders vereinbart auf Basis dieser AGB, bedürfen Änderungen und Ergänzungen dieses Vertrages der Schriftform im Sinne des § 126 Abs. 2 BGB und sind von bevollmächtigten Vertretern beider Parteien zu unterzeichnen. Dies gilt auch für den Verzicht auf die Schriftform und eine Änderung dieses Schriftformerfordernisses.
20.4 Abtretung. Der Kunde ist ohne die vorherige, ausdrückliche schriftliche Zustimmung von Anchorpoint nicht berechtigt, seine Rechte aus dem Vertrag abzutreten oder seine Pflichten aus diesem Vertrag zu delegieren; bei Fehlen einer solchen Zustimmung ist jede versuchte Abtretung oder Delegierung nichtig und unwirksam.
20.5 Aufrechnung und Zurückbehaltung. Ein Recht zur Aufrechnung oder Zurückbehaltung gegenüber Anchorpoint steht dem Kunden nur bei rechtskräftig festgestellten oder unbestrittenen Gegenforderungen zu.
20.6 Kein Vertrag zugunsten Dritter. Die Parteien erkennen an, dass, soweit nicht ausdrücklich anderweitig in diesem Vertrag vorgesehen, die Bestimmungen des Vertrags ausschließlich zugunsten der Parteien bestehen. Dieser Vertrag überträgt weder ausdrücklich noch konkludent das Recht an Dritte, ob natürliche oder juristische Personen, Bestimmungen des Vertrages durchzusetzen.
20.7 Salvatorische Klausel. Soweit eine einzelne Bestimmung dieses Vertrages aus irgendeinem Grund in einer Rechtsordnung unwirksam oder nicht durchsetzbar ist, wird diese Bestimmung soweit angepasst, dass sie wirksam bzw. durchsetzbar ist. Die Unwirksamkeit oder Nichtdurchsetzbarkeit einer Bestimmung führt nicht dazu, dass diese Bestimmung in anderen Fällen, unter anderen Umständen oder in anderen Rechtordnungen unwirksam oder nicht durchsetzbar wird und berührt nicht die Wirksamkeit der übrigen Bestimmungen des Vertrages.
20.8 Verzichtserklärung. Verzichtserklärungen im Hinblick auf den Vertrag sind nur wirksam und verbindlich, soweit sie schriftlich abgefasst und ordnungsgemäß von der verzichtenden Partei unterzeichnet ist. Jede Verzichtserklärung stellt nur einen Verzicht im Hinblick auf die spezifische darin geregelte Angelegenheit dar und berührt in keiner Weise die Rechte der verzichtenden Partei in anderer Hinsicht oder zu anderen Zeitpunkten. Eine Verzögerung oder Unterlassung durch eine Partei bei Ausübung eines Rechtes gemäß diesem Vertrag gilt nicht als Verzicht auf dieses Recht.
20.9 Gerichtsstand. Erfüllungsort und Gerichtsstand für alle sich aus oder im Zusammenhang mit diesem Vertrag ergebenden Streitigkeiten einschließlich etwaiger deliktischer Ansprüche für Kaufleute, juristischen Personen des öffentlichen Rechts oder öffentlich-rechtlichen Sondervermögen ist Koblenz, Deutschland.
20.10 Maßgebende Sprache. Die deutsche Sprachversion dieses Vertrages ist in jeder Hinsicht maßgebend und rechtlich verbindlich und geht im Falle von Widersprüchen vor.

20.11 Maßgebliches Recht. Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss seiner Kollisionsnormen und des UN-Kaufrechts(CISG).

20.12 Kontaktdaten von Anchorpoint. Reklamationen und Kündigungen bitte an folgende Adresse senden:

Anchorpoint GmbH
Florinsmarkt 14
56068 Koblenz
Deutschland
support@anchorpoint.app

Auftragsverarbeitungsvereinbarung

Vereinbarung zwischen  („Kunde“) und der Anchorpoint GmbH, Florinsmarkt 14, 56068 Koblenz  („Auftragnehmer“; gemeinsam die „Parteien“ oder jeweils eine „Partei“) über die Verarbeitung von personenbezogenen Daten im Auftrag („AVV“). Die Begriffe „personenbezogene Daten“, „verarbeiten“, „betroffene Person“, „Verantwortlicher“ und „Auftragsverarbeiter“ sind in Art. 4 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 („DSGVO“) definiert.

1. Gegenstand und Dauer des Auftrags

1.1. Gegenstand des Auftrags
Der Gegenstand des Auftrags der Datenverarbeitung durch den Auftragnehmer ergibt sich aus dem Software- bzw. SaaS-Vertrag zwischen den Parteien („Hauptvertrag“). Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber. Der Auftraggeber ist dabei als Verantwortlicher für die Verarbeitung personenbezogener Daten, für die Beurteilung der gesetzlichen Zulässigkeit der Verarbeitung personenbezogener Daten sowie für die Wahrung der Rechte betroffener Personen verantwortlich.
1.2. Dauer des Auftrags
Diese AVV wird zwischen den Parteien für die Dauer vereinbart, während der der Auftragnehmer für den Auftraggeber personenbezogene Daten auf Basis des Hauptvertrags verarbeitet.

2. Konkretisierung des Auftragsinhalts

2.1. Umfang, Art und Zweck
Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind im Hauptvertrag konkret beschrieben.
2.2. Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten / -kategorien („Auftraggeberdaten“)

• Name,

• Kontaktdaten (E-Mail / Telefon),

• Internet Nutzungsdaten, die bei Nutzung der Saas-Lösung des Auftragnehmers anfallen,

• Daten, die bei Nutzung der Chat- oder Videochat-Funktion entstehen.

2.3. Kreis der Betroffenen

Der Kreis der durch die Verarbeitung personenbezogener Daten im Rahmen dieses Auftrags betroffenen Personen umfasst:

• Mitarbeiter / Beschäftigte des Auftraggebers (dies umfasst die Geschäftsleitung, Praktikanten, temporäre Beschäftigte und ähnliche Personen),

• Mitarbeiter / Beschäftigte von Geschäftspartnern des Auftraggebers,

• Kunden und Ansprechpartner beim Kunden des Auftraggebers.

3. Weisungsbefugnis des Auftraggebers / Ort der Datenverarbeitung

3.1. Die Verarbeitung der Auftraggeberdaten erfolgt ausschließlich nach dokumentierten Weisungen des Auftraggebers. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Entstehende Zusatzaufwände sind vom Auftraggeber auf Time- und Material-Basis zu vergüten.

3.2. Der Auftragnehmer verarbeitet Auftraggeberdaten nur außerhalb der Weisungen des Auftraggebers, soweit er aufgrund von anwendbarem Recht dazu verpflichtet ist. In einem solchen Fall informiert der Auftragnehmer den Auftraggeber über diesen Umstand vorab, sofern das jeweilige Gesetz dies nicht verbietet.

3.3. Der Auftragnehmer informiert den Auftraggeber, wenn er der Meinung ist, eine Weisung verstoße gegen einschlägige datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

3.4. Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer findet innerhalb der EU / des EWR statt. Eine Verlagerung der Verarbeitung in Länder außerhalb der EU / des EWR durch den Auftragnehmer findet nur nach Rücksprache mit dem Auftraggeber statt.

4. Vertraulichkeit

Die zur Verarbeitung der Auftraggeberdaten befugten Personen haben sich zu Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht.

5. Technisch-organisatorische Maßnahmen

5.1. Der Auftragnehmer trifft technische und organisatorische Maßnahmen zum Schutz der Auftraggeberdaten, die den Anforderungen des Art. 32 DSGVO genügen. Diese technischen und organisatorischen Maßnahmen sind in Anhang 1 dieser AVV beschrieben. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

5.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

6. Unterauftragsverhältnisse

6.1. Der Auftraggeber stimmt dem Einsatz von Unterauftragnehmern durch den Auftragnehmer zu:

6.1.1. Der Auftraggeber stimmt dem Einsatz der in Anhang 2 dieser AVV aufgeführten Unterauftragnehmer bei Abschluss dieser AVV zu.

6.1.2. Der Auftraggeber stimmt dem Einsatz weiterer bzw. der Änderung bestehender Unterauftragnehmer zu, wenn der Auftragnehmer den Einsatz bzw. die Änderung vierzehn (14) Tage vor Beginn der Datenverarbeitung schriftlich

(E-Mail ausreichend) dem Auftraggeber mitteilt. Der Auftraggeber kann dem Einsatz eines neuen Unterauftragnehmers bzw. der Änderung aus wichtigen datenschutzrechtlichen Gründen innerhalb von zehn (10) Tagen widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zum Einsatz oder zur Änderung als gegeben. Der Auftraggeber nimmt zur Kenntnis, dass in bestimmten Fällen die Leistung ohne den Einsatz eines bestimmten Unterauftragnehmers nicht mehr erbracht werden kann. Liegt ein wichtiger datenschutzrechtlicher Grund für den Widerspruch vor und ist eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich, haben die Parteien jeweils ein Sonderkündigungsrecht in Bezug auf die den abgelehnten Unterauftragnehmer betreffende Leistung des Auftragnehmers.

6.2. Der Auftragnehmer schließt mit dem / den Unterauftragnehmer / n unter Berücksichtigung der Art und des Umfangs der Datenverarbeitung im Rahmen des Unterauftrags schriftliche (dies schließt die elektronische Form ein) Auftragsverarbeitungsvereinbarungen, die inhaltlich dieser AVV entsprechen.

7. Betroffenenrechte

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen nach Kapitel III der DSGVO.

8. Mitwirkungspflichten des Auftragnehmers

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen.

9. Informations- und Überprüfungsrecht des Auftraggebers

9.1. Der Auftraggeber hat das Recht, erforderliche Informationen zum Nachweis der Einhaltung der vereinbarten Pflichten des Auftragnehmers anzufordern und Überprüfungen im Einvernehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.

9.2. Die Parteien vereinbaren, dass der Auftragnehmer zum Nachweis der Einhaltung seiner Pflichten und Umsetzung der technischen und organisatorischen Maßnahmen berechtigt ist, dem Auftraggeber aussagekräftige Dokumentationen vorzulegen. Eine aussagekräftige Dokumentation kann durch die Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter), einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach ISO 27001) oder einer durch die zuständigen Aufsichtsbehörden genehmigten Zertifizierung erbracht werden.

9.3. Das Recht des Auftraggebers Vor-Ort-Kontrollen durchzuführen, wird hierdurch nicht beeinträchtigt. Der Auftraggeber wird jedoch abwägen, ob nach Vorlage von aussagekräftiger Dokumentation eine Vor-Ort-Kontrolle noch erforderlich ist, insbesondere unter Berücksichtigung der Aufrechterhaltung des ordnungsgemäßen Betriebs des Auftragnehmers. Der Auftraggeber wird nur in Absprache mit dem Auftragnehmer Vor-Ort-Kontrollen durchführen.

10. Löschung von Daten und Rückgabe von Datenträgern

Nach Wahl und Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Auftragsverarbeitung – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen oder zu deren Aufbewahrung der Auftragnehmer gesetzlich verpflichtet ist, dürfen durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.

11. Haftung

Für die Haftung des Auftragnehmers im Zusammenhang mit dieser AVV gelten die im Hauptvertrag vereinbarten Haftungsbeschränkungen.

Anhang 1 zur Auftragsverarbeitungsvereinbarung:

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO.

Beschreibung der von der Anchorpoint GmbH („Auftragsverarbeiter“) ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen

Der Auftragnehmer hat folgende technische und organisatorische Sicherheitsmaßnahmen („TOMs“) implementiert, um die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten. Ergänzt werden die TOMs gegebenenfalls durch die von den eingesetzten Unterauftragnehmern ergriffenen Sicherheitsmaßnahmen:

1. Vertraulichkeit

Der Auftragnehmer hat folgende technische und organisatorische Sicherheitsvorkehrungen getroffen, um insbesondere die Vertraulichkeit der Verarbeitungssysteme und -dienste zu gewährleisten:

• Der Auftragnehmer trifft geeignete Maßnahmen, um zu verhindern, dass seine Datenverarbeitungssysteme von Unbefugten benutzt werden. Dies wird erreicht durch:

 Authentifizierung mit Benutzername und Passwort;

 Schlüsselregelung (Schlüsselausgabe für Gebäude nur an befugtes Personal, etc.) und Sicherheitsschlösser;

 Sorgfältige Auswahl von externen Dienstleistern und Abschluss von Verschwiegenheitsverpflichtungen;

 Alarmmeldungen bei unberechtigtem Zutritt von Serverräumen;

 Automatisches Timeout des User-Terminals, wenn dieser im Leerlauf bleibt, Identifikation und Passwort zum erneuten Zugreifens erforderlich?

 Ausgabe und Sicherung von Identifikationscodes und Einsatz von Zwei-Faktor-Authentifizierung

 Verschlüsselung nach Industriestandard und Anforderungen an Passwörter (Passwortrichtlinie, inkl. Mindestlänge, Verwendung von Sonderzeichen usw., Passwortwechsel);

 Sperrung von sicherheitsrelevanten Zugängen nach fehlerhaften Anmeldeversuchen;

 Physikalisch getrennte Speicherung auf gesonderten Systemen und Datenträgern;

 Regelmäßige Sicherheitsupdates für Datenverarbeitungssysteme.

• Die Mitarbeiter des Auftragnehmers, die zur Nutzung seiner Datenverarbeitungssysteme berechtigt sind, können nur im Rahmen und in dem Umfang auf personenbezogene Daten zugreifen, der durch ihre jeweilige Zugriffsberechtigung (Berechtigung) abgedeckt ist. Insbesondere basieren die Zugriffsrechte und -ebenen auf der Funktion und Rolle der Mitarbeiter, wobei die Konzepte der geringsten Privilegien und des Wissensbedarfs verwendet werden, um die Zugriffsrechte an definierte Verantwortlichkeiten anzupassen. Dies wird insbesondere erreicht durch:

 Verpflichtende Mitarbeiterrichtlinien und -schulungen;

 Verpflichtung von Mitarbeitern zur Vertraulichkeit und Geheimhaltung;

 Erstellung von Benutzerprofilen und Zuordnung von Benutzerrechten;

 Beschränkter Zugriff auf personenbezogene Daten nur für autorisierte Personen;

 Sperrung von Nutzerzugängen nach fehlerhaften Anmeldeversuchen;

 Zentrale Speicherung von Log-Dateien und beschränkter Zugriff für autorisierte Personen;

 Logische Mandantentrennung;

 Beschränkter Zugriff auf Server nur für autorisierte Personen;

 Verschlüsselung nach Industriestandard;

 Einsatz von VPN-Technologie;

 Physische Löschung von Datenträgern vor Wiederverwendung.

2. Integrität

Der Auftragnehmer hat folgende technische und organisatorische Sicherheitsvorkehrungen getroffen, um insbesondere die Integrität der Verarbeitungssysteme und -dienste zu gewährleisten:

• Der Auftragnehmer trifft geeignete Maßnahmen, um zu verhindern, dass personenbezogene Daten bei der Übermittlung oder beim Transport der Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden. Dies wird erreicht durch:

- Einrichtung von Standleitungen bzw. VPN-Tunneln;

- Den Einsatz Firewall-, und Verschlüsselungstechnologien für Software und Hardware;

- Monatliche Durchführung von Schwachstellentests;

- Vermeidung der Speicherung personenbezogener Daten auf tragbaren Speichermedien für Transportzwecke und auf firmeneigenen Laptops oder anderen mobilen Geräten;

- Bei physischem Transport: Sorgfältige Auswahl von Transportpersonal und -fahrzeugen; sichere Transportbehälter und -verpackungen.

- Sichere Vernichtung und Entsorgung von Datenträgern.

• Der Auftragnehmer greift auf keine Kundeninhalte zu, es sei denn, dies ist notwendig, um dem Kunden die von ihm ausgewählten Produkte und professionelle Dienstleistungen zur Verfügung zu stellen. Der Auftragnehmer greift nicht auf Kundeninhalte für andere Zwecke zu.

3. Verfügbarkeit

Der Auftragnehmer hat die folgenden technischen und organisatorischen Sicherheitsmaßnahmen implementiert, um insbesondere die Verfügbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten:

• Der Verarbeiter trifft geeignete Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor unbeabsichtigter Zerstörung oder Verlust geschützt sind. Dies wird erreicht durch:

- Erstellung Backup- und Recoverykonzept;

- Redundanz der Infrastruktur;

- Einsatz von Anti-Viren-Software;

- Einsatz von Hardware-Firewall;

- Feuer- und Rauchmeldeanlagen;

- Schutzsteckdosenleisten in Serverräumen;

- Feuerlöschgeräte in Serverräumen;

- Regelmäßige Sicherheitsupdates für Datenverarbeitungssysteme;

- Alarmmeldungen bei unberechtigtem Zutritt zu Serverräumen;

- Durchführung regelmäßiger Datensicherungen;

- Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort;

- Trennung von Produktiv- und Testsystem.

4. Belastbarkeit

Der Auftragnehmer hat die folgenden technischen und organisatorischen Sicherheitsmaßnahmen implementiert, um insbesondere die Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten:

• Datenschutz-Management und Definition von Rollen und Verantwortlichkeiten;

• Betriebliches Kontinuitätsmanagement und Notfallplan;

• Projektbezogenes Risiko-Management;

• Monatliche Durchführung von Schwachstellentests und sofortige Umsetzung der Ergebnisse;

• Störfallerkennungssystem und projektbezogenes Management der Reaktion auf Störfälle;

• Regelmäßige (externe) Auditierung;

• Regelmäßige Überprüfung von Skalierung und Infrastruktur;

• Datenschutzfreundliche Voreinstellungen;

• Sicherer Entwicklungszyklus

• Testplan.

Anhang 2 zur Auftragsverarbeitungsvereinbarung

Genehmigte Unterauftragnehmer

# Name Adresse Einsatzbereich im Rahmen des Vertrages

1 Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxemburg IT Infrastruktur / Hosting (ausschließlich EU Server)

2 Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn