|
Lizenzbedingungen für die Software as a Service-Lösung mAikit |
|
|
|
1. |
Anwendungsbereich |
|
1.1. |
Diese Lizenzbedingungen (nachfolgend „AGB“) finden ausschließlich Anwendung auf die Zurverfügungstellung der Software as a Service-Lösung „mAikit“ (nachfolgend „SaaS-Lösung“) zwischen der QLero GmbH, geschäftsansässig Südliche Münchner Str. 62, 82031 Grünwald (nachfolgend „Anbieter“) und deren Kunden (nachfolgend „Auftraggeber“). Die Leistungen des Anbieters richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB. |
|
1.2. |
Entgegenstehende oder von diesen AGB abweichende Geschäftsbedingungen des Auftraggebers werden nur Vertragsbestandteil, soweit der Anbieter ihrer Geltung ausdrücklich zugestimmt hat. Dies gilt insbesondere auch, wenn der Anbieter Leistungen vorbehaltlos ausführt, Zahlungen widerspruchslos entgegennimmt oder den AGB des Auftraggebers nicht ausdrücklich widerspricht. |
|
1.3. |
Der Anbieter behält sich das Recht vor, diese AGB zu ändern, insbesondere sofern nach Vertragsschluss unvorhersehbare, nicht vom Anbieter zu beeinflussende Änderungen eingetreten sind, wie beispielsweise Gesetzesänderungen, oder Lücken offenbar werden, oder sonstige produktspezifische Anpassungen nötig werden, wodurch das Verhältnis von Leistung und Gegenleistung erheblich gestört wird. In diesem Fall wird der Auftraggeber vier (4) Wochen vor Inkrafttreten der Änderungen durch Mitteilung der neuen AGB per E-Mail oder im Rahmen seines Accounts informiert und zur Zustimmung zu den neuen AGB aufgefordert. Sofern der Auftraggeber den neuen AGB nicht zustimmt, hat der Anbieter ein Sonderkündigungsrecht. Der Anbieter wird den Auftraggeber im Rahmen seiner Mitteilung auf diese Folge ausdrücklich hinweisen. |
|
1.4. |
Die AGB werden vom Anbieter nach dem Vertragsschluss nicht gespeichert. Der Auftraggeber hat Zugang zur jeweils aktuellen Fassung der AGB im Rahmen seines Accounts. |
|
1.5. |
Im Einzelfall getroffene, individuelle schriftliche Vereinbarungen zwischen Auftraggeber und Anbieter (einschließlich Nebenabreden, Ergänzungen und Änderungen) haben in jedem Falle Vorrang vor diesen AGB. |
|
|
|
|
2. |
Vertragsschluss und Registrierung |
|
2.1. |
Die Nutzung der SaaS-Lösung setzt den Abschluss eines Lizenzvertrags zwischen Auftraggeber und Anbieter voraus. Der Lizenzvertrag über die vom Anbieter zu erbringende SaaS-Lösung kommt entweder nach Durchführung des Bestellprozesses und Annahme des Vertragsangebots durch den Anbieter oder mit Annahme des Angebots des Anbieters unter Beifügung bzw. Verweis auf diese AGB durch den Auftraggeber zu Stande. |
|
2.2. |
Nach Abschluss des Lizenzvertrags erhält der Auftraggeber einen Aktivierungslink zur Registrierung eines Unternehmensaccounts (nachfolgend „Hauptkonto“) und zur Nutzung der SaaS-Lösung. Der Auftraggeber legt dazu eigene Zugangsdaten fest. |
|
2.3. |
Die Registrierung einer juristischen Person oder einer Personengesellschaft darf nur von einer vertretungsberechtigten natürlichen Person vorgenommen werden, die namentlich zu nennen ist. Der Anbieter darf Registrierungen ablehnen, soweit dafür ein sachlicher Grund vorliegt, z.B. unrichtige Angaben gemacht werden oder zu befürchten ist, dass den Zahlungspflichten nicht nachgekommen wird. |
|
2.4. |
Der Auftraggeber ist berechtigt, unter seinem Hauptkonto zusätzliche Accounts für weitere berechtigte Nutzer zu registrieren (nachfolgend „Unterkonten“). Der Auftraggeber ist dafür verantwortlich, dass die Unterkonten nur von vertretungsberechtigten Nutzern erstellt und genutzt werden. Der Auftraggeber ist darüber hinaus für alle Handlungen sowohl im Rahmen des Hauptkontos als auch der einzelnen darunter registrierten Unterkonten verantwortlich. |
|
|
|
|
3. |
Bereitstellung der SaaS-Lösung |
|
3.1. |
Der Anbieter stellt dem Auftraggeber während der Vertragslaufzeit die SaaS-Lösung mittels Zugriffsmöglichkeit auf die Plattform „mAikit“ zur Nutzung der Funktionalitäten sowie Speicherplatz für die vom Auftraggeber durch Nutzung der SaaS-Lösung erzeugten und/oder in das Datenmodell eingebrachten Daten nach Maßgabe dieser Bedingungen zur Verfügung. |
|
3.2. |
Der Leistungsumfang und die wesentlichen Produkteigenschaften der SaaS-Lösung ergeben sich aus der jederzeit abrufbaren Produktbeschreibung. Anderweitige technische Beschreibungen, Datenblätter oder sonstige Erwartungen des Auftraggebers an die SaaS-Lösung und die Leistungen des Anbieters werden nicht Vertragsbestandteil, es sei denn, diese sind ausdrücklich vereinbart. |
|
3.3. |
Der Anbieter unterstützt den Auftraggeber auf Anfrage bei der Implementierung der SaaS-Lösung und bietet Schulungsleistungen an. Der Auftraggeber kann diese Leistungen auf Anfrage beim Anbieter beauftragen. Nach Annahme des Angebots des Anbieters durch den Auftraggeber wird die jeweils ausgewählte Leistung Vertragsbestandteil zu den genannten Konditionen des Anbieters. |
|
3.4. |
Der Auftraggeber hat die in der Produktbeschreibung angegebenen Anforderungen an die Nutzung der SaaS-Lösung zu beachten und vollumfänglich sicherzustellen, sowie insbesondere die entsprechenden technischen Voraussetzungen auf eigene Kosten zu schaffen und Systemanforderungen eigenständig umzusetzen. |
|
3.5. |
Der Auftraggeber ist berechtigt, die SaaS-Lösung für die Dauer von sieben (7) Tagen kostenfrei zu testen. In diesem Zeitraum stehen dem Auftraggeber die Funktionen der SaaS-Lösung vollumfänglich zum Testen zur Verfügung. |
|
3.6. |
Der Anbieter ist berechtigt, die SaaS-Lösung jederzeit zu aktualisieren sowie weiterzuentwickeln und auf Grund einer geänderten Rechtslage, technischer Entwicklungen oder zur Verbesserung der IT-Sicherheit anzupassen. Der Anbieter wird dabei die berechtigten Interessen des Auftraggebers angemessen berücksichtigen und rechtzeitig über notwendige Updates informieren. Sofern und soweit mit der Bereitstellung einer neuen Version oder eines Updates eine wesentliche Änderung von Funktionalitäten der SaaS-Lösung einhergehen sollte, wird der Anbieter dies dem Auftraggeber spätestens vier (4) Wochen vor dem Wirksamwerden einer solchen Änderung mitteilen. Der Auftraggeber ist berechtigt, einer solchen Änderung zu widersprechen, wodurch der Lizenzvertrag außerordentlich beendet wird. Widerspricht der Auftraggeber der Änderung nicht schriftlich innerhalb einer Frist von vier (4) Wochen ab Zugang der Änderungsmitteilung, wird die Änderung Vertragsbestandteil. |
|
|
|
|
4. |
Einräumung von Nutzungsrechten |
|
4.1. |
Der Anbieter räumt dem Auftraggeber gegen Zahlung der vereinbarten Vergütung das zeitlich auf die Vertragslaufzeit beschränkte, nicht-ausschließliche, nicht-unterlizenzierbare und nicht übertragbare Recht ein, die SaaS-Lösung für die vereinbarte Anzahl an berechtigen Nutzern nach Maßgabe der nachstehenden Bedingungen zu nutzen. |
|
4.2. |
Dem Hauptkonto können gem. Ziff. 2.4. weitere Unterkonten für die vereinbarte Anzahl an berechtigten Nutzern zugeordnet werden. Die Anzahl an Unterkonten muss dabei mit der Anzahl der berechtigten Nutzer übereinstimmen. Sofern der Auftraggeber die SaaS-Lösung durch weitere Nutzer nutzen möchte, sind hierfür entsprechende Lizenzen zu beschaffen. |
|
4.3. |
Der Auftraggeber darf die SaaS-Lösung nur insoweit vervielfältigen, wie dies durch die bestimmungsgemäße Benutzung der SaaS-Lösung abgedeckt ist. Zur notwendigen Vervielfältigung zählt das Laden in den Arbeitsspeicher auf dem Server des Anbieters, nicht jedoch die auch nur vorübergehende Installation oder das Speichern auf Datenträgern der vom Auftraggeber eingesetzten Hardware. |
|
4.4. |
Der Auftraggeber wird die SaaS-Lösung nur für seine internen Unternehmenszwecke einsetzen. Er ist nicht berechtigt, die SaaS-Lösung selbst oder die Rechte daran zu vermieten, zu verleihen, zu verkaufen, Dritten zur Nutzung zu überlassen, abzutreten oder zu übertragen, die SaaS-Lösung zu kopieren oder das Kopieren in Teilen oder als Ganzes zu genehmigen. |
|
4.5. |
Im Falle der Zurverfügungstellung der SaaS-Lösung zu Testzwecken beschränken sich die Nutzungsrechte des Auftraggebers auf solche Handlungen, die der Feststellung der Funktionen der SaaS-Lösung und der Prüfung der Eignung für den Auftraggeber dienen; insbesondere ein produktiver Betrieb der SaaS-Lösung ist unzulässig. Nach Ablauf des 7-tägigen Testzeitraums werden dem Auftraggeber die Nutzungsrechte gemäß der vorstehenden Ziffern eingeräumt, sofern der Auftraggeber nicht innerhalb des Testzeitraums die Kündigung des Lizenzvertrags gem. Ziff. 16.1. erklärt hat. |
|
4.6. |
Jeder ergänzende Programmcode (z.B. Update, Upgrade), der dem Auftraggeber zum Zwecke der Fehlerbehebung oder im Rahmen von Wartung/Support zur Verfügung gestellt wird, wird als Bestandteil der jeweils überlassenen SaaS-Lösung betrachtet und unterliegt den Bedingungen dieser AGB, soweit nichts anderes vereinbart wurde. |
|
4.7. |
Hinsichtlich der Bestandteile des in der SaaS-Lösung beinhalteten KI-Systems mit allgemeinem Verwendungszweck, das nach der zum Zeitpunkt des Vertragsschlusses gemeinsamen Annahme der Parteien keinen urheberrechtlichen Schutz genießt, räumt der Anbieter dem Auftraggeber die tatsächliche Nutzungsbefugnis ein. Hierbei handelt es sich im Wesentlichen um das KI-System mit allgemeinem Verwendungszweck (nachfolgend „Datenmodell“) und die auf dieser Grundlage zur Verfügung gestellten Vorhersagen des Datenmodells. Sofern an diesen nicht geschützten Bestandteilen gleichwohl urheberrechtliche Schutzrechte bestehen oder zukünftig entstehen sollten, finden die vorstehenden Regelungen dieser Ziff. 4 entsprechende Anwendung. |
|
|
|
|
5. |
Pflichten des Auftraggebers |
|
5.1. |
Der Auftraggeber stellt sicher, dass alle von ihm gemachten Angaben und übermittelten Informationen vollständig, aktuell und korrekt sind. Der Auftraggeber wird seine Angaben im Rahmen des Unternehmensaccounts stets aktuell halten und ist zur unverzüglichen Aktualisierung bei Änderungen verpflichtet. |
|
5.2. |
Zugangsdaten wird der Auftraggeber vertraulich behandeln und nur an berechtigte Mitarbeiter weitergeben. Der Auftraggeber wird durch geeignete Maßnahmen sicherstellen, dass unbefugte Dritte nicht auf die SaaS-Lösung zugreifen können. Der Auftraggeber ist insbesondere verpflichtet, alle Passwörter zur Nutzung der SaaS-Lösung auf eigene Kosten vor dem unberechtigten Zugriff Dritter zu schützen und seine Mitarbeiter hierzu entsprechend zu verpflichten. Der Auftraggeber ist verpflichtet, dem Anbieter jeden unberechtigten Zugriff bzw. dessen Versuch unverzüglich mitzuteilen. |
|
5.3. |
Im Rahmen der Nutzung der SaaS-Lösung ist es dem Auftraggeber insbesondere untersagt, a) die SaaS-Lösung zu verwenden, um aus den gewonnen Erkenntnissen eigene Programme zu entwickeln (sog. „Reverse Engineering“), b) die SaaS-Lösung auf eine Art und Weise zu verwenden, die gegen behördliche Vorgaben oder gesetzliche Rahmenbedingungen verstößt, c) Programme, insbesondere schadhafte Programme, die den Betrieb der SaaS-Lösung schädigen, überlasten oder stören könnten, zu verwenden oder zu übermitteln. |
|
5.4. |
Der Auftraggeber übernimmt die volle Verantwortung für von ihm hochgeladene Inhalte und bereitgestellte Daten. |
|
5.5. |
Der Auftraggeber wird den Anbieter von sämtlichen Ansprüchen Dritter auf erstes Anfordern freistellen, die auf einer unzulässigen Verwendung der SaaS-Lösung beruhen. |
|
5.6. |
Der Auftraggeber räumt dem Anbieter das Recht zur Überprüfung der Einhaltung der Vertragsbedingungen ein. Der Auftraggeber wird den Anbieter oder ein zur Verschwiegenheit verpflichteter Dritter bei der Überprüfung unterstützen, insbesondere Auskunft erteilen und Einsicht in für die Überprüfung relevante Unterlagen und Dokumente (wie etwa Reports) ermöglichen. Sofern sich bei der Überprüfung ein Verstoß gegen die Vertragsbedingungen ergeben sollte, so verpflichtet sich der Auftraggeber sowohl zur Nachzahlung der jeweiligen Vergütung als auch zur Übernahme der für die Prüfung entstandenen Kosten. Alle sonstigen Rechte bleiben vorbehalten. |
|
5.7. |
Der Auftraggeber wird in eigener Verantwortung regelmäßig angemessene Datensicherungen in Bezug auf die mittels der SaaS-Lösung erstellten oder verarbeiteten Daten vornehmen. |
|
5.8. |
Der Auftraggeber stellt sicher, dass die für die Nutzung der SaaS-Lösung erforderliche KI-Kompetenz in seinem Unternehmen vorhanden ist. |
|
5.9. |
Soweit der Auftraggeber seinen Mitwirkungspflichten nicht, nicht ordnungsgemäß oder nicht rechtzeitig nachkommt und dies Auswirkungen auf die Leistungserbringung des Anbieters hat, ist der Anbieter für die dem Auftraggeber hieraus entstehenden Nachteile nicht verantwortlich. Ferner ist der Anbieter zur Aussetzung seiner Leistungen berechtigt, bis der Auftraggeber seinen Mitwirkungspflichten vollständig, ordnungsgemäß und rechtzeitig nachkommt. Den hierdurch verursachten Mehraufwand wird der Anbieter – unbeschadet weiterer Rechte – dem Auftraggeber gesondert in Rechnung stellen. Darüber hinaus hat der Auftraggeber dem Anbieter auf Nachweis etwaig entstandene Auslagen zu erstatten. |
|
|
|
|
6. |
Vergütung, Zahlungsbedingungen |
|
6.1. |
Die Vergütung für die Nutzung der SaaS-Lösung (nachfolgend „Lizenzgebühren“) richtet sich nach der jeweils aktuellen Preisliste und dem Angebot des Anbieters. Es handelt sich dabei um Nettopreise zzgl. der jeweils geltenden gesetzlichen Mehrwertsteuer. Sofern der Auftraggeber im Einzelfall Steuerschuldner ist, gilt insoweit das Reverse-Charge-Verfahren. |
|
6.2. |
Nach Ablauf des kostenfreien 7-tägigen Testzeitraums erfolgt die Zahlung der Lizenzgebühren über die vom Auftraggeber ausgewählte Zahlungsmethode im Wege der Vorauszahlung. Für einzelne Zahlungsmethoden werden entsprechende Zahlungsdienstleister eingesetzt, deren Nutzungsbedingungen jeweils gelten. Die Lizenzgebühren für die Nutzung des Hauptkontos sind nach Wahl des Auftraggebers entweder monatlich oder jährlich im Voraus fällig. |
|
6.3. |
Dem Hauptkonto ist ein entsprechendes Credit-Volumen für die Nutzung von Fragen/Interaktionen (wie beispielsweise Anfragen) im Rahmen der SaaS-Lösung durch den Auftraggeber hinterlegt. Credits aus den Unterkonten werden dem Hauptkonto gutgeschrieben. Die Abrechnung erfolgt nutzerbasiert je Anzahl und Umfang von Fragen/Interaktionen. Dem Auftraggeber wird eine Verbrauchsübersicht im Dashboard der SaaS-Lösung angezeigt. Die Nutzer der Unterkonten können dabei sehen, welche Interaktion wie viele Credits verbraucht hat. Der Auftraggeber wird bei niedrigem Credit-Stand informiert und kann Credit-Pakete jederzeit manuell nachbuchen. Die Abrechnung erfolgt monatlich über die im Hauptkonto hinterlegte Zahlungsmethode. Vorhandene Restcredits aus den Haupt- und Unterkonten verfallen am Ende der Vertragslaufzeit. Bei Kündigung eines Unterkontos verfallen die zugeordneten Credits zum entsprechenden Monatsende. Während der Vertragslaufzeit werden Restcredits aus dem Vormonat in den Folgemonat übertragen. Es erfolgt keine Erstattung nicht genutzter Credits nach Laufzeitende. |
|
6.4. |
Im Falle von wiederkehrenden Zahlungsverpflichtungen kündigt der Anbieter dem Auftraggeber Preisänderungen mindestens drei (3) Monate vor Ende der Vertragslaufzeit an. Im Falle einer Preiserhöhung ist der Auftraggeber binnen vier (4) Wochen nach Zugang der Mitteilung berechtigt, der Preiserhöhung zu widersprechen. Sofern der Auftraggeber nicht widerspricht, gelten die neuen Preise für die neue Vertragslaufzeit und die Folgejahre bis zu einer etwaigen weiteren Preisänderung. Widerspricht der Auftraggeber, ist der Anbieter berechtigt das Vertragsverhältnis mit dem Auftraggeber mit einer Frist von drei (3) Monaten zum Ende der Vertragslaufzeit zu kündigen. |
|
6.5. |
Mit Ablauf der vereinbarten Zahlungsfrist/en kommt der Auftraggeber in Verzug, ohne dass es einer Mahnung durch den Anbieter bedarf. Der fällige Betrag ist während des Verzuges mit dem jeweils geltenden gesetzlichen Verzugszins zu verzinsen. Die Geltendmachung eines weitergehenden Verzugsschadens sowie der Pauschale gem. § 288 Abs. 5 BGB bleiben unberührt. |
|
|
|
|
7. |
Gewährleistung bei Sach- und Rechtsmängeln |
|
7.1. |
Im Hinblick auf die Gewährung der Nutzung der SaaS-Lösung gelten die Vorschriften der §§ 535 ff. BGB. |
|
7.2. |
Minderungen der Vergütung darf der Auftraggeber nicht dadurch geltend machen, dass er den Minderungsbetrag von der zu zahlenden Vergütung eigenständig abzieht. Unberührt hiervon bleibt der Rückerstattungsanspruch des Auftraggebers hinsichtlich der zu viel gezahlten Vergütung im Falle einer berechtigten Minderung. |
|
7.3. |
Die Gewährleistung für nur unerhebliche Minderungen der Tauglichkeit der SaaS-Lösung wird ausgeschlossen. Die verschuldensunabhängige Haftung des Anbieters für bereits bei Vertragsschluss vorhandene Mängel gem. § 536a Abs. 1 BGB wird ebenfalls ausgeschlossen. |
|
7.4. |
Sofern Dritte wegen der Verletzung von Rechten gegen den Auftraggeber Ansprüche geltend machen, wird der Auftraggeber den Anbieter hierüber unverzüglich schriftlich oder in Textform informieren. Der Auftraggeber ist nicht berechtigt, ein Anerkenntnis gegenüber dem Dritten abzugeben, und er wird dem Anbieter ausdrücklich alle Abwehrmaßnahmen und Vergleichshandlungen vorbehalten. Der Anbieter ist nach eigener Wahl berechtigt entweder die SaaS-Lösung so zu verändern, dass das Recht des Dritten nicht mehr verletzt wird, oder dem Auftraggeber die benötigte Befugnis zur Nutzung der SaaS-Lösung zu verschaffen. Die Selbstvornahme durch den Auftraggeber oder von ihm beauftragter Dritter ist ausgeschlossen. |
|
7.5. |
Im Falle der Mangelhaftigkeit von verwendeter Fremd-Software, die der Anbieter zum Zwecke der Leistungserbringung einsetzt und deren Mängel der Anbieter nicht selbst beheben darf, besteht die Pflicht des Anbieters zur Mängelbeseitigung in der Geltendmachung der Ansprüche gegenüber den jeweiligen Lizenzgebern. |
|
|
|
|
8. |
Service Levels, Störungen |
|
8.1. |
Der Anbieter stellt eine durchschnittliche jährliche Verfügbarkeit der SaaS-Lösung am Übergabepunkt von 96 % sicher. Übergabepunkt ist der Routerausgang des Rechenzentrums, in dem der Server der SaaS-Lösung des Anbieters steht. |
|
8.2. |
Unter Verfügbarkeit verstehen die Parteien die technische Nutzbarkeit der SaaS-Lösung am Übergabepunkt zum Gebrauch durch den Auftraggeber. Wartungszeiten, Zeiten der Störung unter Einhaltung der vereinbarten Beseitigungszeit sowie nicht dem Anbieter zurechenbare Zeiten der Störung von erforderlicher technischer Infrastruktur beim Auftraggeber gelten als Zeiten der Verfügbarkeit der SaaS-Lösung. Zeiten unerheblicher Störungen bleiben bei der Berechnung der Verfügbarkeit außer Betracht. Für den Nachweis der Verfügbarkeit sind die Messinstrumente des Anbieters im Rechenzentrum maßgeblich. |
|
8.3. |
Der Auftraggeber hat jegliche Störungen unverzüglich an den Anbieter per E-Mail oder telefonisch zu melden. |
|
8.4. |
Störungsbehebungen erfolgen innerhalb folgender Servicezeiten: Montag bis Freitag jeweils zwischen 9 Uhr und 17 Uhr (unter Ausnahme gesetzlicher Feiertage am Sitz des Anbieters). Für die Servicezeiten gilt die Zeitzone am Sitz des Anbieters. |
|
8.5. |
Der Anbieter nimmt in eigenem Ermessen unter Berücksichtigung der Interessen des Auftraggebers eine Einordnung der auftretenden Störung in entsprechende Kategorien nach Maßgabe der folgenden Regelungen vor. |
|
8.6. |
Auf sämtliche vom Auftraggeber mitgeteilten Störungen wird der Anbieter binnen vier (4) Stunden ab Eingang der Meldung der Störung reagieren, sofern die Meldung innerhalb der Servicezeiten erfolgt. Außerhalb der Servicezeiten wird der Anbieter binnen zwölf (12) Stunden reagieren. Der Anbieter teilt dem Auftraggeber jeweils mit, bis wann die Behebung der Störung voraussichtlich erfolgen wird. Sofern absehbar ist, dass dies nicht innerhalb der vom Anbieter mitgeteilten Zeitspanne möglich ist, wird der Anbieter den Auftraggeber hierüber unverzüglich informieren und die voraussichtliche Überschreitung der Zeitspanne mitteilen. |
|
8.7. |
Die Beseitigung von unerheblichen Störungen liegt im Ermessen des Anbieters und kann durch Updates oder neue Programmversionen, die daneben auch neue Funktionen enthalten können (Upgrades), erfolgen. |
|
|
|
|
9. |
Support und Wartung |
|
9.1. |
Der Anbieter richtet für Anfragen des Auftraggebers zu Funktionen der SaaS-Lösung einen teilweise oder vollständig KI-gestützten Support ein. Anfragen können an die auf der Website des Anbieters angegebene E-Mail-Adresse oder an die zur Verfügung gestellte Chatmöglichkeit gerichtet werden. Die Nutzer werden darüber informiert, wenn KI-gestützter Support eingesetzt wird. Die Anfragen werden grundsätzlich in zeitlicher Reihenfolge ihres Eingangs bearbeitet. Die auf Basis der Informationen mittels des KI-gestützten Supports zur Verfügung gestellten Antworten stellen lediglich Hilfestellungen und keine Rechtsberatung dar. |
|
9.2. |
Der Anbieter ist berechtigt, regelmäßige Wartungen vorzunehmen. Diese finden in der Zeit von 17 bis 22 Uhr und damit grundsätzlich außerhalb der üblichen Geschäftszeiten statt, es sei denn, die Wartung muss aus dringenden betrieblichen oder anderen zwingenden Gründen zu einer anderen Zeit vorgenommen werden. |
|
9.3. |
Sofern erforderlich, werden darüber hinaus gehende Wartungen grundsätzlich achtundvierzig (48) Stunden im Voraus per E-Mail angekündigt. |
|
9.4. |
Wenn und soweit der Auftraggeber in angekündigten Zeiten der Nichtverfügbarkeit die SaaS-Lösung nutzen kann, so besteht hierauf kein Rechtsanspruch. |
|
|
|
|
10. |
Leistungsausschlüsse |
|
10.1. |
Bei der SaaS-Lösung handelt es sich um ein technisches Werkzeug, das Informationen in strukturierter Form bereitstellt. Diese Informationen basieren auf den Daten des Auftraggebers und ersetzen weder individuelle Rechtsberatung noch begründen sie einen Anspruch auf Vollständigkeit, Richtigkeit oder Aktualität. Der Auftraggeber trägt die Verantwortung für die auf Grundlage der bereitgestellten Informationen getroffenen wirtschaftlichen, organisatorischen und rechtlichen Entscheidungen. |
|
10.2. |
Der Auftraggeber erkennt an, dass es sich bei den mittels der SaaS-Lösung zur Verfügung gestellten Informationen lediglich um Annahmen handelt, die auf Grund von Wahrscheinlichkeiten getroffen wurden, und deren Qualität insbesondere von der Qualität der vom Auftraggeber zur Verfügung gestellten Daten abhängt. Zu den vertragsgegenständlichen Leistungen zählt daher explizit nicht die Richtigkeit, Vollständigkeit oder Mangelfreiheit von Schutzrechten Dritter in Bezug auf diese Annahmen. |
|
|
|
|
11. |
Höhere Gewalt |
|
11.1. |
Schwerwiegende Ereignisse, wie insbesondere höhere Gewalt, Arbeitskämpfe, Unruhen, behördliche Maßnahmen und sonstige unvorhersehbare Ereignisse, welche der Anbieter nicht zu vertreten hat, (nachfolgend insgesamt als „höhere Gewalt“ bezeichnet) befreit diesen für die Dauer der höheren Gewalt im Umfang ihrer Wirkung von seinen vertraglichen Pflichten. |
|
11.2. |
In diesen Fällen ist der Anbieter berechtigt, die Erbringung der vertragsgegenständlichen Leistungen um die Dauer der Behinderung zuzüglich einer angemessenen Anlaufzeit hinauszuschieben. |
|
|
|
|
12. |
Haftung und Freistellung |
|
12.1. |
Der Anbieter haftet unbeschränkt für Schäden, die auf Vorsatz oder grober Fahrlässigkeit beruhen, für Schäden auf Grund der Verletzung des Lebens, des Körpers oder der Gesundheit sowie im Falle zwingender gesetzlicher Vorschriften, insbesondere der Haftung nach dem Produkthaftungsgesetz (ProdHG), der Übernahme einer Garantie oder im Falle eines arglistig verschwiegenen Mangels. |
|
12.2. |
Der Anbieter haftet im Falle leichter Fahrlässigkeit für die Verletzung wesentlicher Vertragspflichten. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf. Die Haftung ist insoweit jedoch auf den vorhersehbaren, vertragstypischen Schaden beschränkt. |
|
12.3. |
Die Haftung für einen möglichen Verlust oder eine Zerstörung von Daten ist auf den Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer Datensicherung entstanden wäre. |
|
12.4. |
Die vorstehenden Haftungsregelungen gelten auch hinsichtlich der Haftung des Anbieters für seine Erfüllungsgehilfen und gesetzlichen Vertreter. |
|
12.5. |
Im Falle, dass der Anbieter auf Grund eines Schadens in Anspruch genommen wird, der durch Informationen, insbesondere Daten des Auftraggebers, sowie unsachgemäße Verwendung der bereitgestellten SaaS-Lösung verursacht werden, wird der Auftraggeber den Anbieter von allen Ansprüchen, die auf Grund dessen gegen den Anbieter geltend gemacht werden, auf erste Anforderung freistellen und schadlos halten. |
|
12.6. |
Der Anbieter stellt einen ausreichenden Versicherungsschutz zur Deckung möglicherweise entstehender Schäden, die im Zusammenhang mit dem zwischen den Parteien geschlossenen Lizenzvertrag stehen und für die der Anbieter nach dieser Ziff. 12 einzustehen hat, sicher. |
|
|
|
|
13. |
Geheimhaltung |
|
13.1. |
Die Parteien verpflichten sich, sämtliche im Rahmen der Zusammenarbeit erhaltenen vertraulichen Informationen sowie Betriebs- und Geschäftsgeheimnisse der anderen Partei Dritten gegenüber geheim zu halten, solange und soweit diese Informationen geheim sind. |
|
13.2. |
Als vertrauliche Informationen des Anbieters gelten insbesondere alle Produkte, Dienste, Techniken und Know-How des Anbieters, insbesondere zu dem in der SaaS-Lösung beinhalteten Datenmodell und dessen Selbstoptimierung sowie der Verlauf und die Ergebnisse einer Anlernphase des Datenmodells und dessen Vorhersagen, sowie sämtliche dem Auftraggeber im Rahmen des Vertragsverhältnisses bzw. dessen Durchführung bekannt werdenden Informationen, unabhängig davon, ob diese schriftlich, mündlich oder in elektronischer Form übermittelt wurden. Sofern eine vertrauliche Information nicht den Anforderungen an ein Geschäftsgeheimnis nach GeschGehG genügen sollte, unterfällt diese Information gleichwohl den Regelungen dieser Ziff. 13. |
|
13.3. |
Die Geheimhaltungspflicht gilt nicht für Informationen, die bereits vor Beginn der Zusammenarbeit allgemein bekannt waren, auf andere Weise allgemein bekannt werden, ohne dass es sich dabei um eine Verletzung dieser Geheimhaltungspflicht handelt, oder auf deren vertrauliche Behandlung die jeweils andere Partei schriftlich verzichtet hat. |
|
13.4. |
Die Geheimhaltungspflicht gilt während der Laufzeit des Lizenzvertrags sowie nach Beendigung für die Dauer von weiteren 5 Jahren. |
|
13.5. |
Die Parteien stellen sicher, dass ihre Mitarbeiter, Erfüllungsgehilfen sowie sonstige eingesetzte Dritte ebenfalls zur Geheimhaltung nach dieser Ziff. 13 verpflichtet werden. |
|
13.6. |
Jeder schuldhafte Verstoß gegen die in dieser Ziff. 13. enthaltenen Geheimhaltungsverpflichtung durch den Auftraggeber berechtigt den Anbieter, eine in jedem Einzelfall nach billigem Ermessen der Höhe nach angemessene Vertragsstrafe zu verlangen, die vom zuständigen Gericht im Streitfalle auf deren Rechtmäßigkeit überprüft werden kann. Die Geltendmachung eines weitergehenden Schadens bleibt vorbehalten. Eine gezahlte Vertragsstrafe wird auf etwaige Schadensersatzansprüche aus derselben Pflichtverletzung angerechnet. Die Vertragsstrafe stellt dabei die Mindesthöhe des Schadens dar. Der Auftraggeber ist jedoch berechtigt, den Nachweis eines niedrigeren Schadens zu erbringen. |
|
|
|
|
14. |
Nennung als Referenzkunde |
|
|
Der Auftraggeber gestattet dem Anbieter die Nennung als Referenzkunde auf seiner Website und in anderen Medien wie Print- und Digitalmedien. Dazu räumt der Auftraggeber dem Anbieter das jederzeit für die Zukunft widerrufliche, einfache, zeitlich unbeschränkte Recht zur Nutzung des Unternehmensnamens und des Logos des Auftraggebers in Werbematerialien und auf der Website des Anbieters ein. |
|
|
|
|
15. |
Datenschutz |
|
15.1. |
Der Auftraggeber trägt die Verantwortung für die Einhaltung aller datenschutzrechtlichen Bestimmungen zur Verarbeitung von personenbezogenen Daten. Im Falle der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO gilt die Auftragsverarbeitungsvereinbarung des Anbieters in Anlage 1. |
|
15.2. |
Der Anbieter ist berechtigt, Daten in anonymisierter Form für Analysezwecke und zur Fehlerbehebung zu verwenden. |
|
|
|
|
16. |
Vertragslaufzeit und Beendigung |
|
16.1. |
Die Laufzeiten des Haupt- und der Unterkonten richten sich jeweils nach dem ausgewählten Angebot des Anbieters. Die Laufzeit des Hauptkontos beginnt mit Ablauf des 7-tägigen Testzeitraums, sofern der Auftraggeber den Lizenzvertrag nicht innerhalb des Testzeitraums kündigt. Im Anschluss an die Erstlaufzeit verlängert sich der Lizenzvertrag entsprechend um die vereinbarte Dauer, sofern er nicht von einer Partei mit entsprechender Frist zum Ende der jeweiligen Laufzeit gekündigt wird. Eine Kündigung von Unterkonten ist durch den Nutzer des Hauptkontos jeweils zum Monatsende möglich. |
|
16.2. |
Das Recht zur fristlosen Kündigung aus wichtigem Grunde bleibt unberührt. Ein wichtiger Grund für den Anbieter liegt unter anderem dann vor, wenn sich der Auftraggeber mit der Zahlung der Vergütung mehr als sechzig (60) Tage im Verzug befindet oder gegen wesentliche Vertragspflichten, insbesondere gegen Bestimmungen zu Nutzungsrechten, verstößt und diesen Verstoß nicht innerhalb von dreißig (30) Tagen nach einer Abmahnung durch den Anbieter beseitigt. Das Recht des Auftraggebers zur außerordentlichen Kündigung gem. § 543 Abs. 2 S. 1 Nr. 1 BGB ist ausgeschlossen. |
|
16.3. |
Reicht der Regelungsgehalt einzelner Vorschriften dieser Lizenzbedingungen über das Vertragsende hinaus, bleiben diese Vorschriften insoweit auch nach Vertragsbeendigung wirksam. |
|
16.4. |
Kündigungen können direkt im Hauptkonto vorgenommen werden. |
|
16.5. |
Nach Vertragsbeendigung enden die Nutzungsrechte des Auftraggebers automatisch, ohne dass es einer Erklärung des Anbieters bedarf. |
|
16.6. |
Nach Vertragsbeendigung wird der Anbieter dem Auftraggeber seine Daten auf Verlangen binnen einem (1) Monat in einem gängigen Datenformat zur Verfügung stellen. Unbeschadet der vorstehenden Regelungen zur Beendigung des Lizenzvertrages und den rechtlichen Folgen richten sich im Falle eines Wechsel- oder Datenlöschungsverlangens nach Art. 25 Data Act die Beendigung des Vertrages und die rechtlichen Folgen nach Anlage 2 (Cloud-Switching). Darin werden auch die zum Cloud-Switching erforderlichen Informationen als Anhang bereitgestellt. |
|
|
|
|
17. |
Schlussbestimmungen |
|
17.1. |
Mündliche oder schriftliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen des Lizenzvertrags bedürfen der Schriftform, soweit nicht eine Individualvereinbarung getroffen wurde. Das gilt auch für die Aufhebung dieses Schriftformerfordernisses. |
|
17.2. |
Für sämtliche Streitigkeiten aus und in Zusammenhang mit diesen Bedingungen wird als ausschließlicher Gerichtsstand München vereinbart, soweit die Parteien Kaufleute sind. |
|
17.3. |
Auf diese Bedingungen findet das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) Anwendung. |
|
17.4. |
Sollte eine Bestimmung dieser Bedingungen ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der Bedingungen sowie der verbleibenden Bestimmungen des Lizenzvertrags im Übrigen nicht berührt. Die Parteien werden sich bemühen, eine wirksame und durchführbare Bestimmung zu vereinbaren, die dem verfolgten wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Dies gilt gleichermaßen im Falle einer Regelungslücke. |
Anlage 1 – Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO („AVV“)
Präambel
Diese Vereinbarung legt die Rechte und Pflichten des Anbieters als Auftragsverarbeiter (nachfolgend „Auftragnehmer“) und des Auftraggebers als Verantwortlicher im Rahmen der Verarbeitung von personenbezogenen Daten im Auftrag gemäß Art. 28 der EU-Datenschutzgrundverordnung (nachfolgend „DSGVO“) fest. Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer, seine Mitarbeiter oder durch ihn beauftragte Unterauftragnehmer personenbezogene Daten des Auftraggebers verarbeiten.
Anhang 1: Technisch-organisatorische Maßnahmen („TOMs“) beim Auftragnehmer
Anhang 2: Genehmigte Unterauftragnehmer
Anhang 1 zu Anlage 1 – Technisch-organisatorische Maßnahmen („TOMs“) beim Auftragnehmer
Nachfolgend aufgeführte technisch-organisatorische Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit sind derzeit beim Auftragnehmer und/oder seinen Unterauftragnehmern vorhanden:
Technische und organisatorische Maßnahmen (TOM)
Die vorliegende Dokumentation beschreibt die vom Verantwortlichen umgesetzten technischen und organisatorischen Maßnahmen (TOM) gemäß Artikel 32 DSGVO sowie – soweit einschlägig – ergänzend nach dem Bundesdatenschutzgesetz (BDSG). Ziel ist ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten.
Die Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Kosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken ausgewählt und umgesetzt.
Dieses Dokument dient als Nachweis gegenüber Aufsichtsbehörden (§ 5 Abs. 2 DSGVO) und als internes Instrument zur regelmäßigen Überprüfung, Bewertung und Verbesserung der Datenschutzmaßnahmen. Ist es Bestandteil eines Auftragsverarbeitungsvertrages (AVV), gilt es als Anlage „Technische und organisatorische Maßnahmen“ und beschreibt die zum Vertragsabschluss vereinbarten Maßnahmen. Der Anwendungsbereich umfasst alle Verarbeitungsvorgänge personenbezogener Daten im Unternehmen.
Als Verantwortlicher gilt diejenige Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Nachfolgend sind die Kontaktdaten des Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO aufgeführt:
QLero GmbH
Südliche Münchner Str. 62
82031 Grünwald
Deutschland
E-Mail: briefkasten@qlero.de
Gesetzlicher Vertreter: Martin Peter Ulbricht und Moritz von Keiser
Die nachfolgend genannte Datenschutzaufsichtsbehörde ist für den Verantwortlichen gemäß Art. 55 DSGVO zuständig:
Bayerisches Landesamt für Datenschutzaufsicht , Promenade 18 , 91522 Ansbach,
Telefon: +49 981 180093-0 , E-Mail: poststelle@lda.bayern.de
Homepage: https://www.lda.bayern.de
Der Verantwortliche hat einen externen Datenschutzbeauftragten bestellt, der gemäß Art. 37 DSGVO wie folgt erreichbar ist:
DATENDO GmbH, Hohenzollernring 55, 50672 Köln, Tel. 0800 5577733,
E-Mail: dsgvo@datendo.de, Internet: www.datendo.de
Die technischen und organisatorischen Maßnahmen geben den Stand vom 28.12.2025 wieder und sind in dieser Dokumentation bis einschließlich 22.11.2026 gültig. Mit Ablauf der laufenden Gültigkeitsperiode findet eine Überprüfung und gegebenenfalls eine Aktualisierung der derzeit umgesetzten und dokumentierten Maßnahmen statt.
Maßnahmen, die gewährleisten, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird.
Umgesetzte technische Maßnahmen:
Abschließbare Türen: Türen können gezielt verschlossen werden, um unbefugten Zutritt zu verhindern. Sicherheitsschlösser: hochwertige, gegen Manipulation gesicherte Schlösser für kritische Türen.
Türen mit Knauf an der Außenseite: verhindert das einfache Öffnen von außen, wenn kein Schlüssel vorhanden ist.
Selbstschließende Türen mit automatischer Verriegelung: Türen fallen nach jedem
Öffnungsvorgang selbstständig ins Schloss, verriegeln sich automatisch und können nicht unbeabsichtigt offenstehen.
Elektrische Türöffner: fernsteuerbare Türöffnung für autorisierte Personen, z.B. durch Knopfdruck an der Zentrale.
Code-, Transponder- oder Chipkarten für den Zutritt: elektronische Zutrittskontrolle von Ein- und Austritten.
Zutritt per Klingel: Zutritt nur nach manueller Freigabe durch berechtigte Personen.
Zutritt per Klingel mit Kameraanlage: Zutritt nur nach Sichtprüfung und manueller Freigabe durch berechtigte Personen.
Datenschutzkonforme Videoüberwachung der Eingänge: Überwachung des innen liegenden Eingangsbereich unter Beachtung der Datenschutzbestimmungen.
Verwendung einer Alarmanlage: erkennt unbefugte Zutrittsversuche und löst akustische oder stille Alarme aus.
Smart Locks mit App-Steuerung: elektronische Türschlösser, die per Smartphone-App gesteuert und zeitlich begrenzt freigegeben werden können.
Beleuchtungskonzepte zur Sicherheit: gut ausgeleuchtete Eingangsbereiche zur besseren Kontrolle.
Umgesetzte organisatorische Maßnahmen:
Erstellung eines Zutrittskontrollkonzepts: Dokumentation aller Maßnahmen zur Zutrittskontrolle als Teil des Sicherheitskonzepts.
Erstellung und Pflege eines Zutrittsberechtigungskonzepts: Dokumentation, wer wann und wo Zutritt erhält.
Vergabe von Zutrittsrechten nach dem „Need-to-Know“-Prinzip: nur Personen, die es für ihre Arbeit benötigen, erhalten Zutritt.
Rückgabe von Zutrittsmedien nach Austritt oder Funktionswechsel: Karten, Schlüssel oder Codes müssen beim Austritt aus dem Unternehmen zurückgegeben werden.
Verwendung einer Schlüsselliste: Dokumentation aller ausgegebenen Schlüssel mit regelmäßiger Kontrolle.
Notfallpläne für verlorene Schlüssel oder Zutrittsmedien: definierte Prozesse bei Verlust von Zutrittsmedien, inklusive sofortiger Sperrung.
Vertragliche Regelungen zur Zutrittskontrolle für externe Dienstleister: Festlegung klarer Zutrittsregeln für externe Firmen.
Awareness-Schulungen für Mitarbeitende zur physischen Sicherheit: Thematisierung von Risiken wie Tailgating, Besucherumgang, Umgang mit Fremden.
Dienstanweisung zum Verschließen der Räume: alle Mitarbeitenden müssen sicherstellen, dass Räume nach Verlassen verschlossen sind.
Regelmäßige Sicherheitsbegehungen: Kontrolle, ob physische Maßnahmen tatsächlich eingehalten werden.
Audits der Zutrittsprotokolle: stichprobenweise Kontrolle der Protokolle auf Unregelmäßigkeiten. Sichere Aufbewahrung von Ersatzschlüsseln: Verwahrung in abgeschlossenen, dokumentierten Schlüsseltresoren mit Zugriffskontrolle.
Besucherprotokollierung durch Empfangspersonal: Erfassung der Besuchsdaten, inklusive Zweck des Besuchs.
Besucher können das Gebäude nur betreten, wenn sie von einem der Beschäftigten in Empfang genommen und begleitet werden: keine unbegleiteten Besucher.
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Umgesetzte technische Maßnahmen:
Zugang nur mit Benutzerkonto und Passwort: jede Person benötigt ein individuelles Benutzerkonto mit sicherem Passwort.
Logins erfolgen mit Benutzername/Passwort: Authentifizierung erfolgt über individuelle Benutzeranmeldungen.
Mehrstufige Authentifizierung (MFA): Zugang nur nach zusätzlicher Bestätigung, z.B. durch SMS-Code oder Authenticator-App.
Biometrische Zugangskontrolle: Fingerabdruck-, Gesichts- oder Iriserkennung für sichere Authentifizierung an Endgeräten.
Logins erfolgen mit biometrischen Daten: Fingerabdruck-, Gesichts- oder Iriserkennung als alternative Zugangsmethode.
Automatische Zugangssperren nach Inaktivität: Systeme sperren sich automatisch nach einer bestimmten Zeit ohne Aktivität.
Automatische Desktopsperre bei Inaktivität: der Bildschirm wird automatisch gesperrt, wenn keine
Aktivität erfolgt.
Protokollierung von Zugangsaktivitäten: alle Zugriffe auf Systeme werden dokumentiert, um eine Nachvollziehbarkeit zu gewährleisten.
Firewall und Netzwerkzugangskontrolle: Wir nutzen Cloud-Dienste, die entsprechend abgesichert sind
Eine aktuelle Firewall findet Verwendung: es wird sichergestellt, dass eine aktuelle Firewall zum Schutz der Systeme im Einsatz ist.
Ein aktueller Spamfilter findet Verwendung: Schutz vor unerwünschten E-Mails und Phishing- Angriffen.
Es werden aktuelle Softwareversionen verwendet: regelmäßige Updates zur Sicherheit und Stabilität der Systeme.
Datenverschlüsselung bei Zugriff auf sensible Informationen: Firmen-MacBooks sind mit aktiviertem FileVault konfiguriert.
Verschlüsselte Datenübertragung (HTTPS/TLS): Schutz sensibler Daten bei der Übertragung über das Netzwerk.
Der Zugriff auf Endgeräte ist verschlüsselt: Geräte werden durch Passwort, Fingerabdruck oder Gesichtserkennung geschützt.
Session-Timelimits für administrative Zugänge: automatische Beendigung von Admin-Sitzungen nach einer definierten Inaktivitätszeit.
Analoge Daten werden in einem abgeschlossenen Schrank oder Tresor gesichert: physische
Dokumente mit sensiblen Informationen werden sicher aufbewahrt.
Umgesetzte organisatorische Maßnahmen:
Vergabe von Zugriffsrechten nach dem Need-to-Know-Prinzip: nur berechtigte
Personen erhalten
Zugang zu relevanten Informationen und Systemen.
Benutzerprofile für Systeme und Programme kommen zum Einsatz: Für alle
Mitarbeitenden
jeweils individuelle Nutzerkonten
Verfahren zur Vergabe von Lese- und Schreibrechten: Benutzerverwaltung regelt differenzierte Zugriffsrechte.
Strikte Trennung von administrativen und regulären Nutzerkonten: diese sind teilweise möglich das Administratoren separate Konten für tägliche und administrative Tätigkeiten.
Regelmäßige Überprüfung der Zugangsberechtigungen: Zugangsrechte werden regelmäßig kontrolliert und angepasst.
Rückgabe und Deaktivierung von Zugangsmedien nach Austritt: sofortige Sperrung von
Benutzerkonten und Zugangskarten nach Verlassen der Organisation.
Einführung eines rollenbasierten Berechtigungskonzepts (RBAC): Zugriffsrechte werden systematisch über Rollen definiert.
Regelmäßige Re-Zertifizierung von Zugriffsrechten durch Fachverantwortliche: Fachabteilungen müssen regelmäßig prüfen und bestätigen, dass eingeräumte Rechte noch notwendig sind.
Notfallpläne für kompromittierte Zugangsdaten: definierte Prozesse für den Umgang mit verlorenen oder gestohlenen Zugangsdaten.
Vertragliche Regelungen für externe Dienstleister: klare Sicherheitsanforderungen für Dienstleister mit Zugang zu internen Systemen.
Schulung der Mitarbeiter zur sicheren Nutzung von Zugangsdaten: Sensibilisierung für
Passwortrichtlinien und sichere Authentifizierungsverfahren.
Richtlinie zum verpflichtenden Einsatz einer Bildschirmsperre: Mitarbeiter müssen eine Bildschirmsperre bei Verlassen des Arbeitsplatzes nutzen.
Clean-Desk Vorgabe: Arbeitsplätze müssen frei von sensiblen Dokumenten
gehalten werden.
Monitore sind stets sichtgeschützt aufgestellt: verhindert unbefugtes Mitlesen
durch Dritte.
Richtlinie zum Datenschutz im Homeoffice/Mobile Office: Regelungen für sicheres Arbeiten außerhalb der Betriebsstätte.
Richtlinie zum Datenschutz: klare Regelungen zur Einhaltung des Datenschutzes für Mitarbeitende.
Richtlinie zum Einsatz externer Speichermedien: Vorgaben zur Nutzung externer Speichermedien (z.B. USB-Sticks) im Unternehmen.
Besondere Überwachung von Zugriffsversuchen auf kritische Systeme: ungewöhnliche oder verdächtige Zugriffe werden protokolliert und überprüft.
Verfahren zur Eskalation bei unbefugtem Zugriffsversuch: definierter Prozess bei erkannten oder vermuteten unbefugten Zugriffen.
Abläufe für temporäre Benutzerkonten (z.B. für Praktikanten, Auditoren): zeitlich begrenzte Zugänge mit Ablaufdatum und eingeschränkten Rechten.
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und die gewährleisten, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Umgesetzte technische Maßnahmen:
Vergabe von Benutzerrollen und Berechtigungen: Zugriffsrechte werden anhand definierter Benutzerrollen vergeben.
Zugriff nach dem „Need-to-Know“-Prinzip: Mitarbeiter erhalten nur Zugriff auf Systeme und Daten, die für ihre Arbeit notwendig sind.
Mehrstufige Authentifizierung (MFA): Zusätzliche Sicherheitsstufe für den Zugriff auf kritische Systeme.
Passwortschutz für administrative Funktionen: Administrationsrechte erfordern gesonderte Authentifizierung.
Automatische Sitzungsablaufzeiten: Automatische Abmeldung von inaktiven Sitzungen zur Sicherheitserhöhung.
Protokollierung und Monitoring von Zugriffsversuchen: Protokollierung und Monitoring von Zugriffsversuchen haben wir nicht bei allen Systemen. Bei kritischen Cloud-Diensten ist dies jedoch implementiert.
Temporäre Zugangsberechtigungen für bestimmte Aufgaben: Zeitlich begrenzte Zugangsrechte für bestimmte Tätigkeiten werden Händisch sichergestellt
Single Sign-On (SSO) für autorisierte Systeme: Vereinfachter Zugang für Benutzer mit zentraler Authentifizierung.
Restriktive Firewall-Regeln für Systemzugriffe: Netzwerkzugriffe werden durch Firewalls auf autorisierte Systeme beschränkt.
Verschlüsselte Datenübertragung und Zugriffsschutz (TLS/SSL): Schutz der übertragenen Daten durch moderne Verschlüsselungstechnologien.
Zugangskontrolle über biometrische Merkmale: Fingerabdruck- oder Gesichtserkennung für hochsensible Bereiche.
Datenträger werden verschlüsselt: Sensible Daten auf externen und internen Speichern sind verschlüsselt.
Nicht mehr benötigte Datenträger werden physisch gelöscht: Datenvernichtung durch zertifizierte Methoden wie Schreddern oder Entmagnetisieren.
Sicherungsdatenträger werden außerhalb des Unternehmens aufbewahrt: Backups werden an einem externen, sicheren Standort gelagert.
Datenträger werden sicher aufbewahrt (z. B. verschließbare Schränke): Physische Speichermedien werden gegen unbefugten Zugriff gesichert.
Umgesetzte organisatorische Maßnahmen:
Regelmäßige Überprüfung der Berechtigungen: Berechtigungen werden regelmäßig kontrolliert und bei Bedarf angepasst.
Dokumentation von Berechtigungsvergabe und -änderungen: Alle Änderungen an Benutzerrechten werden nachvollziehbar dokumentiert.
Rollenbasiertes Berechtigungsmanagement: Mitarbeiter erhalten klar definierte Rollen mit spezifischen Zugriffsrechten.
Vergabe von administrativen Rechten nur nach Freigabe: Administrationsrechte werden nur nach schriftlicher Genehmigung vergeben.
Rücknahme von Zugriffsrechten nach Funktionswechsel oder Austritt: Ehemalige Mitarbeiter oder Mitarbeiter mit geänderter Rolle verlieren ungenutzte Rechte.
Mitarbeiterschulungen zur sicheren Nutzung von Zugriffsrechten: Regelmäßige Schulungen zu Datenschutz und Zugriffskontrolle.
Einsatz einer Zugriffskontrollrichtlinie: Definition und Umsetzung klarer Regeln zur Zugriffskontrolle.
Einschränkung der Administratorrechte auf wenige, geschulte Personen: Administrative Konten werden nur an ausgewählte Mitarbeiter vergeben.
Benutzerrechte werden durch Administratoren anhand eines Rollen- und
Berechtigungskonzepts vergeben: Zugriffsrechte werden strukturiert und nachvollziehbar verwaltet.
Für die Nutzung von PCs durch mehrere Beschäftigte bestehen individuelle Benutzerkonten: Jeder Nutzer erhält ein eigenes, geschütztes Konto.
Es gibt eine Richtlinie zum Umgang mit Datenträgern: Definierte Regeln zur sicheren Nutzung und Lagerung von Speichermedien.
Es besteht eine Richtlinie zur sicheren Datenträgervernichtung: Verpflichtende Maßnahmen für die sichere Vernichtung von Datenträgern.
Verwendung von Aktenvernichtern: Papierunterlagen mit sensiblen Daten werden sicher entsorgt.
Verwendung von Datenträgervernichtern: Alte Speichermedien werden mechanisch oder elektronisch zerstört.
Die Anzahl der Administratoren mit vollem Zugriff wird minimal gehalten: Reduzierung von Sicherheitsrisiken durch begrenzte Administratorenanzahl.
Notfallprozesse für unbefugten Zugriff: Bei verdacht wird sofort der Account gesperrt und in der GF wird darüber gesprochen und über Maßnahmen gesprochen und eingeleitet
Deaktivierung von Zugangsdaten nach festgelegtem Zeitraum: Regelmäßige Bereinigung nicht genutzter Konten zur Minimierung von Risiken.
Sensibilisierung für Social-Engineering-Angriffe: Schulungen zur Erkennung und Abwehr von Manipulationsversuchen.
Strikte Kontrolle von Drittanbietern mit Zugriff auf Unternehmenssysteme: Externe Dienstleister erhalten nur notwendige, befristete Zugriffsrechte.
Vergabe von Schreib- und Leserechten je nach Aufgabengebiet: Individuelle Rechtevergabe zur Vermeidung unnötiger Zugriffsrechte.
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Umgesetzte technische Maßnahmen:
verhindern.
Umgesetzte organisatorische Maßnahmen:
Maßnahmen, die gewährleisten, dass die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden und auch nicht zugewiesen werden können.
Umgesetzte technische Maßnahmen: —
Umgesetzte organisatorische Maßnahmen: –
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten zur Datenübertragung vorgesehen ist.
Umgesetzte technische Maßnahmen:
Umgesetzte organisatorische Maßnahmen:
Maßnahmen, die es erlauben, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind und ob diese den Ursprungsdaten entsprechen.
Umgesetzte technische Maßnahmen:
Umgesetzte organisatorische Maßnahmen:
Maßnahmen zur Wahrung der Verfügbarkeit stellen sicher, dass verarbeitete personenbezogene Daten auch bei technischen Störungen, Ausfällen oder sonstigen Zwischenfällen weiterhin zugänglich sind und der Geschäftsbetrieb ohne wesentliche Einschränkungen fortgeführt werden kann.
Umgesetzte technische Maßnahmen: —
Umgesetzte organisatorische Maßnahmen:
dokumentiert und abrufbar.
Maßnahmen zur Wiederherstellbarkeit gewährleisten, dass nach einem Verlust oder einer Beeinträchtigung personenbezogener Daten deren Verfügbarkeit zeitnah und in angemessener Qualität wiederhergestellt wird, um einen ordnungsgemäßen Betrieb sicherzustellen.
Umgesetzte technische Maßnahmen:
Umgesetzte organisatorische Maßnahmen:
Evaluierung der Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO;
ergänzend Art. 25 und Art. 28 DSGVO)
Maßnahmen zur Umsetzung datenschutzrechtlicher Vorgaben, also Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
Umgesetzte technische Maßnahmen:
Umgesetzte organisatorische Maßnahmen:
Maßnahmen, die sicherstellen, dass ein beauftragter Auftragsverarbeiter personenbezogene Daten ausschließlich entsprechend den dokumentierten Weisungen des Auftraggebers verarbeitet und diese Weisungen unverzüglich umsetzt.
Umgesetzte technische Maßnahmen:
Umgesetzte organisatorische Maßnahmen:
Maßnahmen, die gewährleisten, dass personenbezogene Daten im Rahmen einer Auftragsverarbeitung nur gemäß den vom Auftraggeber erteilten Weisungen verarbeitet werden. Eingehende Weisungen werden dokumentiert, auf Umsetzbarkeit geprüft und unverzüglich umgesetzt.
Umgesetzte technische Maßnahmen:
Umgesetzte organisatorische Maßnahmen:
Der Verantwortliche hat ein umfassendes Datenschutz-Managementsystem etabliert, das über die rein technischen und organisatorischen Einzelmaßnahmen hinausgeht. Ziel ist es, den Datenschutz ganzheit-lich in die Organisationsprozesse zu integrieren und kontinuierlich zu verbessern. Kernbestandteile dieses Systems sind:
Die Einzelheiten zu diesen Maßnahmen ergeben sich aus dem Datenschutz-Management-Handbuch, welches die hier dargestellten TOM ergänzt und eine umfassende Übersicht über die organisatorischen Abläufe, Zuständigkeiten und Prozesse im Datenschutz bietet.
Anhang 2 zu Anlage 1 – Genehmigte Unterauftragnehmer
Nachfolgend werden die im Rahmen der Auftragsverarbeitung eingesetzten Subunternehmer gemäß Art. 28 DSGVO aufgeführt. Der Auftraggeber genehmigt zum Zeitpunkt des Abschluss des Hauptvertrags den Einsatz der nachfolgend aufgeführten Unterauftragnehmer des Auftragnehmers:
|
Name des Unterauftragnehmers |
Anschrift/Land |
Leistungsinhalt |
Angaben zu geeigneten Garantien für Datenübermittlung ins Drittland |
|
Bare.ID GmbH |
Kirchgasse 6, 65185 Wiesbaden |
Identity & Access Management (IAM), Single-Sign-on (SSO) für Unternehmen |
Nicht erforderlich |
|
IONOS SE |
Elgendorfer Str. 57, 56410 Montabaur |
Hosting/Cloud, Domains, E-Mail, Infrastruktur |
Nicht erforderlich |
|
Sendinblue GmbH (Brevo) |
Köpenicker Str. 126, 10179 Berlin |
E-Mail-Marketing, Transaktionsmails, Kundenkommunikation, CRM & Marketing-Automation |
Nicht erforderlich |
|
Stripe Payments Europe Ltd. |
1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland |
Zahlungsdienst zur Zahlungsabwicklung, Payment Gateway, Betrugsprävention |
Nicht erforderlich |
|
Qutee GmbH |
Gerichtsstraße 2, 65185 Wiesbaden |
Telefonie-Anbieter für KI-gestützten Kundensupport |
Nicht erforderlich |
Anlage 2 – Vereinbarung zum Cloud-Switching nach Data Act
1.1. Der Kunde erhält vom Anbieter im Anhang die folgenden Informationen nach Art. 25, Art. 26, Art. 28 und 29 Data Act:
1.1.2. zu den Standard-Servicegebühren und gegebenenfalls zu den Strafen für eine vorzeitige Beendigung;
1.1.3. zu den Wechselentgelten;
1.1.4. eine erschöpfende Auflistung der Kategorien von Daten und digitalen Vermögenswerten, die exportiert werden können;
1.1.5. eine erschöpfende Auflistung der Datenkategorien, die für den internen Betrieb des Datenverarbeitungsdienstes des Anbieters spezifisch sind und von der Verpflichtung zum Datenexport ausgenommen sind, wenn die Gefahr einer Verletzung der Geschäftsgeheimnisse des Anbieters besteht.
1.1.6. Informationen zu den Verfahren für den Wechsel vom Datenverarbeitungsdienst, die maschinenlesbaren Datenformate, in denen die Nutzerdaten exportiert werden können, die Instrumente für den Datenexport, einschließlich offener Schnittstellen, Informationen zur Kompatibilität mit harmonisierten Normen oder gemeinsamen Spezifikationen auf der Grundlage offener Interoperabilitätsspezifikationen, Informationen über technische Beschränkungen und Einschränkungen, die sich auf den Vollzug des Wechsels auswirken und die geschätzte Zeit, die erforderlich ist, um den Wechsel zu vollziehen.
1.1.7. Die Webseite des Online-Registers des Anbieters mit Datenstrukturen und -formaten, relevanten Standards und offenen Interoperabilitätsspezifikationen, in denen die 1.1.4 genannten exportierbaren Daten verfügbar sind.
1.1.8. Die Webseite des Anbieters mit Informationen in Bezug auf den Zugang und die Übermittlung im internationalen Umfeld.
1.1.9. Gegebenenfalls Informationen über Datenverarbeitungsdienste, durch die der Wechsel sehr kompliziert oder kostspielig wird oder ohne nennenswerte Eingriffe in die Daten, digitalen Vermögenswerte oder die Dienstarchitektur unmöglich ist.
2.1. Der Kunde hat dem Anbieter eine Wechselmitteilung mindestens in Textform zukommen zu lassen, mit der er den Wechsel einleitet.
2.2. In einer solchen Wechselmitteilung hat der Kunde mitzuteilen, ob er beabsichtigt:
2.2.1. zu einem anderen Anbieter von Datenverarbeitungsdiensten zu wechseln. In diesem Fall sollte der Kunde die erforderlichen Angaben zum Zielanbieter machen, insbesondere Name, Anschrift und Webseite;
2.2.2. zu einer lokalen IKT-Infrastruktur des Kunden zu wechseln; oder
2.2.3. nicht zu wechseln, sondern seine exportierbaren Daten und digitalen Vermögenswerte beim Anbieter zu löschen.
2.3. Der Anbieter wird dem Kunden den Erhalt der Wechselmitteilung spätestens innerhalb von 5 Werktagen auf dem gleichen Kommunikationsweg bestätigen, den der Kunde verwendet hat.
3.1. Der verbindliche maximale Übergangzeitraum im Fall eines Wechsels beträgt 2 Monate (Kündigungsfrist nach Art. 25 Abs. 2 lit. d Data Act) und 30 Kalendertage (Übergangsfrist nach Art. 25 Abs. 2 lit. a Data Act).
3.2. Wenn der Anbieter den verbindlichen maximalen Übergangszeitraum für den Wechsel von 2 Monaten und 30 Kalendertagen aus technischen Gründen nicht einhalten kann, verpflichtet er sich:
3.2.1. den Kunden innerhalb von 14 Werktagen nach Erhalt der Kündigungsmitteilung schriftlich, einschließlich auf geeigneten elektronischen Weg, zu benachrichtigen;
3.2.2. eine alternative Übergangszeit anzugeben, die sieben 7 Monate ab Zugang der Mitteilung eines Wechsels nach 2.1. nicht überschreiten darf; und
3.2.3. die technische Unmöglichkeit angemessen zu begründen.
Der Kunde hat den Erhalt dieser Verlängerungsmitteilung innerhalb von 3 Werktagen zu bestätigen.
3.3. Der Kunde kann die Übergangszeit einmalig um einen Zeitraum verlängern, den er für seine Zwecke für angemessener hält, jedoch nicht länger als 8 Monate nach Zugang der Mitteilung eines Wechsels nach 2.1. In diesem Fall muss der Kunde den Anbieter schriftlich, auch auf elektronischem Wege, über seine Absicht bis zum Ende der ursprünglichen Übergangszeit von 2 Monaten und 30 Kalendertagen informieren und die alternative Übergangszeit angeben. Der Anbieter wird den Erhalt einer solchen Verlängerungsmitteilung innerhalb von 5 Werktagen bestätigen.
4.1. Der Anbieter verpflichtet sich, dem Kunden und den vom Kunden bevollmächtigten Dritten nach Beginn des Wechselprozesses und während dessen gesamten Dauer angemessene Unterstützung zu leisten, damit der Kunde innerhalb des vorgeschriebenen maximalen Übergangszeitraums (2 Monate und 30 Kalendertage) wechseln kann. Zu diesem Zweck wird der Anbieter insbesondere:
4.1.1. Fähigkeiten, angemessene Informationen (einschließlich der für den Wechsel erforderlichen Unterlagen) und technische Unterstützung bereitstellen. Werden Probleme festgestellt, analysieren der Anbieter und der Kunde in gutem Glauben die Ursachen und vereinbaren Lösungen.
4.1.2. Mit der gebotenen Sorgfalt handeln, um die Geschäftskontinuität aufrechtzuerhalten und die Funktionen oder Dienstleistungen gemäß der Vereinbarung weiterhin bereitzustellen.
4.1.3. Während des gesamten Wechselprozesses ein hohes Maß an Sicherheit gewährleisten, insbesondere für die Sicherheit der Daten während ihrer Übertragung.
5.1. Der Kunde verpflichtet sich, alle angemessenen Maßnahmen zu ergreifen, um einen effektiven Wechsel zu erreichen. Der Kunde verpflichtet sich, die Verantwortung für den Import und die Implementierung von Daten und digitalen Assets in seinen eigenen Systemen oder in den Systemen des Zielanbieters zu übernehmen.
5.2. Der Kunde verpflichtet sich, die geistigen Eigentumsrechte an allen Materialien, die vom Anbieter im Rahmen des Wechsels bereitgestellt werden, sowie die Geschäftsgeheimnisse des Anbieters vertraulich zu behandeln und sicherzustellen, dass von ihm beauftragte Dritte, einschließlich des Zielanbieters dies gleichfalls tun. Für den Fall, dass der Kunde Dritten Zugang zu diesen Materialien gewähren muss, verpflichtet er sich dies nur in dem Umfang zu tun, der zur Durchführung des Wechselvorgangs bis zum Ende des maximalen verbindlichen Übergangszeitraums, einschließlich der alternativen Übergangszeit, erforderlich ist, wobei gleichzeitig die Vertraulichkeitsverpflichtungen sowie die vom Anbieter gewährten Rechte an geistigem Eigentum zu beachten sind.
6.1. Im Fall eines Wechsels nach 2.2.1. oder 2.2.2. kann der Kunde seine Daten während der Datenabrufperiode von 30 Kalendertagen, die ab Ablauf des verbindlichen maximalen Übergangszeitraums (3.1.) oder des verlängerten Übergangszeitraums (3.2.) beginnt, beim Anbieter abrufen oder löschen.
6.2. Nach Ablauf der vereinbarten Datenabrufperiode nach 6.1. oder der nach Ablauf eines vereinbarten alternativen Zeitraums als der Datenabrufperiode nach 6.1. und nach erfolgreichem Abschluss des Wechselvorgangs verpflichtet sich der Anbieter, alle vom Kunden generierten oder direkt mit dem Kunden in Verbindung stehenden exportierbaren Daten und digitalen Vermögenswerte zu löschen und dem Kunden dies zu bestätigen, mit Ausnahme der personenbezogenen exportierbaren Daten, zu deren Speicherung der Anbieter gemäß EU- oder nationalen Gesetzen verpflichtet ist.
6.3. Auch während der Datenabrufperiode hat der Anbieter für ein hohes Maß an Sicherheit zu sorgen.
7.1. Unbeschadet der Regelungen zwischen den Parteien zur Kündigung des Vertrages, gilt im Falle der Einleitung eines Wechsels nach Ziffer 2. der Vertrag zwischen den Parteien dann als beendet, wenn eines der folgenden Ereignisse vollständig eingetreten ist:
7.1.1. Gegebenenfalls nach erfolgreichem Abschluss des Wechselvorgangs („Ereignis A“). Tritt Ereignis A vor Ablauf der vereinbarten Vertragslaufzeit ein, gelten die im Anhang festgelegten Gebühren für vorzeitige Kündigung, oder;
7.1.2. Am Ende der Kündigungsfrist von zwei Monaten, wenn der Kunde nicht wechseln, sondern seine exportierbaren Daten und digitalen Vermögenswerte bei Beendigung des Dienstes löschen möchte („Ereignis B“).
7.2. Sobald der Kunde dem Anbieter mitteilt, dass der Wechselvorgang erfolgreich abgeschlossen ist, verpflichtet sich der Anbieter, den Kunden unverzüglich über die Beendigung des Vertrags zu informieren.
Wenn der Kunde den Anbieter nicht über den erfolgreichen Wechsel oder dessen Ausbleiben informiert, der Anbieter jedoch berechtigte Gründe zu der Annahme hat, dass der Wechsel vom Kunden erfolgreich abgeschlossen wurde, kann der Anbieter dem Kunden eine Anfrage zur Bestätigung des erfolgreichen Wechsels zusenden. Wenn der Kunde den erfolgreichen Wechsel nicht innerhalb von 30 Werktagen nach dieser Anfrage bestätigt, gilt der Wechsel, als nicht erfolgreich und der Vertrag wird nicht beendet, sondern zu den bestehenden Bedingungen fortgesetzt.
7.3. Wenn der in Ziffer 7.1.1. beschriebene Wechselvorgang nicht erfolgreich abgeschlossen werden kann, müssen die Parteien in gutem Glauben zusammenarbeiten, um das Problem zu identifizieren und zu lösen, damit der Wechselvorgang verbessert und erfolgreich abgeschlossen werden kann, eine zeitnahe Datenübertragung ermöglicht wird und die Kontinuität der Dienste gewährleistet bleibt. Insbesondere wird der Anbieter auf Wunsch des Kunden diesen dabei unterstützen, die Gründe für den erfolglosen Wechsel zu identifizieren, und ihn beraten, wie die identifizierten Hindernisse beseitigt oder umgangen werden können.
7.4. Nach eigenem Ermessen wird der Kunde auch den Zielanbieter einbeziehen, um den Wechselvorgang erfolgreich abzuschließen.
7.5. Wenn der Kunde nicht wechseln, sondern seine exportierbaren Daten und digitalen Vermögenswerte löschen möchte, verpflichtet sich der Anbieter, die Daten zu löschen, dies dem Kunden zu bestätigen und den Kunden nach Ablauf von 2 Monaten nach dem Löschungsverlangen über die Beendigung des Vertrags zu informieren.
7.6. Die Vereinbarung sowie die vereinbarten Dienstleistungen und Funktionen enden nicht, bevor eine der in den Ziffern 7.1.1. oder 7.1.2. beschriebenen Situationen (Ereignis A oder B) eindeutig eingetreten ist. Im Übrigen gilt die nachfolgende Ziffer 7.7.
7.7. Der Vertrag endet nicht vor dem erfolgreichen Abschluss des Wechselprozesses oder vor einer entsprechenden Entscheidung eines zuständigen Gerichts oder einer Parteivereinbarung.
7.8. Änderungen oder Ergänzungen dieser Anlage 2 bedürfen der Schriftform und beidseitiger Zustimmung.