Allgemeine Geschäftsbedingungen
Diese Allgemeinen Geschäftsbedingungen (nachfolgend: „AGB“) regeln die Rechtsbeziehungen zwischen der Meisterwerk App GmbH, Lychener Straße 80, 10437 Berlin (nachfolgend „Provider“ genannt) und ihren Unternehmenskunden (nachfolgend „Kunden“ genannt) — zusammen „Vertragspartner“ genannt — bei der Nutzung eines vom Provider betriebenen Cloud-Services (siehe näher hierzu § 2).
1. Geltungsbereich
Die nachfolgenden AGB gelten für sämtliche Verträge über die Nutzung des Meisterwerk Cloud-Service. Allgemeine Geschäftsbedingungen des Kunden finden keine Anwendung.
2. Vertragsgegenstand
(1) Der Provider erbringt für den Kunden Software-as-a Service (SaaS) -Dienstleistungen über das Medium Internet im Bereich betriebswirtschaftlicher Software inklusive der Zurverfügungstellung des erforderlichen Speicherplatzes (Cloud-Service). Der Cloud-Service ermöglicht dem Kunden eine datenbankgestützte Verwaltung von elektronischen Dokumenten aller Art. Es handelt sich folglich um ein Dokumentmanagementsystem. Ziel des Cloud-Service ist es, Schriftstücke, Akustik und Lichtbilder aller Art zu speichern, sie unternehmensweit zugänglich zu machen und insbesondere eine einfache und schnelle Suche nach Informationen und deren Auswertung zu ermöglichen, wobei der Zugriff über das Internet erfolgt. Der Cloud-Service dient damit zur Organisation und Koordination von Erfassung, Entwicklung, Überarbeitung, Kontrolle und Verteilung von Dokumenten. Es wird in diesem Zusammenhang ausdrücklich auf die Einschränkungen nach (§ 8 (7)) dieser Bedingungen hingewiesen, nach denen die Einhaltung handels- und steuerrechtlicher Aufbewahrungsfristen sowie sonstiger Buchhaltungs- oder Archivierungspflichten nicht durch den Cloud-Service abgedeckt werden kann.
(2) Bestandteil des Cloud-Service sind die entgeltliche
Überlassung der Cloud-Service Software (nachfolgend als „SOFTWARE“ bezeichnet) des Providers zur Nutzung über das Internet sowie die Einräumung von Speicherplatz auf den Servern des Providers.
3. Bereitstellung der Software
(1) Der Provider stellt dem Kunden für die Dauer dieses Vertrages die SOFTWARE in der jeweils aktuellen Version über das Internet als Software as a Service zur Verfügung. Zu diesem Zweck richtet der Provider die SOFTWARE auf einem Server ein, der über das Internet für den Kunden erreichbar ist. Die vom Provider zur Nutzung der Anwendung freigegebene Softwareumgebung, insbesondere Browser, sind in den Systemvoraussetzungen der Anwendung festgelegt. Für die Schaffung der zur vertragsgemäßen Nutzung der Funktionalitäten notwendigen technischen Voraussetzungen ist der Kunde selbst verantwortlich.
(2) Der jeweils aktuelle Funktionsumfang der SOFTWARE ergibt sich aus Ihrer aktuellen Leistungsbeschreibung gemäß des Ihnen vorliegenden Angebotes.
(3) Der Provider entwickelt die SOFTWARE laufend weiter und wird diese durch laufende Updates und Upgrades verbessern, die er den Kunden zur Verfügung stellt. Die neuen Fassungen können auch Funktionserweiterungen beinhalten. Ein Anspruch des Kunden zur Erstellung von neuen Fassungen oder auf die Aufnahme bestimmter zusätzlicher Funktionalitäten in die Anwendung besteht nicht.
4. Rechteeinräumung
(1) Der Provider räumt dem Kunden das nicht ausschließliche und nicht übertragbare Recht ein, die in diesem Vertrag bezeichnete SOFTWARE während der Dauer des Vertrages im Rahmen der Cloud-Dienste bestimmungsgemäß zu nutzen.
(2) Der Kunde darf die SOFTWARE nur bearbeiten, soweit dies durch die bestimmungsgemäße Benutzung der SOFTWARE laut jeweils aktueller Leistungsbeschreibung abgedeckt ist.
(3) Der Kunde darf die SOFTWARE nur vervielfältigen, soweit dies durch die bestimmungsgemäße Benutzung der Software laut jeweils aktueller Leistungsbeschreibung abgedeckt ist. Zur notwendigen Vervielfältigung zählt das Laden der SOFTWARE in den Arbeitsspeicher auf dem Server des Providers, nicht jedoch die auch nur vorübergehende Installation oder das Speichern der SOFTWARE auf Datenträgern (wie etwa Festplatten o.Ä.) der vom Kunden eingesetzten Hardware.
(4) Der Kunde ist nicht berechtigt, die SOFTWARE Dritten entgeltlich oder unentgeltlich zur Nutzung zur Verfügung zu stellen. Eine Weitervermietung der SOFTWARE wird dem Kunden somit ausdrücklich nicht gestattet.
(5) Die von dem Kunden auf dem für ihn bestimmten Speicherplatz abgelegten Inhalte können urheber- und datenschutzrechtlich geschützt sein. Mit dem Einstellen von Inhalten in den Cloud-Service räumt der Kunde dem Provider jeweils ein unentgeltliches und übertragbares Nutzungsrecht an den jeweiligen Inhalten ein, insbesondere zur Speicherung der Inhalte auf dem von Provider bereitgestellten Server zur Bearbeitung und Vervielfältigung und Übermittlung über das Internet, soweit dies für die Erfüllung des Nutzungsvertrages erforderlich ist. Soweit der Kunde die eingestellten Inhalte wieder aus dem Cloud-Service entfernt, erlischt das dem Provider eingeräumte Nutzungs- und Verwertungsrecht. Soweit gesetzlich erforderlich oder gerichtlich bzw. behördlich angeordnet, bleibt der Provider allerdings berechtigt, zu Sicherungs- und Nachweiszwecken erstellte Kopien aufzubewahren.
5. Zurverfügungstellung von Speicherplatz
(1) Der Provider überlässt dem Kunden einen definierten Speicherplatz auf einem Server zur Speicherung seiner Daten. Der Kunde kann auf diesem Server Inhalte bis zu einem in der Preisliste definierten und bei Vertragsschluss vereinbarten Umfang ablegen. Sofern der vereinbarte Speicherplatz zur Speicherung der Daten nicht mehr ausreichen sollte, wird der Provider den Kunden hiervon verständigen. Der Kunde kann entsprechende Kontingente nachbestellen vorbehaltlich Verfügbarkeit beim Provider.
(2) Der Provider trägt dafür Sorge, dass die gespeicherten Daten über das Internet abrufbar sind.(3) Der Kunde ist nicht berechtigt, diesen Speicherplatz einem Dritten teilweise oder vollständig, entgeltlich oder unentgeltlich zur Nutzung zu überlassen.
(4) Der Kunde verpflichtet sich, keine Inhalte auf dem Speicherplatz zu speichern, deren Bereitstellung, Veröffentlichung oder Nutzung gegen geltendes Recht oder Vereinbarungen mit Dritten verstößt.
(5) Der Provider ist verpflichtet, geeignete Vorkehrungen gegen Datenverlust und zur Verhinderung unbefugten Zugriffs Dritter auf die Daten des Kunden zu treffen. Zu diesem Zweck wird der Provider regelmäßig Backups vornehmen, die Daten des Kunden auf Viren überprüfen sowie nach dem Stand der Technik Firewalls installieren.
(6) Der Kunde bleibt in jedem Fall Alleinberechtigter an den vom Kunden an den Provider im Zusammenhang mit der Erfüllung des Vertrags übermittelten Daten und kann daher jederzeit deren Herausgabe verlangen.
(7) Mit Beendigung des Vertragsverhältnisses wird der Provider dem Kunden unverzüglich sämtliche von ihm hochgeladenen Dateien, die auf dem ihm zugewiesenen Speicherplatz abgelegt sind, herausgeben. Hiervon umfasst sind nicht die vom Provider erstellten Beziehungen zwischen den Dateien und die hierzu generierten Schlagworte.
(8) Die Herausgabe der Daten erfolgt durch Übersendung über ein Datennetz. Der Kunde hat keinen Anspruch darauf, auch die zur Verwendung der Daten geeignete Software zu erhalten.
(9) Dem Provider stehen hinsichtlich der Daten des Kunden weder ein Zurückbehaltungsrecht noch das gesetzliche Vermieterpfandrecht (§ 562 BGB) zu.
6. Support
Der Provider wird Anfragen des Kunden zur Anwendung der vertragsgegenständlichen SOFTWARE und der weiteren Cloud-Dienste innerhalb der gewöhnlichen Geschäftszeiten (Montag bis Freitag 09:00 – 17:00 Uhr) nach Eingang der jeweiligen Frage innerhalb von fünf Werktagen telefonisch oder in Textform beantworten.
7. Unterbrechung/Beeinträchtigung der Erreichbarkeit
(1) Anpassungen, Änderungen und Ergänzungen der vertragsgegenständlichen Cloud-Dienste sowie Maßnahmen, die der Feststellung und Behebung von Funktionsstörungen dienen, werden nur dann zu einer vorübergehenden Unterbrechung oder Beeinträchtigung der Erreichbarkeit führen, wenn dies aus technischen Gründen zwingend notwendig ist.
(2) Die Überwachung der Grundfunktionen der Cloud-Services erfolgt täglich. Die Wartung der Cloud-Services ist grundsätzlich von Montag bis Freitag 09:00 – 17:00 Uhr gewährleistet. Bei schweren Fehlern – die Nutzung der Cloud-Dienste ist nicht mehr möglich bzw. ernstlich eingeschränkt – erfolgt die Wartung binnen 6 Stunden ab Kenntnis oder Information durch den Kunden. Der Provider wird den Kunden von den Wartungsarbeiten umgehend verständigen und den technischen Bedingungen entsprechend in der möglichst kürzesten Zeit durchführen. Sofern die Fehlerbehebung nicht innerhalb von 24 Stunden möglich sein sollte, wird der Provider den Kunden davon binnen 48 Stunden unter Angabe von Gründen sowie des Zeitraums, der für die Fehlerbeseitigung voraussichtlich zu veranschlagen ist, per E-Mail verständigen.
(3) Die Verfügbarkeit der jeweils vereinbarten Dienste nach diesem Vertrag beträgt 95,0 % im Jahresdurchschnitt einschließlich Wartungsarbeiten, jedoch darf die Verfügbarkeit nicht länger als zwei Kalendertage in Folge beeinträchtigt oder unterbrochen sein.
8. Pflichten des Kunden
(1) Der Kunde verpflichtet sich, auf dem zur Verfügung gestellten Speicherplatz keine rechtswidrigen, geltenden anwendbaren Gesetze, behördlichen Auflagen oder Rechte Dritter verletzenden Inhalte abzulegen.
(2) Der Kunde ist verpflichtet, den unbefugten Zugriff Dritter auf die geschützten Bereiche der SOFTWARE durch geeignete Vorkehrungen zu verhindern. Zu diesem Zwecke wird der Kunde, soweit erforderlich, seine Mitarbeiter auf die Einhaltung des Urheberrechts hinweisen.
(3) Unbeschadet der Verpflichtung des Providers zur Datensicherung ist der Kunde selbst für die Eingabe und Pflege seiner zur Nutzung der Cloud-Dienste erforderlichen Daten und Informationen verantwortlich.
(4) Der Kunde ist verpflichtet, seine Daten und Informationen vor der Eingabe auf Viren oder sonstige schädliche Komponenten zu prüfen und hierzu dem Stand der Technik entsprechende Virenschutzprogramme einzusetzen.
(5) Der Kunde wird für den Zugriff auf die Nutzung der Cloud-Dienste selbst eine „User ID“ und ein Passwort generieren, die zur weiteren Nutzung der Cloud-Services erforderlich sind. Der Kunde ist verpflichtet, „User ID“ und Passwort geheim zu halten und Dritten gegenüber nicht zugänglich zu machen.
(6) Die von dem Kunden auf dem für ihn bestimmten Speicherplatz abgelegten Inhalte können urheber- und datenschutzrechtlich geschützt sein. Der Kunde räumt dem Provider hiermit das Recht ein, die auf dem Server abgelegten Inhalte dem Kunden bei dessen Abfragen über das Internet zugänglich machen zu dürfen und, insbesondere sie hierzu zu vervielfältigen und zu übermitteln sowie zum Zwecke der Datensicherung vervielfältigen zu können.
(7) Für die Einhaltung handels- und steuerrechtlicher Aufbewahrungsfristen sowie sonstiger Buchhaltungs- oder Archivierungspflichten bleibt der Kunde selbst verantwortlich. Der Provider stellt insofern ausdrücklich klar, dass die SOFTWARE nicht zur Erfüllung der genannten Pflichten bzw. Einhaltung der Fristen geeignet ist und eine separate Buchhaltung des Kunden insofern weiterhin notwendig bleibt.
(8) Dem Kunden sind jegliche Aktivitäten auf bzw. im Zusammenhang mit der Nutzung der Cloud-Dienste untersagt, die gegen geltendes Recht verstoßen, Rechte Dritter verletzen oder gegen die Grundsätze des Jugendschutzes verstoßen. Insbesondere sind dem Kunden folgende Handlungen untersagt:
das Einstellen gegen Datenschutzrecht und sonstiges Recht verstoßender Inhalte;die Nutzung von Inhalten, die gesetzlich geschützt oder mit Rechten Dritter (z. B. Urheberrechte) belastet sind, ohne hierzu ausdrücklich berechtigt zu sein.
(9) Der Kunde sichert zu, nur solche Daten zu speichern, die in Zusammenhang mit seiner geschäftlichen Tätigkeit stehen (Fair-Use-Policy). Bei der Einstellung eigener Inhalte sind dem Kunden des Weiteren folgende Aktivitäten untersagt:die Verbreitung von Viren, Trojanern und anderen schädlichen Dateien;die Versendung von Junk- oder Spam-Mails sowie von Kettenbriefen;die Verbreitung anzüglicher, anstößiger, sexuell geprägter, obszöner oder diffamierender Inhalte bzw. Kommunikation sowie solcher Inhalte bzw. Kommunikation, die geeignet ist, Rassismus, Fanatismus, Hass, körperliche Gewalt oder rechtswidrige Handlungen zu fördern bzw. zu unterstützen (jeweils explizit oder implizit).
Ebenfalls untersagt ist dem Kunden jede Handlung, die geeignet ist, den reibungslosen Betrieb der Cloud-Services zu beeinträchtigen, insbesondere die Systeme des Providers übermäßig zu belasten. Bei Vorliegen eines Verdachts auf rechtswidrige bzw. strafbare Handlungen des Kunden ist der Provider berechtigt und ggf. auch verpflichtet, die Aktivitäten des Kunden zu überprüfen und ggf. geeignete rechtliche Schritte einzuleiten.
9. Vergütung
(1) Der Kunde verpflichtet sich, dem Provider für die Überlassung der SOFTWARE und die Einräumung des Speicherplatzes das vereinbarte monatliche Entgelt zzgl. gesetzlicher MwSt. zu bezahlen. Sofern nicht anders vereinbart, richtet sich die Vergütung nach der im Zeitpunkt des Vertragsschlusses gültigen Preisliste des Providers.
(2) Der Provider behält sich vor, die auf der Grundlage dieses Vertrages zu zahlenden Preise darüber hinaus nach billigem Ermessen der Entwicklung jener Kosten anzupassen, die für die Preisberechnung maßgeblich sind. Eine Preiserhöhung kommt in Betracht und eine Preisermäßigung ist vorzunehmen, wenn sich z. B. die Kosten für die IT-Infrastruktur oder sonstige laufende Kosten erhöhen oder sonstige Änderungen der rechtlichen Rahmenbedingungen zu einer veränderten Kostensituation führen. Steigerungen bei einer Kostenart dürfen nur in dem Umfang für eine Preiserhöhung herangezogen werden, in dem kein Ausgleich durch etwaig rückläufige Kosten in anderen Bereichen erfolgt. Bei Kostensenkungen wird der Provider die Preise ermäßigen, soweit diese Kostensenkungen nicht durch Steigerungen in anderen Bereichen ganz oder teilweise ausgeglichen werden. Der Provider wird bei der Ausübung seines billigen Ermessens die jeweiligen Zeitpunkte einer Preisänderung so wählen, dass Kostensenkungen nicht nach für den Kunden ungünstigeren Maßstäben Rechnung getragen werden als Kostenerhöhungen, also Kostensenkungen mindestens in gleichem Umfang preiswirksam werden wie Kostenerhöhungen.
(3) Einwendungen gegen die Abrechnung der vom Provider erbrachten Leistungen hat der Kunde innerhalb einer Frist von acht Wochen nach Zugang der Rechnung schriftlich bei der auf der Rechnung angegebenen Stelle zu erheben. Nach Ablauf der vorgenannten Frist gilt die Abrechnung als vom Kunden genehmigt. Der Provider wird den Kunden mit Übersendung der Rechnung auf die Bedeutung seines Verhaltens besonders hinweisen.
10. Mängelhaftung/Haftung
(1) Der Provider stellt die Funktions- und die Betriebsbereitschaft der Cloud-Dienste nach den Bestimmungen dieses Vertrages und der daraus verwiesenen Dokumente sicher.
(2) Für den Fall, dass Leistungen des Providers von unberechtigten Dritten unter Verwendung der Zugangsdaten des Kunden in Anspruch genommen werden, haftet der Kunde für dadurch anfallende Entgelte im Rahmen der zivilrechtlichen Haftung bis zum Eingang des Kundenauftrages zur Änderung der Zugangsdaten oder der Meldung des Verlusts oder Diebstahls, sofern den Kunden am Zugriff des unberechtigten Dritten ein Verschulden trifft.
(3) Der Provider ist zur sofortigen Sperre des Speicherplatzes berechtigt, wenn der begründete Verdacht besteht, dass die gespeicherten Daten rechtswidrig sind und/oder Rechte Dritter verletzen. Ein begründeter Verdacht für eine Rechtswidrigkeit und/oder eine Rechtsverletzung liegt insbesondere dann vor, wenn Gerichte, Behörden und/oder sonstige Dritte den Provider davon in Kenntnis setzen. Der Provider hat den Kunden von der Sperre und dem Grund hierfür unverzüglich zu verständigen. Die Sperre ist aufzuheben, sobald der Verdacht entkräftet ist.
(4) Schadensersatzansprüche gegen den Provider sind unabhängig vom Rechtsgrund ausgeschlossen, es sei denn, der Provider, seine gesetzlichen Vertreter oder Erfüllungsgehilfen haben vorsätzlich oder grob fahrlässig gehandelt. Für leichte Fahrlässigkeit haftet der Provider nur, wenn eine der vertragswesentlichen Pflichten durch den Provider, seine gesetzlichen Vertreter oder leitende Angestellte oder Erfüllungsgehilfen verletzt wurde. Der Provider haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss. Vertragswesentliche Pflichten sind solche Pflichten, die die Grundlage des Vertrags bilden, die entscheidend für den Abschluss des Vertrags waren und auf deren Erfüllung der Kunde vertrauen darf.
(5) Für den Verlust von Daten haftet der Provider insoweit nicht, als der Schaden darauf beruht, dass es der Kunde unterlassen hat, Datensicherungen durchzuführen und dadurch sicherzustellen, dass verloren gegangene Daten mit vertretbarem Aufwand wiederhergestellt werden können.
(6) Der Provider haftet unbeschränkt für vorsätzlich oder fahrlässig verursachte Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit durch den Provider, seine gesetzlichen Vertreter oder Erfüllungsgehilfen.
11. Laufzeit und Kündigung
(1) Der Vertrag wird auf unbestimmte Zeit geschlossen. Das Vertragsverhältnis beginnt nach erfolgreicher Anmeldung und Registrierung durch den Kunden mit der Bestätigung des Providers und kann bei Monatsabonnements von beiden Parteien jederzeit mit einer Kündigungsfrist von 30 Tagen beendet werden. Bei Jahresabonnements kann das Vertragsverhältnis frühestens nach Ablauf eines Jahres beendet werden, die Kündigungsfrist beträgt 30 Tage zum Ende des Vertragsjahres. Andernfalls verlängert sich das Jahresabonnement jeweils um ein weiteres Jahr.
(2) Unberührt bleibt das Recht jeder Vertragspartei, den Vertrag aus wichtigem Grunde fristlos zu kündigen. Zur fristlosen Kündigung ist der Provider insbesondere berechtigt, wenn der Kunde fällige Zahlungen trotz Mahnung und Nachfristsetzung nicht leistet oder die vertraglichen Bestimmungen über die Nutzung der Cloud-Dienste verletzt. Eine fristlose Kündigung setzt in jedem Falle voraus, dass der andere Teil schriftlich abgemahnt und aufgefordert wird, den vermeintlichen Grund zur fristlosen Kündigung in angemessener Zeit zu beseitigen.
12. Datenschutz/Geheimhaltung
(1) Der Kunde selbst ist für die ggf. nach den Bestimmungen des Bundesdatenschutzgesetzes durch seine Vertragspartner (insbesondere Endkunden und Mitarbeiter) erforderlichen Zustimmungserklärungen verantwortlich. Er sichert dem Provider zu, auch im Übrigen die gesetzlichen Vorgaben des Datenschutzes zu beachten.
(2) Der Provider verpflichtet sich, über alle ihm im Rahmen der Vorbereitung, Durchführung und Erfüllung dieses Vertrages zur Kenntnis gelangten vertraulichen Vorgänge, insbesondere Geschäfts- oder Betriebsgeheimnisse des Kunden, strengstes Stillschweigen zu bewahren und diese weder weiterzugeben noch auf sonstige Art zu verwerten. Dies gilt gegenüber jeglichen unbefugten Dritten, d.h. auch gegenüber unbefugten Mitarbeitern sowohl des Providers als auch des Kunden, sofern die Weitergabe von Informationen nicht zur ordnungsgemäßen Erfüllung der vertraglichen Verpflichtungen des Providers erforderlich ist. In Zweifelsfällen wird sich der Provider vom Kunden vor einer solchen Weitergabe eine Zustimmung erteilen lassen.
(3) Der Provider verpflichtet sich, mit allen von ihm im Zusammenhang mit der Vorbereitung, Durchführung und Erfüllung dieses Vertrages eingesetzten Mitarbeitern und Nachunternehmern eine mit vorstehendem Abs. 2 inhaltsgleiche Regelung zu vereinbaren.
13. Datenschutzrechtliche Einwilligungserklärung, Newsletter
Der Kunde willigt hiermit ein, dass der Provider seine E-Mail-Adresse sowie die Nutzungsfrequenz seiner Dienstleistungen auswertet, um den Kunden über Produkte und Dienstleistungen aus seinem Hause oder passende Produkte und Dienstleistungen von Partnerunternehmen mittels E-Mail zu informieren. Der Kunde kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf kann durch Klick auf den in jeder Newsletter-E-Mail bereitgestellten Link, per E-Mail an info@meisterwerk-app.de oder durch eine Nachricht an die im Impressum angegebenen Kontaktdaten erklärt werden. Die angegebenen Daten des Kunden werden nicht an Dritte weitergegeben. Der Newsletter-Versand erfolgt im Übrigen entsprechend der gesonderten Datenschutzerklärung.
Der Kunde willigt weiter ein, dass der Provider zur Weiterentwicklung des Vertragsgegenstandes bzw. des Leistungsumfanges das Nutzungsverhalten des Kunden auswertet und statistische Auswertungen durchführt bzw. zur Durchführung von Kundenumfragen verwendet, damit die angebotenen Dienstleistungen besser auf die individuellen Bedarfe des Kunden angepasst werden können.
14. Anwendbares Recht, Gerichtsstand
(1) Auf den vorliegenden Vertrag findet ausschließlich deutsches Recht Anwendung.
15. Änderungen dieser Bedingungen
(1) Der Provider behält sich vor, diese AGB jederzeit mit Wirksamkeit auch innerhalb des bestehenden Vertragsverhältnisses in angemessenem Umfang zu ändern. Der Provider wird den Kunden hierzu über geplante Änderungen der AGB rechtzeitig benachrichtigen. Widerspricht der Kunde der Geltung der neuen AGB nicht innerhalb von sechs (6) Wochen nach der Benachrichtigung oder nutzt er nach deren Ablauf den Cloud-Service weiter, gelten die geänderten AGB als vom Kunden angenommen. Auf diese Wirkungen wird der Provider in der Ankündigung hinweisen. Widerspricht ein Kunde einer Änderung der Nutzungsbedingungen, gilt dies als fristlose Kündigung des Vertrags durch ihn.
(2) Provider behält sich vor, diese AGB jederzeit auch ohne Zustimmungserfordernis des Kunden zu ändern,wenn die Änderung lediglich vorteilhaft für den Kunden ist;wenn die Änderung rein technisch oder prozessual bedingt ist, es sei denn, sie hat wesentliche Auswirkungen für den Kunden;soweit der Provider verpflichtet ist, die Übereinstimmung der AGB mit anwendbarem Recht herzustellen, insbesondere wenn sich die geltende Rechtslage ändert;soweit der Provider damit einem gegen ihn gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt odersoweit der Provider zusätzliche, gänzlich neue Dienstleistungen, Dienste oder Dienstelemente einführt, die einer Leistungsbeschreibung in den AGB bedürfen, es sei denn, dass bisherige Nutzungsverhältnis wird dadurch nachteilig verändert.
16. Sonstiges
(1) Mündliche Nebenabreden sind nicht getroffen. Änderungen, Ergänzungen und Zusätze dieses Vertrages haben nur Gültigkeit, wenn sie zwischen den Vertragsparteien schriftlich vereinbart werden. Dies gilt auch für die Abänderung dieser Vertragsbestimmung.
(2) Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Vertragslücke.
Stand Januar 2021
Auftragsverarbeitung
Ergänzende Bedingungen zu den AGB
Vertrag über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 Abs. 3 DS-GVO
zwischen
dem Kunden
– nachfolgend „Auftraggeber“ genannt –
und
Meisterwerk App GmbH, Lychener Straße 80, 10437 Berlin
– nachfolgend „Auftragnehmer“ genannt –
– Auftraggeber und Auftragnehmer gemeinsam auch die „Parteien“ genannt –
§1 Vertragsgegenstand
(1) Im Rahmen der Leistungserbringung des Hauptvertrags (Anlage 1) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher i.S.d. Art. 4 Ziff. 7 DS-GVO fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag enthält die Bestimmungen, insbesondere datenschutzrechtliche Rechte und Pflichten der Parteien, über den Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
Der Auftrag umfasst die im Hauptvertrag beschrieben Leistung.
(2) Der Auftragnehmer verarbeitet die personenbezogenen Daten unbeschadet des Absatzes 3 ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum.
(3) Sofern der Auftragnehmer die Verarbeitung von personenbezogenen Daten in einem Drittland (d.h. außerhalb der Europäischen Union/einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum) verarbeitet, bedarf es der vorherigen schriftlichen Zustimmung des Auftraggebers und erfolgt nur, sofern und soweit die besonderen Voraussetzungen der Art. 44 ff DS-GVO erfüllt sind.
§2 Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung
(1) Der Auftragnehmer verarbeitet die Auftraggeber-Daten ausschließlich im Auftrag (§ 1 Abs. 1 dieses Vertrags) und nach dokumentierter Weisung des Auftraggebers i.S.v. Art. 28 Abs. 3 lit. a DS-GVO.
(2) Der Auftragnehmer verarbeitet die Auftraggeber-Daten ausschließlich in der Art, in dem Umfang und zu den Zwecken, die abschließend in Anlage 2 zu diesem Vertrag festgelegt sind. Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer betrifft ausschließlich die in Anlage 2 zu diesem Vertrag abschließend festgelegten Kategorien betroffener Personen. Jede davon abweichende oder darüberhinausgehende Verarbeitung von Auftraggeber-Daten ist dem Auftragnehmer untersagt, insbesondere eine Verwendung der Auftraggeber-Daten zu eigenen Zwecken.
§3 Weisungsbefugnisse des Auftraggebers
(1) Der Auftragnehmer verarbeitet die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den in diesem Vertrag enthaltenen Bestimmungen und den sonstigen Weisungen des Auftraggebers.
(2) Der Auftraggeber erteilt alle Weisungen und Aufträge schriftlich oder in einem dokumentierten elektronischen Format. Sofern der Auftraggeber eine Weisung mündlich erteilt, ist diese unverzüglich durch den Auftraggeber schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
(3) Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
(4) Die weisungsberechtigten Personen des Auftraggebers und die empfangsberechtigten Personen des Auftragnehmers sind in Anlage 3 festgelegt. Für das Erteilen von Weisungen wird der in Anlage 3 festgelegte Kommunikationsweg genutzt.
(5) Weisungen sollen im Regelfall von dem Weisungsberechtigten des Auftraggebers oder dessen Stellvertreter erteilt werden. Der Auftraggeber zeigt dem Auftragnehmer einen Wechsel in der Person des Weisungsberechtigten oder des Stellvertreters möglichst frühzeitig schriftlich oder in elektronischer Form (E-Mail) unter Benennung eines Vertreters an. Bis zum Zugang einer solchen Mitteilung beim Auftragnehmer gelten die benannten Personen weiter als weisungsberechtigt.
(6) Ein Wechsel in der Person des Empfangsberechtigten oder des Stellvertreters bzw. deren dauerhafte Verhinderung hat der Auftragnehmer dem Auftraggeber möglichst frühzeitig schriftlich oder in elektronischer Form (E-Mail) unter Benennung eines Vertreters mitzuteilen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt für Weisungen des Auftraggebers.
(7) Ist der Auftragnehmer der begründeten Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt (vgl. Art. 28 Abs. 3 S. 2 lit. e und f DS-GVO), hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber mit mindestens 14-tägiger Frist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. Bestätigt der Auftraggeber schriftlich mit kurzer Begründung die Weisung, ist der Auftragnehmer verpflichtet, sie zu befolgen. Die Parteien sind sich einig, dass der Auftraggeber in diesem Fall für die Rechtmäßigkeit der Verarbeitung alleine verantwortlich ist.
§4 Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist nach außen, insbesondere gegenüber Dritten und betroffenen Personen, allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten gem. Art. 6 Abs. 1 DS-GVO und für die Wahrung der Rechte der betroffenen Personen nach den Art. 12-22 DS-GVO. Der Auftragnehmer ist gleichwohl, soweit gesetzlich zulässig, dazu verpflichtet, alle Anfragen durch betroffene Personen, sofern sie sich erkennbar an den Auftraggeber richten, an diesen weiterzuleiten. Der Auftragnehmer unterstützt den Auftraggeber in angemessenem Umfang bei der Beantwortung von Anträgen von betroffenen Personen (z.B. Berichtigung, Löschung und Sperrung von Daten) und ist berechtigt, hierfür eine angemessene Entschädigung in Rechnung zu stellen.
(2) Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und im Verhältnis der Parteien zueinander Inhaber aller etwaigen Rechte an den Auftraggeber-Daten.
(3) Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen. Ferner ist der Auftraggeber für die Qualität sowie die rechtmäßige Erhebung der Auftraggeber-Daten verantwortlich. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
(4) Der Auftraggeber erteilt dem Auftragnehmer die Zustimmung, in Ausnahmefällen Daten des Auftragnehmers außerhalb des Bürogebäudes (z.B. bei der Heimarbeit durch Mitarbeiter des Auftragnehmers) zu verarbeiten. Der Auftraggeber ist berechtigt, nach billigem Ermessen der Verarbeitung von Auftraggeber-Daten außerhalb der Hauptniederlassung des Auftragnehmers zu widersprechen. Bei der Verarbeitung von Auftraggeber-Daten im Rahmen von Heimarbeit hat der Auftraggeber das Recht, gemäß dem Verfahren in § 9 dieses Vertrags, Kontrollen durchzuführen. Ferner sind spezielle technische und organisatorische Maßnahmen für die Heimarbeit implementiert.
§5 Pflichten des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers zu verarbeiten. Dies gilt nicht, sofern der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderen Verarbeitung verpflichtet ist (z.B. Ermittlungen durch Staatsbehörden, Strafverfolgungsbehörden). In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Intereses verbietet (vgl. Art. 28 Abs. 3 S. 2 lit. a DS-GVO).
(2) Der Auftragnehmer verwendet die durch den Auftraggeber zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Der Auftragnehmer darf ohne vorherige schriftliche Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen, soweit und solange sie nicht zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung, zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) oder zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(3) Der Auftragnehmer darf Auftraggeber-Daten ohne vorherige schriftliche Zustimmung durch den Auftraggeber auch nicht an Dritte oder andere Empfänger aushändigen. Hiervon ausgenommen sind Datenweitergaben an Unterauftragnehmer, deren Beauftragung der Auftraggeber gemäß § 10 Abs. 9 zugestimmt hat.
(4) Der Auftragnehmer erteilt Dritten oder Behörden Auskünfte über personenbezogene Daten aus diesem Auftragsverhältnis, soweit rechtlich zulässig, nur nach vorheriger schriftlicher oder elektronisch dokumentierter Weisung oder Zustimmung durch den Auftraggeber.
(5) Ist der Auftraggeber gegenüber einer staatlichen Stelle, einem Betroffenen oder einer anderen Person verpflichtet, Auskünfte über die Auftraggeber-Daten oder deren Verarbeitung zu erteilen, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte auf erstes Anfordern zu unterstützen, insbesondere durch unverzügliche Zurverfügungstellung sämtlicher Informationen und Dokumente über die vertragsgegenständliche Verarbeitung von Auftraggeber-Daten einschließlich den vom Auftragnehmer ergriffenen technisch-organisatorischen Maßnahmen, über den technischen Ablauf der Verwendung von Auftraggeber-Daten, die Orte an denen Auftraggeber-Daten verwendet werden und über die an der Verarbeitung beteiligten Mitarbeiter.
(6) Der Auftragnehmer verpflichtet sich,
bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12-22 DS-GVO,an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten,bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers,sowie bei der Einhaltung der Verpflichtungen des Auftraggebers in Bezug auf die Sicherheit der Verarbeitung
im notwendigen Umfang mitzuwirken und den Auftraggeber, soweit möglich, angemessen zu unterstützen (vgl. Art. 28 Abs. 3 S. 2 lit. e, f DS-GVO). Die hierfür erforderlichen Informationen sind jeweils an die in Anlage 3 genannte Stelle des Auftraggebers zu übermitteln:
(7) Der Auftragnehmer ist dazu verpflichtet, personenbezogene Daten aus diesem Auftragsverhältnis zu berichtigen, zu löschen oder die Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer schriftlichen oder elektronisch dokumentierten Weisung verlangt und berechtigte Interessen des Auftragnehmers, insbesondere die Einhaltung von gesetzlichen Vorschriften, nicht entgegenstehen.
(8) Auftraggeber und Auftragnehmer stimmen sich zur Vornahme einer Änderung des Verarbeitungsgegenstandes oder einer Verfahrensänderung ab. Die Änderung wird schriftlich oder in einem dokumentierten elektronischen Format festgehalten.
(9) Für die Unterstützungshandlungen nach diesem § 5 ist der Auftragnehmer berechtigt, eine angemessene Entschädigung in Rechnung zu stellen.
§6 Verpflichtung zur Vertraulichkeit und Beachtung von Geheimnisschutzregeln
(1) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO, insbesondere über die Auftragsverarbeitung (Art. 28 DS-GVO), bekannt sind.
(2) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
(3) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Datenverarbeitung beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Für die Zeit ihrer Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses sind diese Mitarbeiter in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 S. 2 lit. b und Art. 29 DS-GVO).
(4) Der Auftragnehmer wird diese Verpflichtungen dokumentieren. Auf Verlangen des Auftraggebers wird der Auftragnehmer ihm die Einhaltung dieser Bestimmung durch Vorlage der Verpflichtungserklärungen oder auf andere geeignete Weise nachweisen.
§7 Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)
(1) Der Auftragnehmer ist verpflichtet, diejenigen technischen und organisatorischen Maßnahmen zu treffen und während der Vertragslaufzeit aufrechtzuerhalten, die erforderlich sind, um für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau zu gewährleisten. Die Schutzziele von Art. 32 Abs. 1 DS-GVO wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen werden dabei berücksichtigt, um ein Risiko während der Vertragslaufzeit möglichst gering zu halten.
(2) Das Datenschutzkonzept des Auftragnehmers in Anlage 4 stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar. Der Auftraggeber bestätigt, dass die technischen und organisatorischen Maßnahmen unter Berücksichtigung der Risiken der Verarbeitung der Auftraggeber-Daten ein angemessenes Schutzniveau für die Auftraggeber-Daten bieten.
(3) Der Auftragnehmer nimmt bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vor (Art. 32 Abs.1 lit. d DS-GVO). Das Ergebnis sowie vollständiger Auditbericht werden dem Auftraggeber in Bezug auf die vertragsgegenständlichen Daten auf schriftliche Anforderung und gegen eine angemessene Entschädigung zur Verfügung gestellt.
(4) Der Auftragnehmer benachrichtigt den Auftraggeber, sofern die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen.
(5) Der Auftragnehmer ist berechtigt, die Maßnahmen während des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung anzupassen, sofern er dabei die vereinbarten Standards nicht unterschreitet.
§8 Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzung des Schutzes personenbezogener Daten
(1) Der Auftragnehmer ist in Bezug auf die Verarbeitung der Auftraggeber-Daten verpflichtet, den Auftraggeber unverzüglich über Störungen oder Verstöße des Auftragnehmers (oder bei ihm beschäftigte Personen, die Zugang zu Auftraggeber-Daten haben) gegen datenschutzrechtliche Bestimmungen oder gegen Bestimmungen dieses Auftragsverhältnisses mitzuteilen.
(2) Der Auftragnehmer ist ferner dazu verpflichtet, dem Auftraggeber unverzüglich Datenschutzverletzungen oder wesentliche Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten des Auftraggebers mitzuteilen, insbesondere wenn Anhaltspunkte dafür bestehen, dass ein Dritter – gleich aus welchem Grund – unrechtmäßig Kenntnis von Auftraggeber-Daten erlangt haben könnte, oder wenn in sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Auftraggeber-Daten eingetreten ist.
(3) Die Mitteilungspflichten der Absätze 1 und 2 bestehen insbesondere in Bezug auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers gem. Art. 33 und Art. 34 DS-GVO.
(4) Der Auftragnehmer unterstützt den Auftraggeber erforderlichenfalls bei der Erfüllung seiner Pflichten nach Art. 33 und 34 DS-GVO (vgl. Art. 28 Abs. 3 S. 2 lit. f DS-GVO).
(5) Meldungen nach Art. 33 und 34 DS-GVO darf der Auftragnehmer für den Auftraggeber nur nach vorheriger schriftlicher oder elektronisch dokumentierter Weisung durchführen.
(6) Für die Unterstützungshandlungen nach diesem § 8 ist der Auftragnehmer berechtigt, eine angemessene Entschädigung in Rechnung zu stellen.
§9 Rechte und Pflichten, Kontrollrechte des Auftraggebers
(1) Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen sowie der einschlägigen gesetzlichen Datenschutzbestimmungen zu überzeugen (vgl. Art. 28 Abs. 3 Satz 2 lit. h DS-GVO). Sofern der Auftraggeber hierbei oder bei einer sonstigen Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten feststellt, informiert der den Auftragnehmer darüber unverzüglich.
(2) Zur Durchführung von Kontrollen i.S.d. Abs. 1 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 17 Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Auftraggeber-Daten verarbeitet werden, zu betreten.
(3) Der Auftraggeber informiert den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.
(4) Der Auftragnehmer gewährt dem Auftraggeber sämtliche für die Durchführung der Kontrolle vom Auftragnehmer benötigten Zugangs-, Auskunfts- und Einsichtsrechte. Der Auftragnehmer verpflichtet sich insbesondere, dem Auftraggeber Zugang zu den Datenverarbeitungseinrichtungen, Dateien und anderen Dokumenten zu gewähren, um die Kontrolle und Überprüfung der relevanten Datenverarbeitungseinrichtungen, Dateien und anderer Dokumentationen zu ermöglichen, die mit der Verarbeitung von Auftraggeber-Daten im Zusammenhang stehen. Der Auftragnehmer stellt dem Auftraggeber alle von ihm für die Kontrolle benötigten Informationen zur Verfügung. Der Auftraggeber nimmt hierbei angemessene Rücksicht auf die Betriebsabläufe und berechtigte Geheimhaltungsinteressen des Auftragnehmers.
(5) Der Auftragnehmer erhält vom Auftraggeber pro Kontrolle eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in angemessener Höhe.
(6) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von diesem § 9 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Vertraulichkeit und Beachtung von Geheimnisschutzregeln zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber verpflichtet sich, keinen Konkurrenten des Auftragnehmers mit der Kontrolle zu beauftragen.
(7) Auf schriftliches Anfordern stellt der Auftragnehmer dem Auftraggeber die jeweils aktuellen Zertifizierungen, sofern und soweit eine Zertifizierung besteht, und/oder Prüfberichte bereit, sofern und soweit der Auftraggeber einen Prüfbericht beauftragt hat, um die Effektivität der technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen.
§10 Unterauftragsverhältnisse (Art. 28 Abs. 3 S. 2 lit. d DS-GVO)
(1) Dem Auftragnehmer ist die Beauftragung von Unterauftragnehmern zur Verarbeitung von Daten des Auftraggebers nur mit vorheriger schriftlicher Zustimmung des Auftraggebers gestattet (Art. 28 Abs. 2 DS-GVO). Die Genehmigung erfolgt schriftlich oder elektronisch durch die weisungsberechtigte Person oder deren Stellvertreter (vgl. § 3 Abs. 5), nicht jedoch mündlich.
(2) Der Auftragnehmer beauftragt einen Unterauftragnehmer in einem Drittstaat nur, wenn die besonderen Voraussetzungen von Art. 44 ff DS-GVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
(3) Der Auftragnehmer schließt die Verträge mit Unterauftragnehmern schriftlich. Diese Form ist auch gewahrt, wenn ein elektronisches Format vorliegt (Art. 28 Abs. 4, Abs. 9 DS-GVO).
(4) Der Auftragnehmer stellt sicher, dass der/die Unterauftragnehmer in dem Unterauftragsverarbeitungsvertrag schriftlich zu Erbringung eines Standards verpflichtet werden, der hinter dem hier vereinbarten Standard nicht zurückbleibt. Ferner stellt der Auftragnehmer sicher, dass die Verantwortlichkeitssphären des Auftragnehmers und des Unterauftragnehmers, ggf. auch zwischen mehreren Unterauftragnehmern, deutlich voneinander abgegrenzt werden. Der Auftragnehmer stellt sicher, dass der Auftraggeber dazu berechtigt ist, im Bedarfsfall eine angemessene Überprüfung und Inspektion, auch vor Ort, bei Unterauftragnehmern durchzuführen bzw. durch von ihm beauftragte Dritte durchführen zu lassen, sofern der Nachweis der Einhaltung der DS-GVO nicht durch eine Zertifizierung oder ein Prüfzeichen nach Art. 43 DS-GVO erbracht werden kann.
(5) Der Auftraggeber stimmt hiermit der Begründung der Unterauftragsverhältnisse gemäß Anlage 6 zu.
(6) Der Auftragnehmer informiert den Auftraggeber rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Unterauftragnehmer. Der Auftraggeber hat die Möglichkeit, gegen die Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DS-GVO). Sofern der Auftraggeber rechtmäßig Einspruch erhebt und der Auftragnehmer dem Einspruch nicht entsprechen kann, informiert der Auftragnehmer den Auftraggeber unverzüglich hierüber. Der Auftraggeber ist berechtigt, den Hauptvertrag schriftlich innerhalb eines Monats nach der Information des Auftragnehmers zu kündigen.
§11 Rückgabe und Löschung überlassener Daten, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO
(1) Dem Auftragnehmer ist es untersagt, nach Beendigung dieses Vertrags Auftraggeber-Daten aktiv zu verarbeiten; nur eine weitere Speicherung der Auftraggeber-Daten bleibt gestattet, bis der Auftragnehmer diese Auftraggeber-Daten bestimmungsgemäß an den Auftraggeber herausgegeben oder sie gelöscht oder vernichtet hat; in diesem Fall gelten die Bestimmungen dieses Vertrags auch nach Beendigung des Vertrags bis zu dem Zeitpunkt weiter, in dem der Auftragnehmer über keinerlei Auftraggeber-Daten mehr verfügt.
(2) Über jede Löschung und Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein schriftliches bzw. elektronisch dokumentiertes Protokoll zu erstellen, das dem Auftraggeber auf schriftliches Verlangen vorzulegen ist.
(3) Für die Löschung und Vernichtung nach diesem § 11 ist der Auftragnehmer berechtigt, eine angemessene Entschädigung in Rechnung zu stellen.
§12 Inkrafttreten; Vertragsdauer und Kündigung
(1) Diese Vereinbarung tritt mit Wirkung zum 25. Mai 2018 in Kraft.
(2) Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Die Regelungen zur ordentlichen Kündigung des Hauptvertrags gelten entsprechend. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
(3) Das Recht der Parteien zur außerordentlichen Kündigung dieses Vertrags sowie des Hauptvertrags aus wichtigem Grund bleibt unberührt.
(4) Der Hauptvertrag darf im Falle einer Beendigung dieses Vertrags nur fortgeführt werden, wenn ausgeschlossen ist, dass der Auftragnehmer Auftraggeber-Daten verarbeitet. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als eine Kündigung dieses Vertrags und gilt eine Kündigung dieses Vertrags auch als Kündigung des Hauptvertrags.
§13 Schlussbestimmungen
(1) Änderungen, Ergänzungen und die Aufhebung dieses Vertrags bedürfen der Schriftform oder sind in einem dokumentierten elektronischen Format zu vereinbaren. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses.
(2) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Unterauftragnehmern) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend für drei volle Kalenderjahre aufzubewahren.
(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 28 DS-GVO am besten gerecht wird.
(4) Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.
Ergänzende Bedingungen zu den AGB
Weisungsberechtigte, Empfangsberechtigte Kommunikationsweg
Weisungsberechtigte/r und Stellvertreter/in:
Weisungen sind auf folgendem Kommunikationsweg zu übermitteln:
Meisterwerk App GmbH, Lychener Straße 80, 10437 Berlin
Nick Sonnenberg
Telefon: +49 (0) 30 46 69 07 66
nick@meisterwerk.app
Sofern die vorbenannte Person nicht erreichbar ist, wird stellvertretend folgende Person kontaktiert:
Meisterwerk App GmbH, Lychener Straße 80, 10437
Berlin Bertram Wildenauer
Telefon: +49 (0) 30 46 69 07 66
bertram@meisterwerk-app.de
Empfangsberechtigte/r und Stellvertreter/in
Meisterwerk App GmbH, Lychener Straße 80, 10437 Berlin
Nick Sonnenberg
Telefon: +49 (0) 30 46 69 07 66
nick@meisterwerk.app
Sofern die vorbenannte Person nicht erreichbar ist, wird stellvertretend folgende Person kontaktiert:
Meisterwerk App GmbH, Lychener Straße 80, 10437
Berlin Bertram Wildenauer
Telefon: +49 (0) 30 46 69 07 66
bertram@meisterwerk.app
Ergänzende Bedingungen zu den AGB
Zweck, Art der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen
Art der Verarbeitung:
Erheben, Erfassen, Empfangen, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder die Verknüpfung, Einschränkung, Aktualisierung, Löschen oder die Vernichtung. Die vorstehende Liste umschreibt die im Rahmen der Dienstleistung möglichen Verarbeitungstätigkeiten.
Die vorstehende Liste umfasst Informationen von Kategorien betroffener Personen, deren Daten generell im Rahmen der Dienstleistung des Auftragnehmers verarbeitet werden können. Angesichts der Art der Dienstleistung erkennt der Kunde an, dass der Auftragnehmer die vorstehende Liste weder überprüfen noch pflegen kann. Der Kunde verpflichtet sich, den Auftraggeber über alle Änderungen an der vorstehenden Liste zu informieren per E-Mail an: info@meisterwerk.app
Art der personenbezogenen Daten:
Art der DatenZweck der Daten Erhebung/Verarbeitung/ Nutzung Kreis der Betroffenen Bestandsdaten (Unternehmen) Firmenname AnsprechpartnerT elefonnummer E-Mail Straße, Hausnummer Postleitzahl, Ort Zahlungsdaten (nur wenn ein Bezahlabonnement besteht) Kontakt/Ansprechpartner Support Zahlungsabwicklung Rechnungsstellung
Unternehmen, allgemein Interessenten Abonnenten
Bestandsdaten (Nutzer) Name E-Mail Telefonnummer (optional) Handynummer (optional) Kontakt/Ansprechpartner Zugriffs- und Zutrittskontrolle zur Meisterwerk Software Technischer Support
Bei Meisterwerk registrierte Nutzer Mitarbeiter Auszubildende, Praktikanten, Werkstudenten Subunternehmer Lieferanten Registrierte Kunden Während der Nutzung Name E-Mail Telefonnummer (optional) Handynummer (optional) Standortdaten (optional) Dokumente Notizen Bilder Login zur Meisterwerk Software
Anlage 4 - Ergänzende Bedingungen zu den AGB
Technische und Organisatorische Maßnahmen
Vertraulichkeit
Alle Mitarbeiter sind per Arbeitsvertrag auf Vertraulichkeit verpflichtet
- Das Firmengebäude besitzt Sicherheitsschlösser
- Jedem Mitarbeiter des Auftragnehmers werden ein Schlüssel für das Firmengebäude sowie ggf. ein Schlüssel zu seinem jeweiligen Büro ausgehändigt.
- Die Vergabe von Schlüsseln wird dokumentiert.
- Jeder einzelne Mitarbeiter unterschreibt bei Erhalt der Schlüssel, dass er keinen der Schlüssel an Dritte weiterreicht und es unverzüglich meldet, sollte er seine Schlüsselverlieren.
- Besucher werden immer durch mindesten einen Mitarbeiter begleitet.
- Die Übertragung von Passwort und Nutzerdaten erfolgt ausschließlich über verschlüsselte https-Verbindungen.
- Der Zugriff auf den Server erfolgt via verschlüsselter SSH-Verbindung und privater Schlüsseldatei.
- Der Zugang zur Datenbank wird ebenfalls über die verschlüsselte SSH-Verbindung hergestellt.
- Authentifikation mit Benutzer + Passwort
- Benutzerberechtigungen werden verwaltet
- Schriftliche Dokumentation der Berechtigungsvergabe und regelmäßige Prüfung bestehende Berechtigungen. Umsetzung des Need-to-know Prinzips.
- Jede Dateneingabe, Änderung oder Löschung wird protokolliertWegen der Personalisierung (User) ist es möglich nachzuvollziehen wer welche Daten verarbeitet hat
- Protokolldaten werden gegen Verlust oder Änderung gesichert
- Einsatz von Aktenvernichtern, gedruckte Dokumente werden geschreddert
- Die Arbeitsgeräte werden vor unberechtigtem und unbefugtem Zugriff geschützt durch die Verwendung eines aktuellen Betriebssystems (iOS, Windows) mit jeweils der aktualisierten Version, Firewall, Virenscans Betriebssystem und Anwendungen mit individuellem Login
- Jedes Notebook oder PC hat einen passwortgesicherten Bildschirmschoner
- Passwortrichtlinien: mindestens 8 Zeichen incl. Sonderzeichen und 90 tägiger Wechsel
Keine lokale Speicherung
- 2-Faktor-Authentifizierung für das Zahlungsabwicklungssystem
- Kundendaten werden gelöscht, wenn sie nicht mehr benötigt werden / nach der gesetzlichen Aufbewahrungsfrist / auf Anweisung des Kunden.
- Sollte innerhalb der genutzten Applikation eine Schnittstelle zum Export von personenbezogenen Daten bestehen, ist der Zugriff durch einen oder mehrere im Konfigurationsprozess der Applikation festgelegte Administratoren zugänglich - nur bei Bedarf für den zuständigen Mitarbeiter. Die Export-Funktion wird in diesem Fall nur für Nutzer freigeschaltet, die explizit durch Mitarbeiter des Auftraggebers aufgeführt sind.
- Der Zugriff auf den Server ist ausschließlich Mitarbeitern der Meisterwerk App GmbH vorenthalten. Der Zugriff auf den Server erfolgt über eine private Schlüsseldatei (Private Key File). Jeder Mitarbeiter des Auftragnehmers erhält eine eigene Schlüsseldatei. Schlüsseldateien werden ausschließlich an Mitarbeiter des Auftragnehmers vergeben.
- Der Zugriff auf die Datenbank ist durch Nutzername und Kennwort geschützt. Jede App hat einen eigenen Nutzernamen und ein eigenes Kennwort, sodass der Zugriff ausschließlich durch den vorgesehenen Nutzer erfolgt. Nutzername und Kennwort der Datenbank sind, soweit nicht anders vereinbart, nur den zuständigen Mitarbeitern des Auftragnehmers zugänglich.
- Durch die eingesetzte Applikation werden Nutzer– wie auch Administrator-Aktivitäten auf Benutzerebene protokolliert. Die Abfrage personenbezogener Daten
- Jede Applikation des Servers verwendet eine getrennte Datenbank, sowie getrennte Zugriffskonten. Dies garantiert eine erhöhte Sicherheit, da ein unbefugter Dritter, der in Besitz der Zugriffsdaten einer Applikation gerät, keine Zugriffsrechte für weitere Applikationen unterschiedlichen Zwecks erlangt. Daten des Auftraggebers werden durch logische Mandantenkonzepte oder fallweise durch unterschiedliche (auch virtuelle) Server-Hardware von Daten anderer Auftraggeber getrennt.
- Entwicklungs-, Test- und Produktivsystemen sind streng voneinander getrennt.
- Für die Entwicklung unserer Software haben alle Entwickler voneinander getrennte Zugänge zu Code und Datenbank. Zudem wird eine Trennung der ServerBetriebsumgebungen (Entwicklungsumgebung, Staging-Umgebung und ProduktionsUmgebung) betrieben, um den Zugriff auf Produktionsumgebungen auf ein Minimum an Personen einzuschränken. Unsere Softwareprodukte durchlaufen eine strenge Versionierung und einen strengen Deployment- und Test-Prozess zur Qualitätssicherung.
Integrität
- Abruf- und Übermittlungsaktivitäten werden protokolliert
- Übertragene Daten werden verschlüsselt
- Soft- und Hardware vom Arbeitgeber bereitgestellt.
- Jedes Gerät (Laptop, Smartphone …), auf dem Kundendaten verarbeitet werden, ist für den jeweiligen Mitarbeiter personalisiert (User) und mit Passwort geschützt
- Sämtliche Applikationen werden mit einem SSL-Zertifikat angeboten, sodass die Datenübertragung mit den Servern des Auftragnehmers verschlüsselt abläuft. Die Daten werden im Falle einer Verwendung verschlüsselt an den Server des Auftragnehmers übertragen und gespeichert, soweit der oben genannte Betriebszweck der Applikation dies erfordert.
- Der Nutzer authentifiziert sich über E-Mail-Adresse und Passwort. Die Daten werden verschlüsselt an den Server des Auftragnehmers übertragen.
- Eine als Administrator der Applikation gekennzeichnete Person fordert personenbezogene Teilnehmerdaten über einen zugriffsgeschützten Mechanismus innerhalb der Applikation an. Diese werden verschlüsselt vom Server an den Administrator übermittelt.
- Durch die eingesetzte Applikation werden Nutzer– wie auch Administrator-Aktivitäten auf Benutzerebene protokolliert. Die Abfrage personenbezogener Daten sowie Ergänzende Bedingungen zu den AGB 3 Aktivitäten innerhalb der Applikation werden vom Server protokolliert. Es werden die IP-Adresse sowie der Zeitpunkt der getätigten Systemaktivität gespeichert. Die genaue Systemaktivität des Nutzers hängt von der eingesetzten Applikation sowie von den vom Auftraggeber getätigten Einstellungen der Applikation ab.
Verfügbarkeit und Belastbarkeit
- Die erhobenen Daten werden auf den Systemen der Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Deutschland gespeichert. Hetzner Online GmbH garantiert, die Daten nicht außerhalb der Verfügbarkeitszone zu transferieren (https://www.hetzner.de/rechtliches/agb/).
Die Maßnahmen unterliegen dem technischen Fortschritt und werden stetig weiterentwickelt. Der Auftragnehmer darf solche Maßnahmen alternativ ergreifen, die das vereinbarte Schutzniveau mindestens erreichen und der Auftraggeber rechtzeitig darüber informiert wird sowie die Möglichkeit einer Prüfung der Maßnahmen hat. Etwaige Einwendungen gegen die alternativen Maßnahmen sind über den Kommunikationsweg in Anlage 3 zu übermitteln.