Allgemeine Geschäftsbedingungen und Auftragsverarbeitung für Kostenlose Q. Accounts

Impressum, Rechtliches und Datenschutz

Allgemeine Geschäftsbedingungen

Mit dem Anlegen eines Accounts (die Anmeldung) über die Internetpräsenz der HQLabs GmbH (der Provider) akzeptierst du (der Kunde) die folgenden Allgemeinen Geschäftsbedingungen (AGB).

1          Einleitung

1.1           Allgemeines

Sämtlichen Verträgen über Lieferungen und Leistungen des Providers liegen diese AGB zugrunde. Mit der Anmeldung erklärt sich der Kunde mit den AGB einverstanden. Gegenbestätigungen des Kunden unter Hinweis auf seine AGB akzeptieren wir nur insoweit, als sie nicht unseren AGB widersprechen. Ergänzende bzw. abweichende Vereinbarungen bedürfen der ausdrücklichen schriftlichen Zustimmung des Providers. Als Kunde gilt jede natürliche oder juristische Person, welche sich angemeldet hat.

1.2           Änderungen

Der Provider behält sich vor, diese AGB jederzeit und ohne Nennung von Gründen in einer für den Kunden zumutbaren Weise zu ändern. Änderungen werden nicht später als 2 Monate vor Inkrafttreten der geänderten AGB dem Kunden per E-Mail mitgeteilt.

Widerspricht der Kunde den geänderten AGB nicht innerhalb von zwei Wochen nach Zugang der E-Mail des Providers über die Änderung der AGB nach Satz 2 dieser Ziffer 1.2, so gilt das Schweigen des Kunden als Zustimmung zu den geänderten AGB, die fortan in der geänderten Form Bestandteil des Vertrags werden. Widerspricht der Kunde den Änderungen in den AGB und kann nachweisen, dass die Änderungen nicht zumutbare sind, erhält der Kunde ein Sonderkündigungsrecht.

2          Vertragsabschluss

2.1           Vertragsgegenstand

Gegenstand des Vertrages ist die Überlassung von Software des Providers im Software as a Service (SaaS) Modell zur Nutzung über das Internet und die Speicherung und Verarbeitung von Daten des Kunden (Data-Hosting). Darüber hinaus kann der Kunde Beratungs-, Schulungs- und Entwicklungsdienstleistungen von Mitarbeitern des Providers oder Dritten im Rahmen des Vertrages beauftragen. Die Durchführung der Beratungs-, Schulungs- und Entwicklungsdienstleistungen bestimmt sich nach individueller Absprache zwischen Kunde und Provider.

2.2           Vertragsabschluss

Der Vertrag zwischen dem Kunden und dem Provider kommt durch die Anmeldung über die Internetpräsenzen des Providers zustande. Die Leistung erfolgt unter dem Vorbehalt der Verfügbarkeit, wenn diese von Dritten abhängt und diese die Nichtverfügbarkeit verursachen. Nach einem Leistungsverzug von mehr als 4 Wochen hat der Kunde das Recht, eine Frist von mindestens 14 Tagen zur Leistungserbringung zu setzen. Nach Ablauf dieser Frist kann er durch schriftliche Erklärung vom Vertrag zurücktreten, sofern die Leistung bis dahin nicht erfolgt ist. Bereits geleistete Vorauszahlungen werden in diesem Fall zurückerstattet, wobei sich der Kunde erhaltene Leistungen darauf anrechnen lassen muss. Soweit keine grobe Fahrlässigkeit oder Vorsatz vorliegt, ist ein Schadensersatz bei verspäteter Leistung ausgeschlossen.

2.3           Gewerbliche Nutzung

Die Software ist für gewerbliche Kunden bestimmt (B2B). Mit der Aktivierung des Abonnements bestätigt der Kunde, die Software für gewerbliche Zwecke zu nutzen.

2.4           Registrierung

Nach der Anmeldung über die Internetpräsenz des Providers erhält der Kunde ein persönliches Konto. Diese Zugangsdaten dürfen nicht weitergegeben werden. Der Kunde ist für deren sichere Aufbewahrung selbst verantwortlich. Die Registrierung unter falschem Namen und fiktiven E-Mail-Konten ist nicht gestattet. Im Falle von offensichtlich fiktiven Angaben behält sich der Provider vor, das Konto zu löschen. Der Kunde ersetzt dem Provider alle Schäden, die vom Kunden wegen einer Zuwiderhandlung gegen diese Ziffer 2.4 zu vertreten sind.

2.5           Pflichten des Kunden

Der Kunde verpflichtet sich, die Software nicht missbräuchlich zu nutzen. Eine missbräuchliche Nutzung liegt insbesondere vor, wenn der Kunde (a) Daten in das System einbringt, die einen Computer-Virus enthalten und (b) die Software in einer Art und Weise benutzt, welche die Verfügbarkeit der Software für andere Nutzer negativ beeinflusst. Der Kunde verpflichtet sich, den Provider für allfällige Schäden einschließlich Ansprüchen Dritter sowie Folgekosten jeder Art freizuhalten, falls er gegen die AGB verstößt.

Der Kunde verpflichtet sich, den unbefugten Zugriff Dritter auf die Software durch geeignete Vorkehrungen zu verhindern. Dazu gehört maßgeblich, das Passwort geheim zu halten und Dritten gegenüber nicht zugänglich zu machen. Darüber hat der Kunde auch seine Mitarbeiter (nachfolgend Nutzer genannt) zu informieren. Der Kunde ist selbst für die Eingabe und Pflege seiner zur Nutzung des SaaS-Dienstes erforderlichen Daten und Informationen verantwortlich.

2.6           Softwareüberlassung

2.6.1 Der Provider stellt dem Kunden für die Abonnementsdauer die Software in der jeweils aktuellen Version über das Internet zur Nutzung zur Verfügung. Alle nicht ausdrücklich gewährten Nutzungsrechte verbleiben beim Provider oder, wenn abweichend, beim jeweiligen Urheber.

Zum Zweck der Softwarebetreibung speichert der Provider die Software auf einem Server, der über das Internet für den Kunden erreichbar ist.

Der Provider stellt dem Kunden während der Vertragslaufzeit kostenlos Updates zur Verfügung. Für Support und Upgrades fallen keine zusätzlichen Kosten an. Folgende Diensleistungen sind keine regulären Supportdienstleistungen und sind daher kostenpflichtig: 

  • Datenbankänderungen
  • Datenwiderherstellung auf Kundenwunsch
  • Datenimporte die nicht explizit kostenlos angeboten werden

Die angebotenen Support Kanäle richten sich nach dem gebuchten Plan.

2.6.2 Der Provider überwacht laufend die Funktionstüchtigkeit der Software und beseitigt nach Maßgabe der technischen Möglichkeiten sämtliche Softwarefehler, die die Nutzung der Software einschränken oder unmöglich machen.

2.6.3 Der Provider ist berechtigt neue Funktionen zur Software hinzuzufügen und zu entfernen. Sollte das entfernen von Funktionen die Nutzung für den Kunden unverhältnismäßig einschränken erhält der Kunde ein sofortiges Sonderkündigungsrecht.

2.7           Entgelt

Das Entgelt über die Nutzung der Software (Abonnement) bestimmt sich nach dem Umfang des unter 2.1 definierten Vertragsgegenstandes. Wählt der Kunde ein kostenpflichtiges Abonnement, verpflichtet er sich, an den Provider für die Softwareüberlassung und das Data-Hosting das vereinbarte monatliche Entgelt zuzüglich der jeweils geltenden Umsatzsteuer zu bezahlen. Gerät der Kunde mit einer Zahlung mindestens 30 Tage in Verzug, ist der Provider berechtigt, die Leistung bis zur Zahlung des ausstehenden Entgelts zu verweigern. Dies geschieht zum Beispiel durch Einstellung des Zugangs zur Software. Gerät der Kunde mit einer Zahlung mindestens 60 Tage in Verzug, ist der Provider berechtigt, das gesamte Vertragsverhältnis außerordentlich zu kündigen. Klarstellungshalber bleiben sämtliche Ansprüche auf säumige Zahlungen des Kunden von einer solchen außerordentlichen Kündigung unberührt.

Der Provider ist berechtigt, die Entgelte angemessen zu erhöhen und hat dies nicht später als 2 Monate im Voraus zum Ablauf des aktuellen Zahlungsturnus des Kunden per E-Mail mitzuteilen. Der Kunde hat unabhängig von Sonderabreden das Recht seinen Vertrag zum Endes des aktuellen Zahlungsturnus zu kündigen, sollte die Preiserhöhung mehr als 5% betragen.

2.8           Up-/Downgraden

Das Wechseln in ein teureres Abonnement (Upgrade) oder das Zubuchen von Nutzern ist jederzeit ohne Frist im jeweiligen Abonnement möglich. Das Wechseln in ein günstigeres Abonnement (Downgrade) oder das Abbuchen von Nutzern ist zum Ende der laufenden Abrechnungsperiode möglich. Funktionen, die an ein bestimmtes Abonnement gekoppelt sind, werden mit Wirksamwerden des Up-/Downgrades frei- bzw. abgeschaltet.

2.9           Kündigung

2.9.1 Der Vertrag wird auf unbestimmte Zeit geschlossen. Eine Kündigung ist zum Ende der laufenden Abrechnungsperiode, im Falle eines kostenlosen Abonnements sofort, ohne Frist im jeweiligen Konto möglich. Nach Kündigung hat der Provider das Recht den Account inklusive aller Daten nach Wirksamwerden der Kündigung zu löschen. Auf Anfrage des Kunden und soweit technisch möglich stellt der Provider dem Kunden seine Daten in einem maschinenlesbaren Format nach erfolgter Kündigung zur Verfügung. Eine solche Datenbereitstellung ist vom Entgelt nach Ziffer 2.7 dieser AGB nicht erfasst. der Provider und der Kunde werden sich auf eineaufwandsabhängige Vergütung für die Datenbereitstellung verständigen.

2.9.2 Die sofortige Auflösung des Vertrages aus wichtigem Grund bleibt den Parteien unbenommen. Ein wichtiger Grund liegt für den Provider insbesondere dann vor, wenn der Kunde

  • die Eröffnung des Insolvenzverfahrens über sein Vermögen beantragt oder die Eröffnung des Insolvenzverfahrens mangels Masse abgelehnt wird,
  • mit Zahlungsverpflichtungen aus diesem Vertragsverhältnis 60 Tage im Verzug ist und er unter Setzung einer angemessenen Nachfrist und unter Androhung der Vertragsauflösung erfolglos gemahnt wurde,
  • bei der Nutzung der Software schuldhaft Rechtsvorschriften verletzt oder in Urheberrechte, gewerbliche Schutzrechte oder Namensrechte Dritter eingreift,
  • die Software zum Zwecke der Förderung krimineller, gesetzeswidriger und ethisch bedenklicher Handlungen nutzt.

2.9.3 Der Provider hat das Recht jederzeit das Recht kostenlose Accounts mit einer Frist von 30 Tagen zu kündigen.

3          Datenschutz & Datensicherheit

3.1           Persönliche Daten der Nutzer

Die Privatsphäre hat für den Provider höchste Priorität. Persönliche Daten des Kunden und der Nutzer werden besonders sorgfältig behandelt. Nutzer erklären sich damit einverstanden, dass ihre persönlichen Daten gespeichert und verarbeitet werden. Ohne Hinweis und explizites Einverständnis des Nutzers werden dessen persönliche Daten nicht Dritten zugänglich gemacht, außer wenn die Weitergabe aus einem der folgenden Gründe nötig ist:

  • zum rechtlichen Schutz der Nutzer
  • zur Erfüllung richterlicher oder behördlicher Anforderungen
  • zur Verteidigung und zum Schutz der Rechte des Providers oder
  • zum technischen Betrieb der Software

Nutzer werden über Produktnews innerhalb der Software und per E-Mail aufmerksam gemacht.

Die Vertragsparteien verpflichten sich, die Vorschriften des Bundesdatenschutzgesetzes zu befolgen. Zum Vertragsabschluss, zur Abwicklung der Geschäftsbeziehung und im Rahmen der Nutzung der Software erhebt der Provider persönliche Daten von mit dem Kunden verbundenen Personen. Diese Daten werden vom Provider ausschließlich im Rahmen des Zulässigen nach dem Bundesdatenschutzgesetz verwendet. Sie werden keinesfalls zu Werbezwecken an Dritte weitergegeben. Der Provider ist berechtigt, die für die Abwicklung der Geschäftsbeziehung erforderlichen personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes und Telemediengesetzes zu erheben, zu verarbeiten, zu nutzen und zu speichern.

Insofern geltende Datenschutzgesetzte nicht verletzt werden ist es dem Provider gestattet, aggregierte Auswertungen über die gespeicherten Daten durchzuführen und diese Daten zur Verbesserung des Produktes einzusetzen.

3.2           Geheimhaltung

Der Provider verpflichtet sich, über alle ihm im Rahmen der Vorbereitung, Durchführung und Erfüllung des Vertrages zur Kenntnis gelangten Geschäfts- oder Betriebsgeheimnisse des Kunden Stillschweigen zu bewahren und diese weder weiterzugeben noch auf sonstige Art zu verwerten.

Der Provider ist berechtigt, den Kunden unter Verwendung der Firma und des Logos als Referenz zu nennen und Allgemeines über den vereinbarten Vertrag in geeigneter Weise für Marketing- und Vertriebszwecke zu nutzen – außer der Kunde widerspricht in diesem Punkt schriftlich.

3.3           Datenverschlüsselung

Um den Schutz des Nutzers zu gewährleisten, wird sämtliche Kommunikation mit der Software des Providers über das HTTPS Protokoll verschlüsselt.

3.4           Datensicherheit und Datenbereitstellung

Der Provider ist verpflichtet, geeignete Vorkehrungen gegen Datenverlust und zur Verhinderung unbefugten Zugriffs Dritter auf die Daten des Nutzers zu treffen.

Um alle bei der Nutzung anfallenden Daten des Nutzers zu sichern, erstellt der Provider mindestens zweimal am Tag eine Datensicherung. Diese Sicherung wird auf anderen Servern gespeichert, die mehrfach redundant abgesichert sind. Der Kunde hat kein Recht auf Wiederherstellung seiner Daten, sollte der Kunde aus eigenem Verschulden einen Datenverlust erleiden.

Eine individuelle Rekonstruktion von Daten ist auf Anfrage möglich und wird nach Aufwand verrechnet.

Der Nutzer bleibt in jedem Fall Alleinberechtigter an den Daten und kann daher vom Provider jederzeit, insbesondere nach Kündigung des Vertrages, die Herausgabe einzelner oder sämtlicher Daten verlangen, ohne dass ein Zurückbehaltungsrecht des Providers besteht. Die Herausgabe der Daten erfolgt durch Übersendung in digitaler Form. Die Verrechnung dieser Datenbereitstellung und -herausgabe erfolgt nach Absprache nach Aufwand. Der Kunde hat keinen Anspruch darauf, auch die zur Verwendung der Daten geeignete Software zu erhalten.

3.5           Subunternehmer

Der Provider benutzt die Webdienste der Anbieter Amplitude, Inc (Amplitude), Segment.io, Inc. (Segment) und Zendesk Inc. (Zendesk) mit denen der Provider den Nutzern eine bestmögliche und persönliche Betreuung bieten kann. Diese Dienste registrieren Nutzungsdaten (Kontaktdaten, Letztes Anmeldedatum, Browser, Betriebssystem etc.). Der Kunde erklärt sich mit der Nutzung der Webdienste Intercom, Segment, Mixpanel & Zendesk und der damit verbundenen notwendigen Datenverarbeitung einverstanden.

4          Mängel & Gewährleistung

4.1           Mängel

Der Provider erbringt die Leistung im Wesentlichen so, wie dies auf der Internetpräsenz des Providers für eine normale Nutzung unter normalen Umständen angegeben ist.

Sind die vom Provider nach diesem Vertrag zu erbringenden Leistungen mangelhaft, wird der Provider innerhalb einer angemessenen Frist und nach Zugang einer Mängelrüge die Leistungen nach ihrer Wahl nachbessern oder erneut erbringen. Der Kunde ist verpflichtet, Mängel dem Provider unverzüglich über den üblichen Support-Kanal zu melden. Hat der Kunde keinen Support gebucht, kann er die Mängel an die Kontaktadresse im Impressum des Providers versenden. Gelingt die Nachbesserung oder der Ersatz durch den Provider innerhalb einer angemessenen Frist durch den Kunden nicht, ist dieser berechtigt, nach seiner Wahl den Leistungspreis angemessen herabzusetzen oder den Vertrag zu beenden.

4.2           Verfügbarkeit

Im Falle einer Unterschreitung der Systemverfügbarkeit von wesentlichen Funktionen der Software von 99,5% innerhalb der letzten 30 Tage kann der Kunde entsprechend der Unterschreitung seine Vergütung mindern. Diese Daten werdern entweder vom Provider öffentlich verfügbar gemacht oder auf Nachfrage bereitgestellt, falls die Daten nicht öffentlich verfügbar sind.

4.3           Gewährleistung

Der Provider übernimmt keine Zusicherung, Garantie oder Gewährleistung dafür, dass

  1. Die Nutzung der Produkte Anforderungen oder Erwartungen des Kunden entspricht
  2. Alle Mängel oder Fehler bezüglich der Produkte oder Funktionalität, der dem Kunden als Bestandteil des Produkts bereitgestellten Software, behoben werden, wenn diese nicht die Kernfunktionalität beeinflussen

Soweit nicht ausdrücklich anders vereinbart, begründen Ratschläge oder Informationen, die der Kunde von dem Provider erhalten hat, keine Gewährleistungsansprüche gegenüber dem Provider.

Der Provider gewährleistet nicht, dass die Software für die Nutzung an anderen Standorten ausserhalb des Vertragsgebiets geeignet oder verfügbar ist.

Die Ausschlüsse gemäss Ziffer 4.3 dieser AGB beeinträchtigen nicht die gesetzlichen Rechte des Kunden, auf die er in jedem Fall Anspruch hat und die nicht vertraglich abdingbar sind.

5          Haftung

5.1            Unbefugte Kenntniserlangung

Der Provider haftet nicht für (a) Schäden, die dem Kunden aus der Nutzung der Software entstehen und (b) Schäden aufgrund unbefugter Kenntniserlangung von persönlichen Nutzerdaten durch Dritte (z.B. durch einen unbefugten Zugriff von Hackern auf die Datenbank). Der Provider kann ebenso nicht dafür haftbar gemacht werden, dass Angaben und Informationen, welche die Nutzer selbst Dritten zugänglich gemacht haben, von diesen Dritten missbraucht werden.

5.2           Gespeicherte Inhalte

Der Kunde trägt die alleinige Verantwortung für gespeicherte Inhalte und Dateien, die lizenzpflichtig sind (z.B. Schriften und Bilder).

5.3           Ansprüche Dritter

Der Kunde verpflichtet sich, den Provider von allen Ansprüchen Dritter, die auf den von ihm gespeicherten Daten beruhen, freizustellen und dem Provider die Kosten zu ersetzen, die diesem wegen möglicher Rechtsverletzungen entstehen.

5.4           Verdacht auf Rechtswidrigkeit

Der Provider ist zur sofortigen Sperre des Kontos berechtigt, wenn der begründete Verdacht besteht, dass die gespeicherten Daten rechtswidrig erlangt wurden und/oder Rechte Dritter verletzen. Ein begründeter Verdacht für eine Rechtswidrigkeit und/oder eine Rechtsverletzung liegt insbesondere dann vor, wenn Gerichte, Behörden und/oder sonstige Dritte den Provider davon in Kenntnis setzen. Der Provider hat den Kunden von der Sperrung und dem Grund dafür unverzüglich zu verständigen. Die Sperre ist aufzuheben, sobald der Verdacht entkräftet ist.

6          Mitteilungen

Sämtliche Mitteilungen sind schriftlich an die angegebenen Adressen zu richten. Die Übersendung via E-Mail genügt jeweils dem Schriftlichkeitserfordernis. Die Vertragspartner sind verpflichtet, dem anderen Vertragspartner Adressänderungen unverzüglich bekannt zu geben, widrigenfalls Mitteilungen an der zuletzt schriftlich bekannt gegebenen Adresse als rechtswirksam zugegangen gelten.

7         Schlussbestimmungen

7.1          Aufrechnung

Der Kunde kann mit anderen Ansprüchen als mit seinen vertraglichen Gegenforderungen aus dem jeweils betroffenen Rechtsgeschäft nur aufrechnen oder ein Zurückbehaltungsrecht geltend machen, wenn dieser Anspruch vom Provider unbestritten oder rechtskräftig festgestellt ist.

7.2          Anwendbares Recht

Es gilt ausschließlich das Recht der Bundesrepublik Deutschland. Vertragssprache ist deutsch.

7.3          Gerichtsstand

Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten der Parteien aus oder anlässlich der Geschäftsbeziehung ist das sachlich zuständige Gericht in Hamburg.

7.4          Salvatorische Klausel

Sollen sich einzelne Bestimmungen oder Teile des Vertrages als unwirksam erweisen, so wird dadurch die Gültigkeit der Gesamtvereinbarung im Übrigen nicht berührt. Die Vertragspartner werden in einem solchen Fall den Vertrag so anpassen, dass der mit dem nichtigen oder unwirksam gewordener Teil angestrebte Zweck so weit wie möglich erreicht wird.


Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung („AV“)

zwischen

Nutzern der Webanwendung „Q.“ 

nachfolgend „Auftraggeber“

und

HQLabs GmbH
Am Sandortkai 71
20457 Hamburg

nachfolgend „Auftragsverarbeiter“

Auftraggeber und Auftragsverarbeiter zusammenfassend „die Parteien“

1. Anwendungsbereich

Im Rahmen der Erbringung der zwischen den Parteien bestehenden vertraglichen Leistungsbeziehungen aus dem HQ Softwarenutzungsvertrag (nachfolgend zusammenfassend „Hauptvertrag“ genannt) erhält der Auftragsverarbeiter Zugriff auf personenbezogene Daten, für welche der Auftraggeber bzw. die auf Grund des Hauptvertrages ggf. anderweitig abrufberechtigten Gesellschaft(en) datenschutzrechtlich verantwortlich sind (nachfolgend „Auftraggeberdaten“ genannt). Diese AV konkretisiert die Rechte und Pflichten des Auftraggebers und des Auftragsverarbeiters bei der Durchführung des Hauptvertrages im Hinblick auf den Umgang mit Auftraggeberdaten.

2. Auftragsverarbeitung

2.1. Der Auftragsverarbeiter verarbeitet Auftraggeberdaten im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 28 Abs. 1 DS-GVO (nachfolgend „Auftragsverarbeitung“ genannt). Der Auftraggeber bleibt als „Herr der Daten“ der für die Rechtmäßigkeit der Verarbeitung der Auftraggeberdaten Verantwortliche. Art. 28 Abs. 3 lit. a DS-GVO bleibt unberührt.

2.2. Die Verarbeitung und Nutzung der Daten findet primär im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („Sichere Staaten“) statt.

2.3. Der Auftragsverarbeiter darf Auftraggeberdaten durch Stellen außerhalb der Sicheren Staaten („Drittland“) nur verarbeiten oder verarbeiten lassen, wenn und soweit (i) für das betreffende Drittland auf Grundlage einer gültigen Entscheidung der Europäischen Kommission ein angemessenes Datenschutzniveau festgestellt ist oder (ii) die Verarbeitung auf Grundlage und nach Maßgabe der jeweils gültigen EU-Standardvertragsklauseln („SCC“) erfolgt, welche dem Auftraggeber vorzulegen und mit der im Drittland ansässigen Stelle („Datenimporteur“) schriftlich zu vereinbaren sind. Sofern der Datenimporteur und der Auftragsverarbeiter nicht identisch sind, hat der Auftragsverarbeiter diesen SCC beizutreten. Die in dieser AV festgelegten Bestimmungen bleiben unberührt.

2.4. Der Auftragsverarbeiter hat die Auftragsverarbeitung ausschließlich nach Maßgabe und in dem Umfang der in Anhang 1 zu dieser AV festgelegten oder in Bezug genommenen Bestimmungen, insbesondere nur im Rahmen des dort festgelegten Zwecks, durchzuführen.

2.5. Der Auftragsverarbeiter hat dem Auftraggeber bei der Erfüllung von Anfragen und Ansprüchen der von der Auftragsverarbeitung betroffenen natürlichen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten im Rahmen seiner Möglichkeiten zu unterstützen. Sofern die Unterstützungsleistungen des Auftragsverarbeiters über ein für diesen zumutbares und angemessenes Maß hinausgehen, kann der Auftragsverarbeiter gegenüber dem Auftraggeber eine Kostenentschädigung geltend machen. Als Grundlage für eine solche Kostentschädigung gelten die im Hauptvertrag vereinbarten Tagessätze des Auftragsverarbeiters. Der Auftragsverarbeiter wird den Auftraggeber im Vorwege über nach dieser Klausel anfallende Kosten in Kenntnis setzen.

2.6. Der Auftragsverarbeiter ist verpflichtet, dem Auftraggeber auf Anfrage zeitnah die gegebenenfalls für die Erstellung bzw. die Pflege einer internen Verarbeitungsübersicht erforderlichen Angaben zu machen. Ziff. 2.5 letzter Satz der AV gilt entsprechend.

3. Datenschutzrechtliche Weisungen

3.1. Der Auftragsverarbeiter ist verpflichtet, den datenschutzrechtlichen Weisungen des Auftraggebers zur Verarbeitung von Auftraggeberdaten, insbesondere zur Speicherung, Löschung, Sperrung oder Berichtigung von Auftraggeberdaten uneingeschränkt zu folgen. Die datenschutzrechtlichen Weisungen werden anfänglich durch diese AV festgelegt und können jederzeit durch im Einzelfall erteilte Weisungen geändert, ergänzt oder ersetzt werden (nachfolgend „einzelfallbezogene Weisungen“ genannt). Einzelfallbezogene Weisungen haben mindestens in Textform (schriftlich oder per E-Mail) zu erfolgen. In begründeten Einzelfällen können einzelfallbezogene Weisungen auch mündlich erteilt werden, müssen dann aber vom Auftraggeber unverzüglich und mindestens in Textform bestätigt werden. Ziffer 3.3 dieser AV bleibt unberührt.

3.2. Einzelfallbezogene Weisungen dürfen nur durch Personen erteilt werden, welche aufgrund ihrer organschaftlichen Stellung oder ihrer besonderen Funktion den Auftraggeber insoweit vertreten (z.B. Datenschutzbeauftragter, Chief Security Officer, Partner-Manager, etc.).

3.3. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung im Sinne von Ziffer 3.1 dieser AV gegen gesetzliche Vorschriften verstößt, denen der Auftragsverarbeiter unterliegt, ist der Auftragsverarbeiter verpflichtet, den Auftraggeber hierauf unverzüglich hinzuweisen, sowie berechtigt, die Ausführung der betreffenden Weisung bis zur Entscheidung durch den Auftraggeber auszusetzen. Die Entscheidung ist nachweisbar mindestens in Textform an den Auftragsverarbeiter zu übermitteln. Für die Bestätigung der Weisung gelten die Sätze 3 und 4 der Ziffer 3.1 sowie Ziffer 3.2 sowie 3.3. dieser AV entsprechend.

3.4. Der Auftragsverarbeiter hat sicherzustellen, dass es den mit der Auftragsverarbeitung befassten Mitarbeitern und anderen für den Auftragsverarbeiter tätigen Personen untersagt ist, die Daten außerhalb der Maßgabe von Ziffer 3.1 dieser AV erteilten Weisungen zu verarbeiten.

4. Datenlöschung

4.1. Der Auftragsverarbeiter hat ihm überlassene und alle ergänzend verarbeiteten Auftraggeberdaten einschließlich sämtlicher Vervielfältigungen (auch in Archivierungs- und Sicherungsdateien) vollständig und unwiderruflich zu löschen oder zu vernichten (nachfolgend einheitlich „Löschen“ genannt), sobald die Verarbeitung der Auftraggeberdaten nicht mehr für die Erfüllung des in Ziffer 2.4 dieser AV festgelegten Zwecks erforderlich ist. Auftraggeberdaten sind insbesondere nach Beendigung der vertragsgegenständlichen Leistungserbringung wie im Hauptvertrag beschrieben zu löschen, sofern nicht in Anhang 1 dieser AV speziellere Löschpflichten des Auftragsverarbeiters bestimmt sind. Soweit Auftraggeberdaten nach Beendigung der vertragsgegenständlichen Leistungserbringung gesetzlichen Aufbewahrungs- und Speicherpflichten des Auftragsverarbeiters (etwa gemäß §§ 145 bis 147 AO, § 257 HGB) unterliegen, hat die Löschung der Auftraggeberdaten unverzüglich zum Ende des Aufbewahrungs- bzw. Speicherzeitraums zu erfolgen; Auftraggeberdaten sind während dieses Zeitraums von jeglicher Verarbeitung auszuschließen. Der Auftragsverarbeiter ist berechtigt die Auftraggeberdaten für einen Zeitraum vom 35 Tagen nach Ablauf der Speicherfristen auf einem Backupspeichermedium zu speichern und anschließend sofort zu löschen. Der Auftraggeber hat den Auftragsverarbeiter über das Vorliegen der zuvor genannten Aufbewahrungs- und Speicherfristen zu unterrichten.

5. Technische und Organisatorische Maßnahmen zur Daten- und Informationssicherheit

5.1. Der Auftragsverarbeiter garantiert vorbehaltlich einer einzelfallbezogenen Weisung die Umsetzung der als Anhang 2 dieser AV beigefügten technischen und organisatorischen Maßnahmen zur Daten- und Informationssicherheit, welche der Auftraggeber unter Berücksichtigung der mit der Auftragsverarbeitung im Allgemeinen und den im Rahmen dieser AV verarbeiten Auftraggeberdaten und der dabei verfolgten Verarbeitungszwecke als erforderlich ansieht, um ein dem Risiko für die Rechte und die Freiheit der von der Datenverarbeitung betroffenen natürlichen Personen entsprechendes Schutzniveau für Auftraggeberdaten zu gewährleisten (Art 32 DS-GVO). Der Auftragsverarbeiter darf Änderungen der in Satz 1 in Bezug genommenen technischen und organisatorischen Maßnahmen zur Daten- und Informationssicherheit vornehmen, sofern daraus keine negativen Änderungen für das Schutzniveau der Rechte und die Freiheit der von der Datenverarbeitung betroffenen natürlichen Personen resultieren. Über solche Änderungen ist der Auftraggeber rechtzeitig zu informieren. Dem Auftragsverarbeiter steht es frei, über die in dieser Ziffer 5.1 festgelegten oder in Bezug genommenen Bestimmungen hinaus weitergehende Maßnahmen zu treffen.

5.2. Der Auftragsverarbeiter hat ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Daten- und Informationssicherheit einzusetzen (Art. 32 Abs. 1 lit. d DS-GVO).

5.3. Der Auftragsverarbeiter hat im Übrigen in seinem Verantwortungsbereich die innerbetriebliche Organisation sowie seine internen Abläufe so zu gestalten, dass sie den für den Auftragsverarbeiter unmittelbar geltenden gesetzlichen Bestimmungen zum Datenschutz gerecht werden, insbesondere im Hinblick auf die Bestellung eines Datenschutzbeauftragten, der vorzunehmenden datenschutzrechtlichen Kontrollen und datenschutzrechtlichen Schulungen, Unterweisungen und Verpflichtungen sowie der Erstellung und Pflege einer Dokumentation der im Auftrag erfolgenden Datenverarbeitungen.

6. Besondere Vorkommnisse

6.1. Sobald dem Auftragsverarbeiter bzw. von ihm im Rahmen der Auftragsverarbeitung eingesetzten natürlichen oder juristischen Personen Anhaltspunkte für ein Besonderes Vorkommnis bekannt werden, ist der Auftragsverarbeiter verpflichtet, den Auftraggeber unverzüglich ab dem Zeitpunkt des Bekanntwerdens über das Besondere Vorkommnis, insbesondere über Zeitpunkt, Ursachen und Ausmaß, zu informieren, sämtliche erforderlichen und angemessenen Sofortmaßnahmen, z.B. das Trennen von Netzwerkverbindungen oder das forensische Sichern von Beweisen, einzuleiten, um entstandene oder unmittelbar drohende Gefährdungen für die Integrität und Vertraulichkeit der Auftraggeberdaten auszuschließen.

6.2. Als Besondere Vorkommnisse im Sinne der Ziffer 6.1 gelten u.a. insbesondere
(a) der Verlust (mobiler) Medien- und/oder Datenträger, die Auftraggeberdaten enthalten (insbesondere Papier, USB-Speicher, CD-ROMs, Festplatten, Tablets, Smartphones oder Laptops, etc.);
(b) sicherheitsrelevante Ereignisse auf Systemen, mittels derer Auftraggeberdaten erhoben oder verwendet werden (insbesondere Viren, Trojaner, Würmer oder Ausnutzen von Schwachstellen);
(c) die öffentliche Zugänglichkeit von Auftraggeberdaten zum Abruf für Dritte (insbesondere über das Internet);
(d) das Entwenden von Auftraggeberdaten (insbesondere durch Mitarbeiter, Dritte oder Unbefugte); sowie
(e) die unbefugte Übermittlung an oder die anderweitige unbefugte Kenntnisnahme von Auftraggeberdaten an bzw. durch Dritte.

7. Beauftragung von Subunternehmern

7.1. Der Auftraggeber berechtigt den Auftragsverarbeiter, Subunternehmer in die Auftragsverarbeitung einzubeziehen. Einer gesonderten vorherigen Zustimmung durch den Auftraggeber bedarf es nicht. Der Auftragsverarbeiter garantiert, dass er dem von ihm jeweils beauftragten Subunternehmer dieselben Datenschutzpflichten auferlegt, die zwischen den Parteien der AV gelten und dass dieser die geeigneten technischen und organisatorischen Maßnahmen durchführt, um die Verarbeitung der Auftraggeberdaten gemäß der AV sicherzustellen. Die vom Auftragsverarbeiter zum Zeitpunkt des Abschlusses dieser AV eingesetzten Subunternehmer sind im Anhang 1 aufgeführt. Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Subunternehmers. Ein Subunternehmerverhältnis liegt vor, wenn der Auftragsverarbeiter weitere Auftragsverarbeiter mit hauptvertraglich vereinbarten (Teil-) Leistungen beauftragt und der Subunternehmer zum Zwecke der Erfüllung dieser Beauftragung Zugriff auf Auftraggeberdaten erhält. Auf Verlangen des Auftraggebers hat der Auftragsverarbeiter den Abschluss, der mit dem Subunternehmer geschlossenen Vereinbarungen gegenüber dem Auftraggeber nachzuweisen. Der Nachweis hat in Textform zu erfolgen. Erhebt der Auftraggeber gegen die beabsichtigte Änderung eines Subunternehmerverhältnisses Einspruch, so ist der Auftragsverarbeiter berechtigt, die AV sowie den Hauptvertrag außerordentlich zu kündigen.

7.2. Keine Subunternehmer im Sinne der Ziffer 7.1 sind Personen, welche mit dem Auftragsverarbeiter arbeitsvertraglich verbunden oder im Rahmen der Arbeitnehmerüberlassung entliehen sind, sofern diese nach Ziffer 5.3 dieser AV geschult und auf die Einhaltung der einschlägigen Datenschutzbestimmungen schriftlich verpflichtet sind.

8. Anfragen Dritter, Kontrollen durch Aufsichtsbehörden

8.1. Soweit der Auftragsverarbeiter den Inhalt der AV oder besondere Vorkommnisse betreffende Anfragen erhält, hat er es vorbehaltlich bestehender gesetzlicher und behördlicher Verpflichtungen zu unterlassen, entsprechende Auskünfte zu erteilen und ist verpflichtet, den Auftraggeber unverzüglich über die Anfrage zu informieren.

8.2. Ziffer 8.1 dieser AV gilt entsprechend, soweit Aufsichtsbehörden beim Auftragsverarbeiter Kontrollen ankündigen oder unangekündigt durchführen.

9. Kontroll- und Auskunftsrechte des Auftraggebers

9.1. Vor dem Beginn der AV und sodann jederzeit stellt der Auftragsverarbeiter sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragsverarbeiter dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gem. Ziff. 5.1 dieser AV, Art. 32 DS-GVO nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage von aktuellen Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT- Sicherheit- oder Datenschutzaudit erbracht werden. Der Auftraggeber und von diesem beauftragte Dritte sind ab der Durchführung der AV berechtigt, nach schriftlicher Vorankündigung von dreißig (30) Kalendertagen die Geschäftsräume des Auftragsverarbeiters zu betreten, um sich von der Einhaltung sämtlicher oder einzelner in dieser AV festgelegter und in Bezug genommener Bestimmungen zu überzeugen. Der Auftragsverarbeiter gewährt dem Auftraggeber oder von diesem beauftragten Dritten – soweit diese im gleichen Maße Verschwiegenheits- und Vertraulichkeitsverpflichtungen eingehen, wie sie zwischen den Parteien der vorliegenden AV gelten – die erforderlichen Zutritts-, Zugangs-, Auskunfts- und Einsichtsrechte, ausschließlich bezogen auf solche Teile der Datenverarbeitung, die für den Auftraggeber relevant sind. Gleiches gilt für die für den Auftraggeber zuständige(n) Aufsichtsbehörde(n). Über einen solchen Kontrolltermin wird ein schriftliches Protokoll erstellt, welches den genauen Zeitpunkt, Umfang, Inhalt und die Dauer des Kontrolltermins beschreibt. Kommt es häufiger als einmal jährlich zu einem solchen Kontrolltermin, ist der Auftragsverarbeiter dazu berechtigt gegenüber dem Auftraggeber eine Kostenentschädigung für die auf seiner Seite im Zusammenhang mit dem Kontrolltermin entstandenen Aufwendungen geltend zu machen. Als Grundlage für eine solche Kostentschädigung gelten die in der Branche üblichen Tagessätze des Auftragsverarbeiters. Der Auftragsverarbeiter wird den Auftraggeber im Vorwege über nach dieser Klausel anfallende Kosten in Kenntnis setzen.

9.2. Der Auftraggeber ist berechtigt, das in 9.1 dieser AV festgelegte Kontroll- und Auskunftsrecht auch durch die Anforderung eines Selbstaudits („Self-Assessments“) auszuüben, d.h. durch das Einfordern einer Selbstauskunft des Auftragsverarbeiters, im Rahmen dessen der Auftragsverarbeiter wahrheitsgemäß und unverzüglich, d.h. im Regelfall innerhalb von dreißig (30) Werktagen, Auskunft über den Grad der Umsetzung der in dieser AV festgelegten oder in Bezug genommenen Bestimmungen, insbesondere der technischen und organisatorischen Maßnahmen zur Daten- und Informationssicherheit zu geben hat. Kommt es häufiger als einmal jährlich zu einem solchen Self-Assessment, gilt die Kostenreglung der Ziff. 9.2 dieser AV entsprechend.

9.3. Die Parteien können abweichend festlegen, dass der Auftragsverarbeiter die Einhaltung der in dieser AV festgelegten oder in Bezug genommenen Garantien und Verpflichtungen auch auf andere Weise, insbesondere durch die in Art. 40 und Art. 42 DS-GVO vorgesehenen Instrumentarien nachweisen kann (zusammenfassend „Compliance-Nachweise“).

10. Haftung, Vertragsstrafe, Außerordentliche Kündigung

10.1. Die Parteien haften gem. Art. 82 DSGVO.

10.2. Im Innenverhältnis haftet der Auftragsverarbeiter nur für in seiner Sphäre liegendes Verschulden gegenüber dem Auftraggeber. Die Haftungsregelungen des Hauptvertrags bleiben im Innenverhältnis unberührt.

10.3. Diese Vereinbarung kann beidseitig aus wichtigem Grund gekündigt werden. Insbesondere dann, wenn nicht nur geringe Verstöße gegen die Bestimmungen dieser Vereinbarung vorliegen.

11. Aufhebung bisheriger Regelungen zur Auftragsverarbeitung / Schlussbestimmungen

11.1. Sofern zwischen den Parteien wegen der in dieser AV festgelegten oder in Bezug genommenen Leistungen bereits Vereinbarungen zur Datenverarbeitung im Auftrag bestehen, werden diese Vereinbarungen mit Wirksamkeit dieser AV aufgehoben und regelt diese AV abschließend die insoweit bestehenden Rechte und Pflichten der Parteien.

11.2. Die Parteien sind sich einig, dass diese AV mittels elektronischer Signatur unterzeichnet werden soll und alternativ in Schriftform abgefasst werden kann. Sie kann mittels elektronischer Signatur wirksam dergestalt unterzeichnet werden, dass die Parteien die jeweils von ihnen unterzeichneten Exemplare in elektronischer Form als pdf austauschen. Eine Unterzeichnung kann ebenfalls durch den digitalen Online-Registrierungsprozess des Auftragsverarbeiters erfolgen. Der Auftraggeber garantiert, dass die signierende oder den Online-Registrierungsprozess abschließende Person (Bevollmächtigter) über sämtliche zum Abschluss dieser AV erforderlichen Vollmachten und Vertretungsberechtigungen verfügt. Der Auftraggeber wird sich sämtliche Erklärungen des Bevollmächtigten zurechnen lassen. Änderungen dieser AV einschließlich ihrer Anhänge unterliegen ebenfalls den in dieser Ziffer geregelten Formerfordernissen.

11.3. Diese AV unterliegt deutschem Recht. Gerichtsstand für Streitigkeiten aus dieser AV entspricht der Regelung des Hauptvertrags.

11.4. Die in dieser AV festgelegten und in Bezug genommenen Vorschriften gelten vorrangig gegenüber anderen, die Durchführung dieser AV betreffenden vertraglichen Regelungen zwischen den Parteien zur Erhebung und Verwendung von Auftraggeberdaten durch den Auftragsverarbeiter. Sollte eine Bestimmung dieser AV und /oder ihrer Änderungen beziehungsweise Ergänzungen unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen im Vertrag nicht berührt. Die Parteien trifft bei Unwirksamkeit einer Bestimmung die Pflicht, über eine wirksame und zumutbare Ersatzregelung zu verhandeln, die dem von den Parteien mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt. 

Anhang 2 – Technische und organisatorische Maßnahmen zur Daten- und Informationssicherheit

 

1 Vertraulichkeit der Daten

1.1 Zutrittskontrolle

1.1.1 Zutritt zu den Räumlichkeiten des Auftragsverarbeiters, die zur Durchführung des Auftrags verwendet werden, ist auf die zur Durchführung des Auftrags erforderlichen Personen beschränkt.

1.1.2 Die Eingänge zu den Räumlichkeiten des Auftragsverarbeiters, in denen Personenbezogene Daten verarbeitet werden, sind mit Sicherheits- oder Magnetkartenschlössern gegen Zutritt Unbefugter gesichert.

1.1.3 Türen, Tore und Fenster der Räumlichkeiten des Auftragsverarbeiters, in denen Personenbezogene Daten verarbeitet werden, sind außerhalb der Betriebszeiten fest verschlossen; Türen, Tore und Fenster in Keller und Erdgeschoss sowie alle weiteren leicht zu erreichenden Zugänge zu diesen Räumen sind derart ausgeführt, dass diese Unbefugten nur erheblich erschwert zugänglich sind, etwa durch einbruchhemmende Türen, Tore, Fenster und Schlösser und/oder den Einsatz einer Einbruchmeldeanlage, sowie die in VdS 2333 beschriebenen Sicherungsmaßnahmen der Sicherungsklasse SG1.

1.1.4 Zur Durchführung des Auftrags vom Auftragsverarbeiter verwendete Server sind in einem separat abgesicherten Serverraum oder Rechenzentrum untergebracht, welche durch eine Zutrittskontrollanlage entsprechend Klasse B nach VdS 2367 gegen den Zutritt Unbefugter gesondert gesichert sind. Diese Räume sind einbruchhemmend geschützt und mindestens gemäß den Vorgaben der Sicherungsklasse SG1 nach VdS 2333 ausgeführt. Der Zutritt zu diesen Räumlichkeiten ist auf das zur Wartung und Instandsetzung sowie auf die im Übrigen konkret erforderlichen Rollen und Personen beschränkt.

1.2 Zugangskontrolle

1.2.1 Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- und Serversysteme) sind durch Authentifikations- und Autorisationssysteme geschützt.

1.2.2 Identifikations- und Authentifikationsinformationen (insbesondere in Form von Benutzernamen und Passwörtern), welche mit der Zugangsberechtigung zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, werden nur an die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem für die jeweilige Aufgabe erforderlichen Umfang vergeben.

1.2.3 Jede Vergabe von Zugangsberechtigungen wird für die Laufzeit des Auftrags dokumentiert.

1.2.4 Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergeben. Die Benutzung von Accounts durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlich.

1.2.5 Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, Ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in Ziffer 1.2.6 dieses Anhangs 2 festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an.

1.2.6 Die Wahl der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter.

1.2.7 Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer Ziffer 8 dieses Anhangs 2 entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk).

1.3 Zugriffskontrolle

1.3.1 Sofern Personenbezogene Daten zur Durchführung des Auftrags auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, ist für sämtliche Zugriffe auf personenbezogene Daten ein abgestuftes und geeignet granulares Rechtesystem eingerichtet und technisch implementiert. Dadurch ist sichergestellt, dass die Zugriffsrechte so gestaltet sind, dass sie nur den für die Leistungserbringung eingesetzten Mitarbeiter jeweils für die Erfüllung der konkreten Aufgaben im notwendigen Umfang Zugriff auf die personenbezogene Daten erlauben. Dabei ist die Vergabe von Administratorenrechte auf das zwingend erforderliche Maß an Mitarbeitern des Auftragsverarbeiters begrenzt.

1.3.2 Alle verarbeiteten Daten werden verschlüsselt übertragen.
Alle personenbezogenen Daten werden verschlüsselt in unseren Datenbanksystemen abgelegt. Jeder Zugriff erfolgt ebenfalls über verschlüsselte Datenkanäle.

1.3.3 Sofern personenbezogene Daten auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, werden sämtliche Zugriffe auf personenbezogene Daten (einschließlich des lesenden, verändernden und löschenden Zugriffs) nach Benutzer, Datum, Uhrzeit und den jeweils betroffenen Personenbezogene Daten mindestens für die Dauer von 90 Tagen protokolliert.

 

2 Integrität

2.1 Weitergabekontrolle

2.1.1 Personenbezogene Daten können nicht unbefugt kopiert (insbesondere auf externe Datenträger gespeichert), weitergegeben und/oder gelöscht werden.

2.1.2 Datenträger sowie sämtliche Dokumente, sofern sie Personenbezogene Daten enthalten (einschließlich sämtlicher gegebenenfalls vorhandener Sicherungskopien von personenbezogene Daten und Kopien von Originaldokumenten) werden in ordnungsgemäß verschlossenen, und ausschließlich für die Durchführung des Auftrags genutzten Datensicherungsschränken verwahrt, wenn und solange sie nicht nach Maßgabe der Ziffern 2.1.3 oder 2.1.5 dieses Anhangs 2 in der Bearbeitung sind.

2.1.3 Originaldokumente, die personenbezogene Daten enthalten, werden durch die den Prozess verantwortlich leitenden Personen an die zur Leistungserbringung eingesetzten Personen herauszugeben und von diesen nach Arbeitsschluss wieder entgegengenommen.

2.1.4 Den bei der Durchführung des Auftrags beschäftigten Personen ist die Anfertigung von handschriftlichen Aufzeichnungen nur in dem zur Leistungserbringung erforderlichen Umfang und auf besonders gekennzeichneten Arbeitsmitteln (z.B. paginiertes oder farbiges Papier) gestattet.

2.1.5 Nach Ziffer 2.1.3 dieses Anhangs 2 herausgegebene Originaldokumente oder nach Maßgabe von Ziffer 2.1.4 dieses Anhangs 2 erstellte handschriftliche Aufzeichnungen werden, auch bei auch nur kurzzeitigem Verlassen des Arbeitsplatzes, vor unberechtigtem Zugriff geschützt (“Clean Desk Policy“).

2.1.6 Die den bei der Durchführung des Auftrags beim Auftragsverarbeiter beschäftigten Personen nutzen Client-Systeme die ausreichend gesichert sind. Alle Client Systeme sind mit Firewall und Virenschutz versehen und werden regelmäßig auf gängige Sicherheitsstandards überprüft.

2.1.7 Auf Durchführung des Auftrags vom Auftragsverarbeiter verwendeten Server-Systemen mit nicht-flüchtigem Speicher, z.B. Netzwerkdrucker oder Scanner, werden personenbezogene Daten nicht über den unmittelbar zur Vertragsdurchführung erforderlichen Umfang hinaus gespeichert. Sofern Dritte mit der Wartung solcher Systeme betreut sind, gilt Ziffer 1.3.2 dieses Anhangs 2 entsprechend.

2.2 Trennungsgebot

Sofern personenbezogene Daten auf informationsverarbeitenden Systemen des Auftragsverarbeiters gespeichert sind, wird eine vollständige Trennung der Personenbezogene Daten von personenbezogenen Daten anderer Auftraggeber realisiert und dadurch die jederzeitige und vollständige Identifizier- und Löschbarkeit von personenbezogene Daten sichergestellt, z.B., durch Speicherung der Personenbezogene Daten in einem eigenen Mandanten, in einer eigenen Partition oder unter eindeutigen Identifier getrennt abrufbar. Eine entsprechende Trennung wird auch für personenbezogene Daten selbst realisiert, wenn sie zu verschiedenen Zwecken gespeichert werden.

 

3 Verfügbarkeitskontrolle

3.1 Vom Auftragsverarbeiter zur Durchführung des Auftrags verwendete Server-Systeme werden durch Firewalls geschützt, welche diese Server-Systeme gegen nicht betriebsnotwendige Zugriffe sichern.

3.2 Sämtliche gegebenenfalls vom Auftragsverarbeiter zur Durchführung des Auftrags verwendete Software wird aktualisiert gehalten und sicherheitsrelevante Aktualisierungen (insbesondere Updates, Patches, Fixes) werden unverzüglich eingespielt, nachdem diese vom Hersteller der Software allgemein verfügbar gemacht und vom Auftragsverarbeiter im Rahmen eines dem Stand der Technik entsprechenden Verfahren getestet werden. Bei als „kritisch“ oder sinngemäß qualifizierten Aktualisierungen beträgt die Frist nach Satz 1 höchstens zwei (2) Tage.

3.3 Originaldokumente, die personenbezogene Daten enthalten, sowie beim Auftragsverarbeiter rechtmäßig auf informationsverarbeitenden Systemen gespeicherte Personenbezogene Daten werden durch technische und organisatorische Maßnahmen vor Verlust durch zufällige, fahrlässige oder vorsätzliche Löschung oder Veränderung geschützt.

3.4 Sicherungskopien von beim Auftragsverarbeiter rechtmäßig auf informationsverarbeitenden Systemen gespeicherten personenbezogene Daten werden nach denselben Maßgaben wie Originaldaten behandelt, insbesondere gegen unbefugten Zugriff gesichert.

 

4 Auftragskontrolle

4.1 Über die allgemeinen Grundsätze sowie über die sich aus dieser AV ergebenden spezifischen Anforderungen des Datenschutzes, einschließlich der Datensicherheit, werden die beim Auftragsverarbeiter zur Durchführung des Auftrags beschäftigten Personen vor dem Einsatz beim Auftragsverarbeiter zur Durchführung des Auftrags und sodann regelmäßig umfassend geschult.

4.2 Am Ende und auf Grundlage des in Ziffer 4.1 dieses Anhangs 2 festgelegten Schulungsprozesses werden die beim Auftragsverarbeiter zur Durchführung des Auftrags beschäftigten Personen auf die Vertraulichkeit und den Schutz personenbezogener Daten verpflichtet. Diese Verpflichtung erstreckt sich auf das Fernmeldegeheimnis und die damit verbundenen Grundsätze und Anforderungen an die Vertraulichkeit der Telekommunikation, wenn dies nach Maßgabe des konkreten Auftrags erforderlich ist, insbesondere wenn der Auftrag den Zugriff auf Verkehrsdaten umfasst.

 

5 Löschung

5.1 Besteht nach Maßgabe des Auftrags für den Auftragsverarbeiter eine Pflicht zur Löschung von personenbezogene Daten, wird der Auftragsverarbeiter

(a) die datenschutzgerechte nicht wieder herstellbare Löschung sämtlicher, personenbezogene Daten enthaltender, löschbaren elektronischen Datenträger (insbesondere Festplatten, USB-Sticks, Disketten, Bänder) durchführen;
(b) die nachhaltige und irreversible Entfernung von personenbezogene Daten aus Datenbank- oder File-Systemen sowie aus allen anderen löschbaren Speichermedien realisieren; und
(c) sämtliche, personenbezogene Daten enthaltende Papierdokumente und sonstige nicht-gemäß Buchstabe (a) oder (b) dieser Ziffer 5.1 löschbaren Datenträger (einschließlich sämtlicher personenbezogene Daten enthaltener Fehldrucke, Speicherkarten, USB-Sticks, etc.) mit einem handelsüblichen Dokumentenvernichter gemäß der Sicherheitsstufe 3 gemäß DIN-Norm 32757 oder einem mindestens gleichwertigen Verfahren vernichten, wobei defekte magnetische Datenträger, die nicht wie oben angegeben mechanisch vernichtet werden können (z.B. defekte Festplatten), sind mittels eines zugelassenen Löschgerätes nach DIN 33858 gelöscht werden.

5.2 Die Löschung wird für die Dauer der Laufzeit des Auftrags protokolliert.

 

6 Regelmäßige Überprüfung

Die in diesem Anhang 2 aufgeführten Maßnahmen werden mindestens einmal jährlich durch die Geschäftsführung und die IT-Leitung in Zusammenarbeit mit dem Datenschutzbeauftragten überprüft. Für den Fall, dass bei der Überprüfung herauskommt, dass sich technologische Standards oder organisatorische Prozesse geändert haben und solche Änderungen eine Anpassung der hier aufgelisteten Maßnahmen erforderlich machen, werden die dadurch erforderlich werdenden Anpassung unverzüglich umgesetzt. Dabei wird der Grundsatz der Angemessenheit beachtet. Änderungen werden zudem auf ad hoc Basis durchgeführt, sofern dies aus Gründen der Sicherheit erforderlich ist. Die Überprüfung sowie daraus resultierende Änderungen werden dokumentiert und abgelegt.

 

Anhang 1 – Dokumentation der Auftragsverarbeitung, Löschpflichten und des Datenaustauschs

 

Angaben zum Auftragsverarbeiter:

Name: HQLabs GmbH
Adresse des Unternehmens: Am Sandtorkai 71, 20457 Hamburg
Geschäftsführer: Nils Lukas Czernig, Daniel Tobias Hagenau, Lucas Alexander Bauche
Registergericht, Registernummer: Hamburg, 122405
Telefon: +49 40 882 1533 0
Externer Datenschutzbeauftragter: Maxim Letski

 

1 Gegenstand, Art und Umfang der Verarbeitung von personenbezogenen Daten

Der Auftragsverarbeiter ist Hersteller und Anbieter von Unternehmenssoftware zur Abwicklung aller projektbezogenen kaufmännischen Prozesse. Hierzu zählen der Vertrieb, die Beratung, Implementierung sowie Integration, Hosting und Support der Lösungen. Die Datenerhebung, -verarbeitung und -nutzung erfolgt zur Ausübung der oben angegebenen Zwecke.
Zu folgenden Personengruppen werden personenbezogene Daten erhoben, verarbeitet und genutzt, sofern diese zur Erfüllung des genannten Zweckes erforderlich sind:

  • Kundendaten / Interessentendaten (wie Adressdaten, Vertragsdaten, Angebotsdaten)
  • Personaldaten zur Verwaltung von Mitarbeitern, Aushilfen und externen Mitarbeitern
  • Daten von Geschäftspartnern (wie Adressdaten, Vertragsdaten)
  • Daten von Lieferanten (wie Adressdaten, Vertragsdaten, Funktionsdaten)
  • Daten von Kooperations- und Vertriebspartnern (wie Adressdaten, Vertragsdaten)

 

2 Art der Leistung (Mehrauswahl möglich)

  • (Teil-)Geschäftsprozess-Outsourcing (Kundenservice, Vertrieb, Buchhaltung, Entwicklung, Forderungsmanagement, etc.): Nein
  • Hosting (Daten, Applikation, System, Komponenten): Ja
  • Betrieb (Applikation, System, Komponenten): Ja
  • Wartung/Pflege (Applikation, System, Komponenten): Ja
  • Support (Applikation, System, Komponenten): Ja
  • SaaS (Bitte spezifizieren): HQ und Q. Anwendungsbetrieb
  • Cloud Services (Bitte spezifizieren): Nein
  • Sonstige (Bitte spezifizieren): Nein

 

3 Subunternehmer

Der Auftragsverarbeiter setzt die nachfolgend aufgeführten Subunternehmer als weitere Auftragsverarbeiter ein:

Chargebee Inc., 340 S Lemon Ave # 1537 Walnut, California 91789, USA 

  • Chargebee wird zur Verwaltung unserer Kundenverträge und zur Rechnungsstellung eingesetzt. Zu diesem Zweck wird die Rechnungsadresse, die Emailadresse und der komplette Name des Rechnungsempfängers gespeichert. Außerdem werden die Zahlungsinformationen bei Chargebee hinterlegt.
  • Vertragsgrundlage: Data Processing Agreement vom 12.04.2018
  • Garantien: EU US Privacy Shield

Segment.io, Inc., 100 California Street, Suite 700 San Francisco, CA 94111 USA

  • Segment wird eingesetzt, um die Interaktion von den Usern mit der Software zu analysieren und auf Grundlage dieser Daten das Produkt zu optimieren. Segment leitet hierfür die Daten wiederum an Amplitude (s.u) weiter.
  • Vertragsgrundlage: Data Processing Agreement vom 04.12.2018
  • Garantien: EU-Standard Vertragsklauseln

Google LLC 1600 Amphitheatre Parkway, Mountain View, California 94043 USA 

  • Teile der Software werden im Google Rechenzentrum in Deutschland gehosted. Es werden die Daten in diesem Rechenzentrum verarbeitet. Die persistente, dauerhafte Datenspeicherung erfolgt im Rechenzentrum der Telekom.
  • Vertragsgrundlage: Data Processing Agreement vom 12.02.2018
  • Garantien: EU Standard Vertragsklauseln

Mixpanel, Inc., 405 Howard St., 2nd Floor, San Francisco, CA 94105 USA 

  • Mixpanel bietet die Möglichkeit über erhobene Daten über die Interaktion zwischen Software und User Auswertungen zu erstellen, um auf dieser Grundlage die Software zu verbessern.
  • Vertragsgrundlage: Online Signed Processing Agreement
  • Garantien: EU US Privacy Shield

Zendesk Inc., 1019 Market St San Francisco, CA 94103 USA 

  • Zendesk wird für den Support Prozess eingesetzt. Kunden Anfragen werden zentral in Zendesk verarbeitet und gespeichert.
  • Vertragsgrundlage: Data Processing Agreement vom 12.04.2018
  • Garantien: EU US Privacy Shield

Intercom Inc., 55 2nd Street 4th Floor San Francisco, CA 94105 USA 

  • Intercom wird eingesetzt, um den Nutzern der Software die Möglichkeit zu geben mit dem Support und dem Sales Team zu chatten und Usern automatisierte Nachrichten auszuspielen.
  • Vertragsgrundlage: Data Processing Agreement vom 10.04.2018
  • Garantien: EU US Privacy Shield

T-Systems International GmbH, Hahnstraße 43d 60528 Frankfurt a.M. Germany 

  • Teile der Software wird im Rechenzentrum der T-Systems gehostet. Es werden die Daten in diesen Rechenzentren verarbeitet und persistent gespeichert.
  • Vertragsgrundlage: Data Trustee Agreement vom 02.05.2018

SendGrid, Inc., 1801 California Street, Suite 500 Denver, Colorado 80202 USA

  • Emails die aus dem Softwareprodukt versendet werden, werden über Sendgrid übermittelt, soweit nicht ein eigener STMP-Server hinterlegt ist.
  • Vertragsgrundlage: Data Processing Aggreement vom 12.04.2018
  • Garantien: EU US Privacy Shield

Amplitude, Inc., 501 2nd St #100 San Francisco, California 94107 USA 

  • Amplitude bietet die Möglichkeit über erhobene Daten über die Interaktion zwischen Software und User Auswertungen zu erstellen, um auf dieser Grundlage die Software zu verbessern.
  • Vertragsgrundlage: Data Processing Agreement vom 12.04.2018
  • Garantien: EU US Privacy Shield

 

4 Ort der Datenspeicherung durch den Auftragsverarbeiter oder einen Sub-Unternehmer (Mehrauswahl möglich)

  • Bundesrepublik Deutschland: Ja
  • Sonstiges Land innerhalb der EU oder des EWR: falls ja, bitte spezifizieren: Nein
  • Sogenanntes Sicheres Drittland; falls ja, bitte spezifizieren: Nein
  • USA; falls ja, nimmt die Stelle in den USA am Privacy-Shield-Verfahren teil? Ja
  • Sonstiges Drittland; falls ja, bitte spezifizieren: Nein
  • Keine Datenspeicherung durch den Auftragsverarbeiter oder einen Sub-Unternehmer: Nein

 

5 Ort des Datenzugriffs durch den Auftragsverarbeiter oder einen Sub-Unternehmer (Mehrauswahl möglich)

  • Aus der Bundesrepublik Deutschland heraus: Ja
  • Aus einem sonstigen Land innerhalb der EU oder des EWR heraus: falls ja, bitte spezifizieren: Nein
  • Aus einem sogenannten Sicheren Drittland heraus; falls ja, bitte spezifizieren: Nein
  • Aus den USA heraus; falls ja, nimmt die Stelle in den USA am Privacy-Shield-Verfahren teil (Ja/Nein)? Ja
  • Aus seinem sonstigen Drittland heraus; falls ja, bitte spezifizieren: Nein

 

6 Geplante sonstige Datenübermittlung in Drittstatten oder an internationale Organisationen durch den Auftragsverarbeiter (Mehrauswahl möglich)

Über die in Punkt 3 – Subunternehmer genannten dritten hinaus findet keine Übermittlung an Drittstaaten oder andere internationale Organisationen statt.

 

7 Kategorien von Betroffenen der Datenverarbeitung (Mehrauswahl möglich)

  • Kunden bzw. Ansprechpartner bei Kunden des Auftragsverarbeiters: Ja
  • Mitarbeiter: Ja
  • Lieferanten bzw. Ansprechpartner bei Lieferanten: Ja
  • Sonstige Betroffene, z.B. Interessenten: Ja
  • Nutzer und Kunden von Kunden des Auftragsverarbeiters: Ja

 

8 Kategorien von personenbezogenen Daten (Mehrauswahl möglich)

  • Stammdaten, d.h. personenbezogene Daten, die erforderlich sind, um das mit einem Betroffenen bestehende Vertragsverhältnis zu begründen, durchzuführen und ggf. zu beenden (Namen, Vorname, Kunden-, Mitarbeiter- oder Vertragsnummern, Informationen über Produkte, Tarife, Unternehmens- oder Abteilungszugehörigkeit, Rechnungsinformationen, Informationen über Kontakthistorie, etc.): Ja
  • Verkehrsdaten (excl. Standortdaten), d.h. Informationen die bei der Initiierung, Aufrechterhaltung und Abwicklung eines konkreten Kommunikationsvorgangs notwendigerweise anfallen, d.h. z.B. einem Kommunikationsvorgang zuordenbare Anschlusskennungen (A- und B-rufnummer), IP-Adressen oder Gerätekennungen (MAC-Adresse, IMEI, etc.), Informationen zu Beginn und Ende von Kommunikationsvorgängen (etwa in CDRs oder Log-Dateien): Ja
  • Kontaktinformationen, d.h. Postadressen, E-Mail-Adressen, Telefonnummer(n), Messenger-IDs, etc.: Ja
  • Endgerätedaten (excl. Standortdaten), d.h. aus Endgeräten, etwa über mobile Apps ausgelesene Informationen (Log-Files, Systemzustände, Nutzereinstellungen, etc., Browserinformationen): Ja
  • Bankdaten, d.h. Kontonummer/IBAN, Kredikarten-informationen: Ja
  • Nutzungsdaten, d.h. Informationen über Art, Umfang, Dauer und Zeitpunkt der Nutzung eines web-basierten Multimedia-Angebots (Webseiten, Videoangebote, etc.): Ja
  • Kommunikationsinhalte, d.h. SMS- oder E-Mail-Inhalte, Voice-Messages, Clickstreams, etc.: Ja
  • „User generated content“, d.h. Inhalte (Dokumente, Bilder, Musikdateien, Äußerungen etc.), die Betroffene willentlich und wissentlich selbst erzeugt haben: Ja
  • Standortdaten aus Netzwerkkommunikation, d.h. Cell-IDs aus Mobilfunkverbindungen, GPS-Koordinaten, IP-Lokalisierung, etc.: Ja
  • User-Account-Informationen, d.h. z.B. Benutzername, Passwort, Rechteprofil, Organisationsinformationen, etc.: Ja
  • Sonstige (Bitte spezifizieren): Nein

 

9 Kategorien besonders schützenswerter personenbezogener Daten (Mehrauswahl möglich)

  • Daten über die rassische und ethnische Herkunft (z.B. Zugehörigkeit zu einer bestimmten Volksgruppe im Rahmen von Asylverfahren): Nein
  • Daten über politische Meinungen (z.B. Wahlentscheidungen oder Parteizugehörigkeiten): Nein
  • Daten über religiöse oder weltanschauliche Überzeugungen (z.B. Informationen über Religionszugehörigkeit im Rahmen der steuerlichen Erfassung): Nein
  • Daten über die Gewerkschaftszugehörigkeit: Nein
  • Genetische Daten (z.B. genetische Veranlagungen bzw. bekannte Erbkrankheiten): Nein
  • Biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person: Nein
  • Gesundheitsdaten (z.B. Krankenakten im betriebsmedizinischen Dienst, BEM-Daten, Krankmeldungen): Nein
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person: Nein

 

10 Spezifische Löschpflichten

(nur relevant, wenn (i) eine Datenspeicherung Bestandteil der Auftragsverarbeitung ist und (ii) auch während der Vertragslaufzeit Löschroutinen zu implementieren sind):

Die nachfolgend benannten, spezifischen Löschfristen sind umzusetzen:

Der Auftragsverarbeiter hat ihm überlassene und alle ergänzend verarbeiteten Daten einschließlich sämtlicher Vervielfältigungen (auch in Archivierungs- und Sicherungsdateien) vollständig und unwiderruflich nach 35 Tagen zu löschen oder zu vernichten (nachfolgend einheitlich „löschen“ genannt), in welchem die Verarbeitung der Daten nicht mehr für die Erfüllung des Zwecks der Verarbeitung (Auftragszweck) erforderlich ist. Die Backups von Datenbanken werden 35 Tage lang vorgehalten. Daher ist es technisch nicht möglich eine frühere Löschung zu garantieren.

Personenbezogene Daten sind insbesondere nach Beendigung der vertragsgegenständlichen Leistungserbringung zu löschen, sofern hier nicht speziellere Löschpflichten des Auftragsverarbeiters bestimmt sind.

Soweit personenbezogene Daten gesetzlichen Aufbewahrungs- und Speicherpflichten des Auftragsverarbeiters (etwa gemäß §§ 145 bis 147 AO, § 257 HGB) unterliegen, hat die Löschung der Daten unverzüglich zum Ende des Aufbewahrungs- bzw. Speicherzeitraums zu erfolgen; Personenbezogene Daten sind während dieses Zeitraums zu sperren.

 

11 Repräsentanten in Fragen des Datenschutzes

Verantwortlicher

Identität des Datenschutzbeauftragten:

  • Name: Letski, Maxim
  • Bezeichnung: Rechtsanwalt

Auftragsverarbeiter

Identität des Datenschutzbeauftragten bzw. der „Lead-Function“ für Datenschutz:

  • Name: Czernig, Nils
  • Bezeichnung: Geschäftsführer

Jetzt kostenlos durchstarten

Q. ist einfach genug, um in wenigen Minuten einsatzbereit zu sein – und trotzdem hat Q. deine Prozesse im Griff, wenn es mal komplizierter wird.

Ich stimme den Nutzungsbedingungen zu.