Präambel
Workist bietet seinen Kunden im Rahmen einer Software-as-a-Service-Lösung einen webbasierten Zugang zu seiner KI-gestützten Prozessautomatisierungsplattform („Plattform„) an. Über diese ist es dem Kunden möglich repetitive Vorgänge in der Dokumentenverarbeitung zu automatisieren. Dieser Vertrag einschließlich seiner Anlagen Datenschutzerklärung für die Nutzung der Workist-Plattform und Vereinbarung zur Auftragsdatenvereinbarung regelt das Vertragsverhältnis zwischen Workist und dem Kunden über die Nutzung der IT-Infrastruktur.
1. Gegenstand und Zustandekommen des Vertrages; AGB des Kunden
1.1 Der Vertrag über die Nutzung der Plattform kann entweder durch Ausfertigung dieses Vertrages in schriftlicher Form oder aber durch Registrierung auf der Plattform erfolgen. Die Registrierung erfolgt durch einen von den Kunden hinreichend bevollmächtigten Mitarbeiter.
1.2 Die Registrierung erfolgt dabei über ein Formular unter Angabe, insbesondere dem Ausfüllen des Bestellscheins gemäß Anlage 1, verschiedener Daten. Nach Abschluss des Registrierungsprozesses erhält der Kunde die Zugangsdaten für die Plattform.
1.3 Workist behält sich vor, geeignete Angaben anzufragen und Nachweise zu verlangen, aus denen sich ergibt, dass es sich beim Kunden nicht um einen Verbraucher gemäß § 13 BGB handelt.
1.4 Mit dem Abschluss des Registrierungsprozesses oder der Übersendung des Vertrags gibt der Kunde gegenüber Workist einen rechtlich verbindlichen Antrag auf Abschluss eines Vertrags ab. Ein Vertrag zwischen Workist und dem Kunden kommt erst zustande, wenn Workist das Angebot angenommen hat. Als Bestätigung hierüber erhält der Kunde entweder eine E-Mail oder der Zugang zur Plattform wird für ihn freigeschaltet.
1.5 Ein Kunde ist berechtigt, mehrere Nutzer gemäß Anlage 1 zu registrieren. Hierbei ist jedem Nutzer ein eigener Account zugeordnet.
1.6 Allgemeine Geschäftsbedingungen des Kunden werden nur dann Vertragsbestandteil, wenn dies ausdrücklich schriftlich vereinbart wurde.
1.7 Die angebotenen Leistungen von Workist richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB.
2. Leistungen von Workist
2.1 Workist stellt dem Kunden zeitlich befristet für die Laufzeit des Vertrages den Zugriff auf die Plattform über das Internet zur Verfügung. Der genaue Umfang der von Workist bereitzustellenden Leistungen ergibt sich aus der Leistungsbeschreibung in der Anlage 1. Über die vereinbarten Leistungen hinaus hat der Kunde keinen Anspruch auf eine bestimmte Ausgestaltung oder bestimmte Funktionalitäten der Plattform
2.2 Betrieb und Wartung der Plattform liegt in der Verantwortung von Workist. Für das Vorhalten des Internetzugangs und der für den Zugang zur Plattform ggf. beim Kunden erforderlichen Hardware (z.B. Router, Smart Device) oder Software (z.B. Browser, Plug-Ins, Apps) ist der Kunde verantwortlich. Der Kunde hat keinen Anspruch auf Zugang zu den Quellcodes der von Workist bereitgestellten Plattform. Die Bedienung und Konfiguration der Plattform obliegt dem Kunden.
2.3 Die durchschnittliche Verfügbarkeit der Plattform beträgt 99% im Jahresmittel. Ausgenommen davon sind erforderliche geplante Wartungsarbeiten sowie Störungen, die nicht im Einflussbereich von Workist liegen; insbesondere höhere Gewalt. Workist wird den Kunden nach Möglichkeit über geplante Wartungsarbeiten rechtzeitig in Textform an den gegenüber Workist im Bestell-Formular benannten Ansprechpartner in Kenntnis setzen. Allerdings bleibt es Workist ausdrücklich vorbehalten, falls erforderlich, auch unangekündigte Wartungsarbeiten durchzuführen, insbesondere wenn dies für die Daten- und Betriebssicherheit erforderlich ist.
2.4 Workist führt täglich Datensicherungen der Plattform sowie der vom Kunden hinterlegten Daten durch, die drei Tage aufbewahrt bleiben. Eine individuelle Überprüfung der Richtigkeit und Vollständigkeit der Datensicherungen erfolgt nicht und ist nicht geschuldet.
2.5 Workist stellt dem Kunden eine Dokumentation der Plattform sowie Hinweise zu deren Benutzung in elektronischer Form in deutscher und/oder englischer Sprache online zum Abruf zur Verfügung. Der Kunde ist nicht berechtigt, die Dokumentation oder Benutzungshinweise zu bearbeiten, zu verbreiten oder öffentlich zugänglich zu machen.
2.6 Workist ist berechtigt, zur Leistungserbringung nach eigenem Ermessen Subunternehmer als Erfüllungsgehilfen zu beauftragen.
2.7 Workist ist berechtigt, aber nicht verpflichtet, den Funktionsumfang der Plattform zu erweitern und weiterzuentwickeln. Es bleibt Workist vorbehalten, Erweiterungen und Weiterentwicklungen nur gegen Zahlung eines zusätzlichen Entgeltes anzubieten. Bucht der Kunde eine Erweiterung oder Weiterentwicklung kostenpflichtig durch eine entsprechende Ergänzungsvereinbarung zu diesem Vertrag hinzu, gelten für diese Buchung die Regelungen dieses Vertrags entsprechend. Stellt Workist nach Vertragsschluss erweiterte oder zusätzliche Funktionen kostenlos zur Verfügung, gelten diese bereitgestellten Funktionen als freiwillige Leistung von Workist.
2.8 Workist kann den Funktionsumfang der Plattform jederzeit in einem für den Kunden angemessenen Umfang ändern. Die Änderung ist insbesondere zumutbar, wenn sie aus wichtigem Grund erforderlich wird – zum Beispiel durch Störungen der Leistungserbringung durch Subunternehmer oder aus sicherheitstechnischen Gründen – und die in der Leistungsbeschreibung definierten Leistungsmerkmale im Wesentlichen sowie die Hauptleistungspflichten von Workist erhalten bleiben. Betreffen die Änderungen nicht ausschließlich Erweiterungen der Funktion oder nicht nur unwesentliche Bestandteile der von Workist zu erbringenden Leistungen, wird Workist den Kunden über die Änderung mindestens vier Wochen vor deren Inkrafttreten per E-Mail hinweisen.
2.9 Workist ist berechtigt, den Zugang des Kunden zur Plattform zu sperren, wenn
a) Anhaltspunkte bestehen, dass die Zugangsdaten des Kunden missbraucht wurden oder werden oder die Zugangsdaten einem unbefugten Dritten überlassen wurden oder werden oder Zugangsdaten durch mehr als eine natürliche Person verwendet werden;
b) Anhaltspunkte bestehen, dass sich Dritte anderweitig Zugang zu der dem Kunden bereitgestellten IT-Infrastruktur verschafft haben;
c) die Sperrung aus technischen Gründen erforderlich ist;
d) Workist aufgrund geltender Gesetze oder gerichtlich oder behördlich zur Sperrung verpflichtet ist;
e) der Kunde mehr als zwei Wochen mit der Zahlung des vereinbarten Entgelts im Sinne der Ziffer 5 des Vertrags in Verzug ist;
f) der Kunde falsche oder ungültige Kontaktdaten hinterlegt hat und eine Kommunikation zwischen Workist und dem Kunden nicht mehr möglich ist;
g) der Kunde falsche Bankverbindungsdaten hinterlegt hat und eine regelmäßige Erfüllung der Leistungspflichten des Kunden nicht gewährleistet ist.
Workist soll die Sperrung dem Kunden spätestens einen Werktag vor Inkrafttreten der Sperrung in Text- oder Schriftform ankündigen, soweit die Ankündigung unter Abwägung der beiderseitigen Interessen zumutbar und mit dem Zweck der Sperrung vereinbar ist.
3. Pflichten des Kunden
3.1 Der Kunde hat die Zugangsdaten zu der Plattform sicher zu verwahren und darf diese nur jeweils berechtigten Mitarbeitern zugänglich machen. Der Kunde verpflichtet sich, seine Mitarbeiter zum vertraulichen Umgang mit den Zugangsdaten zu verpflichten und Workist unverzüglich in Kenntnis setzen, wenn der Verdacht besteht, dass die Zugangsdaten unbefugten Personen bekannt geworden sein könnten. Weiterhin verpflichtet sich der Kunde alle Sicherheitsvorkehrungen, funktionellen und sonstigen Einschränkungen der Plattform einzuhalten. Insbesondere darf der Kunde Schutz- oder Authentifizierungsmechanismen nicht entfernen, überwinden, deaktivieren oder anderweitig umgehen oder die Plattform für andere als die beabsichtigten oder ausdrücklich in Anlage 1 genannten Zwecke verwenden, insbesondere ist eine Überlassung der Plattform durch den Kunden an Dritte untersagt.
3.2 Der Kunde hat seine Daten selbst regelmäßig und gefahrentsprechend zu sichern, soweit ihm dies technisch möglich ist. Dies gilt sowohl für die Daten auf den lokalen Systemen des Kunden als auch für diejenigen Daten, die der Kunde auf der von Workist bereitgestellten Plattform speichert.
3.3 Der Kunde benennt Workist gegenüber in dem im Bestell-Formular bzw. im Registrierungsprozess dafür vorgesehenen Abschnitt einen Ansprechpartner in seinem Unternehmen, der zum Empfang und zur Abgabe von Willenserklärungen im Zusammenhang mit dem Vertrag mit Workist bevollmächtigt ist
3.4 Der Kunde räumt Workist an sämtlichen Inhalten, die er auf die Server von Workist im Rahmen der Nutzung der Plattform überträgt, ein einfaches, räumlich und zeitlich unbeschränktes Nutzungsrecht ein, die Inhalte insoweit zu nutzen, wie dies zur Erfüllung des Vertrages mit dem Kunden erforderlich ist, insbesondere die Inhalte zu vervielfältigen und sie entsprechend der Einstellungen des Kunden Dritten zugänglich zu machen. Workist ist berechtigt, an seine Erfüllungsgehilfen Unterlizenzen zu erteilen, soweit dies für die Vertragserfüllung erforderlich ist. Im Übrigen ist das Nutzungsrecht nicht übertragbar. Workist ist berechtigt, über die Dauer des Vertrages hinaus Inhalte des Kunden vorzuhalten, soweit dies technisch oder rechtlich erforderlich ist. Insbesondere ist Workist befugt, Sicherungskopien der vom Kunden bereitgestellten Inhalte aufzubewahren und solche Informationen vorübergehen oder dauerhaft zu speichern, die für Buchhaltungs-, Dokumentations- und Abrechnungszwecke benötigt werden.
3.5 Der Kunde garantiert, dass er bei der Verwendung der Plattform sämtliche anwendbaren rechtlichen Vorschriften, insbesondere des Urheber- und Datenschutzrechts, beachten wird. Der Kunde stellt Workist von sämtlichen Ansprüchen Dritter frei, die diese wegen der Verwendung der Plattform durch den Kunden gegenüber Workist geltend machen. Workist wird den Kunden unverzüglich über von Dritten geltend gemachte Ansprüche informieren und die zur Verteidigung erforderlichen Informationen und Unterlagen auf Anfrage zur Verfügung stellen. Zudem wird Workist die Verteidigung entweder dem Kunden überlassen oder in Absprache mit diesem vornehmen. Insbesondere wird Workist von Dritten geltend gemachte Ansprüche ohne Rücksprache mit dem Kunden weder anerkennen noch unstreitig stellen. Die Regelungen dieser Ziffer gelten entsprechend für Vertragsstrafen sowie behördliche oder gerichtliche Buß- und Ordnungsgelder, soweit der Kunde sie zu vertreten hat.
3.6 Der Kunde sollte – im Rahmen des technisch zumutbaren und möglichen – sicherstellen, dass der normale Geschäftsbetrieb des Kunden weiterhin ordnungsgemäß funktioniert, auch wenn die Plattform nicht verfügbar ist, unabhängig davon, ob dies auf ein Verschulden von Workist oder des Kunden zurückzuführen ist.
4. Nutzungsrechte
4.1 Mit Vertragsbeginn räumt Workist dem Kunden das zeitlich auf die Vertragslaufzeit beschränkte, nicht ausschließliche, weltweite, nicht übertragbare und nicht unterlizenzierbare Recht ein, die Plattform vertragsgemäß zu nutzen.
4.2 Von der Rechteeinräumung ausgenommen sind Bestandteile der Plattform, die für den Kunden erkennbar Rechten Dritter und insbesondere Open Source Lizenzen unterliegen. Als erkennbar gelten insbesondere solche Bestandteile, die von Workist innerhalb der Plattform oder in mitgelieferten Textdateien als Inhalte Dritter offengelegt werden.
5. Entgelte
5.1 Der Kunde zahlt Workist die im Bestellformular vereinbarte Gebühr für die Nutzung der Plattform.
5.2 Soweit nicht anders angegeben, gelten die Entgelte monatlich und netto zzgl. anwendbarer Umsatzsteuer.
5.3 Die Rechnungstellung erfolgt entsprechend der Festlegung im Bestell-Formular. Die in Rechnung gestellten Entgelte sind mit Rechnungsstellung fällig.
6. Gewährleistung
6.1 Für kostenlose Leistungen leistet Workist Gewährleistung nach den gesetzlichen Bestimmungen.
6.2 Im Übrigen leistet Workist für Mängel bei der Bereitstellung der Plattform Gewährleistung ausschließlich nach Maßgabe der nachfolgenden Bestimmungen.
6.3 Mängel sind wesentliche Abweichungen von dem vertraglich vereinbarten Funktionsumfang der Plattform.
6.4 Sind die von Workist nach diesem Vertrag zu erbringenden Leistungen mangelhaft, wird Workist innerhalb angemessener Frist und nach Zugang einer schriftlichen (E-Mail ausreichend) Mängelrüge des Kunden die Leistungen nach seiner Wahl nachbessern oder erneut erbringen. Beim Einsatz von Software Dritter, die Workist zur Nutzung durch den Kunden lizenziert hat, besteht die Mängelbeseitigung in der Beschaffung und Einspielung von allgemein verfügbaren Upgrades, Updates oder Patches. Als Nachbesserung gilt auch die Bereitstellung von Nutzungsanweisungen, mit denen der Kunde aufgetretene Mängel zumutbar umgehen kann, um die Plattform vertragsgemäß zu nutzen.
6.5 Schlägt die mangelfreie Erbringung der Leistungen aus Gründen, die Workist zu vertreten hat, auch innerhalb einer vom Kunden schriftlich (E-Mail genügt) gesetzten angemessenen Frist fehl, kann der Kunde die vereinbarte Vergütung um einen angemessenen Betrag mindern. Das Recht zur Minderung ist auf die Höhe des den mangelhaften Leistungsteil betreffenden monatlichen Festpreises beschränkt.
6.6 Erreicht die Minderung nach Ziffer 6.5 in zwei aufeinander folgenden Monaten oder in zwei Monaten eines Quartals den in Ziffer 6.5 genannten Höchstbetrag, kann der Kunde den Vertrag ohne Einhaltung einer Frist kündigen.
6.7 Der Kunde wird Workist eventuell auftretende Mängel unverzüglich in Schriftform (E-Mail genügt) anzeigen. Weiterhin wird der Kunde Workist bei der Behebung von Mängeln unentgeltlich in zumutbarer Weise unterstützen und Workist insbesondere sämtliche Informationen und Dokumente zukommen lassen, die Workist für die Analyse und Beseitigung von Mängeln benötigt.
7. Schadensersatz und Haftung
7.1 Für kostenlose Leistungen haftet Workist nach den gesetzlichen Bestimmungen.
7.2 Im Übrigen haftet Workist für Vorsatz und grobe Fahrlässigkeit sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.
7.3 In Fällen einfacher Fahrlässigkeit haftet Workist bei Verletzung einer wesentlichen Vertragslpflicht. Eine wesentliche Vertragspflicht im Sinne dieser Ziffer ist eine Pflicht deren Erfüllung die Durchführung des Vertrages erst ermöglicht und auf deren Erfüllung sich der Kunde deswegen regelmäßig verlassen darf.
7.4 Workist haftet im Fall von Ziffer 7.3 nicht für mangelnden wirtschaftlichen Erfolg, entgangenen Gewinn und mittelbare Schäden.
7.5 Die Haftung gemäß der vorstehenden Ziffer 7.3 ist auf den im Zeitpunkt des Vertragsschlusses typischen, vorhersehbaren Schaden begrenzt.
7.6 Die Haftung für Schäden aufgrund von Datenverlust sind im Fall von 7.3 auf den Betrag der Wiederherstellung der Daten beschränkt, der auch bei regelmäßiger und gefahrentsprechender Sicherung der Daten durch den Kunden angefallen wäre.
7.7 Die Haftungsbeschränkungen gelten zugunsten der Mitarbeiter, Beauftragten und Erfüllungsgehilfen von Workist entsprechend.
7.8 Eine etwaige Haftung Workist für gegebene Garantien (die ausdrücklich als solche bezeichnet sein müssen) und für Ansprüche auf Grund des Produkthaftungsgesetzes bleibt unberührt.
7.9 Eine weitergehende Haftung von Workist ist ausgeschlossen.
8. Vertraulichkeit und Geheimhaltung
8.1 Der Kunde verpflichtet sich, vertrauliche Informationen und Unterlagen („vertrauliche Informationen“) von Workist, die entweder offensichtlich als vertraulich anzusehen sind oder von Workist als vertraulich bezeichnet wurden, wie Betriebsgeheimnisse zu behandeln und Dritten nicht zugänglich zu machen. Als Dritte im Sinne dieser Vereinbarung gelten auch verbundene Unternehmen, an denen der Kunde keine Kapital- und Stimmenmehrheit besitzt. Die Mitarbeiter des Kunden sowie sonstige vom Kunden beauftragte Dritte (einschließlich Subunternehmer und Freelancer) sind entsprechend zu verpflichten.
8.2 Als vertrauliche Informationen gelten insbesondere die Plattform sowie sämtliche Technologien von Workist, Auskünfte, die Workist im Rahmen von Supportanfragen oder der Zusammenarbeit zwecks Fehlerbehebung erteilt, sowie dieser Vertrag einschließlich seiner Anlagen. Die von Workist eingeräumten Nutzungsrechte bleiben jedoch unberührt.
8.3 Der Kunde ist berechtigt, die ihm zugänglich gemachten vertraulichen Informationen an Dritte weiterzugeben, sofern und soweit dies für die Erfüllung dieses Vertrages oder die Ausübung vertraglicher Rechte unerlässlich ist oder dies aus gesetzlichen oder aufsichtsrechtlichen Gründen zwingend erforderlich ist. Bei Anfragen von Dritten, Gerichts- oder Verwaltungsbehörden betreffend die Offenlegung von vertraulichen Informationen hat der Kunde Workist unverzüglich schriftlich oder in Textform zu informieren und Workist in seinen Bestrebungen zur Verhinderung der Offenlegung der vertraulichen Informationen zu unterstützen.
8.4 Die Geheimhaltungspflicht gilt nicht, soweit die vertraulichen Informationen dem Kunden schon vor der Offenlegung durch Workist bekannt waren, allgemein bekannt sind oder ohne Verschulden des Kunden bekannt werden, vom Kunden ohne Zugriff auf die vertraulichen Informationen von Workist selbst entwickelt wurden oder dem Dritten durch einen gutgläubigen, dazu berechtigten Dritten zur Kenntnis gebracht werden. Vorbehalten bleiben die zwingenden gesetzlichen Aufklärungspflichten. Beruft sich der Kunde auf einen oder mehrere der vorgenannten Gründe, hat er sie durch die Vorlage geeigneter Beweismittel zu belegen.
8.5 Die Geheimhaltungspflicht beginnt mit der Kenntnisnahme der vertraulichen Informationen und besteht über die gesamte Laufzeit dieses Vertrages und darüber hinaus fünf Jahre ab Kündigung oder Ende der Vertragslaufzeit, soweit gesetzliche Bestimmungen keine längere Geheimhaltungspflicht vorsehen. Der Kunde gewährleistet im Rahmen des rechtlich Möglichen, dass die Geheimhaltungspflichten auch für seine Rechtsnachfolger, Zessionare und verbundene Unternehmen verbindlich sind.
8.6 Während der Geltungsdauer dieser Geheimhaltungspflicht sind vertrauliche Informationen auf erstes Verlangen von Workist unverzüglich, unbeschädigt und vollständig zurückzugeben. Workist kann zudem anordnen, dass bestimmte vertrauliche Informationen zu vernichten, zu löschen oder in sichere Verwahrung zu nehmen sind und dass der Vollzug von dem Kunden schriftlich bestätigt wird. Die vorstehenden Regelungen in dieser Ziffer gelten nur soweit dies die vertragskonforme Nutzung der vertraglichen Leistung nicht erheblich beeinträchtigt.
8.7 Unbeschadet der vorstehenden Regelungen ist Workist berechtigt, den Kunden unter Nennung des vollen Firmennamens und unter Nutzung des Firmenlogos in Marketingmaterialien (einschließlich Webseiten) als Referenzkunden zu benennen.
8.8 Mit Ausnahme von Ziffer 8.7 begründen die vorstehenden Regelungen keinerlei immaterialgüterrechtlichen Nutzungsrechte. Sämtliche unter diesem Vertrag eingeräumten Nutzungsrechte bleiben von den vorstehenden Regelungen unberührt.
9. Laufzeit und Kündigung
9.1 Der Vertrag beginnt mit dem im Bestell-Formular benannten Stichtag.
9.2 Soweit im Bestell-Formular nicht abweichend vereinbart, beträgt die Vertragslaufzeit ein Jahr ab Vertragsbeginn.
9.3 Der Vertrag verlängert sich um die vereinbarte Laufzeit, wenn der Vertrag nicht entsprechend der jeweils gemäß Leistungsbeschreibung im Bestell-Formular geltenden Frist zum Ende der jeweiligen Laufzeit durch eine der Parteien schriftlich gekündigt wird.
9.4 Workist ist weiterhin berechtigt, den Vertrag fristlos zu kündigen, wenn der Kunde länger als sechs Wochen mit der Zahlung des vereinbarten Entgelts in Verzug ist und Workist die Kündigung mit einer Frist von zwei Wochen zum Inkrafttreten der Kündigung in Text- oder Schriftform dem Kunden gegenüber angedroht hat.
9.5 Workist bleibt vorbehalten, die Funktionalität der Plattform aus anderen als den in Ziffer 2.7 und 2.8 genannten Gründen unter den Voraussetzungen der Ziffer 10 einzuschränken oder einzustellen. Widerspricht der Kunde den Änderungen entsprechend Ziffer 10 steht Workist ein außerordentliches Kündigungsrecht zum Termin des Inkrafttretens der Änderungen zu.
9.6 Die Kündigung aus wichtigem Grund bleibt für beide Parteien unberührt.
9.7 Bei Beendigung des Vertrages, gleich aus welchem Grund, wird Workist die personenbezogenen Daten des Kunden entsprechend der Vereinbarungen in Anlage 2 löschen. Workist ist berechtigt, aber nicht verpflichtet, Daten aus Sicherheitsgründen für einen Zeitraum von vier Wochen über die Beendigung des Vertragsverhältnisses hinaus zu speichern, um den Kunden vor versehentlichem Datenverlust zu bewahren. Workist ist zudem berechtigt, Daten über die Beendigung des Vertragsverhältnisses aufzubewahren, wenn Workist hierzu gesetzlich oder behördlich verpflichtet ist, insbesondere aus handels- und steuerrechtlichen Gründen. Appendix 2.
10. Änderungen der Nutzungsbedingungen
10.1 Diese Allgemeinen Geschäftsbedingungen können zwischen dem Kunden und Workist durch entsprechende Vereinbarung wie nachfolgend beschrieben geändert werden: Workist übermittelt die geänderten Bedingungen vor dem geplanten Inkrafttreten in Textform und weist auf die Neuregelungen sowie das Datum des geplanten Inkrafttretens gesondert hin. Zugleich wird Workist dem Kunden eine angemessene, mindestens zwei Monate lange Frist für die Erklärung einräumen, ob er die geänderten Nutzungsbedingungen für die weitere Inanspruchnahme der Leistungen akzeptiert. Erfolgt innerhalb dieser Frist, welche ab Erhalt der Nachricht in Textform zu laufen beginnt, keine Erklärung, so gelten die geänderten Bedingungen als vereinbart. Workist wird den Kunden bei Fristbeginn gesondert auf diese Rechtsfolge, d.h. das Widerspruchsrecht, die Widerspruchsfrist und die Bedeutung des Schweigens hinweisen.
10.2 Änderungen, die sich auf wesentliche Vertragspflichten beziehen, sind nur zulässig, wenn diese erforderlich sind, weil die Leistungen durch Workist ohne die Änderung der wesentlichen Vertragspflichten aus Gründen der IT-Sicherheit oder aufgrund einer geänderten Gesetzeslage notwendig sind.
11. Schlussbestimmungen
11.1 Änderungen und Nebenabreden zu diesem Vertrag bedürfen der Schriftform. Dies gilt auch für diese Schriftformklausel.
11.2 Im Falle von Widersprüchen zwischen den Anlagen und dem Vertrag gehen die Regelungen der Anlagen vor.
11.3 Der Kunde kann gegen Forderungen von Workist nur dann aufrechnen oder ein Zurückbehaltungsrecht geltend machen, wenn die Gegenforderung unbestritten oder rechtskräftig zuerkannt ist oder in einem synallagmatischen Verhältnis zu dem jeweils betroffenen Anspruch steht.
11.4 Die Vertragssprache ist Deutsch. Übersetzungen in andere Sprachen dienen ausschließlich der Verständlichkeit und sind rechtlich unverbindlich.
11.5 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
11.6 Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Berlin, vorausgesetzt die Vertragsparteien sind Kaufleute oder der Kunde hat keinen allgemeinen Gerichtsstand in Deutschland oder in einem anderen EU-Mitgliedsstaat oder hat seinen festen Wohnsitz nach Wirksamwerden dieser Allgemeinen Geschäftsbedingungen ins Ausland verlegt oder der Wohnsitz oder gewöhnliche Aufenthaltsort ist im Zeitpunkt der Klageerhebung nicht bekannt.
a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.
b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
d) Die Anhänge I bis IV sind Bestandteil der Klauseln.
e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
b) Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.
c) Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens zwei Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.
b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.
a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
Verantwortliche(r):
Name: Der im Hauptvertrag angegebene Kunde
Anschrift: Entsprechend der im Hauptvertrag angegebenen Adresse des Kunden
Name, Funktion und Kontaktdaten der Kontaktperson: Wie im Hauptvertrag angegeben
Unterschrift und Beitrittsdatum: Erfolgt durch Unterschrift des Hauptvertrags
Auftragsverarbeiter:
1. Name: Workist GmbH
Anschrift: Linienstraße 126
Name, Funktion und Kontaktdaten der Kontaktperson: Dr. Fabian Brosig
Unterschrift und Beitrittsdatum: Erfolgt durch Unterschrift des Hauptvertrags
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden
Kategorien personenbezogener Daten, die verarbeitet werden
Art der Verarbeitung
Selbstbetriebene webbasierte Software-Lösung („Software-as-a-Service“)
Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
Dauer der Verarbeitung
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
Diese Kategorie umfasst Maßnahmen zur Verhinderung des unbefugten physischen Zugriffs auf Bereiche, in denen sensible Daten gespeichert oder verarbeitet werden.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie umfasst Maßnahmen, die den unbefugten Zugriff auf digitale Systeme und Daten einschränken und sicherstellen, dass nur autorisierte Personen auf sensible Informationen und Ressourcen zugreifen können.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie konzentriert sich darauf, sicherzustellen, dass nur diejenigen Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, wobei Kontrollen zur Verwaltung und Einschränkung der Zugriffsrechte, zur Verhinderung unbefugter Nutzung und zur sicheren Handhabung sensibler Daten eingerichtet sind.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie stellt sicher, dass Daten und Systeme bei Bedarf voneinander isoliert bleiben, wodurch das Risiko von Datenlecks minimiert wird.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie umfasst den Prozess der Ersetzung identifizierbarer Informationen durch Pseudonyme, wodurch sichergestellt wird, dass personenbezogene Daten ohne zusätzliche Informationen nicht einer bestimmten Person zugeordnet werden können. Die Pseudonymisierung verbessert den Datenschutz, indem sie das Risiko einer Offenlegung verringert und gleichzeitig die Verarbeitung und Analyse der Daten ermöglicht.
Technische Maßnahmen
Organisatorische Maßnahmen
This category focuses on ensuring the integrity and security of data during transmission. It includes measures that protect data from unauthorized access, modification, or loss while being transferred between systems or parties, ensuring that data remains unchanged throughout the process.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie gewährleistet die Genauigkeit und Integrität der Daten bei der Eingabe, Änderung und beim Zugriff. Sie umfasst Maßnahmen zur Verfolgung und Protokollierung aller Dateneingaben und -änderungen, zum Schutz der Daten vor unbefugten Änderungen und zur Ermöglichung von Korrekturen, falls erforderlich. Diese Maßnahmen sind notwendig, um die Daten während ihres gesamten Lebenszyklus genau und konsistent zu halten und gleichzeitig Transparenz und Nachvollziehbarkeit zu gewährleisten.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie konzentriert sich darauf, sicherzustellen, dass Daten und Systeme bei Bedarf jederzeit verfügbar und betriebsbereit sind, Ausfallzeiten zu vermeiden und vor Datenverlusten oder Systemausfällen zu schützen.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie stellt sicher, dass Daten und Systeme nach einem Vorfall schnell wieder vollständig funktionsfähig sind.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie umfasst Verfahren und Dokumentationen, die erforderlich sind, um die kontinuierliche Einhaltung der Datenschutzbestimmungen sicherzustellen und den Datenschutz in die Betriebsabläufe, das Risikomanagement und die Entscheidungsprozesse des Unternehmens zu integrieren.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie umfasst die kontinuierliche Bewertung und Verbesserung der bestehenden Prozesse und Protokolle zur Reaktion auf Datenverletzungen und Sicherheitsvorfälle.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie stellt sicher, dass der Datenschutz von Anfang an in die Gestaltung und den Betrieb von Systemen und Prozessen integriert ist.
Technische Maßnahmen
Organisatorische Maßnahmen
Diese Kategorie umfasst die Überwachung und Verwaltung externer Parteien, die an der Datenverarbeitung beteiligt sind. Dazu gehören Maßnahmen, die sicherstellen, dass bei Outsourcing-Vereinbarungen das erforderliche Datenschutzniveau und die erforderliche Datensicherheit gewährleistet sind.
Technische Maßnahmen
Organisatorische Maßnahmen
Subunternehmer: Azure (Microsoft Deutschland GmbH)
Adresse: Walter-Gropius-Straße 5, 80807 München, Deutschland
Gegenstand der Beauftragung: Cloud-Dienstleistungen
Datenübermittlung in Drittstaaten (Rechtsgrundlage): Microsoft ist EU-US Data Privacy Framework (DPF) zertifiziert, wodurch die Datenübermittlung auf Basis eines Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO erfolgen kann
Subunternehmer: AWS (Amazon Web Services EMEA SARL)
Adresse: 38 avenue John F. Kennedy, L-1855 Luxemburg
Gegenstand der Beauftragung: Cloud-Dienstleistungen
Datenübermittlung in Drittstaaten (Rechtsgrundlage): AWS ist EU-US Data Privacy Framework zertifiziert, sodass die Datenübermittlung gemäß Art. 45 DSGVO erfolgen kann
Subunternehmer: Sendgrid1 (Twilio Inc.)
Adresse: 101 Spear Street, Fifth Floor, San Francisco, CA 94105, United States
Gegenstand der Beauftragung: E-Mail-Dienstleister
Datenübermittlung in Drittstaaten (Rechtsgrundlage): Twilio Inc. ist unter dem EU-US DPF zertifiziert. Datenübermittlung kann unter Art. 45 DSGVO erfolgen
Subunternehmer: Hubspot1 (Hubspot Inc.)
Adresse: 2 Canal Park, Cambridge, MA 02141, United States
Gegenstand der Beauftragung: Kundenservice und Support Software
Datenübermittlung in Drittstaaten (Rechtsgrundlage): Hubspot, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert, erlaubt somit die Übermittlung nach Art. 45 DSGVO
Subunternehmer: Syncwork2 (Syncwork AG)
Adresse: Franklinstr. 26a, 10587 Berlin, Deutschland
Gegenstand der Beauftragung: SAP Integrationspartner
Datenübermittlung in Drittstaaten (Rechtsgrundlage): n/a
1 Geplant
2 Dieser Dienstleister wird nur Teil des AVVs, wenn der entsprechende Dienst vom Auftraggeber gebucht wurde.