Auftragsverarbeitungsvertrag
Vertrag über die Verarbeitung von Daten im Auftrag
zwischen
dem sich registrierenden Unternehmen
- Auftraggeber -
und
planbar GbR
In der Ziegelheide 107
46397 Bocholt
- Auftragnehmer –
1. Allgemeines
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftrag-gebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Par-teien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
2. Gegenstand des Auftrags
Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der per-sonenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
3. Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbei-tung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach Ziff. 4 Abs. 6 das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber infor-mieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer gel-tend machen.
(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Um-fang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergän-zende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unbe-rührt.
(5) Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern wei-sungsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftragge-ber ändern, wird der Auftraggeber dies dem Auftragnehmer in Textform mitteilen.
(6) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
(7) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Melde-pflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
4. Allgemeine Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rah-men der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftrag-geber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Re-gelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflich-ten. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtli-chen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine sol-che Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abwei-chende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.
(2) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mit-gliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.
(3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maß-nahmen zu.
(4) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer wird Änderungen in der Organisation der Daten-verarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.
(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betref-fenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbei-tung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
(6) Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Be-triebsstätten des Auftragnehmers oder Subunternehmern ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig.
(7) Der Auftragnehmer wird die Daten, die er im Auftrag für den Auftraggeber verar-beitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.
(8) Der Auftragnehmer kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Sofern weisungsemp-fangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen beim Auftragnehmer ändern, wird der Auftragnehmer dies dem Auftraggeber in Textform mitteilen.
5. Datenschutzbeauftragter des Auftragnehmers
(1) Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat, insofern ein interner oder externer Datenschutzbeauftragter gefordert ist. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Da-tenschutzbeauftragten gesondert in Textform mitteilen.
(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten.
6. Meldepflichten des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen daten-schutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarun-gen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbei-tung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers ver-arbeitet.
(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informie-ren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragneh-mer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
(3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragneh-mers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:
– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Da-ten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der be-troffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der be-troffenen personenbezogenen Datensätze;
– eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachtei-ligen Auswirkungen.
7. Mitwirkungspflichten des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwor-tung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSG-VO. Es gelten die Regelungen von Ziff. 11 dieses Vertrages.
(2) Der Auftragnehmer wirkt an der Erstellung der Verzeichnisse von Verarbeitungs-tätigkeiten durch den Auftraggeber mit. Er hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhal-tung der in Art. 32-36 DSGVO genannten Pflichten.
8. Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertragli-chen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung ver-pflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auf-traggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
9. Unterauftragsverhältnisse
(1) Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist jederzeit möglich, solange sich der Unterauftragnehmer zur Einhaltung der DSGVO verpflichtet und ein gültiger Auftragsverarbeitungsvertrag vorliegt.
(2) Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragneh-mer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unter-auftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatori-schen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergeb-nis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auf-traggeber zu übermitteln.
(3) Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bzw. Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragnehmer den Auftragge-ber hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbe-auftragte zu benennen.
(4) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(5) Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungs-vertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Dar-über hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auf-tragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsver-trag auf Anfrage in Kopie zu übermitteln.
(6) Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 5 dieses Vertrages) des Auftragge-bers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden verein-bart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
(7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reini-gungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leis-tungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflich-tet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tra-gen, dass angemessene Vorkehrungen und technische und organisatorische Maß-nahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleis-ten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustim-mungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
10. Vertraulichkeitsverpflichtung
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnis-schutzregeln mitzuteilen.
(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtli-chen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeb-lichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit ver-pflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informiert hat.
(3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf An-frage nachzuweisen.
11. Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftrag-nehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderli-chen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
(2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrech-ten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maß-nahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auf-traggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maß-nahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahr-nehmung von Betroffenenrechten nachzukommen.
(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwir-kungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt.
12. Geheimhaltungspflichten
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu be-handeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist be-rechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genann-ten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
13. Vergütung
Die Vergütung des Auftragnehmers wird gesondert vereinbart.
14. Technische und organisatorische Maßnahmen zur Datensicherheit
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzu-wendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 3 zu diesem Vertrag beigefügt. Die Par-teien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Ge-gebenheiten Änderungen der technischen und organisatorischen Maßnahmen erfor-derlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht ne-gativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftrag-geber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen an-fordern.
(3) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatori-schen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kon-trollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber informieren.
15. Dauer des Auftrags
(1) Der Vertrag beginnt mit der Onlinebestätigung und wird auf unbestimmte Zeit ge-schlossen.
(2) Er endet drei Monate nach Kündigung des Online abgeschlossenen Abos bei planbar365.com
(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auf-tragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
16. Beendigung
(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftragge-bers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Wei-se zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
17. Zurückbehaltungsrecht
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
18. Schlussbestimmungen
(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auf-traggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unver-züglich informieren.
(2) Für Nebenabreden ist die Schriftform erforderlich.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirk-samkeit der übrigen Regelungen des Vertrages nicht.
Anlage 1 - Gegenstand des Auftrags
1. Gegenstand und Zweck der Verarbeitung
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:
Es wird eine Cloudanwendung zur Onlinedisposition von Mitarbeiter sowie Equipment bereitgestellt.
2. Art(en) der personenbezogenen Daten
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
• Mandatendaten
o Vor- und Zuname des Mandanten
o E-Mail Adresse
o Anschrift
o Firmenname
• Kundendaten des Mandanten
o Vor- und Zuname / Firmenname
o Anschrift
o E-Mail Adresse
o Telefonnummer
• Mitarbeiterdaten
o Vor- und Zuname
o E-Mail Adresse
o Urlaubstage
3. Kategorien betroffener Person
Kreis der von der Datenverarbeitung betroffenen Personen:
Auftraggeber, Kunden des Auftraggebers, Mitarbeiter des Auftraggebers
Anlage 2 - Unterauftragnehmer
Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftragge-bers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“).
Dabei handelt es sich um nachfolgende(s) Unternehmen:
KRANKIKOM – Alexander Kranki Kommunikation GmbH
Schifferstraße 200
47059 Duisburg
Telefon 0203/30597-0
Telefax 0203/30597-99
Interoute Germany GmbH
Weismüllerstraße 26
D-60314 Frankfurt am Main
Deutschland
Tel: +49 69 48007 0
Fax: +49 69 4800 7249
info@interoute.de
myLoc – IT AG (Housing Farm)
Am Gateherhof 44, 40472 Düsseldorf
InterXion (Housing Farm)
In der Steele 29, 40599 Düsseldorf
Microsft Ireland
1, One Microsoft Place
South County Business Park
Leopardstown
Dublin 18, D18 P521
Irland
MailChimp
The Rocket Science Group, LLC
675 Ponce de Leon Ave NE
Suite 5000
Atlanta, GA 30308 USA
ZENDESK
1019 Market St
San Francisco, CA 94103
USA
Google Germany GmbH
ABC-Strasse 19
20354 Hamburg
Telefon: +49 40-80-81-79-000
Fax: +49 40-4921-9194
Anlage 3
Technische und organisatorische Maßnahmen des Auftragnehmers
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. Vertraulichkeit
Zutrittskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
A. Krankikom Büro- und Serverräume
Die Räume der Krankikom GmbH befinden sich in der 4. und 5. Etage des Gebäudes Schifferstr. 200.
Besucher müssen sich am Empfang anmelden, werden erfasst und mit einem Besucherbatch zwecks
Identifikation ausgestatte und werden am Empfang abgeholt oder gebeten im Konferenzraum zu
warten.
Die Mitarbeiter der Krankikom sind sensibilisiert, Personen, die Ihnen nicht bekannt sind
anzusprechen und ihre Hilfe anzubieten.
Der Umgang mit Besuchern ist in einer verbindlichen Richtlinie festgehalten.
In sensiblen Sicherheitsbereichen, wie den Serverräumen, wird Fremdpersonal nur nach terminlicher
Vereinbarung eingelassen.
Die Mitarbeiter sind mit einem Transponder ausgestattet. Das Gebäude ist in verschiedene
Sicherheitsbereiche aufgeteilt.
Es liegt ein Schließplan zugrunde, indem die Zutrittsberechtigungen dokumentiert sind.
Die Serverräume sind ständig verschlossen. Der Kreis der Zutrittsberechtigten ist auf die notwendi-ge
Anzahl beschränkt. Der Serverraum ist mit einem Codeschloss versehen.
Es ist eine Einbruchmeldeanlage installiert. Die Mitarbeiter sind schriftlich über den Umgang
(Aktivierung und Deaktivierung) mit der Einbruchmeldeanlage informiert.
B. Rechenzentrum InterXion (Housing Farm)
In der Steele 29, 40599 Düsseldorf
Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter
(Admins / IT-Abteilung) zugänglich.
Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal, von dem aus sich die
Mitarbeiter mit einer personalisierten Keycard Zutritt verschaffen können.
Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung
(CCTV).
Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30
Uhr ist zusätzlich Sicherheitspersonal anwesend.
C. Rechenzentrum myLoc – IT AG (Housing Farm)
Am Gateherhof 44, 40472 Düsseldorf
Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter
(Admins / IT-Abteilung) zugänglich.
Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal von dem aus sich die Mitarbei-ter
mit einer personalisierten Keycard Zutritt verschaffen können.
Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung
(CCTV).
Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30 Uhr ist zusätzlich Sicherheitspersonal anwesend.
Zugangskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können.
Für den Zugang zu den Datenverarbeitungssystemen werden Passwörter vergeben. Jeder Anwen-der
erhält einen eigenen Benutzernamen und ein eigenes, nur ihm bekanntes Passwort. Die
Anforderungen an das Passwort sind in einer Passwort-Richtlinie hinterlegt und werden
systemtechnisch überprüft.
Das Passwort muss mindestens 8-stellig sein und aus einer Kombination von Groß- und
Kleinbuchstaben und Ziffern oder Sonderzeichen bestehen. Der Passwortwechsel wird vom
Anmeldeserver automatisch alle 90 Tage initiiert.
Über die aktivierte Einstellung der Passwort-Historie am Anmeldeserver ist die Nutzung der letzten 5
verwendeten Passworte ausgeschlossen.
Die Administrator-Passworte sind in einem Passwort-Safe softwaremäßig sicher hinterlegt.
Die Nutzung der Zugangsberechtigungen wird vom Server protokolliert und bei Bedarf ausgewertet.
Die Zugangsberechtigungen werden über den Active Directory Service am Anmeldeserver vergeben
und dokumentiert.
Über alle Aktivitäten der Datenverarbeitungsanlage werden Protokolle erstellt und bei Bedarf
ausgewertet.
Zugriffskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung,
Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden
können.
Über das Berechtigungskonzept wird sichergestellt, das nur Berechtigte auf Daten zugreifen kön-nen,
die ihrer Berechtigung unterliegen.
Die Zugriffe sind differenziert erteilt. So liegt ein Konzept vor, das die Zugriffe auf Betriebssysteme,
Anwendungsprogramme, Dateien, Datensätze und Datenfelder regelt. Die Verarbeitungsmöglichkei-ten sind für die Rechte Lesen, Schreiben und Löschen definiert.
Trennung
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Personenbezogenen Daten werden mandantenbezogen verarbeitet. Die personenbezogenen Daten werden nach Mandanten getrennt gespeichert.
Pseudonymisierung & Verschlüsselung
Die vom Auftragnehmer bereitgestellten Dienste sind SSL Verschlüsselt.
Die folgenden Daten des Auftraggebers werden verschlüsselt in der Datenbank gespeichert:
• Passwort
• Bankdaten
2. Integrität
Eingabekontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,
verändert oder entfernt worden sind.
Über die Log-Files der Server, lässt sich nachvollziehen, wer sich an den Systemen an und abge-meldet
hat. Über Log-Files der Anwendungen ist es möglich nachzuverfolgen, von welchem Anwender Daten
eingegeben, verändert oder gelöscht worden sind. Die Protokolle können bei Bedarf ausgewertet werden.
Weitergabekontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Des Weiteren nutzt die PlanBar GbR Mail-, Speicher- und andere IT Dienste aus der Microsoft Office365 Cloud für die Bürokommunikation.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist.
Die Weitergabe von personenbezogenen Daten im Rahmen der Auftragsdatenverarbeitung erfolgt
nach den Vorgaben der Auftraggeber.
Es bestehen folgende Verfahren:
• Datenverschlüsselung durch Archiv-Dateien mit Passwort
• E-Mail Verschlüsselung mit öffentlichem Schlüssel (PKI)
• Botentransport durch Auftragnehmer oder Auftraggeber
• Post- oder Kurierversand
• Hochladen auf einen ftp/sftp-Server
Datenträger werden über definierte Verfahren vernichtet. Magnetische Datenträger wie Festplatten
oder Sicherungsbänder, die nicht mehr verwendet werden, werden überschrieben und physisch
vernichtet. Ein Zugriff auf gespeicherte Information ist somit ausgeschlossen. Optische Datenträ-ger,
wie CDs oder DVDs werden mit einem Shredder zerstört.
Papier, das vertrauliche oder personenbezogene Daten enthält wird im firmeneigenen Shredder
entsprechend DIN 32757 Stufe 3 vernichtet.
Elektronisch gespeicherte personenbezogene Daten werden nach den Vorgaben des Auftraggebers
gelöscht, überlassene Datenträger nach den definierten Verfahren vernichtet.
Zum Ausschluss der Weitergabe von personenbezogenen Daten im Rahmen von Wartungen sind vor-Ort-Services für die Datenverarbeitungssysteme abgeschlossen worden.
3. Verfügbarkeit und Belastbarkeit
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auf-trag
verarbeitet werden, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung
oder Verlust geschützt sind.
Die Daten der Krankikom GmbH werden regelmäßig gesichert. Es liegt ein Datensicherungskonzept
vor. Einmal wöchentlich wird eine komplette Sicherung erstellt. Täglich werden veränderte Daten
gesichert.
Die Wiederherstellbarkeit der Daten wird sporadisch überprüft. Im Datensicherungskonzept werden
die Art der zu sichernden Daten, die Intervalle und die Art der Speicherung festgelegt. Die
Verantwortlichkeit für die Datensicherung ist festgelegt. Die Durchführung der Datensicherung wird
protokolliert und die Protokolle werden ausgewertet. Die Datensicherungen werden räumlich
getrennt aufbewahrt.
Die Verfügbarkeit der Serversysteme und der darauf befindlichen Daten ist durch die
Systemkonfiguration und den Einsatz einer unterbrechungsfreien Stromversorgung gesichert.
In den Serverräumen sind Rauchmelder installiert, die im Brandfall einen Alarm auslösen. Für den
Brandfall sind ausreichende geeignete Feuerlöscher vorhanden; der Serverraum ist mit einem
Kohlendioxid-Feuerlöscher ausgestattet.
Durch die vorhandenen Klimageräte kann eine Temperatur zwischen 20° - 22° Celsius eingehalten
werden. Die Klimageräte sind redundant ausgelegt.
Mit den Herstellern der Systeme und IT-Dienstleistern sind Wartungs- und Serviceverträge
abgeschlossen worden, um die Verfügbarkeit der Systeme sicherzustellen.
Es werden regelmäßig Sicherheitsupdates und Sicherheitspatches der eingesetzten Produkte
durchgeführt. Die durchgeführten Patches und Updates werden dokumentiert.
Zum Schutz gegen Schadsoftware sind die Server und die Client-Systeme soweit erforderlich mit einer Virenschutzsoftware ausgestattet.
zwischen
dem sich registrierenden Unternehmen
- Auftraggeber -
und
planbar GbR
In der Ziegelheide 107
46397 Bocholt
- Auftragnehmer –
1. Allgemeines
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftrag-gebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Par-teien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
2. Gegenstand des Auftrags
Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der per-sonenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
3. Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbei-tung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach Ziff. 4 Abs. 6 das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber infor-mieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer gel-tend machen.
(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Um-fang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergän-zende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unbe-rührt.
(5) Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern wei-sungsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftragge-ber ändern, wird der Auftraggeber dies dem Auftragnehmer in Textform mitteilen.
(6) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
(7) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Melde-pflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
4. Allgemeine Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rah-men der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftrag-geber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Re-gelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflich-ten. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtli-chen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine sol-che Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abwei-chende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.
(2) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mit-gliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.
(3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maß-nahmen zu.
(4) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer wird Änderungen in der Organisation der Daten-verarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.
(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betref-fenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbei-tung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
(6) Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Be-triebsstätten des Auftragnehmers oder Subunternehmern ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig.
(7) Der Auftragnehmer wird die Daten, die er im Auftrag für den Auftraggeber verar-beitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.
(8) Der Auftragnehmer kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Sofern weisungsemp-fangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen beim Auftragnehmer ändern, wird der Auftragnehmer dies dem Auftraggeber in Textform mitteilen.
5. Datenschutzbeauftragter des Auftragnehmers
(1) Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat, insofern ein interner oder externer Datenschutzbeauftragter gefordert ist. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Da-tenschutzbeauftragten gesondert in Textform mitteilen.
(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten.
6. Meldepflichten des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen daten-schutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarun-gen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbei-tung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers ver-arbeitet.
(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informie-ren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragneh-mer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
(3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragneh-mers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:
– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Da-ten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der be-troffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der be-troffenen personenbezogenen Datensätze;
– eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachtei-ligen Auswirkungen.
7. Mitwirkungspflichten des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwor-tung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSG-VO. Es gelten die Regelungen von Ziff. 11 dieses Vertrages.
(2) Der Auftragnehmer wirkt an der Erstellung der Verzeichnisse von Verarbeitungs-tätigkeiten durch den Auftraggeber mit. Er hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhal-tung der in Art. 32-36 DSGVO genannten Pflichten.
8. Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertragli-chen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung ver-pflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auf-traggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
9. Unterauftragsverhältnisse
(1) Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist jederzeit möglich, solange sich der Unterauftragnehmer zur Einhaltung der DSGVO verpflichtet und ein gültiger Auftragsverarbeitungsvertrag vorliegt.
(2) Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragneh-mer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unter-auftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatori-schen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergeb-nis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auf-traggeber zu übermitteln.
(3) Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bzw. Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragnehmer den Auftragge-ber hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbe-auftragte zu benennen.
(4) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(5) Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungs-vertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Dar-über hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auf-tragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsver-trag auf Anfrage in Kopie zu übermitteln.
(6) Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 5 dieses Vertrages) des Auftragge-bers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden verein-bart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
(7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reini-gungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leis-tungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflich-tet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tra-gen, dass angemessene Vorkehrungen und technische und organisatorische Maß-nahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleis-ten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustim-mungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
10. Vertraulichkeitsverpflichtung
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnis-schutzregeln mitzuteilen.
(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtli-chen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeb-lichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit ver-pflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informiert hat.
(3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf An-frage nachzuweisen.
11. Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftrag-nehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderli-chen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
(2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrech-ten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maß-nahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auf-traggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maß-nahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahr-nehmung von Betroffenenrechten nachzukommen.
(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwir-kungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt.
12. Geheimhaltungspflichten
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu be-handeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist be-rechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genann-ten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
13. Vergütung
Die Vergütung des Auftragnehmers wird gesondert vereinbart.
14. Technische und organisatorische Maßnahmen zur Datensicherheit
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzu-wendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 3 zu diesem Vertrag beigefügt. Die Par-teien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Ge-gebenheiten Änderungen der technischen und organisatorischen Maßnahmen erfor-derlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht ne-gativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftrag-geber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen an-fordern.
(3) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatori-schen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kon-trollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber informieren.
15. Dauer des Auftrags
(1) Der Vertrag beginnt mit der Onlinebestätigung und wird auf unbestimmte Zeit ge-schlossen.
(2) Er endet drei Monate nach Kündigung des Online abgeschlossenen Abos bei planbar365.com
(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auf-tragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
16. Beendigung
(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftragge-bers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Wei-se zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren.
17. Zurückbehaltungsrecht
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
18. Schlussbestimmungen
(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auf-traggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unver-züglich informieren.
(2) Für Nebenabreden ist die Schriftform erforderlich.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirk-samkeit der übrigen Regelungen des Vertrages nicht.
Anlage 1 - Gegenstand des Auftrags
1. Gegenstand und Zweck der Verarbeitung
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:
Es wird eine Cloudanwendung zur Onlinedisposition von Mitarbeiter sowie Equipment bereitgestellt.
2. Art(en) der personenbezogenen Daten
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
• Mandatendaten
o Vor- und Zuname des Mandanten
o E-Mail Adresse
o Anschrift
o Firmenname
• Kundendaten des Mandanten
o Vor- und Zuname / Firmenname
o Anschrift
o E-Mail Adresse
o Telefonnummer
• Mitarbeiterdaten
o Vor- und Zuname
o E-Mail Adresse
o Urlaubstage
3. Kategorien betroffener Person
Kreis der von der Datenverarbeitung betroffenen Personen:
Auftraggeber, Kunden des Auftraggebers, Mitarbeiter des Auftraggebers
Anlage 2 - Unterauftragnehmer
Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftragge-bers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“).
Dabei handelt es sich um nachfolgende(s) Unternehmen:
KRANKIKOM – Alexander Kranki Kommunikation GmbH
Schifferstraße 200
47059 Duisburg
Telefon 0203/30597-0
Telefax 0203/30597-99
Interoute Germany GmbH
Weismüllerstraße 26
D-60314 Frankfurt am Main
Deutschland
Tel: +49 69 48007 0
Fax: +49 69 4800 7249
info@interoute.de
myLoc – IT AG (Housing Farm)
Am Gateherhof 44, 40472 Düsseldorf
InterXion (Housing Farm)
In der Steele 29, 40599 Düsseldorf
Microsft Ireland
1, One Microsoft Place
South County Business Park
Leopardstown
Dublin 18, D18 P521
Irland
MailChimp
The Rocket Science Group, LLC
675 Ponce de Leon Ave NE
Suite 5000
Atlanta, GA 30308 USA
ZENDESK
1019 Market St
San Francisco, CA 94103
USA
Google Germany GmbH
ABC-Strasse 19
20354 Hamburg
Telefon: +49 40-80-81-79-000
Fax: +49 40-4921-9194
Anlage 3
Technische und organisatorische Maßnahmen des Auftragnehmers
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. Vertraulichkeit
Zutrittskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
A. Krankikom Büro- und Serverräume
Die Räume der Krankikom GmbH befinden sich in der 4. und 5. Etage des Gebäudes Schifferstr. 200.
Besucher müssen sich am Empfang anmelden, werden erfasst und mit einem Besucherbatch zwecks
Identifikation ausgestatte und werden am Empfang abgeholt oder gebeten im Konferenzraum zu
warten.
Die Mitarbeiter der Krankikom sind sensibilisiert, Personen, die Ihnen nicht bekannt sind
anzusprechen und ihre Hilfe anzubieten.
Der Umgang mit Besuchern ist in einer verbindlichen Richtlinie festgehalten.
In sensiblen Sicherheitsbereichen, wie den Serverräumen, wird Fremdpersonal nur nach terminlicher
Vereinbarung eingelassen.
Die Mitarbeiter sind mit einem Transponder ausgestattet. Das Gebäude ist in verschiedene
Sicherheitsbereiche aufgeteilt.
Es liegt ein Schließplan zugrunde, indem die Zutrittsberechtigungen dokumentiert sind.
Die Serverräume sind ständig verschlossen. Der Kreis der Zutrittsberechtigten ist auf die notwendi-ge
Anzahl beschränkt. Der Serverraum ist mit einem Codeschloss versehen.
Es ist eine Einbruchmeldeanlage installiert. Die Mitarbeiter sind schriftlich über den Umgang
(Aktivierung und Deaktivierung) mit der Einbruchmeldeanlage informiert.
B. Rechenzentrum InterXion (Housing Farm)
In der Steele 29, 40599 Düsseldorf
Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter
(Admins / IT-Abteilung) zugänglich.
Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal, von dem aus sich die
Mitarbeiter mit einer personalisierten Keycard Zutritt verschaffen können.
Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung
(CCTV).
Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30
Uhr ist zusätzlich Sicherheitspersonal anwesend.
C. Rechenzentrum myLoc – IT AG (Housing Farm)
Am Gateherhof 44, 40472 Düsseldorf
Der Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter
(Admins / IT-Abteilung) zugänglich.
Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal von dem aus sich die Mitarbei-ter
mit einer personalisierten Keycard Zutritt verschaffen können.
Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung
(CCTV).
Zu jeder Tages- und Nachtzeit ist Sicherheitspersonal vor Ort. An Werktagen zwischen 5:30 und 22:30 Uhr ist zusätzlich Sicherheitspersonal anwesend.
Zugangskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können.
Für den Zugang zu den Datenverarbeitungssystemen werden Passwörter vergeben. Jeder Anwen-der
erhält einen eigenen Benutzernamen und ein eigenes, nur ihm bekanntes Passwort. Die
Anforderungen an das Passwort sind in einer Passwort-Richtlinie hinterlegt und werden
systemtechnisch überprüft.
Das Passwort muss mindestens 8-stellig sein und aus einer Kombination von Groß- und
Kleinbuchstaben und Ziffern oder Sonderzeichen bestehen. Der Passwortwechsel wird vom
Anmeldeserver automatisch alle 90 Tage initiiert.
Über die aktivierte Einstellung der Passwort-Historie am Anmeldeserver ist die Nutzung der letzten 5
verwendeten Passworte ausgeschlossen.
Die Administrator-Passworte sind in einem Passwort-Safe softwaremäßig sicher hinterlegt.
Die Nutzung der Zugangsberechtigungen wird vom Server protokolliert und bei Bedarf ausgewertet.
Die Zugangsberechtigungen werden über den Active Directory Service am Anmeldeserver vergeben
und dokumentiert.
Über alle Aktivitäten der Datenverarbeitungsanlage werden Protokolle erstellt und bei Bedarf
ausgewertet.
Zugriffskontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung,
Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden
können.
Über das Berechtigungskonzept wird sichergestellt, das nur Berechtigte auf Daten zugreifen kön-nen,
die ihrer Berechtigung unterliegen.
Die Zugriffe sind differenziert erteilt. So liegt ein Konzept vor, das die Zugriffe auf Betriebssysteme,
Anwendungsprogramme, Dateien, Datensätze und Datenfelder regelt. Die Verarbeitungsmöglichkei-ten sind für die Rechte Lesen, Schreiben und Löschen definiert.
Trennung
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Personenbezogenen Daten werden mandantenbezogen verarbeitet. Die personenbezogenen Daten werden nach Mandanten getrennt gespeichert.
Pseudonymisierung & Verschlüsselung
Die vom Auftragnehmer bereitgestellten Dienste sind SSL Verschlüsselt.
Die folgenden Daten des Auftraggebers werden verschlüsselt in der Datenbank gespeichert:
• Passwort
• Bankdaten
2. Integrität
Eingabekontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,
verändert oder entfernt worden sind.
Über die Log-Files der Server, lässt sich nachvollziehen, wer sich an den Systemen an und abge-meldet
hat. Über Log-Files der Anwendungen ist es möglich nachzuverfolgen, von welchem Anwender Daten
eingegeben, verändert oder gelöscht worden sind. Die Protokolle können bei Bedarf ausgewertet werden.
Weitergabekontrolle
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt. Des Weiteren nutzt die PlanBar GbR Mail-, Speicher- und andere IT Dienste aus der Microsoft Office365 Cloud für die Bürokommunikation.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist.
Die Weitergabe von personenbezogenen Daten im Rahmen der Auftragsdatenverarbeitung erfolgt
nach den Vorgaben der Auftraggeber.
Es bestehen folgende Verfahren:
• Datenverschlüsselung durch Archiv-Dateien mit Passwort
• E-Mail Verschlüsselung mit öffentlichem Schlüssel (PKI)
• Botentransport durch Auftragnehmer oder Auftraggeber
• Post- oder Kurierversand
• Hochladen auf einen ftp/sftp-Server
Datenträger werden über definierte Verfahren vernichtet. Magnetische Datenträger wie Festplatten
oder Sicherungsbänder, die nicht mehr verwendet werden, werden überschrieben und physisch
vernichtet. Ein Zugriff auf gespeicherte Information ist somit ausgeschlossen. Optische Datenträ-ger,
wie CDs oder DVDs werden mit einem Shredder zerstört.
Papier, das vertrauliche oder personenbezogene Daten enthält wird im firmeneigenen Shredder
entsprechend DIN 32757 Stufe 3 vernichtet.
Elektronisch gespeicherte personenbezogene Daten werden nach den Vorgaben des Auftraggebers
gelöscht, überlassene Datenträger nach den definierten Verfahren vernichtet.
Zum Ausschluss der Weitergabe von personenbezogenen Daten im Rahmen von Wartungen sind vor-Ort-Services für die Datenverarbeitungssysteme abgeschlossen worden.
3. Verfügbarkeit und Belastbarkeit
Ist mit dem Unterauftragnehmer „KRANKIKOM – Alexander Kranki Kommunikation GmbH“ Vertraglich geregelt.
Auszug aus dem Vertrag:
Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten
oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auf-trag
verarbeitet werden, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung
oder Verlust geschützt sind.
Die Daten der Krankikom GmbH werden regelmäßig gesichert. Es liegt ein Datensicherungskonzept
vor. Einmal wöchentlich wird eine komplette Sicherung erstellt. Täglich werden veränderte Daten
gesichert.
Die Wiederherstellbarkeit der Daten wird sporadisch überprüft. Im Datensicherungskonzept werden
die Art der zu sichernden Daten, die Intervalle und die Art der Speicherung festgelegt. Die
Verantwortlichkeit für die Datensicherung ist festgelegt. Die Durchführung der Datensicherung wird
protokolliert und die Protokolle werden ausgewertet. Die Datensicherungen werden räumlich
getrennt aufbewahrt.
Die Verfügbarkeit der Serversysteme und der darauf befindlichen Daten ist durch die
Systemkonfiguration und den Einsatz einer unterbrechungsfreien Stromversorgung gesichert.
In den Serverräumen sind Rauchmelder installiert, die im Brandfall einen Alarm auslösen. Für den
Brandfall sind ausreichende geeignete Feuerlöscher vorhanden; der Serverraum ist mit einem
Kohlendioxid-Feuerlöscher ausgestattet.
Durch die vorhandenen Klimageräte kann eine Temperatur zwischen 20° - 22° Celsius eingehalten
werden. Die Klimageräte sind redundant ausgelegt.
Mit den Herstellern der Systeme und IT-Dienstleistern sind Wartungs- und Serviceverträge
abgeschlossen worden, um die Verfügbarkeit der Systeme sicherzustellen.
Es werden regelmäßig Sicherheitsupdates und Sicherheitspatches der eingesetzten Produkte
durchgeführt. Die durchgeführten Patches und Updates werden dokumentiert.
Zum Schutz gegen Schadsoftware sind die Server und die Client-Systeme soweit erforderlich mit einer Virenschutzsoftware ausgestattet.
Allgemeine Geschäftsbedingungen
Allgemeine Geschäftsbedingungen im Rahmen von Verträgen die über die Plattform PlanBar365.com
zwischen
Planbar 365 GbR,
In der Ziegelheide 107
46397 Bocholt
- im Folgenden „Anbieter“ -
und
den in dem Vertrag bezeichneten Kunden
- im Folgenden „Kunde“ -
geschlossen werden.
1. Geltungsbereich
1.1 Diese Allgemeinen Nutzungsbedingungen (nachfolgend „AGB“) gelten für die Nutzung der von der PlanBar GbR, In der Ziegelheide 107, 46397 Bocholt
unter dem Namen „planbarApp“ angebotenen Applikation (nachfolgend „planbarApp“) sowie alle über die planbarApp abrufbaren Funktionen (nachfolgend „planbar-Funktionen“; die planbarApp sowie die planbarApp-Funktionen werden nachfolgend gemeinsam als „Dienste“ bezeichnet).
1.2 Berechtigt zur Registrierung für die Dienste sind ausschließlich Unternehmer im Sinne von § 14 BGB, d.h. natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln (nachfolgend „Kunde“). Verbraucher sind von der Registrierung und Nutzung ausgeschlossen.
1.3 Die Nutzung der Dienste wird ausschließlich durch diese AGB geregelt. Von diesen AGB abweichende Bedingungen finden nur dann Anwendung, wenn die PlanBar GbR diesen schriftlich zugestimmt hat.
1.4 Für den Download der planbarApp von einem Drittanbieter, etwa über den Apple AppStore (für iOS-Endgeräte) oder den Google Play Store (für Android-Endgeräte) gelten die entsprechenden Bedingungen des jeweiligen Drittanbieters.
1.5 Durch diese AGB werden alle früheren Nutzungsbedingungen ersetzt, insbesondere auch jene für die kostenlose Nutzung der planbarApp. Gleichermaßen ersetzen zukünftige Änderungen der AGB die jeweils vorangegangene Version. Auf Änderungen weist die PlanBar GbR ihre Kunden in geeigneter Form hin. Jeder Kunde hat das Recht, den Nutzungsvertrag innerhalb von 4 (vier) Wochen nach Erhalt der Änderungsanzeige von der PlanBar GbR zu kündigen. Sofern der Kunde innerhalb der vorgenannten Frist keine Kündigung erklärt, gelten die AGB in der geänderten Fassung.
2. Vertragsschluss und Registrierung eines Accounts
2.1 Die Nutzung der Dienste setzt ein Nutzerkonto („Account“) sowie das Einverständnis mit diesen AGB voraus. Sofern interessierte Nutzer nicht von einem bestehenden Kunden zur Nutzung der Dienste unter dessen Account eingeladen wurden, registrieren diese als Kunden ihren Betrieb unter Eingabe der dafür abgefragten Angaben.
2.2 Um Einzelnutzer zu autorisieren, welche die planbarApp unter einem bestehenden Account nutzen sollen (nachfolgend „User“), kann der Kunde nach Maßgabe der Bestimmungen der Klausel 5 in jedem Account Unterkonten eröffnen (nachfolgend „Useraccounts“). User können sowohl eigene als auch externe Mitarbeiter des Kunden sein. Der Kunde hat außerdem die Möglichkeit, Subunternehmer in seinem Account als User zu autorisieren oder für diese einen eigenen Account anzulegen, sofern dies jeweils nur für die eigenen unternehmensinternen Zwecke des Kunden erfolgt.
2.3 Diejenigen Personen, welche einen Account für den Kunden anlegen und/oder nachfolgend Useraccounts anlegen, müssen hinreichend qualifiziert, verlässlich und bevollmächtigt sein, für den Kunden entsprechende Verträge abzuschließen.
2.4 Durch das Anlegen eines Accounts kommt zwischen dem Kunden und der PlanBar GbR ein Nutzungsvertrag zustande. Zur Vermeidung von Missverständnissen wird klargestellt, dass kein Nutzungsvertrag zwischen der PlanBar GbR und den einzelnen Usern geschlossen wird.
3. Nutzung der Dienste
3.1 Grundlegende Voraussetzung für die Nutzung der Dienste ist ein internetfähiges Endgerät. Bei Nutzung der planbarApp als mobile Applikation ist ein GPS-fähiges mobiles Endgerät erforderlich, auf dem das Betriebssystem iOS oder Android in der jeweils beim Download als Mindestvoraussetzung angegebenen Version installiert ist. Für die Nutzung der planbarApp als Web-Applikation ist ein PC erforderlich, auf dem ein marktgängiger Webbrowser in der jeweils beim Download ggf. als Mindestvoraussetzung angegebenen Version installiert ist. Die Inanspruchnahme der Dienste setzt ferner eine Internetverbindung mit hinreichender Datenübertragungsrate sowie als mobile Applikation die Aktivierung des GPS-Signals voraus.
3.2 Der Kunde hat dafür Sorge zu tragen, dass die von ihm und den Usern angegebenen Daten stets dem aktuellen Stand entsprechen und nimmt die hierfür jeweils erforderlichen Aktualisierungen vor. Persönliche Zugangsdaten (wie Passwörter) dürfen nicht an Dritte weitergegeben werden und sind vor dem Zugriff durch Dritte geschützt aufzubewahren. Passwörter sollten zur Sicherheit in regelmäßigen Abständen geändert werden. Soweit Anlass zu der Vermutung besteht, dass unberechtigte Personen Zugriff auf oder Kenntnis von Zugangsdaten erlangt haben, hat der Kunde die PlanBar GbR hierüber unverzüglich per E-Mail zu informieren und seine Zugangsdaten unverzüglich zu ändern.
3.3 Dem Kunden ist es untersagt, die Dienste missbräuchlich zu nutzen. Eine missbräuchliche Nutzung der Dienste liegt insbesondere vor, wenn der Kunde (i) Angaben macht, die nach seinem bestem Wissen falsch sind, (ii) Maßnahmen ergreift, die darauf gerichtet sind, technische Schutzmaßnahmen zu umgehen, oder (iii) den vereinbarten Nutzungsumfang überschreitet.
3.4 Der Kunde verpflichtet sich, elektronische Angriffe jeglicher Art auf die Dienste zu unterlassen. Als elektronische Angriffe gelten insbesondere Versuche, die Sicherheitsmechanismen von der PlanBar GbR zu überwinden, zu umgehen, oder auf sonstige Art außer Kraft zu setzen, der Einsatz von Computerprogrammen zum automatischen Auslesen von Daten, das Anwenden und/oder Verbreiten von Viren, Würmern, Trojanern, Brute Force Attacken, Spam oder die Verwendung von sonstigen Links, Programmen oder Verfahren, die die PlanBar GbR schädigen können.
3.5 Der Kunde verpflichtet sich, keinerlei rechtswidrige, rechtsverletzende, beleidigende, verleumderische, diskriminierende, menschenverachtende, rassistische, verfassungsfeindliche, sexistische, gewaltverherrlichende oder pornografische Inhalte einzustellen.
3.6 Wenn der Kunde Kenntnis von Inhalten erlangt, die gegen die vorstehende Klausel 3.5 verstoßen, wird er diese Inhalte umgehend entfernen, sofern die Inhalte von den Usern seines Accounts stammen und die Entfernung der Inhalte für ihn technisch möglich ist, oder der PlanBar GbR von der Existenz dieser Inhalte in Kenntnis setzen.
3.7 Die PlanBar GbR ist berechtigt, rechtsverletzende Inhalte, insbesondere solche, die gegen Klausel 3.5 verstoßen, zu entfernen, sowie den Zugang zu bestimmten Funktionen zu beschränken oder das Konto des Kunden zu sperren, wenn der Kunde diese AGB verletzt.
3.8 Der Kunde sorgt für die Kenntnisnahme und Einhaltung der in dieser Klausel 3 und in Klausel 5 genannten Bestimmungen durch die über ihn autorisierten User. Insbesondere stellt der Kunde sicher, dass beim Hochladen der Projektinformationen unter seinen Accounts alle für die in Klausel 5.5 genannten Rechteeinräumungen ggf. erforderlichen Einwilligungen und Genehmigungen vorliegen, insbesondere seitens der User seiner Accounts.
3.9 Der Kunde muss sich Verstöße der User gegen diese Bestimmungen sowie sonstige rechtswidrige Handlungen der User wie eigene rechtswidrige Handlungen zurechnen lassen und stellt die PlanBar GbR von allen hierdurch entstehenden Schäden und angemessenen Aufwendungen frei.
3.10 Der Kunde haftet bei der von ihm und/oder seinen Usern zu vertretenden Verletzung von Rechten Dritter gegenüber diesen selbst und unmittelbar. Bei begründeten Ansprüchen Dritter aufgrund einer solchen Verletzung ist der Kunde verpflichtet, die PlanBar GbR vollumfänglich freizustellen, sofern er nicht nachweist, dass er die schadensursächliche Rechtsverletzung nicht zu vertreten hat. Die PlanBar GbR behält es sich vor, Ansprüche gegen den Kunden und gegen die User geltend zu machen. Der Kunde stellt die PlanBar GbR von sämtlichen Ansprüchen frei, die User wegen Nutzung der Dienste gegen die PlanBar GbR geltend machen.
4. Leistungen der PlanBar GbR
4.1 Die PlanBar GbR erbringt seine Dienste ausschließlich innerhalb Deutschlands, Östereichs, der Schweiz und Italiens. Inhalt, Umfang und Beschaffenheit der planbarApp-Funktionen ergeben sich ausschließlich aus der in der planbarApp angegebenen Produktbeschreibung.
4.2 Die PlanBar GbR behält sich vor, die Dienste den Marktgegebenheiten laufend anzupassen. Für die Nutzung der Dienste ist es daher insbesondere erforderlich, das Betriebssystem des mobilen Endgeräts sowie die planbarApp jeweils auf dem aktuellen Stand zu halten. Anpassungen können zudem dazu führen, dass insbesondere ältere Endgeräte den Anforderungen zukünftig nicht oder nur noch eingeschränkt entsprechen.
4.3 Einige planbarApp-Funktionen erfordern eine aktive Internetverbindung. Die Dienste sind bei der mobilen Applikation teilweise räumlich auf den Empfangs- und Sendebereich der vom jeweiligen Netzbetreiber betriebenen Funkstationen beschränkt und können insbesondere auch durch atmosphärische Bedingungen, topografische Gegebenheiten, die Position sowie Hindernisse (z.B. Brücken und Gebäude) beeinträchtigt werden. Die Funktionsfähigkeit und Betriebsbereitschaft der vom Kunden genutzten Endgeräte (z.B. PC, Smartphone) sowie die Internet- und/oder Mobilfunkverbindung sind nicht Gegenstand der Leistungen der PlanBar GbR; hierfür ist der Kunde selbst verantwortlich.
4.4 Der Anspruch auf Nutzung der Dienste besteht nur im Rahmen des aktuellen und bewährten Stands der Technik. Die PlanBar GbR behält sich vor, den Zugang zu den Diensten zeitweilig zu beschränken, wenn dies im Hinblick auf Kapazitätsgrenzen, die Sicherheit oder Integrität der Server oder zur Durchführung technischer Maßnahmen erforderlich ist und dies der ordnungsgemäßen oder verbesserten Erbringung der Leistungen dient (z.B. bei Wartungsarbeiten).
4.5 Die planbarApp-Funktionen sind lediglich als Unterstützung bzw. als Hilfsmittel für den Geschäftsbetrieb des Kunden gedacht und können keine selbständige Prüfung und/oder ein kritisches Urteil des Kunden und der User über die korrekte und vollständige Ausführung der mit den planbarApp -Funktionen unterstützen Geschäftsaktivitäten ersetzen. Die PlanBar GbR übernimmt insbesondere keine Verantwortung für die Vollständigkeit und Richtigkeit von (i) Projektdokumentationen, Baustellenmappen und Berichten, (ii) Maßen und Wetterdaten, (iii) Rechnungsstellungen und/oder (iv) Übersetzungen (der Übersetzungsservice ist lediglich zur Erleichterung der Alltagskommunikation der User gedacht und kann nicht als Grundlage für Projektentscheidungen herangezogen werden).
4.6 Zur Erbringung seiner Leistungen behält sich die PlanBar GbR den Einsatz von Subunternehmern vor.
5. Nutzungsrechte, Projektinformationen
5.1 Die planbarApp ist urheberrechtlich geschützt. Die PlanBar GbR räumt dem Kunden lediglich das nicht-ausschließliche, nicht übertragbare und nicht unterlizenzierbare Recht ein, die planbarApp gemäß der Bestimmungen dieser AGB zu nutzen. Weitergehende Nutzungsrechte an der App werden nicht eingeräumt. Der Kunde ist ausschließlich dann berechtigt, die planbarApp zu dekompilieren und zu vervielfältigen, soweit dies gesetzlich vorgesehen ist.
5.2 Mit Anmeldung eines Useraccounts erhält der Kunde das einfache, nicht übertragbare, zeitlich begrenzte Recht zur Nutzung der planbarApp-Funktionen über den betreffenden Useraccount für die eigenen unternehmensinternen Zwecke des Kunden. Ohne vorherige ausdrückliche Erlaubnis durch die PlanBar GbR ist es dem Kunden untersagt, die planbarApp-Funktionen von anderen Personen als den von ihm autorisierten Usern nutzen zu lassen, für Dritte zu nutzen, diesen anzubieten oder zugänglich zu machen, zu veröffentlichen oder zu verbreiten.
5.3 Ein Useraccount innerhalb eines Accounts darf jeweils nur von der für den betreffenden Useraccount autorisierten natürlichen Person genutzt werden. Eine Registrierung mehrerer natürlicher Personen für denselben Useraccount oder eine Nutzung desselben Useraccounts durch mehrere natürliche Personen ist untersagt.
5.4 Soweit nicht ausdrücklich anders in der planbarApp vorgesehen, beträgt die Laufzeit eines Useraccounts jeweils einen Monat ab Erwerb eines einzelnen Useraccounts oder des Gesamtpakets an Useraccounts, aus dem der Useraccount stammt. Useraccounts verlängern sich jeweils automatisch, sofern der Kunde den Useraccount nicht deaktiviert oder die PlanBar GbR diese nicht nach Maßgabe von Klausel 6 sperrt oder nach Maßgabe von Klausel 8 kündigt.
5.5 Der Kunde räumt der PlanBar GbR ein nicht-exklusives, räumlich unbeschränktes Recht zur Nutzung an den unter seinen Accounts hochgeladenen Daten und Informationen, wie z.B. Dokumentationen, Zeichnungen, Bilder, Fotos, Maße, Beträge, Pläne oder sonstige Baustelleninformationen (insgesamt „Projektinformationen“) für die in diesen AGB festgelegten Zwecke ein. Demnach ist die PlanBar GbR befugt, die Projektinformationen zum Zweck der Erbringung der Dienste zu erheben, zu vervielfältigen, zu verarbeiten, zu nutzen und zu speichern. Darüber hinaus behält sich die PlanBar GbR das Recht vor, die Projektinformationen während und nach Beendigung des Nutzungsverhältnisses zum Zweck der Verbesserung der Dienste, zur Entwicklung neuer Funktionen und/oder Produkte oder zu statistischen Zwecken zu nutzen, auszuwerten und zu speichern. Die Analyse von Projektinformationen ist dabei auf automatisierte Auswertungen beschränkt und eine Veröffentlichung der Ergebnisse erfolgt stets nur in aggregierter, anonymisierter oder pseudonymisierter Form. Eine Zugänglichmachung oder Weiterleitung von Projektinformationen an Dritte findet nur statt, soweit es sich dabei um Subunternehmer oder Berater der PlanBar GbR handelt, die der Vertraulichkeit unterliegen.
5.6 Der Kunde ist dafür verantwortlich, dass durch die vertraglich vereinbarte Nutzung (vgl. Klausel 5.5) der unter seinen Accounts hochgeladenen Projektinformationen keine Rechte Dritter (einschließlich Rechte der User) an und im Hinblick auf die Projektinformationen verletzt werden (z.B. Urheberrechte oder Know-how-Schutz). Sofern Dritte (einschließlich die vom Kunden autorisierten User) Rechte an oder im Hinblick auf die unter seinen Accounts hochgeladenen Projektinformationen geltend machen, stellt der Kunde die PlanBar GbR von allen Ansprüchen und von im Zuge der Rechtsverteidigung entstandenen Kosten und Aufwänden frei. Weitergehende Rechte der PlanBar GbR, gleich aus welchem Rechtsgrund, bleiben davon unberührt – einschließlich des Rechts auf Schadensersatz und des Rechts diejenigen vom Kunden autorisierten User auszuschließen, welche die vorgenannten Rechte geltend machen.
6. Gebühren
6.1 Die Registrierung von Accounts ist kostenlos. Die für die Nutzung der planbarApp-Funktionen geschuldeten Gebühren bestimmen sich nach Art, Funktionsumfang und Anzahl der vom Kunden angelegten Useraccounts.
6.2 Sofern für die Nutzung der planbarApp-Funktionen eine kostenlose Testphase vorgesehen ist, steht das betreffende Angebot pro Kunde nur einmalig zur Verfügung, es sei denn, der betreffende Kunde erhält von der PlanBar GbR ein gesondertes Angebot für eine zusätzliche kostenlose Testphase.
6.3 Die Höhe der für die Dienste geschuldeten Gebühren ergibt sich aus den in der planbarApp zum Zeitpunkt der jeweiligen Autorisierung von einem oder mehreren gebührenpflichtigen Useraccounts angegeben Preisen. Die PlanBar GbR behält sich vor, die für bestimmte Typen von Useraccounts geschuldeten Gebühren von Zeit zu Zeit im Zuge der Verlängerung der betreffenden Useraccounts anzupassen. Auf Gebührenanpassungen weist die PlanBar GbR den Kunden rechtzeitig vor der Verlängerung hin, so dass der Kunde, sofern er mit der Gebührenanpassung nicht einverstanden ist, die Useraccounts zum Ablauf der vorgesehenen Laufzeit deaktivieren oder in gebührenfreie Useraccounts (sofern verfügbar) umwandeln kann oder sein Nutzungsverhältnis insgesamt kündigen kann.
6.4 Die Pflicht zur Zahlung der für einen Useraccount geschuldeten Gebühren entsteht mit Erwerb des betreffenden gebührenpflichtigen Useraccounts und/oder Gesamtpakets an gebührenpflichtigen Useraccounts und ist unabhängig von der tatsächlichen Inanspruchnahme der Dienste. Die von dem Kunden jeweils insgesamt geschuldeten Gebührenbemessen sich nach der Gesamtzahl der gebührenpflichtigen Useraccounts, die innerhalb eines Monats insgesamt auf einen Account angemeldet werden. Eine Rückerstattung bei Abmeldung eines Useraccounts innerhalb desselben Monats oder für tatsächlich nicht genutzte Useraccounts ist ausgeschlossen.
6.5 Die Abrechnung erfolgt jeweils pro Account. Sofern der Kunde nach dem für einen Monat von der PlanBar GbR gewählten Abrechnungsstichtag weitere gebührenpflichtige Useraccounts anlegt, werden die dafür geschuldeten Gebühren in einem Folgemonat in Rechnung gestellt. Eine Übertragung von Useraccounts zwischen verschiedenen Accounts oder eine Verrechnung zwischen verschiedenen Accounts ist ausgeschlossen.
6.6 Die zu zahlenden Gebühren sind ohne Abzüge mit Erhalt der Rechnung sofort zur Zahlung fällig.
6.7 Als Zahlungsmöglichkeiten stehen dem Kunden die in der planbarApp angegeben Zahlungsmethoden zur Verfügung.
6.8 Kommt der Kunde in Zahlungsverzug, so ist die PlanBar GbR berechtigt, Verzugszinsen in Höhe von 9 %-Punkten über dem jeweiligen Basiszinssatz gemäß § 288 BGB zu fordern. Falls die PlanBar GbR in der Lage ist, einen höheren Verzugsschaden nachzuweisen, ist die PlanBar GbR berechtigt, diesen geltend zu machen. Der Kunde ist jedoch berechtigt, nachzuweisen, dass der PlanBar GbR ein geringerer Verzugsschaden entstanden ist.
6.9 Unbeschadet der Klausel 6.8 kann die PlanBar GbR im Falle einer Nichtbezahlung oder verspäteten Bezahlung der für einen Useraccount geschuldeten Gebühren die jeweils betroffene Anzahl an Useraccounts für die planbarApp-Funktionen sperren. Die Rechte der PlanBar GbR aus Klausel 8.5 bleiben hiervon unberührt.
6.10 Der Kunde hat nicht das Recht, mit von der PlanBar GbR bestrittenen oder nicht rechtskräftig festgestellten Gegenansprüchen oder nicht von der PlanBar GbR anerkannten Gegenansprüchen aufzurechnen oder deswegen ein Zurückbehaltungsrecht geltend zu machen.
7. Haftung
7.1 Die PlanBar GbR haftet unbegrenzt im Falle von Personenschäden, bei Arglist sowie für alle Schäden, die vorsätzlich oder grob fahrlässig durch die gesetzlichen Vertreter oder Erfüllungsgehilfen von der PlanBar GbR verursacht wurden.
7.2 Im Übrigen haftet die PlanBar GbR dem Grunde nach nur bei jeder von der PlanBar GbR zu vertretenden Verletzung einer wesentlichen Vertragspflicht. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht, auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf und deren Verletzung die Erreichung des Vertragszwecks gefährdet. Die Haftung für die Verletzung einer solchen wesentlichen Vertragspflicht ist der Höhe nach insgesamt auf den bei Vertragsschluss typischerweise vorhersehbaren Schaden begrenzt. Als Obergrenze des typischerweise vorhersehbaren Schadens gilt dabei ein Betrag von EUR 50.000,- je Schadensfall.
7.3 Im Übrigen ist die Haftung von der PlanBar GbR für fahrlässig verursachte Schäden, gleich aus welchem Rechtsgrund, ausgeschlossen. Dies gilt auch zugunsten der gesetzlichen Vertreter, Mitarbeiter, Erfüllungsgehilfen und Subunternehmer von der PlanBar GbR, auf die eine Pflichtenübertragung stattfand.
7.4 Die vorgenannten Haftungsbeschränkungen gelten nicht im Falle der Übernahme einer ausdrücklichen Garantie durch die PlanBar GbR oder bei einer Haftung nach dem Produkthaftungsgesetz.
7.5 Schadensersatzansprüche gegenüber der PlanBar GbR sowie ihrer gesetzlichen Vertreter, Mitarbeiter, Erfüllungsgehilfen und Subunternehmer verjähren grundsätzlich ein Jahr nach ihrer Entstehung. Ausgenommen hiervon sind die in Klausel 7.1 genannten Fälle.
8. Laufzeit und Kündigung
8.1 Der Nutzungsvertrag läuft auf unbestimmte Zeit.
8.2 Der Kunde kann den Nutzungsvertrag über einen Account jederzeit ohne Einhaltung einer Frist ordentlich kündigen. Die bis zum Zeitpunkt der Kündigung durch den Kunden begründeten Vergütungsansprüche der PlanBar GbR, bleiben von der Kündigung unberührt.
8.3 Die PlanBar GbR behält sich das Recht vor, die hinter der planbarApp stehende Infrastruktur und die Dienste als solche einzustellen. Die PlanBar GbR benachrichtigt den Kunden spätestens 3 (drei) Monate vorher über eine solche Einstellung per E-Mail.
8.4 Der Kunde und die PlanBar GbR haben das Recht zur außerordentlichen fristlosen Kündigung aus wichtigem Grund. Ein wichtiger Grund besteht für die PlanBar GbR insbesondere, wenn der Kunde gegen ein in den Klauseln 3.3, 3.4 und 3.5 niedergelegtes Verbot verstößt oder die ihm gewährten Nutzungsrechte schuldhaft in wesentlichem Umfang überschritten werden.
8.5 Bei erheblichen Verstößen gegen die dem Kunden obliegenden Pflichten sowie bei begründeten erheblichen Verdachtsmomenten für eine erhebliche Pflichtverletzung ist die PlanBar GbR berechtigt, die Dienste für den Kunden und dessen User zu sperren. Dies gilt insbesondere bei Übermittlung von vorsätzlich falschen oder unwahren Angaben durch den Kunden, z.B. um Zahlungspflichten zu entgehen. Die PlanBar GbR informiert den Kunden über den Grund der Sperrung per E-Mail. Die Sperre besteht fort, bis die Pflichtverletzung behoben ist und/oder der Kunde die Unterlassung zukünftiger Pflichtverletzungen glaubhaft gemacht hat. Das Recht zur außerordentlichen Kündigung der PlanBar GbR bleibt durch die Möglichkeit der Sperrung unberührt.
8.6 Kündigungen durch den Kunden sind anhand der dafür in der planbarApp vorgesehenen Einstellungen zu erklären. Soweit der Kunde hierbei lediglich die auf ihn registrierten Useraccounts kündigt, gewährt die PlanBar GbR dem Kunden – nach Wahl der PlanBar GbR – ggf. weiter Zugriff auf die in seine Accounts eingestellten Inhalte, wobei der Kunde nach wie vor zur Einhaltung dieser AGB verpflichtet bleibt. Sofern der Kunde bei Kündigung die Löschung des oder der auf ihn angemeldeten Accounts wünscht, muss er die dafür in der planbarApp vorgesehenen Einstellungen wählen; Klausel 5.5 bleibt hiervon unberührt.
8.7 Anlässlich der Beendigung des Nutzungsvertrags wird die PlanBar GbR dem Kunden den Export der vom Kunden eingebrachten Inhalte in einem gängigen Standardformat gegen eine Gebühr in Höhe von 300,00 € ermöglichen. Im Falle einer Beendigung des Nutzungsvertrags speichert die PlanBar GbR die Daten des Accounts für weitere 6 (sechs) Monate, es sei denn, die Dienste werden gemäß Klausel 8.3 eingestellt.
9. Datenschutz und Geheimhaltung
9.1 Die PlanBar GbR und der Kunde beachten die einschlägigen datenschutzrechtlichen Vorschriften.
Die PlanBar GbR wird insbesondere personenbezogene Daten des Kunden nur im Rahmen dessen Weisungen erheben, verarbeiten oder nutzen. Die PlanBar GbR und der Kunde verpflichten ihre Mitarbeiter gem. § 53 BDSG auf die Einhaltung des Datengeheimnisses.
9.2 Der Kunde ist berechtigt, die Einhaltung der Datensicherheitsanforderungen jederzeit nach vorheriger schriftlicher Ankündigung von 5 Werktagen durch einen gegenüber dem Kunden zur Verschwiegenheit verpflichteten Berufsträger überprüfen zu lassen. Hierzu hat die PlanBar GbR diesem zu ihren üblichen Geschäftszeiten Zugang zu ihren für die Prüfung relevanten Geschäftseinrichtungen, insbesondere den EDV-Einrichtungen, zu gewähren.
9.3 Die PlanBar GbR und der Kunde sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln, insbesondere nicht an Dritte weiterzugeben oder sonst zu verwerten.
9.4 Bestehen Zweifel, gelten übermittelten Daten als vertraulich.
9.5 Von dieser Verpflichtung ausgenommen sind solche vertraulichen Informationen,
die dem Empfänger bei Abschluss des Vertrags nachweislich bereits bekannt waren
oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden; die bei Abschluss des Vertrags öffentlich bekannt sind oder danach öffentlich bekannt gemacht werden, soweit dies nicht auf einer Verletzung dieses Vertrags beruht; die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichtes oder einer Behörde offen gelegt werden müssen. Soweit zulässig und möglich wird der zur Offenlegung verpflichtete Empfänger die andere Partei vorab unterrichten und ihr Gelegenheit geben, gegen die Offenlegung vorzugehen.
10. Schlussbestimmungen
10.1 Es findet das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts Anwendung. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus und aufgrund der Nutzung der Dienste ist Bocholt.
10.2 Sollten einzelne Bestimmungen der AGB unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine Bestimmung zu ersetzen, die dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
10.3 Änderungen und Ergänzungen dieser AGB bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für eine Änderung dieser Schriftformklausel. Mündliche oder schriftliche Nebenabreden wurden nicht getroffen.
zwischen
Planbar 365 GbR,
In der Ziegelheide 107
46397 Bocholt
- im Folgenden „Anbieter“ -
und
den in dem Vertrag bezeichneten Kunden
- im Folgenden „Kunde“ -
geschlossen werden.
1. Geltungsbereich
1.1 Diese Allgemeinen Nutzungsbedingungen (nachfolgend „AGB“) gelten für die Nutzung der von der PlanBar GbR, In der Ziegelheide 107, 46397 Bocholt
unter dem Namen „planbarApp“ angebotenen Applikation (nachfolgend „planbarApp“) sowie alle über die planbarApp abrufbaren Funktionen (nachfolgend „planbar-Funktionen“; die planbarApp sowie die planbarApp-Funktionen werden nachfolgend gemeinsam als „Dienste“ bezeichnet).
1.2 Berechtigt zur Registrierung für die Dienste sind ausschließlich Unternehmer im Sinne von § 14 BGB, d.h. natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln (nachfolgend „Kunde“). Verbraucher sind von der Registrierung und Nutzung ausgeschlossen.
1.3 Die Nutzung der Dienste wird ausschließlich durch diese AGB geregelt. Von diesen AGB abweichende Bedingungen finden nur dann Anwendung, wenn die PlanBar GbR diesen schriftlich zugestimmt hat.
1.4 Für den Download der planbarApp von einem Drittanbieter, etwa über den Apple AppStore (für iOS-Endgeräte) oder den Google Play Store (für Android-Endgeräte) gelten die entsprechenden Bedingungen des jeweiligen Drittanbieters.
1.5 Durch diese AGB werden alle früheren Nutzungsbedingungen ersetzt, insbesondere auch jene für die kostenlose Nutzung der planbarApp. Gleichermaßen ersetzen zukünftige Änderungen der AGB die jeweils vorangegangene Version. Auf Änderungen weist die PlanBar GbR ihre Kunden in geeigneter Form hin. Jeder Kunde hat das Recht, den Nutzungsvertrag innerhalb von 4 (vier) Wochen nach Erhalt der Änderungsanzeige von der PlanBar GbR zu kündigen. Sofern der Kunde innerhalb der vorgenannten Frist keine Kündigung erklärt, gelten die AGB in der geänderten Fassung.
2. Vertragsschluss und Registrierung eines Accounts
2.1 Die Nutzung der Dienste setzt ein Nutzerkonto („Account“) sowie das Einverständnis mit diesen AGB voraus. Sofern interessierte Nutzer nicht von einem bestehenden Kunden zur Nutzung der Dienste unter dessen Account eingeladen wurden, registrieren diese als Kunden ihren Betrieb unter Eingabe der dafür abgefragten Angaben.
2.2 Um Einzelnutzer zu autorisieren, welche die planbarApp unter einem bestehenden Account nutzen sollen (nachfolgend „User“), kann der Kunde nach Maßgabe der Bestimmungen der Klausel 5 in jedem Account Unterkonten eröffnen (nachfolgend „Useraccounts“). User können sowohl eigene als auch externe Mitarbeiter des Kunden sein. Der Kunde hat außerdem die Möglichkeit, Subunternehmer in seinem Account als User zu autorisieren oder für diese einen eigenen Account anzulegen, sofern dies jeweils nur für die eigenen unternehmensinternen Zwecke des Kunden erfolgt.
2.3 Diejenigen Personen, welche einen Account für den Kunden anlegen und/oder nachfolgend Useraccounts anlegen, müssen hinreichend qualifiziert, verlässlich und bevollmächtigt sein, für den Kunden entsprechende Verträge abzuschließen.
2.4 Durch das Anlegen eines Accounts kommt zwischen dem Kunden und der PlanBar GbR ein Nutzungsvertrag zustande. Zur Vermeidung von Missverständnissen wird klargestellt, dass kein Nutzungsvertrag zwischen der PlanBar GbR und den einzelnen Usern geschlossen wird.
3. Nutzung der Dienste
3.1 Grundlegende Voraussetzung für die Nutzung der Dienste ist ein internetfähiges Endgerät. Bei Nutzung der planbarApp als mobile Applikation ist ein GPS-fähiges mobiles Endgerät erforderlich, auf dem das Betriebssystem iOS oder Android in der jeweils beim Download als Mindestvoraussetzung angegebenen Version installiert ist. Für die Nutzung der planbarApp als Web-Applikation ist ein PC erforderlich, auf dem ein marktgängiger Webbrowser in der jeweils beim Download ggf. als Mindestvoraussetzung angegebenen Version installiert ist. Die Inanspruchnahme der Dienste setzt ferner eine Internetverbindung mit hinreichender Datenübertragungsrate sowie als mobile Applikation die Aktivierung des GPS-Signals voraus.
3.2 Der Kunde hat dafür Sorge zu tragen, dass die von ihm und den Usern angegebenen Daten stets dem aktuellen Stand entsprechen und nimmt die hierfür jeweils erforderlichen Aktualisierungen vor. Persönliche Zugangsdaten (wie Passwörter) dürfen nicht an Dritte weitergegeben werden und sind vor dem Zugriff durch Dritte geschützt aufzubewahren. Passwörter sollten zur Sicherheit in regelmäßigen Abständen geändert werden. Soweit Anlass zu der Vermutung besteht, dass unberechtigte Personen Zugriff auf oder Kenntnis von Zugangsdaten erlangt haben, hat der Kunde die PlanBar GbR hierüber unverzüglich per E-Mail zu informieren und seine Zugangsdaten unverzüglich zu ändern.
3.3 Dem Kunden ist es untersagt, die Dienste missbräuchlich zu nutzen. Eine missbräuchliche Nutzung der Dienste liegt insbesondere vor, wenn der Kunde (i) Angaben macht, die nach seinem bestem Wissen falsch sind, (ii) Maßnahmen ergreift, die darauf gerichtet sind, technische Schutzmaßnahmen zu umgehen, oder (iii) den vereinbarten Nutzungsumfang überschreitet.
3.4 Der Kunde verpflichtet sich, elektronische Angriffe jeglicher Art auf die Dienste zu unterlassen. Als elektronische Angriffe gelten insbesondere Versuche, die Sicherheitsmechanismen von der PlanBar GbR zu überwinden, zu umgehen, oder auf sonstige Art außer Kraft zu setzen, der Einsatz von Computerprogrammen zum automatischen Auslesen von Daten, das Anwenden und/oder Verbreiten von Viren, Würmern, Trojanern, Brute Force Attacken, Spam oder die Verwendung von sonstigen Links, Programmen oder Verfahren, die die PlanBar GbR schädigen können.
3.5 Der Kunde verpflichtet sich, keinerlei rechtswidrige, rechtsverletzende, beleidigende, verleumderische, diskriminierende, menschenverachtende, rassistische, verfassungsfeindliche, sexistische, gewaltverherrlichende oder pornografische Inhalte einzustellen.
3.6 Wenn der Kunde Kenntnis von Inhalten erlangt, die gegen die vorstehende Klausel 3.5 verstoßen, wird er diese Inhalte umgehend entfernen, sofern die Inhalte von den Usern seines Accounts stammen und die Entfernung der Inhalte für ihn technisch möglich ist, oder der PlanBar GbR von der Existenz dieser Inhalte in Kenntnis setzen.
3.7 Die PlanBar GbR ist berechtigt, rechtsverletzende Inhalte, insbesondere solche, die gegen Klausel 3.5 verstoßen, zu entfernen, sowie den Zugang zu bestimmten Funktionen zu beschränken oder das Konto des Kunden zu sperren, wenn der Kunde diese AGB verletzt.
3.8 Der Kunde sorgt für die Kenntnisnahme und Einhaltung der in dieser Klausel 3 und in Klausel 5 genannten Bestimmungen durch die über ihn autorisierten User. Insbesondere stellt der Kunde sicher, dass beim Hochladen der Projektinformationen unter seinen Accounts alle für die in Klausel 5.5 genannten Rechteeinräumungen ggf. erforderlichen Einwilligungen und Genehmigungen vorliegen, insbesondere seitens der User seiner Accounts.
3.9 Der Kunde muss sich Verstöße der User gegen diese Bestimmungen sowie sonstige rechtswidrige Handlungen der User wie eigene rechtswidrige Handlungen zurechnen lassen und stellt die PlanBar GbR von allen hierdurch entstehenden Schäden und angemessenen Aufwendungen frei.
3.10 Der Kunde haftet bei der von ihm und/oder seinen Usern zu vertretenden Verletzung von Rechten Dritter gegenüber diesen selbst und unmittelbar. Bei begründeten Ansprüchen Dritter aufgrund einer solchen Verletzung ist der Kunde verpflichtet, die PlanBar GbR vollumfänglich freizustellen, sofern er nicht nachweist, dass er die schadensursächliche Rechtsverletzung nicht zu vertreten hat. Die PlanBar GbR behält es sich vor, Ansprüche gegen den Kunden und gegen die User geltend zu machen. Der Kunde stellt die PlanBar GbR von sämtlichen Ansprüchen frei, die User wegen Nutzung der Dienste gegen die PlanBar GbR geltend machen.
4. Leistungen der PlanBar GbR
4.1 Die PlanBar GbR erbringt seine Dienste ausschließlich innerhalb Deutschlands, Östereichs, der Schweiz und Italiens. Inhalt, Umfang und Beschaffenheit der planbarApp-Funktionen ergeben sich ausschließlich aus der in der planbarApp angegebenen Produktbeschreibung.
4.2 Die PlanBar GbR behält sich vor, die Dienste den Marktgegebenheiten laufend anzupassen. Für die Nutzung der Dienste ist es daher insbesondere erforderlich, das Betriebssystem des mobilen Endgeräts sowie die planbarApp jeweils auf dem aktuellen Stand zu halten. Anpassungen können zudem dazu führen, dass insbesondere ältere Endgeräte den Anforderungen zukünftig nicht oder nur noch eingeschränkt entsprechen.
4.3 Einige planbarApp-Funktionen erfordern eine aktive Internetverbindung. Die Dienste sind bei der mobilen Applikation teilweise räumlich auf den Empfangs- und Sendebereich der vom jeweiligen Netzbetreiber betriebenen Funkstationen beschränkt und können insbesondere auch durch atmosphärische Bedingungen, topografische Gegebenheiten, die Position sowie Hindernisse (z.B. Brücken und Gebäude) beeinträchtigt werden. Die Funktionsfähigkeit und Betriebsbereitschaft der vom Kunden genutzten Endgeräte (z.B. PC, Smartphone) sowie die Internet- und/oder Mobilfunkverbindung sind nicht Gegenstand der Leistungen der PlanBar GbR; hierfür ist der Kunde selbst verantwortlich.
4.4 Der Anspruch auf Nutzung der Dienste besteht nur im Rahmen des aktuellen und bewährten Stands der Technik. Die PlanBar GbR behält sich vor, den Zugang zu den Diensten zeitweilig zu beschränken, wenn dies im Hinblick auf Kapazitätsgrenzen, die Sicherheit oder Integrität der Server oder zur Durchführung technischer Maßnahmen erforderlich ist und dies der ordnungsgemäßen oder verbesserten Erbringung der Leistungen dient (z.B. bei Wartungsarbeiten).
4.5 Die planbarApp-Funktionen sind lediglich als Unterstützung bzw. als Hilfsmittel für den Geschäftsbetrieb des Kunden gedacht und können keine selbständige Prüfung und/oder ein kritisches Urteil des Kunden und der User über die korrekte und vollständige Ausführung der mit den planbarApp -Funktionen unterstützen Geschäftsaktivitäten ersetzen. Die PlanBar GbR übernimmt insbesondere keine Verantwortung für die Vollständigkeit und Richtigkeit von (i) Projektdokumentationen, Baustellenmappen und Berichten, (ii) Maßen und Wetterdaten, (iii) Rechnungsstellungen und/oder (iv) Übersetzungen (der Übersetzungsservice ist lediglich zur Erleichterung der Alltagskommunikation der User gedacht und kann nicht als Grundlage für Projektentscheidungen herangezogen werden).
4.6 Zur Erbringung seiner Leistungen behält sich die PlanBar GbR den Einsatz von Subunternehmern vor.
5. Nutzungsrechte, Projektinformationen
5.1 Die planbarApp ist urheberrechtlich geschützt. Die PlanBar GbR räumt dem Kunden lediglich das nicht-ausschließliche, nicht übertragbare und nicht unterlizenzierbare Recht ein, die planbarApp gemäß der Bestimmungen dieser AGB zu nutzen. Weitergehende Nutzungsrechte an der App werden nicht eingeräumt. Der Kunde ist ausschließlich dann berechtigt, die planbarApp zu dekompilieren und zu vervielfältigen, soweit dies gesetzlich vorgesehen ist.
5.2 Mit Anmeldung eines Useraccounts erhält der Kunde das einfache, nicht übertragbare, zeitlich begrenzte Recht zur Nutzung der planbarApp-Funktionen über den betreffenden Useraccount für die eigenen unternehmensinternen Zwecke des Kunden. Ohne vorherige ausdrückliche Erlaubnis durch die PlanBar GbR ist es dem Kunden untersagt, die planbarApp-Funktionen von anderen Personen als den von ihm autorisierten Usern nutzen zu lassen, für Dritte zu nutzen, diesen anzubieten oder zugänglich zu machen, zu veröffentlichen oder zu verbreiten.
5.3 Ein Useraccount innerhalb eines Accounts darf jeweils nur von der für den betreffenden Useraccount autorisierten natürlichen Person genutzt werden. Eine Registrierung mehrerer natürlicher Personen für denselben Useraccount oder eine Nutzung desselben Useraccounts durch mehrere natürliche Personen ist untersagt.
5.4 Soweit nicht ausdrücklich anders in der planbarApp vorgesehen, beträgt die Laufzeit eines Useraccounts jeweils einen Monat ab Erwerb eines einzelnen Useraccounts oder des Gesamtpakets an Useraccounts, aus dem der Useraccount stammt. Useraccounts verlängern sich jeweils automatisch, sofern der Kunde den Useraccount nicht deaktiviert oder die PlanBar GbR diese nicht nach Maßgabe von Klausel 6 sperrt oder nach Maßgabe von Klausel 8 kündigt.
5.5 Der Kunde räumt der PlanBar GbR ein nicht-exklusives, räumlich unbeschränktes Recht zur Nutzung an den unter seinen Accounts hochgeladenen Daten und Informationen, wie z.B. Dokumentationen, Zeichnungen, Bilder, Fotos, Maße, Beträge, Pläne oder sonstige Baustelleninformationen (insgesamt „Projektinformationen“) für die in diesen AGB festgelegten Zwecke ein. Demnach ist die PlanBar GbR befugt, die Projektinformationen zum Zweck der Erbringung der Dienste zu erheben, zu vervielfältigen, zu verarbeiten, zu nutzen und zu speichern. Darüber hinaus behält sich die PlanBar GbR das Recht vor, die Projektinformationen während und nach Beendigung des Nutzungsverhältnisses zum Zweck der Verbesserung der Dienste, zur Entwicklung neuer Funktionen und/oder Produkte oder zu statistischen Zwecken zu nutzen, auszuwerten und zu speichern. Die Analyse von Projektinformationen ist dabei auf automatisierte Auswertungen beschränkt und eine Veröffentlichung der Ergebnisse erfolgt stets nur in aggregierter, anonymisierter oder pseudonymisierter Form. Eine Zugänglichmachung oder Weiterleitung von Projektinformationen an Dritte findet nur statt, soweit es sich dabei um Subunternehmer oder Berater der PlanBar GbR handelt, die der Vertraulichkeit unterliegen.
5.6 Der Kunde ist dafür verantwortlich, dass durch die vertraglich vereinbarte Nutzung (vgl. Klausel 5.5) der unter seinen Accounts hochgeladenen Projektinformationen keine Rechte Dritter (einschließlich Rechte der User) an und im Hinblick auf die Projektinformationen verletzt werden (z.B. Urheberrechte oder Know-how-Schutz). Sofern Dritte (einschließlich die vom Kunden autorisierten User) Rechte an oder im Hinblick auf die unter seinen Accounts hochgeladenen Projektinformationen geltend machen, stellt der Kunde die PlanBar GbR von allen Ansprüchen und von im Zuge der Rechtsverteidigung entstandenen Kosten und Aufwänden frei. Weitergehende Rechte der PlanBar GbR, gleich aus welchem Rechtsgrund, bleiben davon unberührt – einschließlich des Rechts auf Schadensersatz und des Rechts diejenigen vom Kunden autorisierten User auszuschließen, welche die vorgenannten Rechte geltend machen.
6. Gebühren
6.1 Die Registrierung von Accounts ist kostenlos. Die für die Nutzung der planbarApp-Funktionen geschuldeten Gebühren bestimmen sich nach Art, Funktionsumfang und Anzahl der vom Kunden angelegten Useraccounts.
6.2 Sofern für die Nutzung der planbarApp-Funktionen eine kostenlose Testphase vorgesehen ist, steht das betreffende Angebot pro Kunde nur einmalig zur Verfügung, es sei denn, der betreffende Kunde erhält von der PlanBar GbR ein gesondertes Angebot für eine zusätzliche kostenlose Testphase.
6.3 Die Höhe der für die Dienste geschuldeten Gebühren ergibt sich aus den in der planbarApp zum Zeitpunkt der jeweiligen Autorisierung von einem oder mehreren gebührenpflichtigen Useraccounts angegeben Preisen. Die PlanBar GbR behält sich vor, die für bestimmte Typen von Useraccounts geschuldeten Gebühren von Zeit zu Zeit im Zuge der Verlängerung der betreffenden Useraccounts anzupassen. Auf Gebührenanpassungen weist die PlanBar GbR den Kunden rechtzeitig vor der Verlängerung hin, so dass der Kunde, sofern er mit der Gebührenanpassung nicht einverstanden ist, die Useraccounts zum Ablauf der vorgesehenen Laufzeit deaktivieren oder in gebührenfreie Useraccounts (sofern verfügbar) umwandeln kann oder sein Nutzungsverhältnis insgesamt kündigen kann.
6.4 Die Pflicht zur Zahlung der für einen Useraccount geschuldeten Gebühren entsteht mit Erwerb des betreffenden gebührenpflichtigen Useraccounts und/oder Gesamtpakets an gebührenpflichtigen Useraccounts und ist unabhängig von der tatsächlichen Inanspruchnahme der Dienste. Die von dem Kunden jeweils insgesamt geschuldeten Gebührenbemessen sich nach der Gesamtzahl der gebührenpflichtigen Useraccounts, die innerhalb eines Monats insgesamt auf einen Account angemeldet werden. Eine Rückerstattung bei Abmeldung eines Useraccounts innerhalb desselben Monats oder für tatsächlich nicht genutzte Useraccounts ist ausgeschlossen.
6.5 Die Abrechnung erfolgt jeweils pro Account. Sofern der Kunde nach dem für einen Monat von der PlanBar GbR gewählten Abrechnungsstichtag weitere gebührenpflichtige Useraccounts anlegt, werden die dafür geschuldeten Gebühren in einem Folgemonat in Rechnung gestellt. Eine Übertragung von Useraccounts zwischen verschiedenen Accounts oder eine Verrechnung zwischen verschiedenen Accounts ist ausgeschlossen.
6.6 Die zu zahlenden Gebühren sind ohne Abzüge mit Erhalt der Rechnung sofort zur Zahlung fällig.
6.7 Als Zahlungsmöglichkeiten stehen dem Kunden die in der planbarApp angegeben Zahlungsmethoden zur Verfügung.
6.8 Kommt der Kunde in Zahlungsverzug, so ist die PlanBar GbR berechtigt, Verzugszinsen in Höhe von 9 %-Punkten über dem jeweiligen Basiszinssatz gemäß § 288 BGB zu fordern. Falls die PlanBar GbR in der Lage ist, einen höheren Verzugsschaden nachzuweisen, ist die PlanBar GbR berechtigt, diesen geltend zu machen. Der Kunde ist jedoch berechtigt, nachzuweisen, dass der PlanBar GbR ein geringerer Verzugsschaden entstanden ist.
6.9 Unbeschadet der Klausel 6.8 kann die PlanBar GbR im Falle einer Nichtbezahlung oder verspäteten Bezahlung der für einen Useraccount geschuldeten Gebühren die jeweils betroffene Anzahl an Useraccounts für die planbarApp-Funktionen sperren. Die Rechte der PlanBar GbR aus Klausel 8.5 bleiben hiervon unberührt.
6.10 Der Kunde hat nicht das Recht, mit von der PlanBar GbR bestrittenen oder nicht rechtskräftig festgestellten Gegenansprüchen oder nicht von der PlanBar GbR anerkannten Gegenansprüchen aufzurechnen oder deswegen ein Zurückbehaltungsrecht geltend zu machen.
7. Haftung
7.1 Die PlanBar GbR haftet unbegrenzt im Falle von Personenschäden, bei Arglist sowie für alle Schäden, die vorsätzlich oder grob fahrlässig durch die gesetzlichen Vertreter oder Erfüllungsgehilfen von der PlanBar GbR verursacht wurden.
7.2 Im Übrigen haftet die PlanBar GbR dem Grunde nach nur bei jeder von der PlanBar GbR zu vertretenden Verletzung einer wesentlichen Vertragspflicht. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht, auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf und deren Verletzung die Erreichung des Vertragszwecks gefährdet. Die Haftung für die Verletzung einer solchen wesentlichen Vertragspflicht ist der Höhe nach insgesamt auf den bei Vertragsschluss typischerweise vorhersehbaren Schaden begrenzt. Als Obergrenze des typischerweise vorhersehbaren Schadens gilt dabei ein Betrag von EUR 50.000,- je Schadensfall.
7.3 Im Übrigen ist die Haftung von der PlanBar GbR für fahrlässig verursachte Schäden, gleich aus welchem Rechtsgrund, ausgeschlossen. Dies gilt auch zugunsten der gesetzlichen Vertreter, Mitarbeiter, Erfüllungsgehilfen und Subunternehmer von der PlanBar GbR, auf die eine Pflichtenübertragung stattfand.
7.4 Die vorgenannten Haftungsbeschränkungen gelten nicht im Falle der Übernahme einer ausdrücklichen Garantie durch die PlanBar GbR oder bei einer Haftung nach dem Produkthaftungsgesetz.
7.5 Schadensersatzansprüche gegenüber der PlanBar GbR sowie ihrer gesetzlichen Vertreter, Mitarbeiter, Erfüllungsgehilfen und Subunternehmer verjähren grundsätzlich ein Jahr nach ihrer Entstehung. Ausgenommen hiervon sind die in Klausel 7.1 genannten Fälle.
8. Laufzeit und Kündigung
8.1 Der Nutzungsvertrag läuft auf unbestimmte Zeit.
8.2 Der Kunde kann den Nutzungsvertrag über einen Account jederzeit ohne Einhaltung einer Frist ordentlich kündigen. Die bis zum Zeitpunkt der Kündigung durch den Kunden begründeten Vergütungsansprüche der PlanBar GbR, bleiben von der Kündigung unberührt.
8.3 Die PlanBar GbR behält sich das Recht vor, die hinter der planbarApp stehende Infrastruktur und die Dienste als solche einzustellen. Die PlanBar GbR benachrichtigt den Kunden spätestens 3 (drei) Monate vorher über eine solche Einstellung per E-Mail.
8.4 Der Kunde und die PlanBar GbR haben das Recht zur außerordentlichen fristlosen Kündigung aus wichtigem Grund. Ein wichtiger Grund besteht für die PlanBar GbR insbesondere, wenn der Kunde gegen ein in den Klauseln 3.3, 3.4 und 3.5 niedergelegtes Verbot verstößt oder die ihm gewährten Nutzungsrechte schuldhaft in wesentlichem Umfang überschritten werden.
8.5 Bei erheblichen Verstößen gegen die dem Kunden obliegenden Pflichten sowie bei begründeten erheblichen Verdachtsmomenten für eine erhebliche Pflichtverletzung ist die PlanBar GbR berechtigt, die Dienste für den Kunden und dessen User zu sperren. Dies gilt insbesondere bei Übermittlung von vorsätzlich falschen oder unwahren Angaben durch den Kunden, z.B. um Zahlungspflichten zu entgehen. Die PlanBar GbR informiert den Kunden über den Grund der Sperrung per E-Mail. Die Sperre besteht fort, bis die Pflichtverletzung behoben ist und/oder der Kunde die Unterlassung zukünftiger Pflichtverletzungen glaubhaft gemacht hat. Das Recht zur außerordentlichen Kündigung der PlanBar GbR bleibt durch die Möglichkeit der Sperrung unberührt.
8.6 Kündigungen durch den Kunden sind anhand der dafür in der planbarApp vorgesehenen Einstellungen zu erklären. Soweit der Kunde hierbei lediglich die auf ihn registrierten Useraccounts kündigt, gewährt die PlanBar GbR dem Kunden – nach Wahl der PlanBar GbR – ggf. weiter Zugriff auf die in seine Accounts eingestellten Inhalte, wobei der Kunde nach wie vor zur Einhaltung dieser AGB verpflichtet bleibt. Sofern der Kunde bei Kündigung die Löschung des oder der auf ihn angemeldeten Accounts wünscht, muss er die dafür in der planbarApp vorgesehenen Einstellungen wählen; Klausel 5.5 bleibt hiervon unberührt.
8.7 Anlässlich der Beendigung des Nutzungsvertrags wird die PlanBar GbR dem Kunden den Export der vom Kunden eingebrachten Inhalte in einem gängigen Standardformat gegen eine Gebühr in Höhe von 300,00 € ermöglichen. Im Falle einer Beendigung des Nutzungsvertrags speichert die PlanBar GbR die Daten des Accounts für weitere 6 (sechs) Monate, es sei denn, die Dienste werden gemäß Klausel 8.3 eingestellt.
9. Datenschutz und Geheimhaltung
9.1 Die PlanBar GbR und der Kunde beachten die einschlägigen datenschutzrechtlichen Vorschriften.
Die PlanBar GbR wird insbesondere personenbezogene Daten des Kunden nur im Rahmen dessen Weisungen erheben, verarbeiten oder nutzen. Die PlanBar GbR und der Kunde verpflichten ihre Mitarbeiter gem. § 53 BDSG auf die Einhaltung des Datengeheimnisses.
9.2 Der Kunde ist berechtigt, die Einhaltung der Datensicherheitsanforderungen jederzeit nach vorheriger schriftlicher Ankündigung von 5 Werktagen durch einen gegenüber dem Kunden zur Verschwiegenheit verpflichteten Berufsträger überprüfen zu lassen. Hierzu hat die PlanBar GbR diesem zu ihren üblichen Geschäftszeiten Zugang zu ihren für die Prüfung relevanten Geschäftseinrichtungen, insbesondere den EDV-Einrichtungen, zu gewähren.
9.3 Die PlanBar GbR und der Kunde sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln, insbesondere nicht an Dritte weiterzugeben oder sonst zu verwerten.
9.4 Bestehen Zweifel, gelten übermittelten Daten als vertraulich.
9.5 Von dieser Verpflichtung ausgenommen sind solche vertraulichen Informationen,
die dem Empfänger bei Abschluss des Vertrags nachweislich bereits bekannt waren
oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden; die bei Abschluss des Vertrags öffentlich bekannt sind oder danach öffentlich bekannt gemacht werden, soweit dies nicht auf einer Verletzung dieses Vertrags beruht; die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichtes oder einer Behörde offen gelegt werden müssen. Soweit zulässig und möglich wird der zur Offenlegung verpflichtete Empfänger die andere Partei vorab unterrichten und ihr Gelegenheit geben, gegen die Offenlegung vorzugehen.
10. Schlussbestimmungen
10.1 Es findet das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts Anwendung. Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus und aufgrund der Nutzung der Dienste ist Bocholt.
10.2 Sollten einzelne Bestimmungen der AGB unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine Bestimmung zu ersetzen, die dem wirtschaftlichen Sinn und Zweck der unwirksamen Bestimmung am nächsten kommt.
10.3 Änderungen und Ergänzungen dieser AGB bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für eine Änderung dieser Schriftformklausel. Mündliche oder schriftliche Nebenabreden wurden nicht getroffen.