Die Bereitstellung der von der Management Services Helwig Schmitt GmbH (im Folgenden „Management Services“) angebotenen Applikationen wie MIS Sales, MIS After-Sales, OptiNet, MIScubes, MISelements, mobileMIS und andere (gemeinsam „Applikationen“) und das Recht zur Nutzung hieran ist ausschließlich aufgrund dieser Vertragsbedingungen zulässig. Durch Vertragsabschluss, spätestens durch Aufnahme der Nutzung wird die Geltung dieser Vertragsbedingungen in ihrer jeweiligen Fassung akzeptiert. Vertragsbedingungen des Kunden gelten nicht, auch wenn Management Services diesen nicht ausdrücklich widerspricht.
Diese Vertragsbedingungen gelten auch dann, wenn Management Services in Kenntnis entgegenstehender oder von seinen Vertragsbedingungen abweichender Bedingungen des Kunden die Leistung an den Kunden vorbehaltlos ausführt. In diesen Fällen gilt die Annahme der Leistung durch den Kunden als Anerkennung dieser Vertragsbedingungen unter gleichzeitigem und hiermit vorab angenommenem Verzicht auf die Geltung seiner eigenen Vertragsbedingungen.
2.1 Verpflichtungen von Management Services:
2.1.1 Die Bereitstellung der Applikationen seitens Management Services erfolgt als webbasierte Browseranwendung. Die Applikationen werden auf eigenen Servern von Management Services gehostet. Einzelheiten hinsichtlich der von Management Services geschuldeten Verfügbarkeit der Applikationen, d. h. der technischen Nutzbarkeit der Applikationen am Datenübergabepunkt (vgl. § 2.2.3) zum Gebrauch durch den Kunden, insbesondere zu den technischen Parametern und Verfahren zur Messung und Bestimmung der Verfügbarkeit, sind im Service Level Agreement in Anlage 1 geregelt. Dieses ist in seinem Anwendungsbereich gegenüber diesem Vertrag vorrangig.
2.1.2 Für den Log-In in den geschützten Bereich des Webauftritts von Management Services teilt Management Services dem Kunden nutzerbezogene Zugangsdaten (Benutzername und dazugehörendes Passwort) mit. Der Kunde wird hierfür Management Services alle für die Nutzung der Applikationen vorgesehenen Nutzer benennen und auch jede durch Organisationswechsel, Mitarbeiterwechsel o.ä. hervorgerufene Veränderung in der Zuordnung der Nutzer innerhalb eines Monats mitteilen.
2.1.3 Management Services stellt dem Kunden eine ausführliche Benutzerdokumentation in elektronischer Form über die Applikationen zur Verfügung. Auf Wunsch und nach Absprache mit dem Kunden wird Management Services Anwenderschulungen für die Applikationen gegen eine zusätzliche Vergütung anbieten.
2.1.4 Management Services stellt dem Kunden jeweils von Montag bis Freitag von 8 – 17 Uhr Ortszeit Hofgeismar, Deutschland, mit Ausnahme der gesetzlichen Feiertage, eine telefonische Hotline zur Verfügung. Der Kunde kann über diese Hotline Anfragen an Management Services zur Handhabung der Applikationen stellen.
2.1.5 Management Services ist jederzeit bemüht, die Weiterentwicklung und Aktualisierung der Applikationen nach eigenem Ermessen zu fördern und nimmt regelmäßig Anpassungen an den Applikationen zur Aufrechterhaltung seiner Qualität vor. Eine Verpflichtung hierzu geht Management Services gegenüber dem Kunden insoweit jedoch nicht ein. Darüberhinausgehende Pflegeleistungen sowie individuelle, vom Kunden gewünschte Entwicklungsarbeiten an den Applikationen werden seitens Management Services nur dann erbracht, falls dies ausdrücklich schriftlich vereinbart wurde.
2.1.6 Im Rahmen eines OptiNet-Vertrages richtet Management Services dem Kunden zu Vertragsbeginn ein Masterszenario für die Planungen des Kunden ein. Dieses Masterszenario enthält Netzstrukturen und Marktdaten, welche vom Kunden zuvor bestimmt worden und welche in den Applikationen des Kunden verfügbar sind. Management Services stellt dem Kunden einmal jährlich die verarbeiteten Marktdaten (vgl. § 2.2.2) als Aktualisierung für das OptiNet zur Verfügung. Die Verarbeitung von zusätzlichen geografischen oder numerischen Daten sind gesonderte Vertragsleistungen und sind gesondert zu vergüten. Die OptiNet Lizenz beinhaltet die Speicherung im Websystem von bis zu 20 Planszenarien. Weitere Planszenarien können vom Benutzer exportiert und lokal gespeichert werden.
2.1.7 mobileMIS ist eine Applikation für iPhone und/oder Android Smartphones als optionale Ergänzung zum MIS Sales. Eine Nutzung des mobileMIS setzt eine MIS Sales-Lizenz voraus. mobileMIS ermöglicht einen mobilen Zugang zu den Marktdaten in komprimierter Form. Der Datenumfang ist im Vergleich zum MIS Sales auf die wesentlichen Daten reduziert. Die Daten werden in Form von Tabellen, Diagrammen, Tachos und Portfolio-Ansichten anschaulich dargestellt. Der Zugriff erfolgt über eine App, die im Apple App-Store oder im Google Play Store zum Download verfügbar ist. mobileMIS setzt eine aktuelle Version des Betriebssystems iOS oder Android voraus.
2.1.8 Die geografischen und sozio-demografischen Daten im MIS, einschließlich der Standortdaten der dargestellten Wettbewerber-Händlerstandorte des Kunden, werden von externen Datenlieferanten bzw. aus frei verfügbaren Quellen bezogen. Der Kunde hat keinen Anspruch darauf, dass die geografischen und sozio-demografischen Daten eines bestimmten Datenlieferanten in den Applikationen zugrunde gelegt werden.
Der Verlauf der Grenzlinien sowie die Positionen der Standorte auf den geografischen Karten sind lediglich Näherungen und können vom tatsächlichen Verlauf bzw. von der tatsächlichen Position deutlich abweichen.
Die geografischen und sozio-demografischen Daten werden regelmäßig aktualisiert. Sie entsprechen dennoch nicht immer dem aktuellen Stand. Der Kunde erkennt daher an, dass die Daten aufgrund ihrer Natur eine statische Darstellung einer dynamischen Umgebung sind, die automatisch einen gewissen Grad an veralteten Strukturen aufweisen.
Die Berechnung von Fahrzeiten beruht auf theoretischen Annahmen und kann von tatsächlichen Fahrzeiten abweichen. Fahrzeitberechnungen und geografische Standortdaten sind nicht für Navigationszwecke geeignet.
Vom OptiNet generierte und simulierte Standorte orientieren sich lediglich an ausgewählten, im System vorhandenen Daten. Die dazu verwendeten Algorithmen bilden nicht alle Umstände ab, die in der Realität vorliegen und die bei einer umfassenden Standortplanung berücksichtigt werden müssten.
2.1.9 Management Services übernimmt umfangreiche Qualitätssicherungs- und Datenoptimierungsmaßnahmen sowohl beim Datenimport als auch im Rahmen der Datenverarbeitung, z.B. Monitoring und Auditierung der Lieferanten, Integritätsprüfungen wie z.B. Prüfsummen, Abgleich mit Referenzdateien. Dennoch stellt die Prüfung der Richtigkeit, Vollständigkeit und Ordnungsmäßigkeit der in den Applikationen verwendeten Daten [z.B. vom Kunden gelieferte bzw. von externen Datenquellen stammende Daten (vgl. § 2.2.2) und/oder geografische und sozio-demografische Daten (vgl. § 2.1.8)] und/oder vom Kunden oder Dritten im Auftrag vom Kunden gelieferten Unterlagen und Informationen (vgl. § 2.2.1) keine Vertragspflicht von Management Services dar.
Die Datenqualität der in den Applikationen verwendeten Daten wird u.a. unmittelbar durch die Meldungen der Zulassungsbehörden bestimmt. In Bezug auf eingesetzte Referenzdateien hängt die Qualität zudem ggf. von den vom Hersteller übermittelten Daten sowie den Angaben der Genehmigungsbehörden ab. Eine Einflussnahme hierauf durch Management Services ist nicht möglich. Dies gilt entsprechend für andere Datenquellen. Management Services legt daher die gelieferten bzw. verfügbaren Daten und/oder Unterlagen und Informationen als richtig zu Grunde und stellt sie dem Kunden in der Qualität bereit, die Management Services zu diesem Zweck vorliegt.
Management Services übernimmt daher keine Gewähr für die Richtigkeit, Vollständigkeit und Ordnungsgemäßheit der in den Applikationen verwendeten Rohdaten und/oder Unterlagen und Informationen.
Soweit Management Services offensichtliche Unrichtigkeiten feststellt, wird Management Services den Kunden hierauf hinweisen.
2.2 Verpflichtungen des Kunden:
2.2.1 Der Kunde hat dafür Sorge zu tragen, dass Management Services alle für die Ausführung ihrer Tätigkeit erforderlichen Unterlagen rechtzeitig vorgelegt werden, alle dafür erforderlichen Informationen erteilt werden und Management Services von allen relevanten Vorgängen und Umständen in Kenntnis gesetzt wird. Dies gilt auch für Unterlagen, Vorgänge und Umstände, die erst während der Tätigkeit von Management Services bekannt werden.
2.2.2 Der Kunde stellt Management Services die zur Auswertung in den Applikationen benötigten Daten, z.B. die internen Daten [Händlerverkäufe, Vertriebsstruktur (Standorte und Gebiete), Segmente-Tabelle bzw. detaillierte After-Sales-Daten und Referenzdaten wie Teilereferenzen, Arbeitscodereferenzen und Fahrzeugmodellreferenzen] sowie die Marktdaten [Neuzulassungen, Besitzumschreibungen (Gebrauchtwagen), Fahrzeugbestände (Einheiten in Betrieb)] für die Dauer dieses Vertrages kostenlos gemäß § 3.2 zur Verfügung. In Absprache mit dem Kunden kann alternativ Management Services die Marktdaten soweit verfügbar - auch teilweise – im eigenen Namen aber im Auftrag des Kunden von einer externen Stelle, wie z. B. einem Amt oder einem sonstigen Datenlieferanten („externe Datenquellen“), beziehen oder auf bereits im Hause verfügbare Daten aus externen Datenquellen zurückgreifen und diese ggf. an den Kunden weiterberechnen. § 7.5 bleibt unberührt. Im Rahmen eines OptiNet-Vertrages wird Management Services diesbezüglich grundsätzlich auf die bereits in den Applikationen vom Kunden verwendeten Daten zurückgreifen.
Der Kunde hat Management Services die zur Verarbeitung in den Applikationen benötigten Daten rechtzeitig, vollständig und im vereinbarten Dateiformat (vgl. § 2.2.3) zu übergeben und ist verantwortlich für ihre Richtigkeit, Vollständigkeit und Ordnungsmäßigkeit.
Änderungen im Hinblick auf die Datenlieferungen oder das Dateiformat durch den Kunden sind nur in Absprache mit Management Services möglich.
Von allen Unterlagen und Datenträgern, die der Kunde an Management Services übergibt, behält der Kunde Kopien, auf die Management Services jederzeit kostenlos zurückgreifen kann. Vor der Versendung von Daten und Informationen an Management Services wird der Kunde diese auf Schadprogramme prüfen und dem Stand der Technik entsprechende Programme zur Schadprogrammbekämpfung einsetzen.
2.2.3 Der Kunde übernimmt es, eine Datenverbindung zwischen den von ihm zur Nutzung vorgesehenen Arbeitsplätzen und dem von Management Services vorgesehenen Datenübergabepunkt herzustellen. Sofern nicht anders vereinbart, ist der Datenübergabepunkt der Netzwerkanschluss des Rechenzentrums von Management Services zu dessen Internet Service Providern („ISPs“). Management Services ist berechtigt, den Datenübergabepunkt jederzeit neu zu definieren, sofern dies erforderlich ist, um die Servicequalität zu erhalten bzw. zu verbessern. Der Kunde wird in diesem Fall eine Verbindung zu dem neu definierten Übergabepunkt herstellen.
Die technischen Voraussetzungen für den Datenaustausch sowie die Dateiformate, der vom Kunden an Management Services gelieferten Daten (vgl. § 2.2.2) legen die Parteien in einem Schnittstellenkontrakt fest. Nachträgliche Änderungen hieran sind nur im gegenseitigen Einvernehmen durch schriftliche Vereinbarung möglich.
Für die Nutzung der Applikationen müssen bestimmte Anforderungen bei der kundenseitig eingesetzten Hardware und dem verwendeten Webbrowser erfüllt sein. Diese werden dem Kunden von Management Services rechtzeitig mitgeteilt. Management Services behält sich das Recht vor, diese Anforderungen anzupassen.
Für die Beschaffenheit der erforderlichen Hard- und Software auf Seiten des Kunden sowie für die Telekommunikationsverbindung zwischen dem Kunden und Management Services bis zum Übergabepunkt ist Management Services nicht verantwortlich.
2.2.4 Management Services behält sich vor, etwaige Nachteile bzw. Mehrkosten, die durch die nicht rechtzeitige oder nicht korrekte Datenlieferung durch den Kunden entstehen, diesem in Rechnung zu stellen.
2.2.5 Der Kunde erklärt sich damit einverstanden, dass im Rahmen der Nutzung des OptiNet die zuständigen Kundenbetreuer sowie die Administratoren von Management Services Zugriff auf die vom Kunden erstellten Planszenarien sowie auf die Daten, die der Kunde eigenständig in das OptiNet lädt, haben. Management Services wird diese Informationen als vertraulich im Sinne von § 4 behandeln. Bei der Löschung von Nutzerzugängen werden die vom jeweiligen Nutzer erstellten Planszenarien und alle vom jeweiligen Nutzer in das OptiNet geladenen Daten automatisch gelöscht. Um dies zu verhindern, kann der Kunde mit Management Services vereinbaren, dass vorhandene Planszenarien auf andere Nutzer übertragen oder auf Datenträger exportiert werden.
3.1 Geistiges Eigentum von Management Services:
3.1.1 Die Software, sämtliche Daten, Datenbanken, Informationsfunktionalitäten, Berechnungsalgorithmen, Visualisierungsformen und sämtliche sonstigen Inhalte der Applikationen sowie alle Unterlagen, die von Management Services im Rahmen der Vertragsanbahnung und -durchführung bereitgestellt werden, das gesamte Kartenmaterial sowie die Benutzerdokumentation (im Folgenden „Applikationen nebst Dokumentation“) unterliegen dem Urheberrecht und anderen Gesetzen zum Schutze des geistigen Eigentums. Alle Rechte hieran, gleich ob eingetragen oder nicht, die geschützt sind oder geschützt werden können und Management Services zum Zeitpunkt des Abschlusses dieses Vertrags zustehen oder von Management Services etwa aufgrund von Bearbeitungen, Änderungen oder Weiterentwicklungen erworben werden - gegebenenfalls auch erst nach Abschluss dieses Vertrags -, stehen im Verhältnis der Vertragspartner untereinander mit Ausnahme der vom Kunden gelieferten Daten gemäß § 2.2.2 ausschließlich Management Services zu bzw. Management Services hat Lizenzrechte hieran erhalten. Management Services behält sich alle Urheber-, Schutz- und Eigentumsrechte, insbesondere alle Veröffentlichungs-, Vervielfältigungs-, Bearbeitungs- und Verwertungsrechte sowie alle Rechte nach dem GeschGehG an den Applikationen nebst Dokumentation vor, die nicht im Folgenden ausdrücklich eingeräumt werden.
3.1.2 Management Services räumt dem Kunden sowie auf Verlangen des Kunden ausgewählten Dritten (z. B. Konzerngesellschaften und/oder Vertragshändlern des Kunden) für die Laufzeit dieses Vertrages für eigene interne Zwecke im Rahmen des Geschäftsbetriebs ein - im Hinblick auf die vom Kunden zur Verfügung gestellten und von Management Services verarbeiteten internen Daten (vgl. § 2.2.2) - alleiniges und ansonsten nicht ausschließliches, nicht übertragbares, nicht unterlizenzierbares, einfaches Recht ein, die Applikationen nebst Dokumentation, wie in diesem Vertrag und in der Dokumentation beschrieben, durch eigenes Personal zu nutzen.
3.1.3 Sofern auf Verlangen des Kunden ausgewählten Dritten (z.B. Konzerngesellschaften und/oder Vertragshändlern des Kunden) ein Nutzungsrecht an den Applikationen eingeräumt wurde, ist der Kunde dafür verantwortlich, dass diese Dritten sich an die Verpflichtungen aus der vorliegenden Vereinbarung halten. Etwaiges Fehlverhalten dieser Dritten im Hinblick auf die Vorschriften der vorliegenden Vereinbarung wird dem Kunden zugerechnet.
3.1.4 Soweit die Applikationen nebst Dokumentation fremde, d.h. von Dritten erstellte, Software, Daten, Datenbanken, Informationsfunktionalitäten, Berechnungsalgorithmen, Visualisierungsformen oder sonstige Inhalte einschließlich, aber nicht begrenzt auf Open-Source Software, enthält ("Leistungen Dritter"), kann die Nutzung dieser Leistungen Dritter gesonderten Nutzungsbedingungen unterliegen. Die dem Kunden eingeräumten Nutzungsrechte sind daher dem Umfang nach auf die Nutzungsrechte beschränkt, welche der Dritte Management Services eingeräumt hat. In diesem Falle wird Management Services dem Kunden die Urheberrechtsvermerke und besonderen Lizenzbedingungen dieser Leistungen Dritter auf Wunsch des Kunden offenlegen. Abweichend von den vorstehenden Regelungen richten sich die Lizenzbedingungen für Open-Source Software und andere freie Inhalte ausschließlich nach den hierfür anwendbaren Lizenzbedingungen. Die entsprechenden Nutzungsrechte werden dabei von den Rechteinhabern direkt eingeräumt. Management Services ist bei Open-Source Software und anderen freien Inhalten nur insoweit Lizenzgeber, als Management Services Rechte hieran zustehen. Die jeweils anwendbaren Lizenzbedingungen finden sich in der „About-Box“ der Applikationen.
3.1.5 Das vorstehend genannte Nutzungsrecht umfasst das Recht, die mit den Applikationen generierten Ergebnisse (Tabellen, Karten, Diagramme) über die in den Applikationen enthaltenen Exportfunktionen aus den Applikationen zu exportieren und innerhalb der eigenen Organisation des Kunden, in Zusammenarbeit mit verbundenen Unternehmen des Kunden sowie in Zusammenarbeit mit vom Kunden beauftragten Dienstleistern zu nutzen und zu bearbeiten. § 4 bleibt darüber hinaus unberührt.
3.1.6 Alle anderen Arten der Verwertung der Applikationen nebst Dokumentation als Ganzes oder in Teilen, insbesondere die Übersetzung, Bearbeitung, das Arrangement, andere Umarbeitungen und die sonstige Vervielfältigung und Verbreitung (offline oder online) sowie deren Vermietung und Verleih bedürfen der schriftlichen Zustimmung von Management Services. § 3.1.11 bleibt unberührt.
Der Kunde trifft angemessene Maßnahmen, um die Applikationen nebst Dokumentation vor dem unbefugten Zugriff durch Dritte zu schützen.
3.1.7 Der Zugang zu den Applikationen ist personalisiert. Zugangsdaten dürfen nur von der Person verwendet werden, die diese von Management Services in schriftlicher Form erhalten hat. Die Zugangsdaten dürfen nicht veröffentlicht oder an Dritte weitergegeben werden. Sie sind geheim zu halten und durch geeignete und übliche Maßnahmen zu schützen. Nach jeder Nutzung ist der durch die Zugangsdaten geschützte Bereich zu verlassen. Der Kunde wird Management Services unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten nicht berechtigten Personen bekannt geworden sein könnten.
3.1.8 Für jeden Fall, in dem der Kunde die Nutzung der Applikationen nebst Dokumentation durch Dritte oder durch nicht vom Kunden benannte Nutzer schuldhaft ermöglicht, hat der Kunde jeweils eine sofort fällige Vertragsstrafe in Höhe der monatlichen Vergütung zu zahlen. Die Geltendmachung von Schadensersatz und die Sperrung der entsprechenden rechtswidrig genutzten Nutzerzugänge bleiben vorbehalten; in diesem Fall wird die Vertragsstrafe auf den Schadensersatzanspruch angerechnet.
3.1.9 Der Kunde haftet für alle unter den Zugangsdaten vorgenommenen Aktivitäten. Der Kunde stellt Management Services von allen Ansprüchen Dritter frei, die auf einer rechtswidrigen Verwendung der Applikationen nebst Dokumentation durch den Kunden beruhen, oder die sich aus vom Kunden verursachten urheberrechtlichen oder sonstigen rechtlichen Streitigkeit ergeben, die mit der Nutzung der Applikationen nebst Dokumentation verbunden sind.
3.1.10 Hinweise auf Urheberrechte oder sonstige gewerbliche Schutzrechte, die sich auf oder in den Applikationen nebst Dokumentation oder in Teilen davon befinden, dürfen weder verändert, beseitigt noch sonst unkenntlich gemacht werden.
3.1.11 Der Kunde ist berechtigt, die zur Verfügung gestellte Benutzerdokumentation unter Aufrechterhaltung vorhandener Schutzrechtsvermerke zu speichern, auszudrucken und für Zwecke dieses Vertrages in angemessener Zahl zu vervielfältigen.
3.1.12 Der Quellcode der Applikationen wird von Management Services nicht zur Verfügung gestellt, veröffentlicht oder bei Dritten hinterlegt. Reverse Engineering gem. § 3 Abs.1 Nr. 2 GeschGehG ist nicht zulässig.
3.1.13 Eine Verknüpfung oder ein Abgleich der in den Applikationen enthaltenen Daten mit anderen Datenbeständen mit dem Ergebnis einer möglichen De-Anonymisierung oder Re-Identifizierung ist unzulässig. Auch eine Nutzung der Daten zum Zwecke von individuellen Bonitätsprüfungen oder des Kreditscorings ist nicht zulässig.
3.1.14 Die Applikationen können Hyperlinks auf Websites Dritter enthalten. Management Services übernimmt für die Inhalte dieser Websites weder eine Verantwortung noch macht Management Services sich diese Websites und ihre Inhalte zu eigen, da Management Services die verlinkten Informationen nicht kontrolliert und für die dort bereit gehaltenen Inhalte und Informationen auch nicht verantwortlich ist. Deren Nutzung erfolgt auf eigenes Risiko des Kunden.
3.1.15 Vorstehende Bestimmungen gelten entsprechend für neue Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf die Applikationen nebst Dokumentation, die während der Laufzeit dieses Vertrages entstehen.
3.2 Geistiges Eigentum des Kunden:
3.2.1 Management Services erhält an den vom Kunden gelieferten Daten (vgl. § 2.2.2) und/oder Unterlagen (vgl. § 2.2.1) kein Eigentum, sondern ein Recht zur Nutzung und Verarbeitung im vertraglich vereinbarten Umfang für die Dauer der Zusammenarbeit mit dem Kunden.
3.2.2 Der Kunde versichert ausdrücklich, dass diese Daten und/oder Unterlagen und ihre Nutzung durch Management Services mit dem geltenden Recht vereinbar sind, insbesondere, dass die Daten und/oder Unterlagen frei von Schutzrechten Dritter sind, die die Nutzung durch Management Services ausschließen oder beeinträchtigen und der Kunde die Befugnis zur Übertragung bzw. Einräumung entsprechender Nutzungsrechte an Management Services zusteht.
3.2.3 Der Kunde stellt Management Services von allen Ansprüchen Dritter, einschließlich beteiligter Urheber, frei, die gegen Management Services wegen der vertragsgemäßen Verwendung der vom Kunden gelieferten Daten und/oder Unterlagen geltend gemacht werden.
4.1 Vertrauliche Informationen sind alle Informationen und Unterlagen, einschließlich dieses Vertrags, die entweder als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen bzw. ihrer Natur ergibt und/oder solche, die ein verständiger Dritter als schützenswert und deshalb als vertraulich zu behandeln ansehen würde. Vertrauliche Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, technische, geschäftliche und sonstige Informationen, bspw. Informationen in Bezug auf Technologien, Produkte, Dienstleistungen, Entdeckungen, Erfindungen, Konzepte, Designs, Dokumentationen, Preise, Mitarbeiter, Strategien. Als vertraulich gelten zudem einerseits sämtliche in den Applikationen nebst Dokumentation enthaltenen Daten und Informationen inklusive der Zugangsdaten sowie andererseits die vom Kunden gelieferten Daten, die für die Auswertungen in den Applikationen, deren Änderungen, Erweiterungen und Pflege erforderlich sind.
4.2 Nicht als vertrauliche Informationen gelten Informationen, die
a) der empfangenden Vertragspartei bekannt waren, bevor sie sie von der anderen Vertragspartei im Zusammenhang mit diesem Vertrag erhalten hat;
b) die empfangende Vertragspartei ohne Rückgriff auf vertrauliche Informationen der anderen Vertragspartei selbständig entwickelt hat;
c) die empfangende Vertragspartei von Dritten erworben hat, die in Bezug auf die Nutzung und Weitergabe nicht an Beschränkungen gebunden sind;
d) ohne Verschulden oder Zutun der empfangenden Vertragspartei allgemein bekannt sind oder werden.
4.3 Die Vertragsparteien haben über alle vertraulichen Informationen, die eine Vertragspartei der anderen Vertragspartei unter diesem Vertrag mitteilt oder von der anderen Vertragspartei erhält, Stillschweigen zu bewahren. Sie werden vertrauliche Informationen vor unbefugtem Zugriff schützen und mit der gleichen Sorgfalt behandeln, die sie bei ihren eigenen, gleichermaßen vertraulichen Informationen anwenden, mindestens jedoch die Sorgfalt eines ordentlichen Kaufmanns. Die Weitergabe vertraulicher Informationen darf nur an Mitarbeiter der jeweiligen Vertragspartei erfolgen und dies nur, wenn die betreffenden Mitarbeiter entweder zum berechtigten Nutzer-Personenkreis des Kunden gehören oder die Weitergabe zur Durchführung dieses Vertrags erforderlich ist („need to know“). Diese Mitarbeiter sind aufgrund einer vertraglichen Regelung zur Geheimhaltung zu verpflichten.
4.4 Vertrauliche Informationen dürfen von der empfangenden Vertragspartei Dritten nicht ohne vorherige schriftliche Zustimmung der anderen Vertragspartei offengelegt werden, es sei denn
a) dies ist auf Grund von zwingenden rechtlichen Anforderungen oder einer gerichtlichen oder behördlichen Anordnung erforderlich und die empfangende Vertragspartei hat die andere Vertragspartei unverzüglich über die jeweilige Verpflichtung schriftlich informiert und ihr die Möglichkeit gegeben, gegen die Offenlegung einzuschreiten, oder
b) die vertraulichen Informationen werden den Dritten im Rahmen der erlaubten Nutzung gemäß § 3.1.5 oder als Dienstleister der empfangenden Vertragspartei (mit der Ausnahme von Konkurrenzunternehmen von Management Services) im Zusammenhang mit der Durchführung dieses Vertrags zugänglich gemacht und der Dritte bzw. Dienstleister hat sich zuvor schriftlich gegenüber der empfangenden Vertragspartei zur Verschwiegenheit verpflichtet oder ist bereits von Berufs wegen zur Verschwiegenheit verpflichtet.
4.5 Bei Vertragsende geben die Vertragsparteien einander die von der jeweils anderen Vertragspartei erhaltenen vertraulichen Informationen zurück bzw. vernichten diese auf angemessene Weise. Als Ausnahme hiervon werden die Daten, die Management Services vom Kunden gem. § 2.2.2 erhalten hat, nicht an den Kunden zurückgegeben, weder im Rohformat noch im verarbeiteten Zustand; diese Daten werden ausschließlich vernichtet. Auf Anforderung vom Kunden wird Management Services dem Kunden die Löschung bestätigen.
In Abweichung hierzu darf Management Services Kopien von Daten behalten, soweit und solange diese Daten einer gesetzlichen oder sonst zwingenden Aufbewahrungsfrist unterliegen, zur Erfüllung weiterer Vertragspflichten gegenüber dem Kunden aufbewahrt werden müssen sowie dann, wenn Grund zu der Annahme besteht, dass durch die Rückgabe bzw. Löschung schutzwürdige Interessen von Management Services beeinträchtigt würden, etwa aus Beweiszwecken zur Sicherung eigener rechtlicher Ansprüche.
4.6 Vorbehaltlich weitergehender Vertraulichkeitsverpflichtungen aufgrund zwingender rechtlicher Anforderungen, besteht diese Vertraulichkeitsverpflichtung bis drei Jahre nach Beendigung dieses Vertrags fort.
4.7 Der Kunde erklärt sich damit einverstanden, dass Management Services den Namen und das Logo des Kunden auf seiner Kundenreferenzliste verwenden darf.
5.1 Die Verarbeitung personenbezogener Daten für den Kunden zur Erfüllung der in diesem Vertrag übernommenen Leistungspflichten durch Management Services erfolgt ausschließlich im Auftrag und nach Weisung des Kunden. Die Einzelheiten der Auftragsverarbeitung sind in Anlage 2 festgelegt. Diese geht in ihrem Anwendungsbereich den Regelungen dieses Vertrags vor.
5.2 Beide Vertragsparteien verpflichten sich zur Einhaltung der gesetzlichen Bestimmungen zum Datenschutz – soweit einschlägig. Sie werden insbesondere ihre Mitarbeiter auf die Einhaltung des Datengeheimnisses und der besonderen Weisungsgebundenheit im Rahmen der Datenverarbeitung verpflichten.
5.3 Verarbeitet der Kunde selbst oder durch Management Services personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen, Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes Management Services von Ansprüchen Dritter frei.
5.4 Die Datenlieferung vom Kunden an Management Services gem. § 2.2.2 hat datenschutzkonform unter Berücksichtigung von Datenminimierung und Pseudonymisierung zu erfolgen. Der Kunde schickt an Management Services nur die Daten, die zur Durchführung dieses Vertrages erforderlich sind.
6.1 Angaben zum Lieferzeitpunkt sind unverbindlich. Verbindliche Liefertermine bedürfen der schriftlichen Zusage von Management Services. Teillieferungen sind zulässig.
6.2 Liefer- und Leistungsfristen verlängern sich um den Zeitraum, in dem Management Services auf Informationen oder Mitwirkungshandlungen des Kunden wartet.
7.1 Alle Preise verstehen sich netto ohne Abzug zzgl. der jeweils gesetzlich gültigen Umsatzsteuer. Die Zahlungen sind ohne Abzug innerhalb von 30 Tagen nach Eingang der Rechnung und der Lieferung fällig. Die Kosten für externe Daten werden dem Kunden mit der ersten Bereitstellung in den Applikationen in Rechnung gestellt.
7.2 Hat der Kunde für die diesem Vertrag zugrundeliegenden Leistungen infolge gesetzlicher Vorschriften für Rechnung von Management Services einen Steuerabzug vorzunehmen, die Steuer bei der für ihn zuständigen Finanzbehörde anzumelden und sie dorthin abzuführen, so verpflichtet sich der Kunde
- die amtlichen Bescheinigungen über den Quellensteuerabzug zu beschaffen oder hierbei beratend mitzuwirken;
- und ggf. Management Services bei der formellen Beantragung eines Freistellungsbescheides von der Quellen-Abzugsbesteuerung zu unterstützen.
Soweit der Kunde für die von ihm vorgenommenen Quellensteuerabzüge keine amtlichen Dokumente bzw. Steuerbescheinigungen zum Zwecke der Steueranrechnung in Deutschland beschaffen kann und Management Services auch nicht anderweitig solche amtlichen Dokumente bzw. Steuerbescheinigungen zur Verfügung gestellt werden, ist der Kunde verpflichtet, Management Services den vollständigen Rechnungsbetrag einschließlich des vorgenommenen Steuerabzuges zu zahlen.
7.3 Bei der Rechnungsstellung gegenüber Kunden aus der EU verwendet Management Services die vom Kunden genannte Umsatz-Identifikations-Nummer. Wird diese als falsch nachgewiesen, so haftet der Kunde für die Steuerschuld, die von den Finanzbehörden gegen Management Services geltend gemacht werden kann.
7.4 Der Kunde kann nur mit solchen Forderungen aufrechnen oder bezüglich solcher Forderungen ein Zurückbehaltungsrecht geltend machen, die unbestritten oder rechtskräftig festgestellt sind. Er kann gegen Management Services gerichtete Ansprüche ohne die ausdrückliche Zustimmung von Management Services nicht abtreten.
7.5 Management Services hat keinen Einfluss auf die Preisgestaltung für die aus externen Datenquellen gelieferten Daten. Aus diesem Grunde behält sich Management Services das Recht vor, die Preise für diese Daten gegenüber dem Kunden anzupassen, wenn sich die Preise der externen Datenlieferanten erhöhen sollten.
8.1 Die Laufzeit des Vertrages beginnt am Datum des Inkrafttretens. Verträge über die Applikationen haben eine Mindestlaufzeit von 24 Monaten und verlängern sich jeweils um weitere 12 Monate, wenn nicht eine der beiden Parteien schriftlich mit einer Frist von sechs Monaten zum Ablauf der jeweils vereinbarten Laufzeit kündigt. Unabhängig vom Laufzeitbeginn dieses Vertrages gelten diese Regelungen entsprechend für die Laufzeit und die Kündigung von Märkten und Vertragshändler-Zugängen. Bei der Kündigung einzelner Vertragshändlerzugänge aufgrund einer durch Organisationswechsel, Mitarbeiterwechsel o.ä. hervorgerufenen Veränderung in der Zuordnung des Nutzers stehen Ausnahmen hiervon im Ermessen von Management Services.
8.2 Die Vereinbarung kann darüber hinaus von jeder Partei ohne Einhaltung einer Frist aus wichtigem Grund schriftlich gekündigt werden. Ein wichtiger Grund liegt vor, wenn der kündbaren Partei unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der beiderseitigen Interessen eine Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung oder bis zum Ablauf einer Kündigungsfrist nicht zugemutet werden kann. Ein wichtiger Grund liegt insbesondere vor, wenn ein Vertragspartner die in diesem Vertrag ausdrücklich geregelten Pflichten grob verletzt, sowie dann, wenn über das Vermögen der anderen Vertragspartei das Insolvenzverfahren eröffnet wird oder die andere Vertragspartei insolvent oder zahlungsunfähig wird. Ein wichtiger Grund, der Management Services zur Kündigung berechtigt, liegt insbesondere vor, wenn der Kunde Nutzungsrechte von Management Services dadurch verletzt, dass der Kunde die Applikationen nebst Dokumentation über das nach diesem Vertrag gestattete Maß hinaus nutzt und die Verletzung auf eine Abmahnung seitens Management Services hin nicht innerhalb angemessener Frist abstellt.
8.3 Alle Kündigungen haben per Einschreiben zu erfolgen.
8.4 Mit dem Ende der Laufzeit endet der Zugang zu den Applikationen.
9.1 Nach dem derzeitigen Stand der Technik kann bei komplexen Softwareprodukten wie den Applikationen das Auftreten von Programmfehlern nicht völlig ausgeschlossen werden. Die vereinbarte Beschaffenheit der Applikationen ist daher nicht darauf ausgerichtet, dass keinerlei Programmfehler auftreten dürfen bzw. dass die Applikationen für jeden denkbaren Anwendungsfall eingesetzt werden kann, sondern nur darauf, dass die Applikationen keine Programmfehler aufweist, die die bestimmungsgemäße Nutzbarkeit mehr als nur unerheblich beeinträchtigen und die bei angemessener Betrachtungsweise nicht mehr akzeptabel sind. Management Services garantiert nicht, dass die Applikationen den individuellen Anforderungen und Bedürfnissen des Kunden entspricht oder ununterbrochen und fehlerfrei funktioniert. Darstellungen in Testversionen, Produkt- und Projektbeschreibungen stellen keine Garantien für die Beschaffenheit des Vertragsgegenstandes dar; solche bedürfen der ausdrücklichen und schriftlichen Bestätigung von Management Services.
Management Services steht nicht dafür ein, dass die vertragsgemäßen Arbeitsergebnisse in einer bestimmten Weise vom Kunden kaufmännisch ausgewertet werden können. Sofern mit den Applikationen unternehmerische Entscheidungen des Kunden unterstützt werden sollen, übernimmt Management Services weder die Verantwortung für Entscheidung selbst, noch unternehmerische oder eventuelle rechtliche Risiken hieraus. Management Services übernimmt keine Haftung für die Richtigkeit der aus den Applikationen abgeleiteten Ergebnisse. Da Management Services gegenüber dem Kunden keine Rechtsberatung durchführen darf, ist der Kunde allein verantwortlich dafür, dass bei der Umsetzung der von den Applikationen unterstützten Entscheidungen die rechtlichen Rahmenbedingungen eingehalten werden.
9.2 Die Übertragung der Daten, die vom Kunden an Management Services zu liefern sind (vgl. § 2.2.2), erfolgt allein auf Risiko des Kunden. Verzögerungen, Verluste oder Veränderungen von Daten während dieser Übertragung bis zum Eingang bei Management Services begründen keine Mängelrechte des Kunden. Management Services haftet zudem nicht für die Qualität der Rohdaten, die zur Auswertung in den Applikationen verwendet werden. Management Services gewährleistet eine bestimmte Aktualität oder Genauigkeit von Daten nur, wenn sich dies aus der Leistungsbeschreibung ausdrücklich ergibt oder anderweitig vereinbart wurde.
9.3 Der Kunde hat Management Services unverzüglich – spätestens innerhalb von zwei Wochen - schriftlich zu informieren, wenn er erkennt, dass eine Leistung von Management Services nicht vertragsgemäß erbracht worden ist. Der Kunde hat dabei die nicht vertragsgemäße Leistungserbringung gegenüber Management Services so detailliert wie möglich zu spezifizieren. Bei Nichteinhaltung dieser Frist erlöschen die Gewährleistungsrechte des Kunden bezüglich dieser Fehler.
9.4 Bei Mängeln betreffend die technische Verfügbarkeit ist ausschließlich das Service Level Agreement in Anlage 1 anwendbar. Unter Verfügbarkeit verstehen die Parteien die technische Nutzbarkeit der Applikationen am Datenübergabepunkt (vgl. § 2.2.3) zum Gebrauch durch den Kunden. Für alle übrigen Mängel gelten die nachfolgenden Vorschriften dieses § 9.
9.5 Soweit die nicht vertragsgemäße Leistungserbringung von Management Services zu vertreten ist, ist Management Services zunächst berechtigt und verpflichtet, die betroffene Leistung ohne Mehrkosten für den Kunden innerhalb einer angemessenen Frist und im Falle eines Sachmangels durch Auslieferung eines Updates bzw. einer Korrekturlieferung vertragsgemäß zu erbringen, sofern dies möglich und sinnvoll ist.
Soweit Management Services die Unrichtigkeit, Unvollständigkeit oder Nicht-Ordnungsgemäßheit der in den Applikationen verwendeten Daten durch eigenes Handeln selbst zu vertreten hat, wird Management Services diese Daten unverzüglich berichtigen und dem Kunden alsbald zur Verfügung stellen.
Bei zu vertretenden Rechtsmängeln wird Management Services dem Kunden nach eigener Wahl eine rechtlich einwandfreie Nutzungsmöglichkeit an den Applikationen nebst Dokumentation verschaffen oder dieses so abändern, dass keine Rechte Dritter mehr verletzt werden. Der Kunde ist verpflichtet, Management Services unverzüglich zu unterrichten, falls Dritte Schutzrechtsverletzungen gegen ihn geltend machen. Der Kunde ist nur berechtigt, Maßnahmen zu ergreifen, insbesondere sich gerichtlich gegen die Ansprüche zu verteidigen oder gesetzliche Ansprüche des Dritten unter Vorbehalt zu befriedigen, sofern Management Services zuvor mitgeteilt hat, dass Management Services den Kunden nicht gegen den Anspruch verteidigen wird.
9.6 Soweit die Mängelbeseitigung der nicht vertragsgemäßen Leistungserbringung nicht möglich ist oder aus von Management Services zu vertretenden Gründen auch innerhalb einer vom Kunden gesetzten angemessenen Nachfrist in wesentlichen Teilen trotz mindestens zweier Nachbesserungsversuche seitens Management Services nicht gelingt, ist der Kunde berechtigt, entweder die vertragliche Vergütung für den betreffenden Vertragsgegenstand für die Dauer des Vorliegens des Mangels um maximal 30% zu mindern oder den Vertrag aus wichtigem Grund fristlos zu kündigen. In diesem Fall hat Management Services Anspruch auf Vergütung für die bis zum Wirksamwerden der Kündigung aufgrund des Vertrags erbrachten Leistungen. Ein Kündigungsrecht besteht nicht bei unerheblichen Mängeln.
9.7 Weitergehende Ansprüche wegen nicht vertragsgemäßer Leistungserbringung sind ausgeschlossen. Dieser Ausschluss gilt nicht bei Vorsatz oder grober Fahrlässigkeit sowie Verletzung des Lebens, des Körpers oder der Gesundheit.
9.8 Die Ansprüche wegen nicht vertragsgemäßer Leistungserbringung nach diesem § 9 verjähren innerhalb eines Jahres ab dem gesetzlichen Verjährungsbeginn. Dies gilt nicht bei qualitativen Leistungsstörungen aufgrund von Vorsatz oder grober Fahrlässigkeit seitens Management Services, deren gesetzlichen Vertretern oder Erfüllungsgehilfen, der Verletzung des Lebens, des Körpers oder der Gesundheit oder der Haftung nach dem Produkthaftungsgesetz. In diesen Fällen gilt die gesetzliche Verjährungsfrist.
10.1 Management Services, ihre gesetzlichen Vertreter und Erfüllungsgehilfen haften im Falle von der Verletzung vertraglicher Pflichten sowie bei unerlaubter Handlung oder aus sonstigem Rechtsgrund begrenzt auf Fälle des Vorsatzes und der groben Fahrlässigkeit sowie im Falle der Verletzung einer vertraglichen Kardinalspflicht (vertragswesentliche Pflicht) begrenzt auf die Höhe des Schadens, der vertragstypisch und für Management Services zum Zeitpunkt des Vertragsabschlusses voraussehbar war.
10.2 Der Kunde ist für die regelmäßige Sicherung seiner Daten nach dem Stand der Technik (mindestens einmal täglich auf einem externen Datenspeicher) verantwortlich und stellt sicher, dass die Daten aus in maschinenlesbarer Form bereitgehaltenen Datenbeständen mit vertretbarem Aufwand reproduzierbar sind. Bei einem von Management Services zu vertretenden Verlust von Daten haftet Management Services gemäß diesem § 10 nur für denjenigen Aufwand, der bei dieser ordnungsgemäßen Datensicherung durch den Kunden für die Wiederherstellung der Daten erforderlich ist.
10.3 Im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit oder im Rahmen einer Haftung nach dem Produkthaftungsgesetz ist die Haftung von Management Services unbegrenzt.
10.4 Die verschuldensunabhängige Haftung von Management Services auf Schadensersatz für bei Vertragsschluss vorhandene Mängel (§ 536 a BGB) wird ausgeschlossen.
10.5 Vorstehende Haftungsansprüche verjähren nach einem Jahr ab dem gesetzlichen Verjährungsbeginn. Dies gilt nicht bei Vorsatz oder grober Fahrlässigkeit seitens Management Services, deren gesetzlichen Vertretern oder Erfüllungsgehilfen sowie der Verletzung des Lebens, des Körpers oder der Gesundheit oder der Haftung nach dem Produkthaftungsgesetz. In diesen Fällen gilt die gesetzliche Verjährungsfrist.
11.1 Erfolgt die Überlassung der Applikationen zum Testen oder zu Demonstrationszwecken bzw. als „Test-/Demo-Version“, so ist hiermit nicht die Einräumung eines Nutzungsrechtes, sondern nur die jederzeit widerrufliche Duldung der Nutzung zu den jeweiligen Zwecken für den vereinbarten, hilfsweise angemessenen Zeitraum verbunden. Die Duldung der Nutzung endet automatisch, wenn der Kunde die vorliegenden Bedingungen verletzt.
11.2 Testversionen der Applikationen sind nicht für den Produktivbetrieb, sondern ausschließlich für Testzwecke bestimmt. Die Benutzung erfolgt auf eigene Gefahr und ohne jedwede Gewährleistung. Die Haftung von Management Services für Test-/Demo-Versionen ist abweichend von den sonstigen Regelungen dieser AGB auf Vorsatz und grobe Fahrlässigkeit beschränkt.
12.1 Schulungen und Workshops können bis 30 Tage vor ihrem Beginn kostenfrei storniert werden. Bei Stornierungen bis zu 14 Tage vor Beginn werden 50% des Auftragswertes berechnet. Bei einer Stornierung nach diesem Zeitpunkt werden 100% des vereinbarten Preises sowie eventuell bereits angefallene Reisekosten berechnet.
12.2 Management Services behält sich das Recht vor, die Schulungen oder Workshops bei Ausfall des Referenten (insbesondere krankheitsbedingt), im Falle höherer Gewalt oder aus anderen wichtigen Gründen, die Management Services nicht zu vertreten hat, abzusagen oder zu verschieben.
Können durch Einwirkung höherer Gewalt vertragliche Verpflichtungen nicht, nicht rechtzeitig oder sonst nicht vertragsgemäß erfüllt werden, so ist die betreffende Vertragspartei im Umfang und Zeitraum der Einwirkung plus einer angemessenen Wiederanlaufphase von der Einhaltung dieser Verpflichtungen befreit. Als höhere Gewalt sind insbesondere auch technische Probleme des Internets anzusehen, sofern diese nicht von einer Partei beeinflussbar sind, die zu einem Ausfall des Webservers führen, sowie Störungen des Online-Betriebes, die durch rechtswidriges Eindringen (Hacker-Angriff) verursacht werden, soweit diese nicht durch technisch und wirtschaftlich zumutbare Maßnahmen zu unterbinden gewesen wären. Die Parteien werden sich über Fälle höherer Gewalt unverzüglich unterrichten.
14.1 Änderungen und Ergänzungen dieses Vertrages bedürfen zu ihrer Gültigkeit der Schriftform. Auch eine Abänderung des Schriftformerfordernisses bedarf zu ihrer Gültigkeit der Schriftform.
14.2 Erfüllungsort ist der Geschäftssitz von Management Services.
14.3 Gerichtsstand ist Hofgeismar.
14.4 Es gilt deutsches Recht unter Ausschluss der kollisionsrechtlichen Vorschriften sowie des UN-Kaufrechts.
Stand: Januar 2025
Anlage 1
This “Service Level Agreement” (or “SLA”) is made a part of and incorporated by reference into the Master Services Agreement between Management Services and Client.
For purposes of this SLA, the following terms have the meaning as described to each term below:
“Downtime” means if Client is unable to access the Application by means of a web browser and/or API as a result of failure(s) in the architecture of the Application, as confirmed by Management Services but excluding Excused Downtime.
“Emergency Downtime” means such time as the Application is offline due to a short-term emergency condition. This emergency maintenance will be undertaken at Management Services discretion. Management Services will notify Client of the emergency maintenance where possible.
“Excused Downtime” means any downtime that is Maintenance Downtime or Emergency Downtime.
“Maintenance Downtime” means such time as the Application may be offline for maintenance or backup purposes, provided that the incident is scheduled with Client at least twenty-four (24) hours in advance. In addition, Management Services has an optional “Maintenance Window” on every third Tuesday of the month.
“Monthly Uptime Percentage” means the total number of minutes in a calendar month minus the number of minutes of Downtime suffered in a calendar month, divided by the total number of minutes in a calendar month.
During the Term, the Application will be operational and available to Client at least 99.9 % of the time in any calendar month (“Service Level Warranty”). If the Monthly Uptime Percentage does not meet the Service Level Warranty in any calendar month, and if Client meets its obligations under the Master Services Agreement and/or this SLA, then Client will receive a service credit on the next monthly invoice equal to the pro-rated monthly fee.
In order to receive a service credit, Client must notify Management Services within 10 days from the time Client becomes eligible to receive a service credit under the terms of this SLA. Failure to comply with this requirement will forfeit Client’s right to receive a service credit. Management Services will establish whether a Service Level Warranty failure has occurred and whether any credit is due in its sole discretion.
The Service Level Warranty does not apply to any performance issues that:
(a) are caused by Force Majeure, which shall mean, inter alia, natural disasters, earthquakes, labour disputes, riots, war, fire, epidemics, acts or omissions of vendors or suppliers, terrorism, power failures, errors in another operator’s network, internet interruptions, transportation difficulties or other occurrences, which are beyond Management Services’ reasonable control so long as Management Services uses commercially reasonable efforts to mitigate the effects of such Force Majeure. Technical internet problems that result in server malfunction, as well as any failures caused by illegal invasion (i.e. hacking attacks) that could not have been prevented by technically and economically reasonable measures, are also to be considered as Force Majeure provided that they are not influenced by one of the Parties;
(b) resulted from any aspect of the Client environment or third-party equipment, applications or services (e.g. Client’s internet connection), or both; or
(c) resulted from Client’s failure to comply with the terms and conditions of the Master Services Agreement.
This SLA sets forth Client’s sole and exclusive remedy for any failure by Management Services to meet the Service Level Warranty.
Client shall have the right to terminate the Master Services Agreement upon written notice to Management Services in the event Management Services fails to substantially comply with the Service Level Warranty as follows:
(a) if the Service Level Warranty is not met on three (3) or more separate occasions in a 1-month period; or
(b) if the Service Level Warranty is not met on six (6) or more separate occasions in a 6-month period.
The following Support Terms set forth the terms on which Management Services provides technical support (“Support”) to Client (“Support Terms”) for the Application.
“Error” means a failure of the Application to conform to the published specifications, resulting in the inability to use, or material restriction in the use of, the Application.
“Escalation” means the process by which Management Services will work continuously, and at multiple levels of its organization, to resolve an Error if not resolved within the specified Resolution Times set forth in the tables below.
“Start Time” means the time at which Management Services first becomes aware of an Error during Management Services’ regular business hours, following initiation of a Support case by Client in accordance with the following sections below.
Management Services provides Support during Normal Business Hours (9am – 5pm, EU time, Monday – Friday, excluding bank holidays in Germany). Client may initiate a Support case by emailing support@manserv.de.
The following Support Services Schedule sets forth the terms on which Management Services provides Support to Client. Response Times and Resolution Times are calculated from the Start Time.
Management Services will establish the Priority Level of an Error and the corresponding Support case in its sole discretion and will use its best efforts to adhere to the Response Times and Resolution Times set forth in the table below. Response times noted are measured in Normal Business Hours. If an Error is not addressed within the Resolution Time set forth in the tables below, Management Services will commence an Escalation.
| Severity Level | Error State Description | Target Response Time | Target Resolution Time |
|---|---|---|---|
| 1 Critical Priority | Renders Application inoperative, or causes to fail catastrophically | 2 hours | 8 hours |
| 2 High Priority | Affects the operation Application and materially degrades Client’s use thereof | 4 hours | 24 hours |
| 3 Medium Priority | Affects the operation of Application but does not materially degrade Client’s use thereof | 24 hours | -- |
| 4 Low Priority | Causes only a minor impact on the operation of Application | 48 hours | -- |
Management Services’ obligation to provide Support is conditioned upon the following:
(a) Client makes reasonable efforts to solve the Error after consulting with Management Services;
(b) Client provides Management Services with sufficient information and resources to correct the Error, as well as any and all assistance reasonably requested by Management Services; and
(c) Client procures, installs, and maintains all equipment, telephone lines, communication interfaces and other hardware necessary to access and operate the Application.
Management Services is not obligated to provide Support in the following situations:
(a) the problem is caused by Client’s negligence, hardware malfunction, or other causes beyond the reasonable control of Management Services;
(b) the problem is caused by Client’s excessive use of the Application contrary to the specifications set forth in the Documentation that causes damage to, or adversely affects, server or network capacity or infrastructure;
(c) the problem is with third party software not licensed through Management Services; or
(d) Client fails to comply with the terms and conditions of the Master Services Agreement and/or this SLA.
Management Services reserves the right to conclude its performance of a Support case when, in its reasonable discretion, Management Services determines that it has provided a satisfactory resolution or workaround to the Error.
Client shall have the right to terminate the Master Services Agreement upon written notice to Management Services in the event that Management Services substantially fails to comply with these Support Terms as follows:
(a) with respect to Priority 1 Errors, on three (3) or more separate occasions within one calendar year; or
(b) with respect to Priority 2, 3, or 4 Errors, substantially fails to comply on six (6) or more separate occasions within one calendar year,
and where Client reasonably determines that such failure to comply has materially impacted the use of the Applications.
Anlage 2
Führt ein Auftragsverarbeiter Leistungen im Auftrag seines Vertragspartners (Verantwortlicher) aus, müssen die Anforderungen der jeweils gültigen Datenschutzgesetze Berücksichtigung finden und insbesondere bei den Verarbeitungstätigkeiten ein angemessenes Datenschutzniveau garantiert sein. Die vorliegende Vereinbarung berücksichtigt die besonderen Anforderungen aus der EU-Datenschutzgrundverordnung (Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO)).
Zwischen dem Kunden (Verantwortlicher) und der Management Services Helwig Schmitt GmbH (Auftragsverarbeiter) wird daher Folgendes vereinbart:
1.1 Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten.
1.2 Der Gegenstand des Auftrags und damit der Zweck, die Art und der Umfang der Verarbeitung personenbezogener Daten ist die Datenverarbeitung und -auswertung durch die Marktinformationssysteme und Beratungsleistungen des Auftragsverarbeiters.
1.3 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.
Gegenstand der Verarbeitung personenbezogener Daten sind Daten aus folgenden Datenartenkategorien des jeweiligen Kreises der Betroffenen:
Betroffene:
- Mitarbeiter des Verantwortlichen (Mitarbeiter der eigenen Konzerngesellschaft und anderer Konzerngesellschaften)
- Vertragspartner und deren Mitarbeiter des Verantwortlichen (z.B. Vertragshändler)
- sonstige Partnerfirmen und deren Mitarbeiter des Verantwortlichen (z.B. Lieferanten, Dienstleister, Joint-Ventures, Leiharbeitsfirma)
allgemein: Nutzer der Applikationen
Datenkategorien:
- Kontaktdaten: Name, Vorname, Adressen, E-Mailadresse
- IT-Nutzungsdaten (Protokolle: IP-Adresse, Client-ID, Rollen, Zeitstempel)
- Funktionsbezeichnung
- Vertragsdaten (Beginn und Ende der Berechtigung zur Nutzung)
Betroffene: Fahrzeughalter, teils Interessenten
Datenkategorien:
- Fahrzeugidentifikationsdaten, KFZ-Kennzeichen und Fahrzeuginformationen
- Zulassungsdaten/ Bestandsdaten/ Besitzumschreibungen/ Löschungsdaten
- Name, Funktionsbezeichnung
- Kontaktdaten
- Adressdaten
- Werkstattbesuche und zugehörige Tätigkeiten bzw. Thekenverkäufe
- Zahlungs- und Abrechnungsdaten
- Vertragsdaten
4.1 Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben (Anlage 3 „Technisch-organisatorische Maßnahmen“). Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
4.2 Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
4.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
5.1 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
5.2 Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.
Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragsverarbeiters leicht zugänglich hinterlegt.
b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO.
d) Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
e) Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
f) Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.
g) Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach § 8 dieses Vertrages.
7.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
7.2 Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:
| Firma Unterauftragnehmer | Anschrift/Land | Leistung |
|---|---|---|
| Microsoft Ireland Operations Ltd. | The Atrium Building, Block B, Carmanhall Road, Sandyford Business Estate, Dublin 18, Ireland | Microsoft Diagnostics und Microsoft Analytics des Visual Studio App Center (nur bei mobileMIS) |
7.3 Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel der bestehenden Unterauftragnehmer sind zulässig, soweit:
a) der Auftragsverarbeiter eine solche Auslagerung auf Unterauftragnehmer dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
b) der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
c) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.
7.4 Die Weitergabe von personenbezogenen Daten an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
7.5 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
7.6 Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (Auftragsverarbeiters) (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
8.1 Der Verantwortliche hat das Recht, eine Auftragskontrolle mit dem Auftragsverarbeiter durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
8.2 Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maß nahmen nachzuweisen.
8.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) erbracht werden.
8.4 Für die Ermöglichung von Kontrollen durch den Verantwortlichen kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen.
9.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
Hierzu gehören u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden;
c) die Verpflichtung, den Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
d) die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung;
e) die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
9.2 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen.
10.1 Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.
10.2 Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine beim Verantwortlichen befugte Person bestätigt oder geändert wird.
11.1 Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Ausnahmen hiervon bestehen aufgrund zwingender handels- oder steuerrechtlicher Bestimmungen sowie dann, wenn Grund zu der Annahme besteht, dass durch die Rückgabe bzw. Löschung schutzwürdige Interessen der betroffenen Partei beeinträchtigt würden, etwa aus Beweiszwecken zur Sicherung eigener rechtlicher Ansprüche.
11.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
12.1 Für den Ersatz von Schäden, die eine Person wegen einer nicht der DSGVO entsprechenden unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Verantwortlicher und Auftragsverarbeiter im Außenverhältnis gemeinsam als Gesamtschuldner.
12.2 Der Verantwortliche trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm selbst verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Verantwortliche den Auftragsverarbeiter auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftragsverarbeiter erhoben werden. Unter diesen Voraussetzungen ersetzt der Verantwortliche dem Auftragsverarbeiter ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.
12.3 Der Auftragsverarbeiter haftet im Innenverhältnis ausschließlich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der
a) er den aus der DSGVO resultierenden und speziell für Auftragsverarbeiter auferlegten Pflichten nicht nachgekommen ist oder
b) er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen handelte oder
c) er gegen die rechtmäßig erteilten Anweisungen des Verantwortlichen gehandelt hat.
12.4 Für Schäden des Verantwortlichen durch schuldhafte Verstöße des Auftragsverarbeiters oder etwaiger Unterauftragsverarbeiter bleibt ihm der Rückgriff auf den Auftragsverarbeiter vorbehalten. Dies gilt nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Verantwortlichen erteilten Weisung entstanden ist.
12.5 Im Übrigen gelten die Bestimmungen aus dem Hauptvertrag.
13.1 Dieser Vertrag tritt an die Stelle aller früher zwischen den Vertragsparteien und zu dem gleichen Vertragsgegenstand getroffenen Vereinbarungen.
13.2 Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren.
13.3 Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiters – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
13.4 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit dieser Vereinbarung im Übrigen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der (datenschutz-)rechtlichen Zielsetzung am nächsten kommen, welche die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.
13.5 Es gilt deutsches Recht sowie das in Deutschland unmittelbar und zwingend anzuwendende Recht der Europäischen Union.
13.6 Gerichtsstand ist Hofgeismar.
Anlage 3
der
Management Services Helwig Schmitt GmbH
Garnisonstraße 12
34369 Hofgeismar
Als nicht-öffentliche Stelle, die im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, müssen wir technische und organisatorische Maßnahmen treffen, die erforderlich sind, um die Ausführung der Datenschutzvorschriften zu gewährleisten. Insbesondere sind Vertraulichkeit, Integrität, Verfügbarkeit und Systembelastbarkeit im Zusammenhang mit der Datenverarbeitung sicherzustellen.
Die folgenden technischen und organisatorischen Maßnahmen sind dazu in unserem Unternehmen umgesetzt.
a) Zutrittskontrolle/Gebäudeabsicherung
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen.
- Alarmanlage
- Geländeabsicherung
- Schließsystem mit Codesperre
- Videoüberwachung des Außenbereiches
- Lichtschranken / Bewegungsmelder
- Sicherheitsschlösser
- Schlüsselregelung (Schlüsselausgabe etc.)
- Personenkontrolle beim Empfang
- Protokollierung der Besucher
- Sorgfältige Auswahl von Reinigungspersonal
- Chipkarten-/Transponderschließsystem
- Zeitliche Zutrittsbeschränkung
- Einrichtung von Sicherheitszonen
- Brandalarm mit Aufschaltung auf Feuerwehr
b) Zugangskontrolle/Absicherung Systemzugang
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
- Zuordnung von Benutzerrechten
- Einsatz von individuellen Benutzernamen
- Vorgaben für sichere Passwörter
- Quarantänenetzwerk
- Authentifikation mit Benutzername/ Passwort
- Zuordnung von Benutzerprofilen zu IT-Systemen
- Gehäuseverriegelungen am Server
- Einsatz von VPN-Technologie (Fernzugriff)
- Gerätesteuerung (USB etc.)
- Verschlüsselung von mobilen Datenträgern
- Einsatz von Intrusion-Detection-Systemen
- Einsatz von zentraler Smartphone-Administrations-Software (z. B. zum Fern-Löschen)
- Verschlüsselung von Smartphone-Inhalten
- Sichere Passwörter für Smartphones
- Verschlüsselung von Datenträgern in Laptops
- Abweisung kompromittierter Passwörter
c) Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen.
- Erstellen eines Berechtigungskonzepts
- Rechteverwaltung entsprechend Genehmigungsprozess im Vier-Augen-Prinzip
- Umsetzung der Need-to-Know und Least-Privilege Konzepte
- Passwortrichtlinie mit Komplexitäts- und Laufzeitvorgaben
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- Ordnungsgemäße Vernichtung von Papier (Einsatz von Aktenvernichtern bzw. Dienstleistern)
- Physische Löschung von Datenträgern vor Wiederverwendung
- Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
- Sichere Aufbewahrung von Datenträgern
- Protokollierung der Vernichtung
- Datenträgerverschlüsselung
- Schadprogrammschutz
- Einsatz von Firewalls
- Vertrauliches Ausdrucken
d) Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing, physikalisch oder virtuell getrennte Systeme.
- Erstellung eines Berechtigungskonzepts
- Logische Mandantentrennung (softwareseitig)
- Trennung von Produktiv- und Testsystem
- Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden.
- Keine Produktivdaten in Testsystemen
e) Pseudonymisierung
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
- Verarbeitung von Daten in pseudonymisierter (oder anonymisierter) Form
- Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
2. Integrität
a) Weitergabekontrolle/Sicherheit beim Datentransfer
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.
- Einrichtungen von Standleitungen bzw. VPN-Tunneln
- Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
- E-Mail-Verschlüsselung
- Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
- Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
- Beim physischen Transport: sichere Transportbehälter/-verpackungen
- Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und Fahrzeugen
- Verschlüsselung externer Datenträger bei Weitergabe (CDs, USB-Sticks etc.)
- Verschlüsselte Datenübermittlung (z.B. via https oder SFTP)
b) Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind.
a) Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust
- Unterbrechungsfreie Stromversorgung (USV), redundante Notstromversorgung mit Dieselaggregaten
- Klimatisierte Serverräume
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Schutzsteckdosenleisten in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Feuerlöschgeräte in Serverräumen
- Sicherheits-Brandschutztüren in Serverräumen
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Erstellen eines Backup- und Recovery-Konzepts
- Erstellen eines Notfallplans
- Serverräume über der Wassergrenze
(nur in Hochwassergebieten relevant)
- Serverräume nicht unter sanitären Anlagen
- Regelmäßige Sicherung von Systemzuständen
- Regelmäßige Sicherung von Dateibeständen
- Regelmäßige Sicherung von Datenbanken
- Zentrales Logfile-Management zur Validierung der Verfügbarkeit und Geschwindigkeit von Diensten
b) Rasche Wiederherstellbarkeit
- Wiederherstellung nach Backup- und Recovery-Konzept
- Kontrolle eines Notfallplans
- Protokolldatenmanagement (Planung, Erfassung, Analyse, Bewertung, Meldung, Eskalation)
- 24/7 Rufbereitschaft
- Testen von Datenwiederherstellung
a) Datenschutz-Management
- Die Grundsätze zum Datenschutz (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten) sind einer unternehmensinternen Richtlinie festgelegt.
- Der DSB ist bei der Datenschutzfolgeabschätzung eingebunden
- Es ist ein Datenschutzbeauftragter schriftlich benannt
- Der DSB ist im Organigramm eingebunden
- Verpflichtung der Beschäftigten auf die Grundsätze der DSGVO und zum Umgang mit personenbezogenen Daten
- Schulung von Beschäftigten
- Verpflichtung der Beschäftigten auf das Fernmeldegeheimnis
- Einführung eines Kontrollsystems das den unberechtigten Zugriff auf personenbezogene Daten aufdeckt.
- Die interne Verarbeitungsübersicht der Verarbeitungsprozesse ist vorhanden
b) Störungsfallmanagement
Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Störungen in IT-Bereichen sowie hierzu vorbereitende Maßnahmen und Prozesse.
- Erstellung eines Plans zum Umgang bei Störfällen
- Sicherheitsteam ist benannt und geschult
- Team mit realitätsnahen Übungen getestet.
c) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Beachtung privacy by Design/Datenschutz durch Technikgestaltung
- Beachtung privacy by Default/Datenschutz durch datenschutzfreundliche Voreinstellungen
- Auswahl datenschutzfreundlicher Technologie bei der Beschaffung
d) Auftragskontrolle/Einbindung von Unter-Auftragsverarbeitern
Keine Auftragsdatenverarbeitung ohne entsprechende Weisung des Verantwortlichen, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
- Auswahl der (Unter-Auftragsverarbeiter unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
- Vorherige Prüfung und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen
- Schriftlich dokumentierte Weisungen an den Auftragsverarbeiter (z. B. durch Auftragsdatenverarbeitungsvertrag)
- Verpflichtung der Beschäftigten des Auftragsverarbeiters auf die Einhaltung der Grundsätze der DSGVO sowie zur Vertraulichkeit
- Auftragsverarbeiter hat Datenschutzbeauftragten bestellt (wenn erforderlich)
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Wirksame Kontrollrechte gegenüber dem Auftragsverarbeiter vereinbart
- Laufende Überprüfung des Auftragsverarbeiters und seiner Tätigkeiten
Stand: August 2024
Management Services Helwig Schmitt GmbH, Garnisonstraße 12, D-34369 Hofgeismar, www.manserv.com, info@manserv.de
Geschäftsführer: Dipl.-Wirtsch.-Ing. Andreas Schmitt, Amtsgericht Kassel, HRB 9217