Die Bereitstellung der von der Management Services Helwig Schmitt GmbH (im Folgenden „Management Services“) angebotenen Applikationen wie MIS Sales, MIS After-Sales, OptiNet, MIScubes, MISelements, mobileMIS und andere (gemeinsam „MIS“) und das Recht zur Nutzung hieran ist ausschließlich aufgrund dieser Vertragsbedingungen zulässig. Durch Vertragsabschluss, spätestens durch Aufnahme der Nutzung wird die Geltung dieser Vertragsbedingungen in ihrer jeweiligen Fassung akzeptiert. Vertragsbedingungen des Kunden gelten nicht, auch wenn Management Services diesen nicht ausdrücklich widerspricht.
Diese Vertragsbedingungen gelten auch dann, wenn Management Services in Kenntnis entgegenstehender oder von seinen Vertragsbedingungen abweichender Bedingungen des Kunden die Leistung an den Kunden vorbehaltlos ausführt. In diesen Fällen gilt die Annahme der Leistung durch den Kunden als Anerkennung dieser Vertragsbedingungen unter gleichzeitigem und hiermit vorab angenommenem Verzicht auf die Geltung seiner eigenen Vertragsbedingungen.
2.1 Verpflichtungen von Management Services:
2.1.1 Die Bereitstellung des MIS seitens Management Services erfolgt als webbasierte Browseranwendung. Das MIS wird auf eigenen Servern von Management Services gehostet. Einzelheiten hinsichtlich der von Management Services geschuldeten Verfügbarkeit des MIS, d. h. der technischen Nutzbarkeit des MIS am Datenübergabepunkt (vgl. § 2.2.3) zum Gebrauch durch den Kunden, insbesondere zu den technischen Parametern und Verfahren zur Messung und Bestimmung der Verfügbarkeit, sind im Service Level Agreement in Anlage 1 geregelt. Dieses ist in seinem Anwendungsbereich gegenüber diesem Vertrag vorrangig.
2.1. 2 Für den Log-In in den geschützten Bereich des Webauftritts von Management Services teilt Management Services dem Kunden nutzerbezogene Zugangsdaten (Benutzername und dazugehörendes Passwort) mit. Der Kunde wird hierfür Management Services alle für die Nutzung des MIS vorgesehenen Nutzer benennen und auch jede durch Organisationswechsel, Mitarbeiterwechsel o.ä. hervorgerufene Veränderung in der Zuordnung der Nutzer innerhalb eines Monats mitteilen.
2.1.3 Management Services stellt dem Kunden eine ausführliche Benutzerdokumentation in elektronischer Form über das MIS zur Verfügung. Auf Wunsch und nach Absprache mit dem Kunden wird Management Services Anwenderschulungen für das MIS gegen eine zusätzliche Vergütung anbieten.
2.1.4 Management Services stellt dem Kunden jeweils von Montag bis Freitag von 8 – 17 Uhr Ortszeit Hofgeismar, Deutschland, mit Ausnahme der gesetzlichen Feiertage, eine telefonische Hotline zur Verfügung. Der Kunde kann über diese Hotline Anfragen an Management Services zur Handhabung des MIS stellen.
2.1.5 Management Services ist jederzeit bemüht, die Weiterentwicklung und Aktualisierung des MIS nach eigenem Ermessen zu fördern und nimmt regelmäßig Anpassungen am MIS zur Aufrechterhaltung seiner Qualität vor. Eine Verpflichtung hierzu geht Management Services gegenüber dem Kunden insoweit jedoch nicht ein. Darüberhinausgehende Pflegeleistungen sowie individuelle, vom Kunden gewünschte Entwicklungsarbeiten am MIS werden seitens Management Services nur dann erbracht, falls dies ausdrücklich schriftlich vereinbart wurde.
2.1.6 Im Rahmen eines OptiNet-Vertrages richtet Management Services dem Kunden zu Vertragsbeginn ein Masterszenario für die Planungen des Kunden ein. Dieses Masterszenario enthält Netzstrukturen und Marktdaten, welche vom Kunden zuvor bestimmt worden und welche im MIS des Kunden verfügbar sind. Management Services stellt dem Kunden einmal jährlich die verarbeiteten Marktdaten (vgl. § 2.2.2) als Aktualisierung für das OptiNet zur Verfügung. Die Verarbeitung von zusätzlichen geografischen oder numerischen Daten sind gesonderte Vertragsleistungen und sind gesondert zu vergüten. Die OptiNet Lizenz beinhaltet die Speicherung im Websystem von bis zu 20 Planszenarien. Weitere Planszenarien können vom Benutzer exportiert und lokal gespeichert werden.
2.1.7 mobileMIS ist eine Applikation für iPhone und/oder Android Smartphone als optionale Ergänzung zum MIS. Es ermöglicht einen mobilen Zugang zu den Marktdaten in komprimierter Form. Der Datenumfang ist im Vergleich zum MIS auf die wesentlichen Daten reduziert. Die Daten werden in Form von Tabellen, Diagrammen, Tachos und Portfolio-Ansichten anschaulich dargestellt. Der Zugriff erfolgt über eine App, die im Apple App-Store oder im Google Play Store zum Download verfügbar ist. mobileMIS setzt eine aktuelle Version des Betriebssystems iOS (ab iOS 11.0) oder Android (ab Android Nougat (API 24)) voraus. Eine Nutzung des mobileMIS kann nur in Kombination mit einem MIS-Zugang erfolgen und setzt voraus, dass der jeweilige Nutzer über eine MIS-Lizenz verfügt. Die in diesen Allgemeinen Geschäftsbedingungen genannten Bestimmungen zum MIS gelten entsprechend für das mobileMIS.
2.1.8 Die geografischen und sozio-demografischen Daten im MIS, einschließlich der Standortdaten der dargestellten Wettbewerber-Händlerstandorte des Kunden, werden von externen Datenlieferanten bzw. aus frei verfügbaren Quellen bezogen. Der Kunde hat keinen Anspruch darauf, dass die geografischen und sozio-demografischen Daten eines bestimmten Datenlieferanten im MIS zugrunde gelegt werden.
Der Verlauf der Grenzlinien sowie die Positionen der Standorte auf den geografischen Karten sind lediglich Näherungen und können vom tatsächlichen Verlauf bzw. von der tatsächlichen Position deutlich abweichen.
Die geografischen und sozio-demografischen Daten werden regelmäßig aktualisiert. Sie entsprechen dennoch nicht immer dem aktuellen Stand. Der Kunde erkennt daher an, dass die Daten aufgrund ihrer Natur eine statische Darstellung einer dynamischen Umgebung sind, die automatisch einen gewissen Grad an veralteten Strukturen aufweisen.
Die Berechnung von Fahrzeiten beruht auf theoretischen Annahmen und kann von tatsächlichen Fahrzeiten abweichen. Fahrzeitberechnungen und geografische Standortdaten sind nicht für Navigationszwecke geeignet.
Vom OptiNet generierte und simulierte Standorte orientieren sich lediglich an ausgewählten, im System vorhandenen Daten. Die dazu verwendeten Algorithmen bilden nicht alle Umstände ab, die in der Realität vorliegen und die bei einer umfassenden Standortplanung berücksichtigt werden müssten.
2.1.9 Management Services übernimmt umfangreiche Qualitätssicherungs- und Datenoptimierungsmaßnahmen sowohl beim Datenimport als auch im Rahmen der Datenverarbeitung, z.B. Monitoring und Auditierung der Lieferanten, Integritätsprüfungen wie z.B. Prüfsummen, Abgleich mit Referenzdateien. Dennoch stellt die Prüfung der Richtigkeit, Vollständigkeit und Ordnungsmäßigkeit der im MIS verwendeten Daten [z.B. vom Kunden bzw. von Dritten im Auftrag vom Kunden gelieferte Daten (vgl. § 2.2.2) und/oder geografische und sozio-demografische Daten (vgl. § 2.1.8)] und/oder vom Kunden oder Dritten im Auftrag vom Kunden gelieferten Unterlagen und Informationen (vgl. 2.2.1) keine Vertragspflicht von Management Services dar. Management Services übernimmt daher keine Gewähr für die Richtigkeit, Vollständigkeit und Ordnungsgemäßheit der im MIS verwendeten Daten und/oder Unterlagen und Informationen.
Vor allem die Datenqualität der im MIS verwendeten Daten wird u.a. unmittelbar durch die Meldungen der Zulassungsbehörden bestimmt. In Bezug auf eingesetzte Referenzdateien hängt die Qualität zudem ggf. von den vom Hersteller übermittelten Daten sowie den Angaben der Genehmigungsbehörden ab. Eine Einflussnahme hierauf durch Management Services ist nicht möglich. Dies gilt entsprechend für andere Datenquellen. Management Services legt daher die gelieferten bzw. verfügbaren Daten und/oder Unterlagen und Informationen als richtig zu Grunde und stellt sie dem Kunden in der Qualität bereit, die Management Services zu diesem Zweck vorliegt.
Soweit Management Services offensichtliche Unrichtigkeiten feststellt, wird Management Services den Kunden hierauf hinweisen.
2.2 Verpflichtungen des Kunden:
2.2.1 Der Kunde hat dafür Sorge zu tragen, dass Management Services alle für die Ausführung ihrer Tätigkeit erforderlichen Unterlagen rechtzeitig vorgelegt werden, alle dafür erforderlichen Informationen erteilt werden und Management Services von allen relevanten Vorgängen und Umständen in Kenntnis gesetzt wird. Dies gilt auch für Unterlagen, Vorgänge und Umstände, die erst während der Tätigkeit von Management Services bekannt werden.
2.2.2 Der Kunde stellt Management Services die zur Auswertung im MIS benötigten erforderlichen Daten, z.B. die internen Daten [Händlerverkäufe, Vertriebsstruktur (Standorte und Gebiete), Segmente-Tabelle bzw. detaillierte After-Sales-Daten und Referenzdaten wie Teilereferenzen, Arbeitscodereferenzen und Fahrzeugmodellreferenzen] sowie die Marktdaten [Neuzulassungen, Besitzumschreibungen (Gebrauchtwagen), Fahrzeugbestände (Einheiten in Betrieb)] für die Dauer dieses Vertrages kostenlos zur Verfügung. Im Rahmen eines OptiNet-Vertrages wird Management Services diesbezüglich grundsätzlich auf die bereits im MIS vom Kunden verwendeten Daten zurückgreifen. In Absprache mit dem Kunden kann alternativ Management Services die Daten soweit verfügbar - auch teilweise – im eigenen Namen aber im Auftrag und zur Weiterberechnung an den Kunden jährlich bzw. periodisch von einer externen Stelle, wie z. B. einem Amt oder einem sonstigen Datenlieferanten, beziehen. In diesem Fall werden die jährlichen Datenkosten dem Kunden mit der ersten Bereitstellung im MIS in Rechnung gestellt.
Der Kunde hat Management Services die zur Verarbeitung im MIS benötigten Daten rechtzeitig, vollständig und im vereinbarten Dateiformat (vgl. § 2.2.3) zu übergeben und ist verantwortlich für ihre Richtigkeit, Vollständigkeit und Ordnungsmäßigkeit.
Von allen Unterlagen und Datenträgern, die der Kunde an Management Services übergibt, behält der Kunde Kopien, auf die Management Services jederzeit kostenlos zurückgreifen kann. Vor der Versendung von Daten und Informationen an Management Services wird der Kunde diese auf Schadprogramme prüfen und dem Stand der Technik entsprechende Programme zur Schadprogrammbekämpfung einsetzen.
2.2.3 Der Kunde übernimmt es, eine Datenverbindung zwischen den von ihm zur Nutzung vorgesehenen Arbeitsplätzen und dem von Management Services vorgesehenen Datenübergabepunkt herzustellen. Sofern nicht anders vereinbart, ist der Datenübergabepunkt der Netzwerkanschluss des Rechenzentrums von Management Services zu dessen Internet Service Providern („ISPs“). Management Services ist berechtigt, den Datenübergabepunkt jederzeit neu zu definieren, sofern dies erforderlich ist, um die Servicequalität zu erhalten bzw. zu verbessern. Der Kunde wird in diesem Fall eine Verbindung zu dem neu definierten Übergabepunkt herstellen.
Die technischen Voraussetzungen für den Datenaustausch sowie die Dateiformate, der vom Kunden an Management Services gelieferten Daten (vgl. § 2.2.2) legen die Parteien in einem Schnittstellenkontrakt fest. Nachträgliche Änderungen hieran sind nur im gegenseitigen Einvernehmen durch schriftliche Vereinbarung möglich.
Für die Nutzung des MIS müssen bestimmte Anforderungen bei der kundenseitig eingesetzten Hardware und dem verwendeten Webbrowser erfüllt sein. Diese werden dem Kunden von Management Services rechtzeitig mitgeteilt. Management Services behält sich das Recht vor, diese Anforderungen anzupassen.
Für die Beschaffenheit der erforderlichen Hard- und Software auf Seiten des Kunden sowie für die Telekommunikationsverbindung zwischen dem Kunden und Management Services bis zum Übergabepunkt ist Management Services nicht verantwortlich.
2.2.4 Management Services behält sich vor, etwaige Nachteile bzw. Mehrkosten, die durch die nicht rechtzeitige oder nicht korrekte Datenlieferung durch den Kunden entstehen, diesem in Rechnung zu stellen.
2.2.5 Der Kunde erklärt sich damit einverstanden, dass im Rahmen der Nutzung des OptiNet die zuständigen Kundenbetreuer sowie die Administratoren von Management Services Zugriff auf die vom Kunden erstellten Planszenarien sowie auf die Daten, die der Kunde eigenständig in das OptiNet lädt, haben. Management Services wird diese Informationen als vertraulich im Sinne von § 4 behandeln. Bei der Löschung von Nutzerzugängen werden die vom jeweiligen Nutzer erstellten Planszenarien und alle vom jeweiligen Nutzer in das OptiNet geladenen Daten automatisch gelöscht. Um dies zu verhindern, kann der Kunde mit Management Services vereinbaren, dass vorhandene Planszenarien auf andere Nutzer übertragen oder auf Datenträger exportiert werden.
3.1 Geistiges Eigentum von Management Services:
3.1.1 Die Software, sämtliche Daten, Datenbanken, Informationsfunktionalitäten, Berechnungsalgorithmen, Visualisierungsformen und sämtliche sonstigen Inhalte des MIS sowie alle Unterlagen, die von Management Services im Rahmen der Vertragsanbahnung und -durchführung bereitgestellt werden, das gesamte Kartenmaterial sowie die Benutzerdokumentation (im Folgenden „MIS nebst Dokumentation“) unterliegen dem Urheberrecht und anderen Gesetzen zum Schutze des geistigen Eigentums. Alle Rechte hieran, gleich ob eingetragen oder nicht, die geschützt sind oder geschützt werden können und Management Services zum Zeitpunkt des Abschlusses dieses Vertrags zustehen oder von Management Services etwa aufgrund von Bearbeitungen, Änderungen oder Weiterentwicklungen erworben werden - gegebenenfalls auch erst nach Abschluss dieses Vertrags -, stehen im Verhältnis der Vertragspartner untereinander mit Ausnahme der vom Kunden gelieferten Daten gemäß § 2.2.2 ausschließlich Management Services zu bzw. Management Services hat Lizenzrechte hieran erhalten. Management Services behält sich alle Urheber-, Schutz- und Eigentumsrechte, insbesondere alle Veröffentlichungs-, Vervielfältigungs-, Bearbeitungs- und Verwertungsrechte am MIS nebst Dokumentation vor, die nicht im Folgenden ausdrücklich eingeräumt werden.
3.1.2 Management Services räumt dem Kunden sowie seinen am MIS teilnehmenden Vertragshändlern für die Laufzeit dieses Vertrages für eigene interne Zwecke im Rahmen des Geschäftsbetriebs ein im Hinblick auf die vom Kunden zur Verfügung gestellten internen Daten (vgl. § 2.2.2) alleiniges und ansonsten nicht ausschließliches, nicht übertragbares, mit Ausnahme von § 3.1.5 nicht unterlizenzierbares, einfaches Recht ein, das MIS nebst Dokumentation, wie in diesem Vertrag und in der Dokumentation beschrieben, durch eigenes Personal zu nutzen.
3.1.3 Soweit das MIS nebst Dokumentation fremde, d.h. von Dritten erstellte, Software, Daten, Datenbanken, Informationsfunktionalitäten, Berechnungsalgorithmen, Visualisierungsformen oder sonstige Inhalte einschließlich, aber nicht begrenzt auf Open-Source Software, enthält ("Leistungen Dritter"), kann die Nutzung dieser Leistungen Dritter gesonderten Nutzungsbedingungen unterliegen. Die dem Kunden eingeräumten Nutzungsrechte sind daher dem Umfang nach auf die Nutzungsrechte beschränkt, welche der Dritte Management Services eingeräumt hat. In diesem Falle wird Management Services dem Kunden die Urheberrechtsvermerke und besonderen Lizenzbedingungen dieser Leistungen Dritter auf Wunsch des Kunden offenlegen. Abweichend von den vorstehenden Regelungen richten sich die Lizenzbedingungen für Open-Source Software und andere freie Inhalte ausschließlich nach den hierfür anwendbaren Lizenzbedingungen. Die entsprechenden Nutzungsrechte werden dabei von den Rechteinhabern direkt eingeräumt. Management Services ist bei Open-Source Software und anderen freien Inhalten nur insoweit Lizenzgeber, als Management Services Rechte hieran zustehen. Die jeweils anwendbaren Lizenzbedingungen finden sich in der „About-Box“ des MIS.
3.1.4 Das vorstehend genannte Nutzungsrecht umfasst das Recht, die mit den MIS generierten Ergebnisse (Tabellen, Karten, Diagramme) über die im MIS enthaltenen Exportfunktionen aus dem MIS zu exportieren und innerhalb der eigenen Organisation des Kunden, in Zusammenarbeit mit verbundenen Unternehmen des Kunden sowie in Zusammenarbeit mit vom Kunden beauftragten Dienstleistern zu nutzen und zu bearbeiten. § 4 bleibt darüber hinaus unberührt.
3.1.5 Der Kunde ist berechtigt, den Kunden-Konzerngesellschaften ein nicht ausschließliches, nicht übertragbares Recht zur Nutzung des MIS im Rahmen der Bestimmungen dieses Vertrages (Sublizenz) zu gewähren. Der Kunde ist dabei verantwortlich für etwaiges Fehlverhalten der Kunden-Konzerngesellschaften im Hinblick auf die Bestimmungen dieses Vertrages. Der Kunde hat daher die Kunden–Konzerngesellschaften über die sich aus diesem Vertrag ergebenden Rechte und Pflichten zu informieren. Sobald Management Services eine schriftliche Bestätigung über die Gewährung der Sublizenz und eine Liste der berechtigten Personen vorliegt, werden die entsprechenden Zugangsdaten an die Kunden-Konzerngesellschaften übermittelt werden.
3.1.6 Alle anderen Arten der Verwertung des MIS nebst Dokumentation als Ganzes oder in Teilen, insbesondere die Übersetzung, Bearbeitung, das Arrangement, andere Umarbeitungen und die sonstige Vervielfältigung und Verbreitung (offline oder online) sowie deren Vermietung und Verleih bedürfen der schriftlichen Zustimmung von Management Services. § 3.1.11 bleibt unberührt. Der Kunde trifft angemessene Maßnahmen, um das MIS nebst Dokumentation vor dem unbefugten Zugriff durch Dritte zu schützen.
3.1.7 Der Zugang zum MIS ist personalisiert. Zugangsdaten dürfen nur von der Person verwendet werden, die diese von Management Services in schriftlicher Form erhalten hat. Die Zugangsdaten dürfen nicht veröffentlicht oder an Dritte weitergegeben werden. Sie sind geheim zu halten und durch geeignete und übliche Maßnahmen zu schützen. Nach jeder Nutzung ist der durch die Zugangsdaten geschützte Bereich zu verlassen. Der Kunde wird Management Services unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten nicht berechtigten Personen bekannt geworden sein könnten.
3.1.8 Für jeden Fall, in dem der Kunde die Nutzung des MIS nebst Dokumentation durch Dritte oder durch nicht vom Kunden benannte Nutzer schuldhaft ermöglicht, hat der Kunde jeweils eine sofort fällige Vertragsstrafe in Höhe der monatlichen Vergütung zu zahlen. Die Geltendmachung von Schadensersatz und die Sperrung der entsprechenden rechtswidrig genutzten Nutzerzugänge bleiben vorbehalten; in diesem Fall wird die Vertragsstrafe auf den Schadensersatzanspruch angerechnet.
3.1.9 Der Kunde haftet für alle unter den Zugangsdaten vorgenommenen Aktivitäten. Der Kunde stellt Management Services von allen Ansprüchen Dritter frei, die auf einer rechtswidrigen Verwendung des MIS nebst Dokumentation durch den Kunden beruhen, oder die sich aus vom Kunden verursachten urheberrechtlichen oder sonstigen rechtlichen Streitigkeit ergeben, die mit der Nutzung des MIS nebst Dokumentation verbunden sind.
3.1.10 Hinweise auf Urheberrechte oder sonstige gewerbliche Schutzrechte, die sich auf oder im MIS nebst Dokumentation oder in Teilen davon befinden, dürfen weder verändert, beseitigt noch sonst unkenntlich gemacht werden.
3.1.11 Der Kunde ist berechtigt, die zur Verfügung gestellte Benutzerdokumentation unter Aufrechterhaltung vorhandener Schutzrechtsvermerke zu speichern, auszudrucken und für Zwecke dieses Vertrages in angemessener Zahl zu vervielfältigen.
3.1.12 Der Quellcode des MIS wird von Management Services nicht zur Verfügung gestellt, veröffentlicht oder bei Dritten hinterlegt.
3.1.13 Eine Verknüpfung oder ein Abgleich der im MIS enthaltenen Daten mit anderen Datenbeständen mit dem Ergebnis einer möglichen De-Anonymisierung oder Re-Identifizierung ist unzulässig. Auch eine Nutzung der Daten zum Zwecke von individuellen Bonitätsprüfungen oder des Kreditscorings ist nicht zulässig.
3.1.14 Das MIS kann Hyperlinks auf Websites Dritter enthalten. Management Services übernimmt für die Inhalte dieser Websites weder eine Verantwortung noch macht Management Services sich diese Websites und ihre Inhalte zu eigen, da Management Services die verlinkten Informationen nicht kontrolliert und für die dort bereit gehaltenen Inhalte und Informationen auch nicht verantwortlich ist. Deren Nutzung erfolgt auf eigenes Risiko des Kunden.
3.1.15 Vorstehende Bestimmungen gelten entsprechend für neue Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf das MIS nebst Dokumentation, die während der Laufzeit dieses Vertrages entstehen.
3.2 Geistiges Eigentum des Kunden:
3.2.1 Management Services erhält an den vom Kunden gelieferten Daten (vgl. § 2.2.2) und/oder Unterlagen (vgl. § 2.2.1) kein Eigentum, sondern ein Recht zur Nutzung und Verarbeitung im vertraglich vereinbarten Umfang für die Dauer der Zusammenarbeit mit dem Kunden.
3.2.2 Der Kunde versichert ausdrücklich, dass diese Daten und/oder Unterlagen und ihre Nutzung durch Management Services mit dem geltenden Recht vereinbar sind, insbesondere, dass die Daten und/oder Unterlagen frei von Schutzrechten Dritter sind, die die Nutzung durch Management Services ausschließen oder beeinträchtigen und der Kunde die Befugnis zur Übertragung bzw. Einräumung entsprechender Nutzungsrechte an Management Services zusteht.
3.2.3. Der Kunde stellt Management Services von allen Ansprüchen Dritter, einschließlich beteiligter Urheber, frei, die gegen Management Services wegen der vertragsgemäßen Verwendung der vom Kunden gelieferten Daten und/oder Unterlagen geltend gemacht werden.
4.1. Vertrauliche Informationen sind alle Informationen und Unterlagen, einschließlich dieses Vertrags, die entweder als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen bzw. ihrer Natur ergibt und/oder solche, die ein verständiger Dritter als schützenswert und deshalb als vertraulich zu behandeln ansehen würde. Vertrauliche Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, technische, geschäftliche und sonstige Informationen, bspw. Informationen in Bezug auf Technologien, Produkte, Dienstleistungen, Entdeckungen, Erfindungen, Konzepte, Designs, Dokumentationen, Preise, Mitarbeiter, Strategien. Als vertraulich gelten zudem einerseits sämtliche im MIS nebst Dokumentation enthaltenen Daten und Informationen inklusive der Zugangsdaten sowie andererseits die vom Kunden gelieferten Daten, die für die MIS-Auswertungen, deren Änderungen, Erweiterungen und Pflege erforderlich sind.
4.2. Nicht als vertrauliche Informationen gelten Informationen, die
a) der empfangenden Vertragspartei bekannt waren, bevor sie sie von der anderen Vertragspartei im Zusammenhang mit diesem Vertrag erhalten hat;
b) die empfangende Vertragspartei ohne Rückgriff auf vertrauliche Informationen der anderen Vertragspartei selbständig entwickelt hat;
c) die empfangende Vertragspartei von Dritten erworben hat, die in Bezug auf die Nutzung und Weitergabe nicht an Beschränkungen gebunden sind;
d) ohne Verschulden oder Zutun der empfangenden Vertragspartei allgemein bekannt sind oder werden.
4.3 Die Vertragsparteien haben über alle vertraulichen Informationen, die eine Vertragspartei der anderen Vertragspartei unter diesem Vertrag mitteilt oder von der anderen Vertragspartei erhält, Stillschweigen zu bewahren. Sie werden vertrauliche Informationen vor unbefugtem Zugriff schützen und mit der gleichen Sorgfalt behandeln, die sie bei ihren eigenen, gleichermaßen vertraulichen Informationen anwenden, mindestens jedoch die Sorgfalt eines ordentlichen Kaufmanns. Die Weitergabe vertraulicher Informationen darf nur an Mitarbeiter der jeweiligen Vertragspartei erfolgen und dies nur, wenn die betreffenden Mitarbeiter entweder zum berechtigten Nutzer-Personenkreis des Kunden gehören oder die Weitergabe zur Durchführung dieses Vertrags erforderlich ist („need to know“). Diese Mitarbeiter sind aufgrund einer vertraglichen Regelung zur Geheimhaltung zu verpflichten.
4.4 Vertrauliche Informationen dürfen von der empfangenden Vertragspartei Dritten nicht ohne vorherige schriftliche Zustimmung der anderen Vertragspartei offengelegt werden, es sei denn
a) dies ist auf Grund von zwingenden rechtlichen Anforderungen oder einer gerichtlichen oder behördlichen Anordnung erforderlich und die empfangende Vertragspartei hat die andere Vertragspartei unverzüglich über die jeweilige Verpflichtung schriftlich informiert und ihr die Möglichkeit gegeben, gegen die Offenlegung einzuschreiten, oder
b) die vertraulichen Informationen werden den Dritten im Rahmen der erlaubten Nutzung gemäß § 3.1.4 oder als Dienstleister der empfangenden Vertragspartei (mit der Ausnahme von Konkurrenzunternehmen von Management Services) im Zusammenhang mit der Durchführung dieses Vertrags zugänglich gemacht und der Dritte bzw. Dienstleister hat sich zuvor schriftlich gegenüber der empfangenden Vertragspartei zur Verschwiegenheit verpflichtet oder ist bereits von Berufs wegen zur Verschwiegenheit verpflichtet.
4.5 Bei Vertragsende geben die Vertragsparteien einander die von der jeweils anderen Vertragspartei erhaltenen vertraulichen Informationen zurück bzw. vernichten diese auf angemessene Weise. Als Ausnahme hiervon werden die Daten, die Management Services vom Kunden gem. § 2.2.2 erhalten hat, nicht an den Kunden zurückgegeben, weder im Rohformat noch im verarbeiteten Zustand; diese Daten werden ausschließlich vernichtet. Auf Anforderung vom Kunden wird Management Services dem Kunden die Löschung bestätigen.
In Abweichung hierzu darf Management Services Kopien von Daten behalten, soweit und solange diese Daten einer gesetzlichen oder sonst zwingenden Aufbewahrungsfrist unterliegen, zur Erfüllung weiterer Vertragspflichten gegenüber dem Kunden aufbewahrt werden müssen sowie dann, wenn Grund zu der Annahme besteht, dass durch die Rückgabe bzw. Löschung schutzwürdige Interessen von Management Services beeinträchtigt würden, etwa aus Beweiszwecken zur Sicherung eigener rechtlicher Ansprüche.
4.6 Vorbehaltlich weitergehender Vertraulichkeitsverpflichtungen aufgrund zwingender rechtlicher Anforderungen, besteht diese Vertraulichkeitsverpflichtung bis drei Jahre nach Beendigung dieses Vertrags fort.
4.7 Der Kunde erklärt sich damit einverstanden, dass Management Services den Namen und das Logo des Kunden auf seiner Kundenreferenzliste verwenden darf.
5.1 Die Verarbeitung personenbezogener Daten für den Kunden zur Erfüllung der in diesem Vertrag übernommenen Leistungspflichten durch Management Services erfolgt ausschließlich im Auftrag und nach Weisung des Kunden. Die Einzelheiten der Auftragsverarbeitung sind in Anlage 2 festgelegt. Diese geht in ihrem Anwendungsbereich den Regelungen dieses Vertrags vor.
5.2 Beide Vertragsparteien verpflichten sich zur Einhaltung der gesetzlichen Bestimmungen zum Datenschutz – soweit einschlägig. Sie werden insbesondere ihre Mitarbeiter auf die Einhaltung des Datengeheimnisses und der besonderen Weisungsgebundenheit im Rahmen der Datenverarbeitung verpflichten.
5.3 Verarbeitet der Kunde selbst oder durch Management Services personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen, Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes Management Services von Ansprüchen Dritter frei.
5.4 Die Datenlieferung vom Kunden an Management Services gem. § 2.2.2 hat datenschutzkonform unter Berücksichtigung von Datenminimierung und Pseudonymisierung zu erfolgen. Der Kunde schickt an Management Services nur die Daten, die zur Durchführung dieses Vertrages erforderlich sind.
6.1 Angaben zum Lieferzeitpunkt sind unverbindlich. Verbindliche Liefertermine bedürfen der schriftlichen Zusage von Management Services. Teillieferungen sind zulässig.
6.2 Liefer- und Leistungsfristen verlängern sich um den Zeitraum, in dem Management Services auf Informationen oder Mitwirkungshandlungen des Kunden wartet.
7.1 Alle Preise verstehen sich netto ohne Abzug zzgl. der jeweils gesetzlich gültigen Umsatzsteuer. Die Zahlungen sind ohne Abzug innerhalb von 30 Tagen nach Eingang der Rechnung und der Lieferung fällig.
7.2 Hat der Kunde für die diesem Vertrag zugrundeliegenden Leistungen infolge gesetzlicher Vorschriften für Rechnung von Management Services einen Steuerabzug vorzunehmen, die Steuer bei der für ihn zuständigen Finanzbehörde anzumelden und sie dorthin abzuführen, so verpflichtet sich der Kunde
- die amtlichen Bescheinigungen über den Quellensteuerabzug zu beschaffen oder hierbei beratend mitzuwirken;
- und ggf. Management Services bei der formellen Beantragung eines Freistellungsbescheides von der Quellen-Abzugsbesteuerung zu unterstützen.
Soweit der Kunde für die von ihm vorgenommenen Quellensteuerabzüge keine amtlichen Dokumente bzw. Steuerbescheinigungen zum Zwecke der Steueranrechnung in Deutschland beschaffen kann und Management Services auch nicht anderweitig solche amtlichen Dokumente bzw. Steuerbescheinigungen zur Verfügung gestellt werden, ist der Kunde verpflichtet, Management Services den vollständigen Rechnungsbetrag einschließlich des vorgenommenen Steuerabzuges zu zahlen.
7.3 Bei der Rechnungsstellung gegenüber Kunden aus der EU verwendet Management Services die vom Kunden genannte Umsatz-Identifikations-Nummer. Wird diese als falsch nachgewiesen, so haftet der Kunde für die Steuerschuld, die von den Finanzbehörden gegen Management Services geltend gemacht werden kann.
7.4 Der Kunde kann nur mit solchen Forderungen aufrechnen oder bezüglich solcher Forderungen ein Zurückbehaltungsrecht geltend machen, die unbestritten oder rechtskräftig festgestellt sind. Er kann gegen Management Services gerichtete Ansprüche ohne die ausdrückliche Zustimmung von Management Services nicht abtreten.
7.5 Management Services behält sich das Recht vor, mit dem Kunden über eine Preisanpassung zu verhandeln, sofern die Preise für die im MIS verwendeten Daten unerwartet um mehr als zehn Prozent bezogen auf die zwischen Management Services und dem externen Datenlieferanten vereinbarten Preise zum Zeitpunkt des Abschlusses dieses Vertrages steigen. Sofern die Parteien sich in diesem Fall nicht einig werden, ist jede Partei berechtigt, diesen Vertrag außerordentlich schriftlich zu kündigen. In diesem Fall hat Management Services Anspruch auf Vergütung für die bis zum Wirksamwerden der Kündigung aufgrund des Vertrags erbrachten Leistungen.
8.1 Die Laufzeit des Vertrages beginnt am Datum des Inkrafttretens. Verträge über das MIS haben eine Mindestlaufzeit von 24 Monaten und verlängern sich jeweils um weitere 12 Monate, wenn nicht eine der beiden Parteien schriftlich mit einer Frist von sechs Monaten zum Ablauf der jeweils vereinbarten Laufzeit kündigt. Unabhängig vom Laufzeitbeginn dieses Vertrages gelten diese Regelungen entsprechend für die Laufzeit und die Kündigung von Märkten und Vertragshändler-Zugängen. Bei der Kündigung einzelner Vertragshändlerzugänge aufgrund einer durch Organisationswechsel, Mitarbeiterwechsel o.ä. hervorgerufenen Veränderung in der Zuordnung des Nutzers stehen Ausnahmen hiervon im Ermessen von Management Services.
8.2 Die Vereinbarung kann darüber hinaus von jeder Partei ohne Einhaltung einer Frist aus wichtigem Grund schriftlich gekündigt werden. Ein wichtiger Grund liegt vor, wenn der kündbaren Partei unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der beiderseitigen Interessen eine Fortsetzung des Vertragsverhältnisses bis zur vereinbarten Beendigung oder bis zum Ablauf einer Kündigungsfrist nicht zugemutet werden kann. Ein wichtiger Grund liegt insbesondere vor, wenn ein Vertragspartner die in diesem Vertrag ausdrücklich geregelten Pflichten grob verletzt, sowie dann, wenn über das Vermögen der anderen Vertragspartei das Insolvenzverfahren eröffnet wird oder die andere Vertragspartei insolvent oder zahlungsunfähig wird. Ein wichtiger Grund, der Management Services zur Kündigung berechtigt, liegt insbesondere vor, wenn der Kunde Nutzungsrechte von Management Services dadurch verletzt, dass der Kunde das MIS nebst Dokumentation über das nach diesem Vertrag gestattete Maß hinaus nutzt und die Verletzung auf eine Abmahnung seitens Management Services hin nicht innerhalb angemessener Frist abstellt.
8.3 Alle Kündigungen haben per Einschreiben zu erfolgen.
8.4 Mit dem Ende der Laufzeit endet der Zugang zum MIS.
9.1 Nach dem derzeitigen Stand der Technik kann bei komplexen Softwareprodukten wie dem MIS das Auftreten von Programmfehlern nicht völlig ausgeschlossen werden. Die vereinbarte Beschaffenheit des MIS ist daher nicht darauf ausgerichtet, dass keinerlei Programmfehler auftreten dürfen bzw. dass das MIS für jeden denkbaren Anwendungsfall eingesetzt werden kann, sondern nur darauf, dass das MIS keine Programmfehler aufweist, die die bestimmungsgemäße Nutzbarkeit mehr als nur unerheblich beeinträchtigen und die bei angemessener Betrachtungsweise nicht mehr akzeptabel sind. Management Services garantiert nicht, dass das MIS den individuellen Anforderungen und Bedürfnissen des Kunden entspricht oder ununterbrochen und fehlerfrei funktioniert. Darstellungen in Testversionen, Produkt- und Projektbeschreibungen stellen keine Garantien für die Beschaffenheit des Vertragsgegenstandes dar; solche bedürfen der ausdrücklichen und schriftlichen Bestätigung von Management Services.
Management Services steht nicht dafür ein, dass die vertragsgemäßen Arbeitsergebnisse in einer bestimmten Weise vom Kunden kaufmännisch ausgewertet werden können. Sofern mit dem MIS unternehmerische Entscheidungen des Kunden unterstützt werden sollen, übernimmt Management Services weder die Verantwortung für Entscheidung selbst, noch das unternehmerische oder eventuelle rechtliche Risiken hieraus. Management Services übernimmt keine Haftung für die Richtigkeit der aus dem MIS abgeleiteten Ergebnisse. Da Management Services gegenüber dem Kunden keine Rechtsberatung durchführen darf, ist der Kunde allein verantwortlich dafür, dass bei der Umsetzung der vom MIS unterstützten Entscheidungen die rechtlichen Rahmenbedingungen eingehalten werden.
9.2 Die Übertragung der Daten, die vom Kunden an Management Services zu liefern sind (vgl. § 2.2.2), erfolgt allein auf Risiko des Kunden. Verzögerungen, Verluste oder Veränderungen von Daten während dieser Übertragung bis zum Eingang bei Management Services begründen keine Mängelrechte des Kunden. Management Services haftet zudem nicht für die Qualität der Rohdaten, die zur Auswertung im MIS verwendet werden. Management Services gewährleistet eine bestimmte Aktualität oder Genauigkeit von Daten nur, wenn sich dies aus der Produktbeschreibung ausdrücklich ergibt oder anderweitig vereinbart wurde.
9.3 Der Kunde hat Management Services unverzüglich – spätestens innerhalb von zwei Wochen - schriftlich zu informieren, wenn er erkennt, dass eine Leistung von Management Services nicht vertragsgemäß erbracht worden ist. Der Kunde hat dabei die nicht vertragsgemäße Leistungserbringung gegenüber Management Services so detailliert wie möglich zu spezifizieren. Bei Nichteinhaltung dieser Frist erlöschen die Gewährleistungsrechte des Kunden bezüglich dieser Fehler.
9.4 Bei Mängeln betreffend die technische Verfügbarkeit ist ausschließlich das Service Level Agreement in Anlage 1 anwendbar. Unter Verfügbarkeit verstehen die Parteien die technische Nutzbarkeit des MIS am Datenübergabepunkt (vgl. § 2.2.3) zum Gebrauch durch den Kunden. Für alle übrigen Mängel gelten die nachfolgenden Vorschriften dieses § 9.
9.5 Soweit die nicht vertragsgemäße Leistungserbringung von Management Services zu vertreten ist, ist Management Services zunächst berechtigt und verpflichtet, die betroffene Leistung ohne Mehrkosten für den Kunden innerhalb einer angemessenen Frist und im Falle eines Sachmangels durch Auslieferung eines Updates bzw. einer Korrekturlieferung vertragsgemäß zu erbringen, sofern dies möglich und sinnvoll ist.
Soweit Management Services die Unrichtigkeit, Unvollständigkeit oder Nicht-Ordnungsgemäßheit der im MIS verwendeten Daten durch eigenes Handeln selbst zu vertreten hat, wird Management Services diese Daten unverzüglich berichtigen und dem Kunden alsbald zur Verfügung stellen.
Bei zu vertretenden Rechtsmängeln wird Management Services dem Kunden nach eigener Wahl eine rechtlich einwandfreie Nutzungsmöglichkeit am MIS nebst Dokumentation verschaffen oder dieses so abändern, dass keine Rechte Dritter mehr verletzt werden. Der Kunde ist verpflichtet, Management Services unverzüglich zu unterrichten, falls Dritte Schutzrechtsverletzungen gegen ihn geltend machen. Der Kunde ist nur berechtigt, Maßnahmen zu ergreifen, insbesondere sich gerichtlich gegen die Ansprüche zu verteidigen oder gesetzliche Ansprüche des Dritten unter Vorbehalt zu befriedigen, sofern Management Services zuvor mitgeteilt hat, dass Management Services den Kunden nicht gegen den Anspruch verteidigen wird.
9.6 Soweit die Mängelbeseitigung der nicht vertragsgemäßen Leistungserbringung nicht möglich ist oder aus von Management Services zu vertretenden Gründen auch innerhalb einer vom Kunden gesetzten angemessenen Nachfrist in wesentlichen Teilen trotz mindestens zweier Nachbesserungsversuche seitens Management Services nicht gelingt, ist der Kunde berechtigt, entweder die vertragliche Vergütung für den betreffenden Vertragsgegenstand für die Dauer des Vorliegens des Mangels um maximal 30% zu mindern oder den Vertrag aus wichtigem Grund fristlos zu kündigen. In diesem Fall hat Management Services Anspruch auf Vergütung für die bis zum Wirksamwerden der Kündigung aufgrund des Vertrags erbrachten Leistungen. Ein Kündigungsrecht besteht nicht bei unerheblichen Mängeln.
9.7 Weitergehende Ansprüche wegen nicht vertragsgemäßer Leistungserbringung sind ausgeschlossen. Dieser Ausschluss gilt nicht bei Vorsatz oder grober Fahrlässigkeit sowie Verletzung des Lebens, des Körpers oder der Gesundheit.
9.8 Die Ansprüche wegen nicht vertragsgemäßer Leistungserbringung nach diesem § 9 verjähren innerhalb eines Jahres ab dem gesetzlichen Verjährungsbeginn. Dies gilt nicht bei qualitativen Leistungsstörungen aufgrund von Vorsatz oder grober Fahrlässigkeit seitens Management Services, deren gesetzlichen Vertretern oder Erfüllungsgehilfen, der Verletzung des Lebens, des Körpers oder der Gesundheit oder der Haftung nach dem Produkthaftungsgesetz. In diesen Fällen gilt die gesetzliche Verjährungsfrist.
10.1 Management Services, ihre gesetzlichen Vertreter und Erfüllungsgehilfen haften im Falle von der Verletzung vertraglicher Pflichten sowie bei unerlaubter Handlung oder aus sonstigem Rechtsgrund begrenzt auf Fälle des Vorsatzes und der groben Fahrlässigkeit sowie im Falle der Verletzung einer vertraglichen Kardinalspflicht (vertragswesentliche Pflicht) begrenzt auf die Höhe des Schadens, der vertragstypisch und für Management Services zum Zeitpunkt des Vertragsabschlusses voraussehbar war.
10.2 Der Kunde ist für die regelmäßige Sicherung seiner Daten nach dem Stand der Technik (mindestens einmal täglich auf einem externen Datenspeicher) verantwortlich und stellt sicher, dass die Daten aus in maschinenlesbarer Form bereitgehaltenen Datenbeständen mit vertretbarem Aufwand reproduzierbar sind. Bei einem von Management Services zu vertretenden Verlust von Daten haftet Management Services gemäß diesem § 10 nur für denjenigen Aufwand, der bei dieser ordnungsgemäßen Datensicherung durch den Kunden für die Wiederherstellung der Daten erforderlich ist.
10.3 Im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit oder im Rahmen einer Haftung nach dem Produkthaftungsgesetz ist die Haftung von Management Services unbegrenzt.
10.4 Die verschuldensunabhängige Haftung von Management Services auf Schadensersatz für bei Vertragsschluss vorhandene Mängel (§ 536 a BGB) wird ausgeschlossen.
10.5 Vorstehende Haftungsansprüche verjähren nach einem Jahr ab dem gesetzlichen Verjährungsbeginn. Dies gilt nicht bei Vorsatz oder grober Fahrlässigkeit seitens Management Services, deren gesetzlichen Vertretern oder Erfüllungsgehilfen sowie der Verletzung des Lebens, des Körpers oder der Gesundheit oder der Haftung nach dem Produkthaftungsgesetz. In diesen Fällen gilt die gesetzliche Verjährungsfrist.
11.1 Erfolgt die Überlassung des MIS zum Testen oder zu Demonstrationszwecken bzw. als „Test-/Demo-Version“, so ist hiermit nicht die Einräumung eines Nutzungsrechtes, sondern nur die jederzeit widerrufliche Duldung der Nutzung zu den jeweiligen Zwecken für den vereinbarten, hilfsweise angemessenen Zeitraum verbunden. Die Duldung der Nutzung endet automatisch, wenn der Kunde die vorliegenden Bedingungen verletzt.
11.2 Testversionen des MIS sind nicht für den Produktivbetrieb, sondern ausschließlich für Testzwecke bestimmt. Die Benutzung erfolgt auf eigene Gefahr und ohne jedwede Gewährleistung. Die Haftung von Management Services für Test-/Demo-Versionen ist abweichend von den sonstigen Regelungen dieser AGB auf Vorsatz und grobe Fahrlässigkeit beschränkt.
12.1 Schulungen und Workshops können bis 30 Tage vor ihrem Beginn kostenfrei storniert werden. Bei Stornierungen bis zu 14 Tage vor Beginn werden 50% des Auftragswertes berechnet. Bei einer Stornierung nach diesem Zeitpunkt werden 100% des vereinbarten Preises sowie eventuell bereits angefallene Reisekosten berechnet.
12.2 Management Services behält sich das Recht vor, die Schulungen oder Workshops bei Ausfall des Referenten (insbesondere krankheitsbedingt), im Falle höherer Gewalt oder aus anderen wichtigen Gründen, die Management Services nicht zu vertreten hat, abzusagen oder zu verschieben.
Können durch Einwirkung höherer Gewalt vertragliche Verpflichtungen nicht, nicht rechtzeitig oder sonst nicht vertragsgemäß erfüllt werden, so ist die betreffende Vertragspartei im Umfang und Zeitraum der Einwirkung plus einer angemessenen Wiederanlaufphase von der Einhaltung dieser Verpflichtungen befreit. Als höhere Gewalt sind insbesondere auch technische Probleme des Internets anzusehen, sofern diese nicht von einer Partei beeinflussbar sind, die zu einem Ausfall des Webservers führen, sowie Störungen des Online-Betriebes, die durch rechtswidriges Eindringen (Hacker-Angriff) verursacht werden, soweit diese nicht durch technisch und wirtschaftlich zumutbare Maßnahmen zu unterbinden gewesen wären. Die Parteien werden sich über Fälle höherer Gewalt unverzüglich unterrichten.
14.1 Änderungen und Ergänzungen dieses Vertrages bedürfen zu ihrer Gültigkeit der Schriftform. Auch eine Abänderung des Schriftformerfordernisses bedarf zu ihrer Gültigkeit der Schriftform.
14.2 Erfüllungsort ist der Geschäftssitz von Management Services.
14.3 Gerichtsstand ist Hofgeismar.
14.4 Es gilt deutsches Recht unter Ausschluss der kollisionsrechtlichen Vorschriften sowie des UN-Kaufrechts.
Stand: Januar 2023
Anlage 1
Management Services will provide 99,9 % Availability (as defined below) for Software within Management Services’ Immediate Control. For purposes hereof, “Availability” or “Available” means the Software is available for access and use through an Internet connection at the data transfer point. Capitalized terms used in this Service Level Agreement (“SLA”) but not defined herein shall have the meanings given in the MIS-Agreement (the “Agreement”).
“Immediate Control” includes all components below:
(a) Management Services’ network services within the Management Services´ data centres which terminate at Management Services’ Internet Service Providers (“ISPs”) (i.e., public Internet connectivity);
(b) Hardware provided by Management Services and managed at the Management Services’ data centre.
Specifically excluded from the definition of “Immediate Control” are the following:
(a) Equipment, data, materials, software, hardware, services and/or facilities provided by or on behalf of the Client and the Client’s network services, which allow the Client to access the Software. These components are controlled by the Client and their performance or failure to perform can impair or disrupt the Client’s connections to the Internet and the transmission of data.
(b) Equipment, data, materials, software, hardware, services and/or facilities provided by third-party vendors or service providers of the Client.
(c) Acts or omissions of the Client, its employees, contractors, agents or representatives, third-party vendors or service providers of the Client or anyone gaining access to Management Services’ network at the request of the Client.
(d) Issues arising from bugs or other problems in the software, firmware or hardware of third parties.
(e) Delays or failures due to circumstances beyond Management Services’ reasonable control that could not be avoided by its exercise of due care including a Force Majeure Event.
(f) Any outage, network unavailability or downtime outside the Management Services’ data centre.
Management Services has an optional “Maintenance Window” on every third Tuesday of the month, during which maintenance, upgrades and repair can occur. In addition to the standard scheduled Maintenance Window, Management Services may require additional scheduled downtime from time to time. Management Services shall plan this schedule for off-peak hours between Saturday 6 a.m. and Sunday 12 p.m. (CET/CEST). This window may contain several hours without service. Management Services will notify the Client one week in advance of any scheduled maintenance where possible. All planned downtime, including the standard Maintenance Window and the scheduled down time, are excluded from the SLA availability calculation.
Management Services will carry out maintenance on an emergency basis to ensure SLA’s are maintained. This maintenance will be undertaken at Management Services discretion. Management Services will notify the Client of the maintenance where possible. Unavailability due to Emergency Maintenance is excluded and does not count towards unavailability calculation.
Availability is based on a monthly (28/29/30/31 days x 24 hours) calculation excluding scheduled downtime. Specifically excluded from the Availability measurement are (1) all planned down time including the standard Maintenance Window and the other scheduled down time as well as Emergency Maintenance; (2) a service interruption caused by a security threat until such time as the security threat has been eliminated; (3) reasons of a Force Majeure Event (as defined in the Agreement) or events which are outside Management Services’ Immediate Control as defined above; (4) use of unapproved or modified hardware by or on behalf of the Client software; and/or (5) issues arising from misuse of the Services by the Client or its agents, customers or third-party contractors.
The remedies stated in this section are the Client’s sole and exclusive remedies and Management Services’ sole and exclusive obligations for service interruption. In the event that Management Services is unable to provide the Availability Objective in any given calendar month, the Client will receive a credit on their next monthly invoice equal to the pro-rated monthly fee.
The Client’s right to receive credit(s) will be the Client’s exclusive remedy for Management Services’ failure to satisfy the SLA. Remedies will not accrue (i.e., no credits will be issued and a downtime will not be considered as unavailability for purposes of this SLA) if the Client is not current in its payment obligations either when the downtime occurs or when the credit would otherwise be issued. To receive service credits, the Client must contact Management Services’ support with the request within 8 days after the end of the month in which the service was unavailable, or the Client’s right to receive service credits with respect to such unavailability will be waived.
Where a Force Majeure Event prevents full Availability for more than twenty (20) consecutive days in any six (6) month period, the Client’s sole remedy is to terminate the Agreement on thirty (30) day’s written notice to Management Services. In such case, neither party will be liable for penalties or damages arising out of a failure to perform due to the Force Majeure Event.
All Maintenance and Support Services will be provided via telephone helpline and via email support@manserv.com, during the hours of 8 a.m. - 5 p.m. (CET/CEST), Monday-Friday, excluding bank holidays in Germany (“Standard Maintenance and Support Times”).
Management Services has structured a response plan to address the most critical issues first. Cases will be opened upon receipt of request or identification of issue, and incidents will be routed and addressed according to the following:
| Severity Level | Error State Description | Target Response Time | Target Resolution Time |
|---|---|---|---|
| 1 Critical Priority | Renders Software inoperative, or causes to fail catastrophically | 2 hours | 8 hours |
| 2 High Priority | Affects the operation Software and materially degrades Customer’s use thereof | 4 hours | 24 hours |
| 3 Medium Priority | Affects the operation of Software but does not materially degrade Customer’s use thereof | 24 hours | -- |
| 4 Low Priority | Causes only a minor impact on the operation of Software | 48 hours | -- |
(a) Error Definition:Subject to the terms of the Agreement, Management Services will use commercially reasonable efforts to remedy any failure of the Software which causes the Software to be inoperable or to materially fail to conform to the functional specifications for the Software described in the applicable Documentation published by Management Services (each defined as “Error”), provided that it is reported to Management Services by the Client in accordance with this SLA, and that Management Services is able to reproduce and demonstrate the Error in the environment for which the Software was designed to operate.
Any failure of the Software resulting from the Client’s negligence or use of the Software not in accordance with the applicable user documentation provided by Management Services, breach by the Client of the Agreement or in combination with any third-party software other than the software recommended by Management Services will not be considered an Error for which Management Services will be responsible for any corrective efforts.
(b) Error Reporting: The Client will report any Errors by sending an email to support@manserv.de. Management Services will have no obligation to respond to or remedy any Error not reported to Management Services in accordance with the terms herein.
(c) Error Response:Upon receipt of notification of an Error by the Client in accordance with this SLA, Management Services will confirm the classification of the Error or, when necessary, re-classify the Error appropriately. Management Services will exercise reasonable efforts to resolve the Error in accordance with the applicable Target Resolution Time set forth in the chart above. The Target Resolution Times will begin to run during Standard Maintenance and Support Times (as defined above) once an Error is reported to Management Services in accordance with this SLA.
Subject to the terms of the Agreement, including, without limitation, the payment of all fees due thereunder, Management Services may from time to time make available certain minor releases of the Software, including, for example, bug fixes, error corrections and minor enhancements of and to the Software (collectively, “Updates”). Management Services may also from time to time release new versions of the Software having significant enhancements in features, performance or functionality (collectively, “Upgrades”) or entirely new software products (“New Products”). Management Services will determine, in its sole discretion, whether any subsequent version of the Software is an Upgrade, Update or New Product. Management Services will make available to the Client all Updates and Upgrades (but not New Products) that Management Services makes generally available to other Clients. New Products will be made available to the Client only under a separate licence agreement for which a separate fee may be required. Management Services is under no obligation to release any Updates, Upgrades or New Products, or to modify the Software to operate on any updated versions of operating systems or platforms. However, along with the standard release-cycle of Management Services’ standard software, regular updates for operating system and platform support will be provided to keep up with state and advancement of technology.
Management Services is not required to provide any Maintenance and Support Services relating to problems arising out of any use of the Software in a manner not specified in the Documentation and the Agreement.
The Client is exclusively responsible for the supervision, management, backup, security, and control of all aspects of the Client’s information technology systems and storage of the Client Content beyond standard storage periods. The Client will provide Management Services with full, good faith cooperation and such information as may be required by Management Services in order to perform the support services.
Anlage 2
Führt ein Auftragsverarbeiter Leistungen im Auftrag seines Vertragspartners (Verantwortlicher) aus, müssen die Anforderungen der jeweils gültigen Datenschutzgesetze Berücksichtigung finden und insbesondere bei den Verarbeitungstätigkeiten ein angemessenes Datenschutzniveau garantiert sein. Die vorliegende Vereinbarung berücksichtigt die besonderen Anforderungen aus der EU-Datenschutzgrundverordnung (Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO)).
Zwischen dem Kunden (Verantwortlicher) und der Management Services Helwig Schmitt GmbH (Auftragsverarbeiter) wird daher Folgendes vereinbart:
1.1 Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten.
1.2 Der Gegenstand des Auftrags und damit der Zweck, die Art und der Umfang der Verarbeitung personenbezogener Daten ist die Datenverarbeitung und -auswertung durch die Marktinformationssysteme und Beratungsleistungen des Auftragsverarbeiters.
1.3 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.
Gegenstand der Verarbeitung personenbezogener Daten sind Daten aus folgenden Datenartenkategorien des jeweiligen Kreises der Betroffenen:
Betroffene:
- Mitarbeiter des Verantwortlichen (Mitarbeiter der eigenen Konzerngesellschaft und anderer Konzerngesellschaften)
- Vertragspartner und deren Mitarbeiter des Verantwortlichen (z.B. Vertragshändler)
- sonstige Partnerfirmen und deren Mitarbeiter des Verantwortlichen (z.B. Lieferanten, Dienstleister, Joint-Ventures, Leiharbeitsfirma)
allgemein: Nutzer des MIS
Datenkategorien:
- Kontaktdaten: Name, Vorname, Adressen, E-Mailadresse
- IT-Nutzungsdaten (log-files: IP-Adresse, Client-ID, Rollen, log-times)
- Funktionsbezeichnung
- Vertragsdaten (Beginn und Ende der Berechtigung zur Nutzung)
Betroffene: Fahrzeughalter, teils Interessenten
Datenkategorien:
- Fahrzeugidentifikationsdaten, KFZ-Kennzeichen und Fahrzeuginformationen
- Zulassungsdaten/ Bestandsdaten/ Besitzumschreibungen/ Löschungsdaten
- Name, Funktionsbezeichnung
- Kontaktdaten
- Adressdaten
- Werkstattbesuche und zugehörige Tätigkeiten bzw. Thekenverkäufe
- Zahlungs- und Abrechnungsdaten
- Vertragsdaten
4.1 Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben (Anlage 3 „Technisch-organisatorische Maßnahmen“). Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
4.2 Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
4.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
5.1 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
5.2 Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.
Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragsverarbeiters leicht zugänglich hinterlegt.
b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO.
d) Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
e) Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
f) Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.
g) Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach § 8 dieses Vertrages.
7.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
7.2 Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:
| Firma Unterauftragnehmer | Anschrift/Land | Leistung |
|---|---|---|
| Microsoft Ireland Operations Ltd. | The Atrium Building, Block B, Carmanhall Road, Sandyford Business Estate, Dublin 18, Ireland | Microsoft Diagnostics und Microsoft Analytics des Visual Studio App Center (nur bei mobileMIS) |
7.3 Die Auslagerung auf weitere Unterauftragnehmer oder der Wechsel der bestehenden Unterauftragnehmer sind zulässig, soweit:
a) der Auftragsverarbeiter eine solche Auslagerung auf Unterauftragnehmer dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
b) der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
c) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.
7.4 Die Weitergabe von personenbezogenen Daten an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
7.5 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
7.6 Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (Auftragsverarbeiters) (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
8.1 Der Verantwortliche hat das Recht, eine Auftragskontrolle mit dem Auftragsverarbeiter durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
8.2 Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maß nahmen nachzuweisen.
8.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) erbracht werden.
8.4 Für die Ermöglichung von Kontrollen durch den Verantwortlichen kann der Auftragsverarbeiter einen Vergütungsanspruch geltend machen.
9.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
Hierzu gehören u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden;
c) die Verpflichtung, den Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
d) die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung;
e) die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
9.2 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen.
10.1 Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.
10.2 Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine beim Verantwortlichen befugte Person bestätigt oder geändert wird.
11.1 Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Ausnahmen hiervon bestehen aufgrund zwingender handels- oder steuerrechtlicher Bestimmungen sowie dann, wenn Grund zu der Annahme besteht, dass durch die Rückgabe bzw. Löschung schutzwürdige Interessen der betroffenen Partei beeinträchtigt würden, etwa aus Beweiszwecken zur Sicherung eigener rechtlicher Ansprüche.
11.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
12.1 Für den Ersatz von Schäden, die eine Person wegen einer nicht der DSGVO entsprechenden unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Verantwortlicher und Auftragsverarbeiter im Außenverhältnis gemeinsam als Gesamtschuldner.
12.2 Der Verantwortliche trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm selbst verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Verantwortliche den Auftragsverarbeiter auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftragsverarbeiter erhoben werden. Unter diesen Voraussetzungen ersetzt der Verantwortliche dem Auftragsverarbeiter ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.
12.3 Der Auftragsverarbeiter haftet im Innenverhältnis ausschließlich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der
a) er den aus der DSGVO resultierenden und speziell für Auftragsverarbeiter auferlegten Pflichten nicht nachgekommen ist oder
b) er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen handelte oder
c) er gegen die rechtmäßig erteilten Anweisungen des Verantwortlichen gehandelt hat.
12.4 Für Schäden des Verantwortlichen durch schuldhafte Verstöße des Auftragsverarbeiters oder etwaiger Unterauftragsverarbeiter bleibt ihm der Rückgriff auf den Auftragsverarbeiter vorbehalten. Dies gilt nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Verantwortlichen erteilten Weisung entstanden ist.
12.5 Im Übrigen gelten die Bestimmungen aus dem Hauptvertrag.
13.1 Dieser Vertrag tritt an die Stelle aller früher zwischen den Vertragsparteien und zu dem gleichen Vertragsgegenstand getroffenen Vereinbarungen.
13.2 Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren.
13.3 Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiters – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
13.4 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit dieser Vereinbarung im Übrigen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der (datenschutz-)rechtlichen Zielsetzung am nächsten kommen, welche die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.
13.5 Es gilt deutsches Recht sowie das in Deutschland unmittelbar und zwingend anzuwendende Recht der Europäischen Union.
13.6 Gerichtsstand ist Hofgeismar.
Anlage 3
der
Management Services Helwig Schmitt GmbH
Garnisonstraße 12
34369 Hofgeismar
Als nicht-öffentliche Stelle, die im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, müssen wir technische und organisatorische Maßnahmen treffen, die erforderlich sind, um die Ausführung der Datenschutzvorschriften zu gewährleisten. Insbesondere sind Vertraulichkeit, Integrität, Verfügbarkeit und Systembelastbarkeit im Zusammenhang mit der Datenverarbeitung sicherzustellen.
Die folgenden technischen und organisatorischen Maßnahmen sind dazu in unserem Unternehmen umgesetzt.
a) Zutrittskontrolle/Gebäudeabsicherung
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen.
- Alarmanlage
- Geländeabsicherung
- Schließsystem mit Codesperre
- Videoüberwachung des Außenbereiches
- Lichtschranken / Bewegungsmelder
- Sicherheitsschlösser
- Schlüsselregelung (Schlüsselausgabe etc.)
- Personenkontrolle beim Empfang
- Protokollierung der Besucher
- Sorgfältige Auswahl von Reinigungspersonal
- Chipkarten-/Transponderschließsystem
b) Zugangskontrolle/Absicherung Systemzugang
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
- Zuordnung von Benutzerrechten
- Einsatz von individuellen Benutzernamen
- Vorgaben für sichere Passwörter
- Authentifikation mit biometrischen Verfahren
- Authentifikation mit Benutzername/ Passwort
- Zuordnung von Benutzerprofilen zu IT-Systemen
- Gehäuseverriegelungen am Server
- Einsatz von VPN-Technologie (Fernzugriff)
- Sperren von externen Schnittstellen (USB etc.)
- Verschlüsselung von mobilen Datenträgern
- Einsatz von Intrusion-Detection-Systemen
- Einsatz von zentraler Smartphone-Administrations-Software (z. B. zum Fern-Löschen)
- Verschlüsselung von Smartphone-Inhalten
- Sichere Passwörter für Smartphones
- Verschlüsselung von Datenträgern in Laptops
- Quarantänenetzwerk
c) Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen.
- Erstellen eines Berechtigungskonzepts
- Verwaltung der Rechte durch Systemadministrator
- Anzahl der Administratoren auf das „Notwendigste“ reduziert
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- Ordnungsgemäße Vernichtung von Papier (Einsatz von Aktenvernichtern bzw. Dienstleistern)
- Physische Löschung von Datenträgern vor Wiederverwendung
- Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
- Sichere Aufbewahrung von Datenträgern
- Protokollierung der Vernichtung
- Verschlüsselung von Datenträgern
- Einsatz von Anti-Viren-Software
- Einsatz einer Hardware-Firewall
- Einsatz einer Software-Firewall
d) Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing, physikalisch oder virtuell getrennte Systeme.
- Erstellung eines Berechtigungskonzepts
- Logische Mandantentrennung (softwareseitig)
- Trennung von Produktiv- und Testsystem
- Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden.
- Keine Produktivdaten in Testsystemen
e) Pseudonymisierung
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
- Verarbeitung von Daten in pseudonymisierter (oder anonymisierter) Form
- Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
2. Integrität
a) Weitergabekontrolle/Sicherheit beim Datentransfer
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.
- Einrichtungen von Standleitungen bzw. VPN-Tunneln
- Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
- E-Mail-Verschlüsselung
- Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
- Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
- Beim physischen Transport: sichere Transportbehälter/-verpackungen
- Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und Fahrzeugen
- Verschlüsselung externer Datenträger bei Weitergabe (CDs, USB-Sticks etc.)
- Verschlüsselte Datenübermittlung (z.B. via https oder SFTP)
b) Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind.
a) Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust
- Unterbrechungsfreie Stromversorgung (USV)
- Klimaanlage in Serverräumen
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Schutzsteckdosenleisten in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Feuerlöschgeräte in Serverräumen
- Sicherheits-Brandschutztüren in Serverräumen
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Erstellen eines Backup- und Recovery-Konzepts
- Erstellen eines Notfallplans
- Serverräume über der Wassergrenze
(nur in Hochwassergebieten relevant)
- Serverräume nicht unter sanitären Anlagen
- Regelmäßige Sicherung von Systemzuständen
- Regelmäßige Sicherung von Dateibeständen
- Regelmäßige Sicherung von Datenbanken
b) Rasche Wiederherstellbarkeit
- Wiederherstellung nach Backup- und Recovery-Konzept
- Kontrolle eines Notfallplans
- Testen von Datenwiederherstellung
a) Datenschutz-Management
- Die Grundsätze zum Datenschutz (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten) sind einer unternehmensinternen Richtlinie festgelegt.
- Der DSB ist bei der Datenschutzfolgeabschätzung eingebunden
- Es ist ein Datenschutzbeauftragter schriftlich benannt
- Der DSB ist im Organigramm eingebunden
- Verpflichtung der Mitarbeiter auf das Datengeheimnis / zum Umgang mit personenbezogenen Daten
- Schulung von Mitarbeitern
- Verpflichtung der Mitarbeiter auf das Fernmeldegeheimnis
- Einführung eines Kontrollsystems das den unberechtigten Zugriff auf personenbezogene Daten aufdeckt.
- Die interne Verarbeitungsübersicht der Verarbeitungsprozesse ist vorhanden
b) Störungsfallmanagement
Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Störungen in IT-Bereichen sowie hierzu vorbereitende Maßnahmen und Prozesse.
- Erstellung eines Plans zum Umgang bei Störfällen
- Sicherheitsteam ist benannt und geschult
- Team mit realitätsnahen Übungen getestet.
c) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Beachtung privacy by Design/Datenschutz durch Technikgestaltung
- Beachtung privacy by Default/Datenschutz durch datenschutzfreundliche Voreinstellungen
- Auswahl datenschutzfreundlicher Technologie bei der Beschaffung
d) Auftragskontrolle/Einbindung von Unter-Auftragsverarbeitern
Keine Auftragsdatenverarbeitung ohne entsprechende Weisung des Verantwortlichen, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
- Auswahl der (Unter-Auftragsverarbeiter unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
- Vorherige Prüfung und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen
- Schriftlich dokumentierte Weisungen an den Auftragsverarbeiter (z. B. durch Auftragsdatenverarbeitungsvertrag)
- Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis/ Vertraulichkeit
- Auftragsverarbeiter hat Datenschutzbeauftragten bestellt (wenn erforderlich)
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Wirksame Kontrollrechte gegenüber dem Auftragsverarbeiter vereinbart
- Laufende Überprüfung des Auftragsverarbeiters und seiner Tätigkeiten
Stand: August 2022
Management Services Helwig Schmitt GmbH, Garnisonstraße 12, D-34369 Hofgeismar, www.manserv.com, info@manserv.de
Geschäftsführer: Dipl.-Wirtsch.-Ing. Andreas Schmitt, Amtsgericht Kassel, HRB 9217