Allgemeine Geschäftsbedingungen

      1. Umfang und Vertragsgegenstand

        Die SLACE GmbH („Anbieter“) bietet Plattformen und damit verbundene Dienstleistungen in Bezug auf Messenger-Dienste ("Messenger"), die von Dritten ("Messenger-Betreiber") erbracht werden. Diese All-gemeinen Geschäftsbedingungen regeln das Vertragsverhältnis zwischen dem Anbieter und dem Kunden für die Nutzung der Plattformen und Dienste des Anbieters auf Basis separat zwischen den Parteien abgeschlos-sener Verträge.

      2. Vertragsabschluss

        Der Vertrag kommt zu Stande, wenn der Anbieter den vom Kunden übermittelten Auftrag annimmt. Eventuelle vom Anbieter an den Kunden übermittelte Bestellformulare stellen im rechtlichen Sinne kein Angebot dar, auch nicht, wenn sie als solches bezeichnet werden.

      3. Umfang der Plattformen und Dienste

        Der Anbieter bietet verschiedene Plattformen für unterschiedliche Zwecke und unterschiedliche Services an. Der genaue Umfang der vereinbarten Plattformen und Dienste sowie etwaige eventuelle zusätzlich gel-tende Bedingungen für solche Plattformen und/oder Dienste sind im Vertrag definiert.

      4. Service-Level

        Die Bereitstellung der Plattform(en) zur Nutzung durch den Kunden erfolgt am Zugangspunkt des Rechenzentrums des Anbieters („Übergabepunkt der Leistung“). Zur Nutzung der Plattform(en) ist es erforderlich, dass der Kunde über einen eigenen Zugang zum Internet verfügt und über diesen Zugang auf die Plattform am Übergabepunkt der Leistung zu-greift.

        Die Plattform(n) haben die im beigefügten SLA definierte Verfügbarkeit. Klarstellend wird festgehalten, dass Verfügbarkeitsbeschränkungen, die die mit dem Messenger selbst und dem Netzwerk der Messenger-Betreiber zusammenhängen, nach alleinigem Ermessen der Messenger-Betreiber behandelt werden und dass die diesbezügliche Verpflichtung von SLACE auf die rechtzeitige Bearbeitung solcher Anfragen des Kunden beschränkt ist.

      5. Nutzungsrechte für die Dienste

        Für die Dauer des Vertrages und vorbehaltlich der vollständigen Zahlung der vereinbarten Vergütung räumt der Anbieter dem Kunden das weltweite, nicht ausschließliche, nicht übertragbare Recht ein, die Plat-form(en) ausschließlich für die im Bestellformular und diesen Allgemeinen Geschäftsbedingungen definier-ten Vertragszwecke zu nutzen. Sofern in der Bestellung vereinbart, kann der Kunde dieses Recht unterlizen-zieren, wie in der Bestellung vereinbart. Das Nutzungsrecht erlischt am Ende der Vertragslaufzeit.

      6. Support-Services

        Wenn in der Bestellung ausdrücklich vereinbart, wird der Anbieter dem Kunden Support-Dienstleistungen im Falle von Störungen der Dienste während der Geschäftszeiten von Montag bis Freitag zwischen 10.00 Uhr und 18.00 Uhr MEZ/MESZ mit Ausnahme von Feiertagen mit einer Reaktionszeit von zwei Werktagen zur Verfügung stellen.

        Andere vom Kunden bestellte Supportleistungen, insbesondere Beratungs- und technische Leistungen, werden dem Kunden vom Anbieter zeit- und materiell in Rechnung gestellt. Bevor Kosten entstehen, wird der Kunde informiert und um vorherige Genehmigung gebeten. Das ausschließliche Verwertungs- und Nut-zungsrecht an entstehenden Arbeitsergebnissen verbleibt beim Anbieter. Dem Kunden wird ein Nutzungs-recht nach Ziffer 5 eingeräumt. Alle Urheberrechte an den möglicherweise erstellten Ergebnissen verblei-ben ebenfalls beim Anbieter.

      7. Vergütung und Rechnungsstellung

        7.1 Die Vergütung für die Nutzung der Plattform(en) und der Dienstleistungen ist in den einzelnen Verträ-gen zwischen den Parteien festgelegt. Soweit individualvertraglich, beispielsweise im Auftrag, nichts anderes vereinbart ist, ist Anbieter berechtigt, die Vergütung einseitig nach billigem Ermessen der all-gemeinen Preisentwicklung anzupassen, um veränderte Personal – oder andere Betriebskosten auszu-gleichen, allerdings nicht häufiger als alle zwölf Monate. Beträgt eine Erhöhung mehr als 10%, ist Kunde berechtigt, das Vertragsverhältnis innerhalb von vier Wochen nach Bekanntgabe mit einer Frist von ei-nem Monat zum Ende eines Kalendermonats zu kündigen. Bis zum Wirksamwerden der Kündigung gel-ten die alten Preise Kalendermonats zu kündigen. Bis zum Wirksamwerden der Kündigung gelten die alten Preise.

        7.2 Die Rechnungsstellung gegenüber dem Kunden erfolgt in elektronischer Form.

        7.3 Sofern im Vertrag nichts anderes vereinbart ist, werden feste Gebühren zu Beginn der initialen Laufzeit oder einer späteren Verlängerungsfrist (s. Abschnitt 13.1) berechnet. Einmalige und monatliche vari-able Leistungen werden am Ende des Monats nach der Erbringung der Leistung in Rechnung gestellt. Alle Beträge sind jeweils zahlbar 10 Tage nach Rechnungstellung.

        7.4 Sämtliche vereinbarte Vergütungen sind Nettobeträge und verstehen sich zuzüglich der Umsatzsteuer in der gesetzlich vorgeschriebenen Höhe.

        7.5 Die Aufrechnung mit Gegenansprüchen durch den Kunden oder die Zurückbehaltung von Zahlungen wegen solcher Ansprüche ist nur zulässig, soweit die Gegenansprüche unbestritten oder rechtskräftig festgestellt sind.

        7.6 Einwendungen gegen die Rechnung sind innerhalb von 2 Wochen nach Zugang der Rechnung gegen-über dem Anbieter schriftlich zu erheben; andernfalls gilt die Rechnung als genehmigt. Gesetzliche An-sprüche des Kunden bei Einwendungen nach Fristablauf bleiben unberührt.

        7.7 Die Geltendmachung der gesetzlichen Zurückbehaltungs- und Leistungsverweigerungsrechte bleibt vorbehalten.

        7.8 Im Falle des Verzugs des Kunden hat der Anbieter Anspruch auf Verzugszinsen in gesetzlicher Höhe.

      8. Gegenseitige Informationspflicht

        Die Parteien werden die jeweils andere Partei über im Zusammenhang mit der konkreten vertragsge-genständlichen Leistung stehende Anfragen oder Beschwerden oder geltend gemachte Ansprüche Dritter unverzüglich und vor einer eventuellen Antwort unterrichten und bemühen sich im Übrigen, die jeweils andere Partei über Veränderungen des Marktes zu informieren, wenn dies für die andere Partei interessant oder von Bedeutung sein könnte.

      9. Mitwirkungspflichten, Rechteeinräumungen und Zusicherungen des Kunden

        9.1 Während der Vertragslaufzeit räumt der Kunde dem Anbieter ein nicht ausschließliches, zeitlich und ört-lich begrenztes Recht zur Speicherung, Vervielfältigung, Bearbeitung und Übermittlung ein, die Inhalte ("Medi-eninhalte") der über die Plattform(en) stattfindenden Kommunikationen zu speichern, zu reproduzie-ren, zu verarbeiten und zu übermitteln, soweit dies zur Erfüllung der vertraglichen Verpflichtungen des Anbieters erforderlich ist.

        9.2 Der Kunde räumt dem Anbieter ein dauerhaftes Recht auf Erstellung und Verwendung anonymisierter Statistiken über die Leistung und das Nutzerverhalten der über die Plattform(en) übermittelten Nach-richten ein.

        9.3 Der Kunde gestattet dem Anbieter die Nennung als Referenzkunden. Veröffentlichungen werden vor-ab mit dem Kunden abgestimmt.

        9.4 Der Kunde versichert, dass seine Nutzung der Messenger den geltenden Gesetzen und den vertragli-chen Vereinbarungen mit und den Bedingungen der jeweiligen Messenger-Betreiber und/oder ihrer CBPs entspricht.

        9.5 Der Kunde versichert, (i) dass er Inhaber aller erforderlichen Rechte an den Medieninhalten ist, um dem Anbieter die zuvor genannten Rechte einzuräumen, (ii) dass der Kunde frei über diese verfügen kann und (iii) dass die Medieninhalte nicht mit Rechten Dritter belastet sind.

        9.6 Der Kunde versichert, im Rahmen der Nutzung der Plattform keine rechtswidrigen oder Gesetze oder behördliche Auflagen verletzenden Inhalte, insbesondere nicht solche im Sinne des § 4 Abs.1 Nr. 10 JMStV und sonstige unzu-lässige Angebote im Sinne des § 4 Abs. 1, Abs. 2 JMStV auf den Servern des Anbieters zu speichern und/oder durch den Anbieter verarbeiten zu lassen

        9.7 Dem Kunden ist bekannt, dass der Anbieter keine gesonderten Sicherungskopien der Medieninhalte erstellt und diese nach Ablauf der Vertragslaufzeit löscht. Es obliegt dem Kunden, selbständig Siche-rungskopien der Medien-inhalte zu erstellen.

      10. Garantien

        10.1 Für Mängel der Plattform(en) gelten grundsätzlich die §§ 536 ff BGB. Die verschuldensunab-hängige Haftung wird für anfängliche Mängel ausgeschlossen. Die verschuldensabhängige Haftung von dem Anbieter bleibt bestehen. Bei der Feststellung, ob der Anbieter ein Verschulden trifft, wird vom Kunden anerkannt, dass Software faktisch nicht völlig fehlerfrei erstellt werden kann. Daher können die Zeit, die für die Behebung von Mängeln benötigt wird oder die Fähigkeit zur Behebung von Män-geln variieren und sind unter anderem abhängig von den spezifischen Umständen des Mangels, ein-schließlich, ohne darauf beschränkt zu sein, der Art des Mangels, der Vollständigkeit und Richtigkeit der verfügbaren Informationen über den Mangel und dem Grad der Zusammenarbeit und Reaktionsfä-higkeit des Kunden bei der Bereitstellung von Informationen, Zugang und Unterstützung, die zur Lösung des Problems erforderlich sind. Der Anbieter und seine Unterauftragnehmer garantieren daher nicht, daß sie in der Lage sein werden, sämtliche Probleme zu beheben.

        10.2 Die Behebung von Mängeln erfolgt nach Wahl des Anbieters entweder durch kostenfreie Nachbesserung oder Ersatzlieferung.

        10.3 Eine Kündigung des Kunden gem. § 543 Abs. 2 S. 1 Nr. 1 BGB wegen Nichtgewährung des ver-tragsgemäßen Gebrauchs ist erst zulässig, wenn der Anbieter ausreichende Gelegenheit zur Mängelbe-seitigung gegeben wurde und diese fehlgeschlagen ist.

        10.4 Der Anbieter übernimmt keine Gewährleistung für den Internetzugang des Kunden und/oder der Endkunden, insbesondere für die Verfügbarkeit und Dimensionierung des Internetzugangs sowie der Messenger. Der Kunde ist für seinen Internetzugang zum Übergabepunkt der Leistung selbst ver-antwortlich.

      11. Haftung und Entschädigung

        11.1 Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer Pflichtverletzung des Anbieters, eines gesetzlichen Vertreters oder Erfüllungsgehilfen des Anbieters beruhen sowie für Schäden, die durch Fehlen einer vom Anbieter ga-rantierten Beschaffenheit hervorgerufen werden oder bei arglistigem Verhalten des Anbieters.

        11.2 Der Anbieter haftet unbeschränkt für Schäden, die durch den Anbieter oder einen gesetzli-chen Vertreter oder Erfüllungsgehilfen vom Anbieter vorsätzlich oder durch grobe Fahrlässigkeit ver-ursacht wurden

        11.3 Im Falle einer leicht fahrlässigen Verletzung wesentlicher Vertragspflichten, die dazu führen, dass der Anbieter die Kriterien der SLA nicht erfüllt, ist die Haftung des Anbieters auf den im SLA defi-nierten Rabatt beschränkt und die Haftung des Anbieters darf diesen Rabatt nicht überschreiten.

        11.4 Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

        11.5 Eine sonstige Haftung des Anbieters ist ausgeschlossen.

        11.6 Die Verjährungsfrist für Schadensersatzansprüche des Kunden gegen den Anbieter beträgt ein Jahr, außer in den Fällen der Absätze 11.1, 11. 2 oder 11.4.

        11.7 Der Kunde stellt den Anbieter von und gegen alle Kosten (einschließlich angemessener An-waltskosten), Ansprüche und Schäden, die sich aus einer Verletzung einer Zusicherung des Kunden gemäß diesen Allgemeinen Geschäftsbedingungen oder auf andere Weise im Zusammenhang mit dem Vertrag über die Bereitstellung der Plattformen ergeben, frei und schadlos.

      12. Datenschutz

        12.1 Im Rahmen der vom Anbieter erbrachten Leistungen verarbeitet er personenbezogene Daten im Auf-trag des Kunden. Der Kunde ist verantwortlich für die Einhaltung der DSGVO gegenüber dem jeweils Betroffenen. Insbesondere die Sicherstellung einer vorhandenen Rechtsgrundlage (bspw. Einwilligung oder Vertrag) zur Nutzung des Dienstes und die Erfüllung der Informationspflichten nach Art. 13 bzw. 14 DSGVO muss durch den Kunden sichergestellt werden.

        12.2 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mit-gliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Eu-ropäischen Wirtschafts-raum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Kunden und darf nur erfol-gen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO er-füllt sind.

        12.3 Der Gegenstand der Verarbeitung personenbezogener Daten ist im Vertrag festgelegt.

        12.4 Die Kategorien der betroffenen Personen der Verarbeitung werden im Vertrag für die verschiedenen Dienstleistungen festgelegt.

        12.5 Der Anbieter stellt die Sicherheit gemäß Art. 28 Abs. 3 lit.c, 32 DSGVO insbesondere in Verbindung mit Artikel 5 Absatz 1 Abs. 2 DSGVO sicher. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutz-niveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSG-VO zu be-rücksichtigen. Die ergriffenen Maßnahmen sind in Anlage 1 dokumentiert. Anlage 1 ist Grundlage die-ses Auftrages.
        Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Anbieter gestattet, alternative adäquate Maßnahmen umzuset-zen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. We-sentliche Änderungen sind zu dokumentieren.

        12.6 Der Anbieter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Kunden berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Anbieter wendet, wird der An-bieter dieses Ersuchen unverzüglich an den Kunden weiterleiten.

        12.7 Nur so weit vom Leistungsumfang im Auftrag umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Kunden unmittelbar durch den Anbieter sicherzustellen.

        12.8 Der Anbieter ist nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen. 11.7 Der Anbieter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

        • Der Anbieter ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
        • Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Anbieter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Anbieter und jede dem An-bieter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich ent-sprechend der Weisung des Kunden verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
        • Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maß-nahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO [Einzelheiten in Anlage 1].
        • Der Kunde und der Anbieter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zu-sammen.
        • Die unverzügliche Information des Kunden über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Anbieter ermittelt.
        • Soweit der Kunde seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafver-fahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Anbieter ausgesetzt ist, hat ihn der Anbieter nach besten Kräften zu unterstützen.
        • Der Anbieter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maß-nahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person ge-währleistet wird.
        • Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Kunden im Rahmen seiner Kontrollbefugnisse nach Ziffer 12.10 dieses Vertrages.

        12.9 Die Auslagerung auf Unterauftragnehmer oder der Wechsel bestehender Unterauftragnehmer sind zu-lässig, soweit: i) der Anbieter eine solche Auslagerung auf Unterauftragnehmer dem Kunden eine an-gemessene Zeit vorab schriftlich oder in Textform anzeigt und ii) der Kunde nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Anbieter schriftlich oder in Textform Einspruch gegen die geplan-te Auslagerung erhebt und iii) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
        Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistun-gen, die der Anbieter z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, War-tung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Si-cherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der An-bieter ist jedoch verpflichtet, zur Gewährleis-tung des Datenschutzes und der Datensicherheit der Daten des Kun-den auch bei ausgelagerten Ne-benleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaß-nahmen zu ergreifen. Die Weitergabe von personenbezogenen Daten des Kunden an Unterauftrag-nehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Un-ter-beauftragung gestattet. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Anbieter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnah-men sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen. Bei einer weiteren und vorab angezeigten Auslagerung durch den Unterauftragnehmer sind sämtliche ver-traglichen Regelungen in der Vertragskette auch dem weiteren Unterauftragnehmer aufzuerlegen.
        Mit Vertragsschluss stimmt der Kunde den Unterauftragnehmern nach Anlage 2 zu.

        12.10 Der Kunde hat das Recht, im Benehmen mit dem Anbieter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Anbieter in dessen Ge-schäftsbetrieb zu überzeugen.
        Der Anbieter stellt sicher, dass sich der Kunde von der Einhaltung der Pflichten des Anbieters nach Art. 28 DSGVO überzeugen kann. Der Anbieter verpflichtet sich, dem Kunden auf Anforderung die erforderlichen Auskünfte zu er-teilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
        Für die Ermöglichung von Kontrollen durch den Kunden kann der Anbieter einen Vergütungsanspruch geltend ma-chen.

        12.11 Der Anbieter unterstützt den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpan-nen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:

        • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahr-scheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berück-sichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
        • die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Kunden zu mel-den
        • die Verpflichtung, dem Kunden im Rahmen seiner Informationspflicht gegenüber dem Betroffe-nen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unver-züglich zur Verfügung zu stellen
        • die Unterstützung des Kunden für dessen Datenschutz-Folgenabschätzung
        • die Unterstützung des Kunden im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

        Für Unterstützungsleistungen, die nicht im Auftrag enthalten oder nicht auf ein Fehlverhalten des An-bieters zu-rückzuführen sind, kann der Anbieter eine Vergütung beanspruchen.

        12.12 Mündliche Weisungen bestätigt der Kunde unverzüglich (mind. Textform). Der Anbieter hat den Kunden unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Da-tenschutzvorschriften. Der Anbieter ist berechtigt, die Durchführung der entsprechenden Weisung so-lange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.

        12.13 Kopien oder Duplikate der Daten werden ohne Wissen des Kunden nicht erstellt. Hiervon aus-genommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenver-arbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewah-rungspflichten erforderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Kunden – spätestens mit Beendigung der Leistungsvereinbarung – hat der Anbieter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungser-gebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Kunden auszuhändigen oder nach vorheriger Zustimmung daten-schutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumenta-tionen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Anbieter entsprechend der jeweiligen Aufbewahrungs-fristen über das Vertragsende hinaus auf-zubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Kunden übergeben

      13. Laufzeit des Vertrages; Beendigung des Zugangs

        13.1 Die initiale Vertragslaufzeit ist im Auftrag vereinbart. Nach Ablauf der initialen Vertragslaufzeit und jedes folgenden Verlängerungszeitraumes verlängert sich die Laufzeit jeweils um die im Auftrag vereinbarte Verlängerung ("Vertragszyklus"), wenn nicht unter Einhaltung der jeweiligen Kündigungs-fristen die Kündigung zum Ende der jeweiligen Vertragslaufzeit erklärt wird. Die Kündigungsfrist beträgt ein Drittel des Vertragszyklus (z. B. 4 Monate Kündigungsfrist für einen 12-monatigen Vertragszyklus). Das Recht beider Parteien zur fristlosen Kündigung aus wichtigem Grund bleibt hiervon unberührt.

        13.2 Der Anbieter hat insbesondere ein Recht zur fristlosen Kündigung aus wichtigem Grund in fol-genden Fällen: (i) der Kunde wird zahlungsunfähig oder überschuldet; (ii) es wird ein Antrag auf Eröff-nung eines Insolvenzverfahrens über das Vermögen des Kunden gestellt (wobei die Regelung des §112 InsO unberührt bleibt), oder (iii) der Kunde ist für zwei aufeinander folgende Monate mit der Entrich-tung der vereinbarten laufenden Vergütung oder eines nicht unerheblichen Teils hiervon in Verzug oder ist in einem Zeitraum, der sich über mehr als zwei Monate erstreckt, mit der Entrichtung der lau-fenden Vergütung in Höhe eines Betrages in Verzug, der die zu zahlende laufende Vergütung für zwei Monate erreicht.

        13.3 Die Kündigung muss immer schriftlich erfolgen (Post oder Email).

        13.4 Nach Ablauf der Vertragslaufzeit wird dem Kunden bei Vertragsverlängerung oder Abschluss eines neuen Vertrages der Zugang zu den Plattformen und den Medieninhalten nicht mehr gewährt und die Medieninhalte und Endnutzerinformationen vom/den Anbieter von der Plattform(en) ge-löscht. Die vom Kunden auf der Plattform(en) gespeicherten Medieninhalte werden vom/den Anbie-ter spätestens einen Monat nach Ablauf der Vertragslaufzeit endgültig gelöscht. Eine Ausfuhr der am Ende der Vertragslaufzeit gespeicherten Daten (z.B. Medieninhalte,Kundeninformationen) muss daher vom Kunden vor Ablauf der Vertragslaufzeit beantragt werden, ohne dass eine solche rechtzeitige An-frage ein Export nicht garantiert werden kann. Die Migrationsunterstützung wird gegen eine Gebühr von 150€ pro Stunde zur Verfügung gestellt.

      14. Vertraulichkeit

        Die Parteien sind verpflichtet, vertrauliche Informationen während und nach Ende der Vertragslaufzeit Drit-ten nicht zu-gänglich zu machen und nicht für andere, der Zusammenarbeit nicht dienende Zwecke zu ver-wenden. Als vertraulich gelten (i) alle Informationen über die zwischen den Parteien vereinbarte Vergütung, (ii) alle Informationen über die Vertragslaufzeit, (iii) alle dem Kunden zugänglich gemachten technischen In-formationen und Know-how sowie (iv) sonstige Informationen, die von einer der beiden Parteien als ver-traulich gekennzeichnet werden.

        Die Geheimhaltungsverpflichtung bezieht sich nicht auf Informationen, die ohne Geheimhaltungsbruch einer Partei der jeweils anderen Partei oder öffentlich bekannt geworden oder bereits bekannt sind, oder die aufgrund gesetzlicher, richterlicher oder behördlicher Anordnung Dritten zugänglich zu machen sind.

        Der Kunde hat größtmögliche Sorgfalt walten zu lassen und alle Maßnahmen zu ergreifen, die den vertrauli-chen, sicheren Umgang mit IDs, Passwörtern, Benutzernamen oder anderen Sicherheitseinrichtungen ge-währleisten, die für den Zugriff auf die Plattform(en) und die Nutzung der Dienste bereitgestellt werden, und deren Weitergabe an Dritte zu verhindern. Der Kunde haftet für die Verwendung seiner Passwörter oder Benutzernamen durch Dritte, es sei denn, der Kunde kann darlegen und beweisen, dass die Gründe für diesen unbefugten Zugriff ihm nicht zuzurechnen sind. Der Kunde hat den Anbieter unverzüglich über jede mögliche oder bekannte unbefugte Nutzung seiner Zugangsdaten zu informieren.

      15. Vertragsänderungen

        15.1 Der Anbieter behält sich vor, die angebotenen Leistungen zu ändern, soweit die jeweilige Än-derung notwendig ist, um Veränderungen abzubilden, die bei der jeweiligen Auftragserteilung nicht vorhersehbar waren und deren Nichtbeachtung das vertragliche Gleichgewicht zwischen dem Anbieter und dem Kunden beeinträchtigen würde, insbesondere soweit der Anbieter (i) die Übereinstimmung der Leistungen mit dem darauf anwendbaren Recht herzustellen verpflichtet ist, insbesondere wenn sich die geltende Rechtslage ändert; und/oder (ii) damit einem gegen den Anbieter gerichteten Ge-richtsurteil oder einer Behördenentscheidung nachkommt, und/oder (iii) die Plattform(en) aufgrund zwingender technischer Vorgaben von Messenger-Betreibern anpassen muss

        15.2 Zu keinem Zeitpunkt wird durch die Leistungsänderungen die Erfüllung der Hauptvertrags-pflichten durch den Anbieter eingeschränkt.

        15.3 In anderen Fällen als der Ziffer 15.1 teilt der Anbieter dem Kunden vorab die Änderungen der Vertragsbedingungen mit. Soweit der Kunde deren Geltung nicht innerhalb von vier Wochen nach Zu-gang der Mitteilung widerspricht, gelten die Änderungen mit Wirkung für die Zukunft als angenommen. Widerspricht der Kunde den Änderungen, ist der Anbieter berechtigt, das Vertragsverhältnis zu kündi-gen. Auf die Wirkung des Schweigens und das Kündigungsrecht wird der Anbieter in der Mitteilung hinweisen.

        15.4 Von der Änderungsbefugnis nach Ziffer 15.3 ausgenommen ist jede Änderung des Vertragsgegenstands und der Hauptleistungspflichten, die zu einer Änderung des Vertragsgefüges insgesamt führen würde. In diesen Fällen wird der Anbieter dem Kunden die beabsichtigten Änderungen mitteilen und die Fortsetzung des Vertrags-verhältnisses zu den dann geänderten Bedingungen anbieten.

      16. Recht auf Übertragung des Vertrages

        Der Anbieter kann den Vertrag an einen Dritten übertragen, hat den Kunden jedoch mit einer vorherigen schriftlichen Mitteilung von vier Wochen über jede beabsichtigte Übertragung zu informieren, in deren Rahmen der Kunde ein Widerspruchsrecht gegen eine solche Übertragung hat. Im Falle eines solchen Wi-derspruchs findet die Übertragung nicht statt, aber der Anbieter hat das Recht, den Vertrag zu kündigen.

      17. Sonstiges

        17.1 Die zwischen den Parteien geschlossenen Vereinbarungen unterliegen dem materiellen Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts und des internationalen Privatrechts.

        17.2 Ausschließlicher Gerichtsstand ist am Sitz des Anbieters.

        17.3 Sollten eine oder mehrere Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen nicht berührt.

        17.4 Der Kunde darf ohne vorherige schriftliche Zustimmung von dem Anbieter die Rechte und Pflichten aus dem Ver-trag weder dauerhaft noch zeitweilig auf Dritte übertragen.

Zusätzliche Nutzungsbedingungen von SLACE

      1. Umfang der Dienstleistungen

        SLACE ist eine SaaS bereitgestellte Software, die es dem Kunden ermöglicht, die Kommunikation über Messenger zu steuern und zu verwalten, indem er sich direkt mit a) Messengern oder b) über zertifi-zierte Geschäftspartner der Messenger-Betreiber ("CBP") verbindet, die Dienste zum Senden, Empfan-gen und Verwalten des Messengers bereitstellen. Zum Senden und Empfangen von Nachrichten über und zum Abrufen der zugehörigen Meta- oder Benutzerdaten aus den Messengern kann der Kunde vorhandene Open Messaging-APIs in SLACE verwenden, um eine Verbindung zu den APIs von Messen-ger-Betreibern oder CBPs herzustellen und, falls dies vertraglich vereinbart ist, Konnektoren zu Mes-sengern erstellen oder sich in per Schnittstelle CRM, Bot-, Daten- und andere Plattformen integrieren. Solche Konnektoren oder benutzerdefinierte API-Integrationen können vom Kunden oder Dritten er-stellt werden. Einige Messenger-Konnektoren oder Integrationen von Drittanbietern können vom An-bieter bereitgestellt und gewartet werden (möglicherweise gegen Aufpreis).

        Je nach Vertrag kann der Kunde verschiedene Messenger-Konten mit SLACE verbinden und verschie-dene Anmeldungen aktivieren, um Zugriff auf das Kundenkonto bei SLACE zu gewähren.

        Je nach Vertrag ist es entweder a) die Verpflichtung des Kunden, die erforderlichen Verträge mit be-stimmten Messenger-Betreibern und eventuellen CBPs abzuschließen und die entsprechenden Mess-enger-Konten zu erstellen, oder b) der Anbieter kann auch als Wiederverkäufer von Messenger-Betreibern oder CBPs agieren, oder c) der Anbieter kann die Verbindungen mit den Messenger-Betreibern und/oder CBPs im Namen und im Namen des Kunden herstellen, für die der Kunde dem An-bieter eine Vollmacht erteilt.

        In jedem Fall ist es die Pflicht des Kunden, dafür zu sorgen, dass seine Nutzung der Messenger und der CBPs den geltenden Gesetzen sowie den vertraglichen Vereinbarungen mit und Bedingungen der Messenger-Betreiber bzw. CBPs entspricht, einschließlich, aber nicht beschränkt auf die im Vertrag festgelegten Regelungen.

        Da die Messenger von den Messenger-Providern betrieben werden und die Systeme der CBPs von den CBPs betrieben werden, ist der Anbieter nicht für die Funktionalität und Verfügbarkeit der Messenger und der Systeme der CBPs verantwortlich.

        Sofern nicht bestimmte Messenger oder CBPs im Vertrag vereinbart sind, garantiert der Anbieter nicht, dass SLACE mit bestimmten Messengern oder CBPs arbeitet, und es ist die Pflicht des Kunden, die letzt-endlich erforderliche Interoperabilität mit bestimmten CBPs oder Messengern durch die Verwendung vorhandener Konnektoren oder die Erstellung eigener Konnektoren in SLACE sicherzustellen. In diesem Zusammenhang wird der Kunde darüber informiert, dass bestimmte Messenger-Betreiber oder ihre CBPs eine zusätzliche Gebühr verlangen können.

        Der Kunde kann über die vom Anbieter ausdrücklich unterstützten Browser werden, über das Internet auf SLACE zugreifen. Für andere als die ausdrücklich unterstützten Browser ist eine Zugriffsmöglichkeit nicht geschuldet.

        SLACE enthält eine "Conversational Inbox", die es dem Kunden ermöglicht, die Kommunikation über die integrierten Messenger sowie Benutzer und Gespräche zu verwalten.

        Die im Vertrag vereinbarte Aufbewahrung von Content legt fest, wie lange die Inhalte in den Datenban-ken des Anbieters gespeichert werden, um sie im Conversational Inbox anzuzeigen. Der Kunde wird da-rauf hingewiesen, dass Nachrichten- und Medieninhalte NICHT zusätzlich gesichert werden. Die im Ver-trag definierte Menge an Logins ist die Anzahl der zusätzlichen Anmeldungen ("Seats"), die erstellt wer-den können, um Zugriff auf das Konto des Kunden auf das Dashboard der Plattform und die Messaging-API zu haben. Bestimmte Rechte und Zugriffskontrolle können für diese Logins verwaltet werden. Wenn automatisierte Bot-Gespräche im Vertrag vereinbart werden, verfügt SLACE über eine einfache Benut-zeroberfläche, die es dem Kunden ermöglicht, einen skriptgesteuerten Bot zu erstellen, der sich mit ei-ner Person unterhält, wobei die Unterhaltung vollständig auf einem vorprogrammierten Skript basiert. Der Bot verwendet ein Entscheidungsbaummodell und andere Befehle und ermöglicht auch das Erstel-len strukturierter Antworten. Wenn Multitenancy im Vertrag vereinbart ist, erlaubt SLACE die Erstellung zusätzlicher Unterkonten innerhalb der Plattform, wobei der für ein Unterkonto bereitgestellte Dienst für die anderen Unterkonten nicht sichtbar ist.

        Jegliche Ansprüche unter den Parteien und gegen CBPs, die auf einem Fehlverhalten, einer Handlung oder Unterlassung der Messenger-Betreiber beruhen (eine "Betreiberverletzung"), werden gegenseitig ausgeschlossen. Im Falle einer Betreiberverletzung werden die Vertragsparteien jedoch im angemesse-nen Umfang miteinander und mit den jeweiligen CBPs zusammenarbeiten und die jeweils geschädigte Partei oder den geschädigten CBP in der Geltendmachung von Ansprüchen gegen den jeweiligen Be-treiber zu unterstützen.

      2. Spezielle Bedingungen für ausgewählte Messenger

        Bestimmte Messenger haben spezifische Anforderungen, so dass die folgenden Bedingungen für die entsprechenden Messenger und Messenger-Betreiber im Sinne der nachstehenden Definition verein-bart werden.

        2.1 Whatsapp

        Die Nutzung der WhatsApp Business Solution unterliegt den geltenden Geschäftsbedingungen von WhatsApp (auch als WhatsApp und hierin als "Geschäftsbedingungen" bezeichnet) unter https://www.whatsapp.com/legal/business-solution-terms sowie den geltenden WhatsApp-Rechtlichen und -Richtlinien https://www.whatsapp.com/legal#terms-of-service und https://www.whatsapp.com/policies/business-policy (zusammen mit allen anderen anwendba-ren Richtlinien, Richtlinien und Bedingungen die "WhatsApp-Bedingungen"). Der Kunde si-chert die Einhaltung der WhatsApp-Bedingungen zu.

        Die Nutzung der WhatsApp Business Services erfordert die Einrichtung eines WhatsApp Busi-ness Accounts ("WABA") und die Ernennung eines Systemadministrators. Der Kunde ermäch-tigt den Anbieter, als Systemadministrator zu fungieren und erteilt SLACE eine Vollmacht, die bei https://www.facebook.com/business/partner-directo-ry/search?solution_type=messaging&sort_by=alpha aufgeführten Unternehmen zum Sys-temadministrator zu ernennen und in seinem Namen für alle Anweisungen und Handlungen gegenüber dem Systemadministrator und/oder WhatsAPP zu handeln. Alle Mitteilungen mit dem Systemadministrator und/oder WhatsApp über die bereitgestellten Dienste erfolgen über den Anbieter und der Kunde darf nicht direkt mit dem Systemadministrator und/oder WhatsApp kommunizieren.

        Je nach dem im Vertrag vereinbarten genauen Umfang umfassen die Dienste die Registrierung von WhatsApp Business Accounts entweder direkt durch den Anbieter oder über den Sys-temadministrator einschließlich der entsprechenden Telefonnummer mit und deren laufende Verwaltung in Richtung WhatsApp. Im Allgemeinen gibt es keine Einschränkung der Registrie-rungen, jedoch ist jede Registrierung von der Genehmigung durch WhatsApp abhängig, die nach Ermessen von WhatsApp erteilt oder zurückgehalten werden kann.

        Der Kunde erkennt die folgenden Anforderungen von WhatsApp an und erklärt sich damit einverstanden: "Unsere Business Services sind nicht für die Verbreitung in ein Land oder zur Nut-zung in einem Land gedacht, in dem eine derartige Verbreitung oder Nutzung gegen lokales Recht verstoßen würde. Wir behalten uns das Recht vor, unsere Business Services jederzeit in je-dem Land einzuschränken, soweit dies nach anwendbarem Recht zulässig ist. Das Unternehmen hat sämtliche geltenden US- und Nicht-US-Gesetze in Bezug auf Exportkontrollen und Handels-sanktionen („Export-Gesetze“) zu beachten. Das Unternehmen darf weder direkt noch indirekt unsere Business Services exportieren, reexportieren, bereitstellen oder auf sonstige Weise über-tragen: (a) an ein/e gemäß Export-Gesetzen verbotene/s Person, Unternehmen oder Land; (b) an eine Person oder ein Unternehmen, die/das auf Sperrlisten der US-Regierung oder einer ande-ren Regierung aufgeführt ist oder an jemanden oder ein Unternehmen, der/das sich im Eigentum oder unter der Kontrolle von jemandem auf solchen Sperrlisten befindet; oder (c) für einen nach den Export-Gesetzen verbotenen Zweck (u. a. Anwendungen für nukleare, chemische oder biolo-gische Waffen oder Raketentechnik) ohne die erforderlichen staatlichen Genehmigungen. Das Unternehmen darf unsere Business Services nicht nutzen oder herunterladen, (i) wenn es in ei-nem Land ansässig ist, das Beschränkungen unterliegt, oder sich im Eigentum oder unter der Kontrolle von jemandem befindet, der in einem solchen Land ansässig ist; (ii) wenn es zurzeit auf Sperrlisten der US-Regierung oder einer anderen Regierung aufgeführt ist oder sich im Eigentum oder unter der Kontrolle von jemandem auf solchen Sperrlisten befindet; (iii) wenn dies zuguns-ten oder im Namen eines einer Beschränkung unterliegenden Landes oder von jemandem, der auf Sperrlisten der US-Regierung oder einer anderen Regierung aufgeführt ist, erfolgt; oder (iv) für einen gemäß Export-Gesetzen verbotenen Zweck. Das Unternehmen darf seinen Standort nicht durch IP-Proxying oder sonstige Methoden verschleiern."

        2.2 Telegramm

        Der Kunde sichert zu, dass die Bedingungen unter https://telegram.org/tos eingehaltenwer-den. Je nach dem im Vertrag vereinbarten genauen Umfang umfassen die Leistungen die Dar-stellung des Telegram-Kontos im Namen des und für den Kunden inklusive entsprechender Te-lefonnummer und Administration des Telegram-Kontos gegenüber dem Messenger-Betreiber.

      3. Datenschutz

        Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden in SLACE. Bei den betroffe-nen Personen handelt es sich um Personen, die Informationen vom Kunden angefordert haben oder die Leistungen des Kunden im Rahmen eines Vertrages in Anspruch nehmen, oder Personen, mit denen der Kunde vorvertragliche Maßnahmen ergreift. Gegenstand der Verarbeitung ist die Verwaltung der Inhalte der Kommunikation mit Endnutzern und der Kontaktdaten über Messenger von Endnutzern über SLACE, wie hier beschrieben. Zusätzlich zu den in Anhang 2 der Allgemeinen Geschäftsbedingungen des Anbieters definierten Unterauftragnehmern, jedoch immer vorbehaltlich einer vertraglichen Vereinba-rung gemäß Artikel 28 Absatz 2-4 DSGVO gemäß Ziffer 12.9 iii) der Allgemeinen Geschäftsbedingungen des Anbieters, kann der Anbieter auch die in https://www.facebook.com/business/partner-directory/search?solution_type=messaging&sort_by=alpha aufgeführten Unternehmen als Unterauf-tragnehmer für SLACE verwenden und der Kunde stimmt einer solchen Nutzung dieser Unternehmen als Unterauftragnehmer zu.

      4. Sonstiges

        Es gelten die Allgemeinen Geschäftsbedingungen des Diensteanbieters. Im Falle von Widersprüchen zwischen den Allgemeinen Geschäftsbedingungen und diesen zusätzlichen Geschäftsbedingungen ha-ben diese zusätzlichen Geschäftsbedingungen Vorrang.

Zusätzliche Bedingungen für die Verwendung von MessageLink

      1. Umfang der Dienstleistungen

        Im MessageLink-Service stellt der Anbieter dem Kunden einen Link zur Verfügung, der zu einer URL führt, die vom Anbieter gehostet wird und die der Kunde auf seiner Website integrieren oder auf ande-re Weise, z.B. als QR-Code oder über NFC, zur Verfügung stellen kann, so dass die Nutzer des Kunden darauf zugreifen können und der, wenn darauf zugegriffen wird, je nach dem im Vertrag vereinbarten genauen Umfang, auf dem Gerät des Benutzers a) einen bestimmten Messenger öffnet, der von Messa-geLink unterstützt wird, b) einen Messenger initiiert, der von MessageLink unterstützt wird und in dem eine vordefinierte Nachricht von den Benutzern des Kunden an eine vordefinierte Nummer ("Mes-saging-App-Call") gesendet werden kann, oder c) einen Messenger initiiert, in dem eine vom Kunden vordefinierte Nachricht erstellt wird und dann an einen vom Benutzer definierten Empfänger gesendet werden kann ("Tell-a-Friend").

        Wenn "Attribution" im Vertrag vereinbart ist, ordnet MessageLink Nachrichten, die unter dem Mes-saging-App-Aufruf gesendet werden, der jeweiligen Quelle zu, d. h. der Kunde kann erkennen, von wel-cher Marketingkampagne eine Nachricht stammt oder höchstwahrscheinlich stammt, die vom Kunden empfangen wurde.

      2. Persönliche Daten

        MessageLink enthält Funktionen, die auf der IP-Adresse des Benutzers basieren, um die Dienste zu per-sonalisieren und zu kontextualisieren, insbesondere basierend auf dem Standort des Benutzers. Zu die-sem Zweck verarbeitet der Anbieter die IP-Adresse der Kunden als Datenverarbeiter im Auftrag des Kunden. Die IP-Adresse wird nicht über das Ende der Verbindung mit dem Kunden hinaus gespeichert.

      3. Sonstiges

        Es gelten die Allgemeinen Geschäftsbedingungen des Diensteanbieters. Im Falle von Widersprüchen zwischen den Allgemeinen Geschäftsbedingungen und diesen zusätzlichen Geschäftsbedingungen ha-ben diese zusätzlichen Geschäftsbedingungen Vorrang.

Anhang 1

Technisch-organisatorische Maßnahmen

      1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

        • Zutrittskontrolle

          Kein unbefugter Zutritt zu Datenverarbeitungsanlagen

          Manuelles Schließsystem
          Videoüberwachung der Zugänge
          Schlüsselregelung (Schlüsselausgabe etc.) mit manuellem Schließsystem und Sicherheitsschlössern

        • Zugangskontrolle

          Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Verschlüsse-lung von Datenträgern;

          Zuordnung von Benutzerrechten
          Authentifikation mit Benutzername / Passwort, bzw. API-Key
          Einsatz von VPN-Technologie
          Verschlüsselung von Datenträgern in Servern und Laptops / Notebooks
          Einsatz einer Software-Firewall bei allen mobilen Arbeitsplätzen

        • Zugriffskontrolle

          Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;

          Verwaltung der Rechte durch Systemadministrator
          System-Administrator Login nur über privaten Schlüssel möglich (kein Passwort Login)
          Anzahl der Administratoren auf das „Notwendigste“ reduziert

        • Trennungskontrolle

          Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing;

          Logische Mandantentrennung (softwareseitig)
          Festlegung von Datenbankrechten
          Trennung von Entwickler- , Test- und Produktivsystem

         

      2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

        • Weitergabekontrolle

          Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

          Verschlüsselung aller Kommunikationskanäle mittels HTTPS, VPN oder E2E-Verschlüsselung
          Einrichtungen VPN-Tunneln
          Verschlüsselung von Datenträgern

        • Eingabekontrolle

          Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;

          Entfällt, da personenbezogene Daten nur automatisiert verarbeitet werden, bzw. die jeweilige Kontrolle beim Kunden erfolgen muss.

      3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

        • Verfügbarkeitskontrolle

          Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;

        • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);

          Unterbrechungsfreie Stromversorgung (USV)
          Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
          Schutzsteckdosenleisten in Serverräumen
          Feuer- und Rauchmeldeanlagen
          Feuerlöschgeräte in Serverräumen Serverräume nicht unter sanitären Anlagen
          Raid-1 Spiegelung vorhanden

      4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSG-VO)

        • Datenschutz-Management;

        • Incident-Response-Management (IT Störungsmanagement);

        • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);

        • Auftragskontrolle

          Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

          Incident-Response-Management (IT Störungsmanagement); Verweis auf Voreinstellungen (Art. 25 Abs. 2 DSG-VO); Berechtigungskonzept, Möglichkeit der Datenportabilität, Löschbarkeit von Daten, Protokollierung von Einga-be, Änderung, Löschung von Daten

Auftragskontrolle

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag) vorherige Prüfung der und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags.

Anhang 2

Bestehende Subunternehmer:

Blue Focus sp. z. oo. sp. K.

Adresse: ul. 1. Maja 18/5, 40-284 Katowice, Polen

Dienstleistungen: Programmier- undKundendienst, API- und Dateninfrastruktur

Google Ireland Limited

Adresse: Gordon House, Barrow Street, Dublin 4, Irland

Dienstleistungen: Bereitstellung und Betrieb von Serverkapazität und Cloud-Computing-Diensten