Allgemeine Bedingungen zum Nutzungs- und Mietvertrag STIMME
1. Bereitstellung des Dienstes “STIMME”
1.1 Der Dienst STIMME wird durch den Hersteller Stimme GmbH, Spandauer Str. 32, 57072 Siegen zur Verfügung gestellt.
1.2 Der Anbieter haftet nicht für Verfehlungen jedweder Art des Herstellers.
1.3 Grundlage der Leistungserbringung sind die Leistungsbeschreibung des Herstellers sowie dessen Allgemeine Geschäftsbedingungen in der jeweils aktuellen Fassung, einzusehen unter:
Leistungsbeschreibung STIMME: https://www.stimme.cloud/leistungsbeschreibung/
AGB des Herstellers: https://www.stimme.cloud/agb/
1.4 Mit der Lösung “STIMME” werden dem Nutzer verschiedene Telefonie und Unified-Communications Funktionen zur Verfügung gestellt. Einzelne Funktionen werden dabei zu sog. Lizenzen zusammengefasst. Eine Lizenz ist der jeweils aktuellen “Leistungsbeschreibung STIMME” zu entnehmen. Änderungen der Leistungsbeschreibung werden dem Nutzer mind. einen Monat vor Inkrafttreten mitgeteilt.
1.5 Der Nutzer ist zur monatlichen Erhöhung und Reduzierung der genutzten Lizenzen berechtigt. Bei einer Reduzierung darf die gesamte Miet- und Nutzungsgebühr zum Vertragsbeginn nicht unterschreiten.
1.6 Der Anbieter erneuert regelmäßig die eingesetzt Systemsoftware (sog. Updates und Upgrades). Dies erfolgt in Wartungsfenstern. Der Anbieter informiert den Nutzer über Wartungsfenster mindestens eine Woche im Voraus. Angekündigte Wartungsfenster zählen nicht als Systemausfall im Sinne der Dienstverfügbarkeit.
1.7 Im Falle von Systemstörungen oder bei Bekanntwerden von Sicherheitsrisiken können kurzfristige Updates und Upgrades, auch während der üblichen Geschäftszeiten, erforderlich sein. Diese werden mindestens eine Stunde vor Durchführung angekündigt.
1.8 Der Nutzer ist nicht berechtigt, die Durchführung von Updates und Upgrades abzulehnen.
1.9 Bei Einsatz von Hardware, die nicht über den Anbieter bezogen wurde, übernimmt der Anbieter keine Gewährleistung für die ordnungsmäßige Funktion der Lösung. Außerdem haftet der Kunde für entstandene Schäden an der zentralen STIMME Lösung.
2. Vermietung von Hardware (sofern vereinbart)
2.1 Der Anbieter ist verpflichtet, die vermieteten Komponenten dem Mieter zum Gebrauch zu überlassen und während der Vertragslaufzeit in einem zum vertragsgemäßen Gebrauch geeigneten Zustand zu erhalten. Er beseitigt auf seine Kosten alle bei ordnungsgemäßem Gebrauch durch natürlichen Verschleiß entstehenden Störungen. Für den Fall, dass eine Komponente in der ursprünglichen Form nicht mehr verfügbar sein sollte, ist der Anbieter berechtigt, ein gleichwertiges Nachfolgegerät einzusetzen. Für alle Schäden wegen unsachgemäßen Gebrauch oder unnatürlichen Verschleiß trägt die Kosten zur Wiederherstellung der Mieter.
2.2 Erhöht der Nutzer die Anzahl der Lizenzen, wird die zusätzlich erforderliche Hardware in den (Miet-)Vertrag aufgenommen. Die verringerte Mietlaufzeit wird durch einen einmaligen Mietzuschuss ausgeglichen, welcher vom Anbieter entsprechend der Restlaufzeit berechnet wird. Reduziert der Nutzer die Anzahl der Lizenzen, berechtigt dies nicht zur Minderung der Hardwaremiete.
2.3 Der Mieter darf die gemietete Hardware nur in geeigneten Umgebungen gem. „Leistungsbeschreibung STIMME“ lagern und nutzen. Auf Wunsch berät der Anbieter den Mieter bezüglich etwaiger Einschränkungen.
2.4 Der Mieter hat die Mietgegenstände pfleglich zu behandeln und dem Anbieter alle auftretenden Störungen und Schäden unverzüglich mitzuteilen.
2.5 Alle an der Mietsache erforderlichen Arbeiten einschließlich Instandsetzung und Erneuerung sowie Störungs- und Schadenbeseitigungen dürfen ausschließlich durch den Anbieter oder dessen Beauftragten ausgeführt werden. Die Rechte aus § 536 a II BGB bleiben unberührt.
2.6 Der Mieter ist verpflichtet, für die Mietsache eine Elektronikversicherung in Höhe vom Brutto-Listenpreis der Mietsache abzuschließen oder dafür Sorge zu tragen, dass die Mietsache über eine bestehende Elektronikversicherung gedeckt ist. Auf Verlangen des Anbieters hat er einen ausgefertigten Sicherungsschein an den entsprechenden Elektronik-Versicherer zu übersenden und gegenzeichnen zu lassen.
2.7 Bestehen im Falle einer Reparatur durch den Anbieter oder dessen Beauftragten Ansprüche aus der Elektronik-Versicherung, so tritt der Mieter diese an den Anbieter ab, welcher die Abtretung annimmt.
2.8 Die gemietete Hardware darf ausschließlich in Verbindung mit dem Dienst „STIMME“ genutzt werden. Die gemietete Hardware überträgt automatisiert Fehlerdaten an den Anbieter bzw. Hersteller.
2.9 Der Mieter hat dem Anbieter oder dessen Beauftragen jederzeit den Zugang zur Mietsache zu gewähren, wobei auf den betrieblichen Ablauf beim Mieter Rücksicht zu nehmen ist.
3. Aufrechterhaltung der Betriebsbereitschaft / Service
3.1 Der Hersteller unternimmt Maßnahmen zur Aufrechterhaltung der Betriebsbereitschaft der STIMME gem. der Leistungsbeschreibung sowie der AGB des Herstellers.
3.2 Darüber hinaus erbringt der Anbieter folgende Serviceleistungen: (mit * gekennzeichnete Begriffe werden im Anhang erklärt)
Allgemein
- Die Servicezeit* von montags bis freitags, 08:00 bis 18:00 Uhr, außer an bundeseinheitlichen Feiertagen.
- Die Annahme von Störungen innerhalb und außerhalb der vereinbarten Servicezeit* (7x24h).
- Das Vorhalten von Servicespezialisten mit produkt- und systemspezifischen Kenntnissen innerhalb der vereinbarten Servicebereitschaft.
- Kostenfreie Erbringung von Servicedienstleistungen zur Behebung von Störungen* aus der Ferne (Remote) während der Servicebereitschaft. Ggf. erforderliche Arbeiten vor Ort werden nach Zeit und Aufwand zu den vereinbarten Stundensätzen verrechnet, es sei denn, die Hardware ist gemietet.
- Eine Reaktionszeit* von 1 Stunde innerhalb der Servicezeit bei Störungen der Priorität 1, 2, und 3.
- Die Antrittszeit Remote* bei Störungen der Priorität 1 und Meldung bis 12:00h am gleichen Arbeitstag, sonst am nächsten Arbeitstag (NBD), bei Störungen der Priorität 2 innerhalb von 2 Arbeitstagen (NBD+1) und bei Störungen der Priorität 3 innerhalb von 6 Arbeitstagen (NBD+5).
- Die Antrittszeit vor Ort* bei Störungen der Priorität 1 und Meldung bis 12:00h am nächsten Arbeitstag (NBD), sonst am übernächsten Arbeitstag (NBD+1), bei Störungen der Priorität 2 innerhalb von 2 Arbeitstagen (NBD+1) und bei Störungen der Priorität 3 innerhalb von 6 Arbeitstagen (NBD+5).
- Voraussetzung ist die Einhaltung der Mitwirkungspflichten* durch den Endkunden, insbesondere die qualifizierte Störungsmeldung*.
Hardware - Service (nur, wenn Hardware vom Anbieter bezogen wurde)
- Das Vorhalten von Systemkomponenten, Baugruppen und Ersatzteilen für das installierte System im nächstgelegenen Ersatzteillager zur Instandsetzung.
- Bei Anforderung zwischen 08:00 und 13:00 Uhr erfolgt der Versand am nächsten Arbeitstag, bei Anforderung außerhalb dieser Zeit am übernächsten Arbeitstag. Die Berechnung der Ersatzteile erfolgt zu den vereinbarten Preisen. Sofern die Hardware im Rahmen einer Miete bereitgestellt, erfolgt die Lieferung kostenfrei.
- Der Austausch von Verbrauchsmaterialien, wie z. B. Akkus, ist hiervon ausgenommen und wird immer zu den vereinbarten Preisen in Rechnung gestellt.
Software - Service
- Entgegennahme von Software-Störungen entsprechend den allgemeinen Regelungen und Weiterleitung an den Hersteller, sofern der Anbieter die Störung nicht eigenständig beheben kann.
- Soweit der Kunde Änderungen/Ergänzungen an den Programmen vorgenommen hat, hat er durch einen Probelauf des unveränderten Softwareproduktes nachzuweisen, dass die Änderungen in keinem ursächlichen Zusammenhang mit dem aufgetretenen Fehler stehen.
- Telefonische Unterstützung bei Fehleranalysen.
3.3 Folgende Serviceleistungen können zusätzlich in Anspruch genommen werden und sind nicht Bestandteil des Standardleistungsumfanges:
Router - Service
- Inbetriebnahme, Entstörung und Wartung eines durch effexx gelieferten Routers für die Nutzung mit einem Peoplefone VDSL Produkt.
- effexx führt für die Dauer des Vertrages notwendige Updates zur Sicherstellung der Funktionen durch, in dessen Rahmen es zu notwendigen Router Neustarts kommen kann.
- Nicht im Servicepreis enthalten sind Konfigurationsanpassungen auf Kundenwunsch sowie Entstörungsmaßnahmen bei Störungen, deren Ursache nicht im Verantwortungsbereich von effexx, sondern außen liegt (z.B. durch Stromausfall oder Fehlkonfiguration des Kunden).
4. Gewährleistung, Haftung und Schadenersatz
4.1 Der Anbieter leistet Gewähr nach den gesetzlichen Vorschriften, ist aber zu Schadenersatz nur im Rahmen nachfolgender Regelungen verpflichtet.
4.2 Bei leichter Fahrlässigkeit haftet der Anbieter im Falle der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt. Im Übrigen besteht eine Haftung bei leichter Fahrlässigkeit nur, sofern eine Pflicht verletzt wird, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und deren Verletzung die Erreichung des Vertragszweckes gefährdet wie auch auf deren Einhaltung der Kunde regelmäßig vertrauen kann.
Bei Verletzung einer solche Kardinalpflicht ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Dies gilt auch für entgangenen Gewinn und ausgebliebene Einsparungen. Die Haftung für sonstige entfernte Mangelfolgeschäden ist ausgeschlossen.
Für den Verlust von Daten haftet der Anbieter unter den vorgenannten Voraussetzungen bei leichter Fahrlässigkeit nur dann, wenn der Kunde täglich eine Datensicherung durchgeführt hat.
Im Übrigen haftet der Anbieter bei Vorsatz oder grober Fahrlässigkeit sowie bei Fehlen einer zugesicherten Eigenschaft unbeschränkt.
Die Haftung für alle übrigen Schäden ist ausgeschlossen, insbesondere für Datenverluste, die durch die Inkompatibilität der auf der Hardware des Nutzers / Mieters vorhandenen Komponenten mit Software, die durch den Anbieter zur Verfügung gestellt wird, beruhen und für Systemstörungen, die durch vorhandene Fehlkonfiguration oder ältere, störende, nicht vollständig entfernte Treiber entstehen können.
Die Haftung nach den Vorschriften des Produkthaftungsgesetzes bleibt unberührt.
4.3 Der Nutzer / Mieter hat dem Anbieter alle Schäden zu ersetzen, die durch Verlust oder Beschädigung der Mietsache oder des Materials in Räumen entstehen, die seiner oder seiner Erfüllungsgehilfen Aufsicht unterliegen sowie Schäden an der zentralen STIMME Plattform, die er zu vertreten hat. Dies gilt nicht, wenn der Kunde und seine Erfüllungsgehilfen nachweislich jede gebotene Sorgfalt beachtet haben oder der Schaden auch bei Beachtung dieser Sorgfalt entstanden wäre.
4.4 Spricht der Anbieter bei Vorliegen eines wichtigen Grundes die außerordentliche Kündigung des Nutzungs- / Mietvertrages vor Ablauf der vereinbarten Vertragsdauer aus, so kann er Schadenersatz nach folgender Maßgabe verlangen:
4.4.1 Erfolgt die außerordentliche Kündigung, weil der Nutzer / Mieter (bei dessen Insolvenz der Insolvenzverwalter) schon die Aufstellung der Hardware aus von dem Anbieter nicht zu vertretenden Gründen verweigert, beträgt der Schadenersatz 1 Jahresmiete / Jahresnutzungsentgelt zuzüglich Entgelt für bereits erbrachte Leistungen.
4.4.2 Erfolgt die außerordentliche Kündigung nach Überlassung der betriebsbereit aufgestellten Hardware an den Nutzer / Mieter, so beträgt er die Hälfte der Mieten / Nutzungsgebühren, dies bis zum Ende der vereinbarten Vertragsdauer zu zahlen wären, höchstens aber 3 Jahresmieten / Jahresnutzungsentgelte.
4.4.3 Ein Schadenersatzanspruch entfällt oder verringert sich, wenn der Nutzer / Mieter nachweist, dass ein Schaden nicht entstanden oder wesentlich niedriger ist.
4.4.4 Wenn der Mieter statt der nicht montierten oder der aufgegebenen Hardware eine Hardware von einem Dritten kauft oder mietet, kann der Anbieter auch den gesetzlichen Anspruch auf Vertragserfüllung geltend machen.
4.4.5 Wenn der Nutzer statt des beauftragten Dienstes „STIMME“ einen Dienst von einem Dritten in Anspruch nimmt, kann der Anbieter auch den gesetzlichen Anspruch auf Vertragserfüllung geltend machen.
4.5 Kommt der Nutzer / Mieter mit mehr als 3 Monatsmieten / -nutzungsentgelten in Verzug oder kommt er sonstigen Vertragsverpflichtungen trotz schriftlicher Mahnung und Fristsetzung schuldhaft nicht nach, kann der Anbieter den Dienst bis zur Vertragserfüllung außer Betrieb setzen oder die Hardware entfernen. Unberührt hiervon bleibt das Recht des Anbieters, den Nutzungs-/Mietvertrag fristlos zu kündigen und einen sofort fälligen, pauschalierten Schadenersatz zu beanspruchen, der sich wie vorstehend beschrieben berechnet, wobei den Parteien der Nachweis eines geringeren bzw. höheren Schadens vorbehalten bleibt.
5. Zahlungsbedingungen und Preise
5.1 Neben des Nutzungs- bzw. Mietpreis berechnet der Anbieter zu seinen jeweiligen Listenpreisen und Stundensätzen zuzüglich MwSt (derzeit 19%).
- Die Kosten für die Einrichtung des Systems.
- Vom Nutzer / Mieter gewünschte oder behördlich geforderte Änderungen, z.B. des Anlagen- oder Leistungsumfanges, der Benutzerdaten oder des Aufstellungsortes der gemieteten Hardware.
- Den Abbau und Rücktransport der gemieteten Hardware einschließlich Transportversicherung und Verpackung bei Vertragsende sowie die Wiederinbetriebnahme von Hardware, die vorübergehend außer Betrieb war.
- Mehraufwendungen für auf Wunsch des Mieters außerhalb ihrer üblichen Arbeitszeiten vorgenommenen Arbeiten.
- Arbeiten zur Beseitigung von Schäden, für die der Nutzer haftet bzw. durch diesen erzeugt wurden.
5.2 Andere Zahlungen als die Nutzungs- und Mietpreise sind spätestens 14 Tage nach Rechnungsdatum ohne Abzug zu leisten. Aufrechnung ist nur mit Gegenansprüchen des Nutzers / Mieters zulässig, die von dem Anbieter nicht bestritten werden oder rechtskräftig festgestellt sind. Ein Zurückbehaltungsrecht wegen Gegenansprüchen aus anderen Verträgen wird ausgeschlossen.
6. Programmrechte, Wechsel des Vertragspartners, Sicherungsübereignung, Nebenabreden, Gerichtsstand
6.1 Der Nutzer / Mieter darf die zur Nutzung des Dienstes überlassenen Programme (Software) mit den vereinbarten Leistungsmerkmalen zur Nutzung des Dienstes STIMME einsetzen; alle anderen Rechte an den Programmen verbleiben ausschließlich bei dem Anbieter.
6.2 Der Anbieter kann die Rechte und Pflichten aus dem Vertrag auf ein anderes zugelassenes Unternehmen übertragen. Dies ist dem Nutzer / Mieter entsprechend vorher anzuzeigen. Der Nutzer / Mieter kann diesbezüglich innerhalb von 1 Monat nach Anzeige durch den Anbieter Widerspruch einlegen.
6.3 Der Anbieter behält sich vor, den diesem (Miet-) Vertrag zugrundeliegenden Mietgegenstand zu evtl. erforderlichen Refinanzierungszwecken als Sicherungsgut zu übereignen.
6.4 Datenschutz: Die im Zusammenhang mit der Geschäftsbeziehung erhaltenen Daten über den Nutzer / Mieter werden im Sinne des Datenschutzgesetzes gespeichert und verarbeitet, soweit sie für die Geschäftsbeziehung erforderlich sind. Die Daten werden – abgesehen von gesetzlichen oder behördlichen Mitteilungspflichten – nur mit Zustimmung des Kunden an Dritte weitergegeben.
6.5 Nebenabreden und Vertragsänderungen bedürfen zu ihrer Gültigkeit der Bestätigung in Textform durch den Anbieter.
6.6 Gerichtsstand ist, wenn der Nutzer / Mieter Kaufmann im Sinne des HGB oder eine juristische Person des öffentlichen Rechtes ist, der Sitz des Anbieters. Es gilt deutsches Recht.
Begriffsdefinitionen
Antrittszeit Remote
Die Dauer zwischen der Meldung einer Störung und dem Beginn der tatsächlichen Entstörtätigkeit durch einen Techniker aus der Ferne.
Antrittszeit vor-Ort
Die Dauer zwischen der Meldung einer Störung und dem Eintreffen eines Technikers vor Ort. Ausschlaggebend ist der Eintreffzeitpunkt an der Pforte des Kunden. Die Wegezeit auf dem Gelände bzw. im Gebäude des Kunden ist nicht Bestandteil der Antrittszeit vor-Ort.
Arbeitstag
Als Arbeitstag gilt Montag bis Freitag mit Ausnahme von bundeseinheitlichen Feiertagen.
Mitwirkungspflichten
Als Mitwirkungspflichten sind die Leistungen definiert, die der Endkunde erbringen muss, um eine qualifizierte Störungsbearbeitung zu ermöglichen. Dies umfasst neben einer qualifizierten Störmeldung auch das ausschließen von Fehlern in der eigenen Systemumgebung (soweit möglich), das Verschaffen von Zugang / Zutritt zu relevanten Räumen und die Ermöglichung des Zugriffs auf relevante Systeme. Generell wird die aktive Mitarbeit des Endkunden bei der Störungslokalisierung sowie –behebung erwartet.
Peripherie
Alle dezentralen Komponenten, die der Endbenutzer einsetzt bzw. die der Anschaltung von Endbenutzereinrichtungen dienen, z. B. Telefone, DECT-Telefone, a/b-Adapter und DECT-Sender.
Programmfehler
Programmfehler sind Abweichungen von der jeweiligen Programmbeschreibung bzw. Abweichungen eines Leistungsmerkmales von einer zugesicherten Eigenschaft. Fehler müssen reproduzierbar sein.
Qualifizierte Störmeldung
Eine Störmeldung ist qualifiziert, wenn sie die wesentlichen Informationen enthält, damit das Serviceteam ohne weitere Rückfrage beim Melder erste Entstörmaßnahmen unternehmen kann. U. a. werden folgende Informationen benötigt: Vertragsnummer, Anlagennummer, Störbild, betroffene User /Anzahl, Auswirkung auf Geschäftsprozesse, Ansprechpartner (vor Ort), betroffene Komponenten.
Reaktionszeit
Als Reaktionszeit wird die Zeit definiert, welche zwischen dem Eingang einer Störmeldung im effexx Remote-Service-Center bis zur ersten nicht-automatisierten Rückmeldung durch effexx vergeht. Ausschlaggebend ist die Rückmeldung von effexx mit Übermittlung einer Ticketnummer.
Servicezeit
Der Zeitraum, in dem Serviceleistungen gemäß der vertraglichen Vereinbarung erbracht werden.
Störung
Eine Störungen im Sinne dieses Vertrags liegt vor bei einer, unter der Annahme von unveränderten Rahmenbedingungen beim Endkunden, ungeplant auftretenden Einschränkung oder eines Ausfalls eines vertraglich zugesicherten Service, der eine Einschränkung des Kunden-Geschäftsprozesses verursacht.
Störungspriorität
Eine Störung wird nach folgenden Prioritätskriterien (abgekürzt „Prio“ oder „Priorität“, die anschließende Ziffer definiert den Grad der Priorität) eingestuft:
Sollte im Laufe einer Störungsbearbeitung durch effexx festgestellt werden, dass die mit dem Kunden zum Zeitpunkt der Störungsmeldung festgelegte Priorität nicht der Definition entspricht oder sich durch Bereitstellung einer Umgehungslösung die Ausgangssituation verändert hat, kann effexx die Priorität neu bewerten.
Die Prioritäten sind wie folgt definiert:
- Prio1: Serviceeinschränkung, welche erhebliche Einschränkungen in der Nutzung des Systems,aktiver Netzelemente bzw. der Funktionen von Applikationen zur Folge hat.
- Prio2: Serviceeinschränkung, welche die Nutzung des Systems, aktiver Netzelemente bzw. die Funktionen von Applikationen einschränkt.
- Prio3: Serviceeinschränkung, welche die Nutzung des Systems, aktiver Netzelemente bzw. die Funktionen von Applikationen nur unwesentlich einschränkt.
Zentral Komponenten
Komponenten die im Rechenzentrum des Anbieters verbaut sind sowie wesentliche Komponenten am jeweiligen Kundenstandort. Wesentliche Komponenten sind solche, deren Ausfall eine Prio 1 Störung für den Standort bedeutet.
Leistungsvertrag Auftragsdatenverarbeitung
gemäß Art. 28 DS-GVO
1. Gegenstand und Dauer des Auftrags
Gegenstand des Auftrages
Der Gegenstand des Auftrags ergibt sich aus dem Nutzungsvertrag STIMME nebst Leistungsbeschreibung in der zum Vertragszeitpunkt des Nutzungsvertrags vorliegenden Fassung (im Folgenden Leistungsvereinbarung).
Dauer des Auftrages
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.
2. Konkretisierung des Auftragsinhalts
Art und Zweck der vorgesehenen Verarbeitung von Daten
Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der diesem Leistungsvertrag Auftragsdatenverarbeitung vorstehenden Leistungsvereinbarung.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien)
- Personenstammdaten
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Kundenhistorie
- Vertragsabrechnungs- und Zahlungsdaten
Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden
- Beschäftigte
- Ansprechpartner
3. Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1].
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4. Berichtigung, Einschränkung und Löschung von Daten
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt.
Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt.
Als Datenschutzbeauftragte(r) ist beim Auftragnehmer bestellt:
Herr Jens Horschke, Tel. 0271/7095-511, E-Mail: DSB@effexx.com
Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.
Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1].
Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
6. Unterauftragsverhältnisse
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu, unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO:
Stimme GmbH
Spandauer Straße 32
57072 Siegen
Deutschland
Leistung:
Betrieb der Lösung „STIMME“ gem. der jeweils aktuellen Leistungsbeschreibung und AGB.
Der Wechsel des bestehenden Unterauftragnehmers ist zulässig, soweit:
- der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
- der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
- eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform).
Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
7. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO.
Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
8. Mitteilung bei Verstößen des Auftragnehmers
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden
c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
9. Weisungsbefugnis des Auftraggebers
Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
10. Löschung und Rückgabe von personenbezogenen Daten
Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
Anlage 1 - Technische und organisatorische Maßnahmen
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen, zum Beispiel:
- Persönlich vor Ort,
- Im Rahmen der Durchführung eines Audits durch einen externen Beauftragten,
- Durch Vorlage von externen Prüfergebnissen/Zertifizierungen durch den Auftragnehmer,
- Oder durch Prüfung vorgelegter Unterlagen zu der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen
Vertraulichkeit (Art. 32 Abs. 1 lit.b DSGVO)
Unbefugten ist der räumliche Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Es existieren beim Auftragnehmer folgende Maßnahmen zur Zutrittskontrolle:
- ZKA mit Ausweisleser und Registriereinrichtung
- Einbruchmeldeanlage
- Sicherheitsschlösser
Es ist zu verhindern, dass Datenverarbeitungssysteme von unbefugten Personen genutzt werden können.
Es existieren beim Auftragnehmer folgende Maßnahmen zur Zugangskontrolle:
- Zentralisierte Kennwortvergabe (Active Directory)
- Kennwortrichtlinie nach BSI
- Regelung der Benutzerberechtigung
- Automatische Sperre der Arbeitsstationen
- Einsatz von Antivirensoftware
- Einsatz einer Firewall
- Einsatz von VPN Technologie
- Einsatz von Citrix Anwendungen
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Personenbezogene Daten dürfen bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert, oder entfernt werden können.
Es existieren beim Auftragnehmer folgende Maßnahmen zur Zugriffskontrolle:
- Regelung der Zugriffsberechtigung durch Benutzergruppe
- Identifizierung durch Benutzername und Kennwort
- Archivierung der digitalen Daten im Tresor
- Einsatz von Aktenvernichtern
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
Es existieren folgende Maßnahmen zur Auftragskontrolle:
- Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO
- Geheimhaltungsvereinbarung mit unseren Mitarbeitern
- Eigenkontrolle durch Datenschutzbeauftragten
- Verpflichtung der Mitarbeiter auf Datengeheimnis
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können
Es existieren folgende Maßnahmen zur Verwendungskontrolle:
- Mandantentrennung
- Eingrenzung der Benutzerberechtigungen bei bestimmten Mandaten
- Festlegung von Datenbankrechten
Integrität (Art. 32 Abs. 1 lit.b DSGVO)
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es ist weiterhin zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Es existieren folgende Maßnahmen zur Weitergabekontrolle
- Abgesicherte Kommunikation zwischen Standorten (Verschlüsselung)
- E-Mail Verschlüsselung
- Schutz der Daten durch Berechtigungsstrukturen
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Es existieren folgende Maßnahmen zur Eingabekontrolle:
- Eingabe nur mit eigenen Benutzerdaten möglich
- Nachvollziehbarkeit von Eingabe, Änderung, Löschung von Daten durch individuelle Benutzernamen
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzeptes
- Protokollierung der Eingaben mit Benutzerkennung
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit.b DSGVO)
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind
Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle:
- Absicherung der Komponenten durch USV
- Geräte zur Überwachung von Temperatur im Serverraum
- Feuer- und Rauchmeldeanlage
- Klimaanlage im Serverraum
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit.c DSGVO)
Es ist zu gewährleisten, dass die gesicherten Datenbestände bei Beschädigung oder Verlust wiederhergestellt werden können.
Es existieren folgende Maßnahmen zur raschen Wiederherstellbarkeit:
- Sicherung der Daten auf Band
- Vorhaltung des aktuellsten Bandes außerhalb des Hauses
- Sicherung mittels Volumenschattenkopien
