Allgemeine Geschäftsbedingungen der LearnBase GmbH
Diese Allgemeinen Geschäftsbedingungen (AGB) sind die Grundlage für alle gegenwärtigen und zukünftigen Geschäfts- und Vertragsbeziehungen zwischen der LearnBase GmbH („LearnBase“ oder „wir/uns“) und ihren Vertragspartnern („Auftraggebern“).
LearnBase GmbH
Roscherstraße 7
30161 Hannover
Telefon: +49 511 330 603 0
E-Mail: info@learnbase.de
Anwendungs- und Geltungsbereich
- Diese AGB gelten für alle Leistungen und Lieferungen („Leistungen“) die wir gegenüber unseren Auftraggebern erbringen; sie gelten in der jeweils bei Vertragsschluss aktuellen Fassung.
- Unsere Leistungen richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB; mit privaten Endverbrauchern werden keine Verträge geschlossen; der Auftraggeber hat auf Aufforderung entsprechende Nachweise für seine Unternehmereigenschaft zu erbringen.
- Aufträge an uns, und Vertragsänderungen oder -ergänzungen sowie Nebenabreden bedürfen der Schriftform; sollten Bestimmungen vom individuellen Angebot abweichen, ist das Individualangebot vorrangig.
- Abweichende oder ergänzende Geschäftsbedingungen des Auftraggebers werden nicht Vertragsbestandteil, es sei denn, wir stimmen deren Geltung ausdrücklich zu.
- Etwaige Änderungen dieser AGB werden schriftlich, per Telefax oder per E-Mail mitgeteilt; wird einer Änderung nicht innerhalb von vier Wochen nach Zugang der Mitteilung widersprochen, gelten die Änderungen als anerkannt, wobei auf Widerspruchsrecht und Rechtsfolgen des Schweigens ggf. noch gesondert hingewiesen wird.
Allgemeine Bestimmungen
- Die Angebote und allgemeinen Darstellungen der Leistungen von LearnBase (z.B. Website, Online-Shop oder Werbebroschüren) sind unverbindlich und nicht als Garantie oder Zusicherung einer Eigenschaft zu verstehen; Aussagen zum Leistungsgegenstand sind nur dann Garantien oder Zusicherungen im Rechtssinne, wenn sie schriftlich erfolgen und als „Garantie“ oder „Zusicherung“ bezeichnet sind.
- Soweit nicht ausdrücklich vereinbart, ist seitens LearnBase bei der Erbringung der vereinbarten Leistungen kein bestimmter Erfolg, sondern lediglich eine Leistung mittlerer Art und Güte geschuldet.
- Sollten ausnahmsweise Leistungen erbracht werden oder Leistungen dahingehend ausgelegt werden, dass ein bestimmter Erfolg geschuldet wird, hat der Auftraggeber unverzüglich nach Fertigstellung des jeweiligen Werkes dieses zu untersuchen und etwaige Mängel zu rügen; das Werk gilt als abgenommen, wenn innerhalb von sieben Arbeitstagen keine ausdrücklichen Beanstandungen erfolgen.
- Wir erbringen sämtliche Leistungen grundsätzlich innerhalb unserer jeweiligen Geschäftszeiten, selbst oder durch Dritte, und sind zu Teilleistungen berechtigt, sofern deren Entgegennahme für den Auftraggeber nicht mit unverhältnismäßigen Aufwendungen verbunden und der Nutzen der Leistung nicht wesentlich eingeschränkt ist.
- Unsere Leistungen stellen wir bei Vergütung nach Aufwand monatlich, bei einer Vergütung nach Festpreis gemäß der vereinbarten Staffelung
(„Zahlungsplan“) und/oder, soweit kein Zahlungsplan vereinbart ist, mit Abschluss der Leistungserbringung, in Rechnung; die vereinbarte Vergütung wird, soweit nicht anderweitig bestimmt, fällig mit Zugang der Rechnung und ist ohne Abzug innerhalb von 14 Arbeitstagen per Banküberweisung zahlbar. - Aufrechnung mit nicht anerkannten oder nicht rechtskräftig festgestellten Forderungen des Auftraggebers ist ausgeschlossen; dies gilt auch für ein Zurückbehaltungsrecht wegen solcher Forderungen, soweit die Ansprüche nicht auf demselben Vertragsverhältnis beruhen.
- Alle Leistungen bleiben unser (geistiges) Eigentum bis unsere gegenwärtigen sowie zukünftigen Ansprüche gegen den Auftraggeber, soweit sie mit den Leistungen in Zusammenhang stehen, erfüllt sind; Nutzungsrechte an Inhalten sind bei Zahlungsverzug widerrufbar.
Termine und Ausführungsfristen
- Die von LearnBase im jeweiligen Auftragsangebot benannten Liefer- und Leistungstermine sowie Ausführungsfristen sind freibleibend, es sei denn, sie sind ausdrücklich als verbindlich bezeichnet; sofern kein Termin bzw. keine Frist bestimmt ist, erbringen wir unsere Leistung innerhalb eines angemessenen Zeitraumes.
- Termine und Ausführungsfristen stehen unter dem Vorbehalt vollständiger und rechtzeitiger Selbstbelieferung von LearnBase.
- Änderungen oder Ergänzungen von Leistungen nach Vertragsschluss führen zu entsprechend aufwandsbedingten Verschiebung des Leistungstermines bzw. Verlängerung der Ausführungsfrist sowie damit verbundenem erhöhten Kostenaufwand.
Vergütung, Preisanpassung und Dienstreisen
- LearnBase berechnet (Teil-)Leistungen nach den im Vertrag oder Angebot genannten Stunden- bzw. Tagessätzen, im Übrigen gemäß unserer im Zeitpunkt des Vertragsschlusses geltenden Preisliste, wobei alle Kostensätze grundsätzlich als Nettopreise (zzgl. Umsatzsteuer) zu verstehen sind; wir erfassen den jeweiligen Zeitaufwand und führen entsprechende Aufzeichnungen („Tätigkeitsnachweise“).
- Im Angebot enthaltene Aufwandsberechnungen sind unverbindlich, sofern nicht ausdrücklich ein Festpreis bzw. verbindlicher Höchstbetrag bezeichnet ist; vereinbarte Festpreise decken allein die im Angebot für jenen Festpreis aufgeführten bzw. sonst wie unter Bezugnahme auf den Festpreis vertraglich vereinbarten Leistungen ab.
- LearnBase behält sich vor, die jeweiligen Preise für Angebote und Dienstleistungen mit einer Anzeigefrist von einem Monat bei besonderen Fällen (wie gesetzliche oder behördliche Vorgaben) während der Vertragslaufzeit je Kostenfaktoren in angemessener Weise nach billigem Ermessen (§ 315 BGB) unter Begründung anzupassen.
- Gründe einer Preisanpassung sind ggf. insgesamt erhöhte Markt- oder Betriebskosten; bei Preiserhöhungen von mehr als 10% hat der Auftraggeber ein Sonderkündigungsrecht, das mit Monatsfrist nach Zugang der Preisanzeige zum Monatsende schriftlich auszuüben ist.
- Für alle zur vertragsgemäßen Leistungserbringung erforderlichen und/oder vom Auftraggeber gewünschten Reisen der Mitarbeitenden von LearnBase („Dienstreisen“) berechnen wir pro Kilometer 0,95 Euro inkl. Reisezeit unabhängig vom gewählten Verkehrsmittel, Tagesspesen nach den jeweils geltenden steuerlichen Höchstsätzen sowie Kosten für Übernachtungen oder sonstige Auslagen, unter Nachweis der entstandenen Kosten, in voller Höhe; Dienstreisen werden, soweit nicht anderweitig bestimmt, im Reise- oder Folgemonat in Rechnung gestellt.
Mitwirkung des Auftraggebers
- LearnBase wird bei der Erbringung der vertraglich vereinbarten Leistungen durch den Auftraggeber unterstützt („Mitwirkung“), der im Rahmen seiner Mitwirkungspflichten sicherstellt, dass in seinem Verantwortungsbereich alle Voraussetzungen zur ordnungsgemäßen Vertragsdurchführung rechtzeitig und für uns kostenfrei erfüllt werden, soweit dies nicht gegen Rechtsvorschriften verstößt.
- Der Auftraggeber benennt uns hierfür mindestens einen Ansprechpartner und stellt uns alle Kontaktdaten des Ansprechpartners zur Verfügung; einen Wechsel des Ansprechpartners hat der Auftraggeber unverzüglich gegenüber LearnBase anzuzeigen.
- Insbesondere wird der Auftraggeber uns oder unseren Erfüllungsgehilfen, soweit zumutbar und zur vertragsgemäßen Leistungserbringung erforderlich, rechtzeitig sämtliche benötigten Informationen und Unterlagen übermitteln und die notwendige Infrastruktur am Erfüllungsort zur Verfügung stellen sowie seine Mitarbeitenden zur Zusammenarbeit mit uns anhalten; weitere Mitwirkungspflichten des Auftraggebers sind ggf. in dem jeweiligen Vertrag bestimmt.
- Soweit besondere gesetzliche, behördliche oder betriebliche Sicherheitsbestimmungen zu befolgen sind, weist der Auftraggeber daraufhin und stellt uns jene Bestimmungen rechtzeitig vor Beginn der Leistungserbringung zur Verfügung.
- Kommt der Auftraggeber seinen Mitwirkungspflichten nicht nach, so gehen etwaige (Termin-)Verzögerungen sowie Schäden zu dessen Lasten und LearnBase hat diese in keiner Weise zu vertreten.
- Die von LearnBase zur Verfügung gestellten Schulungsinhalte können durch den Auftraggeber inhaltlich angepasst werden. Im Falle einer Änderung durch andere Stellen als LearnBase übernimmt LearnBase keine Gewährleistung für die inhaltliche Richtigkeit und Aktualität.
Beistellungen des Auftraggebers
- Mit LearnBase vereinbarte technische Spezifikationen, wie z.B. Texte, Grafiken oder vergleichbare Inhalte, („Beistellungen“) erbringt der Auftraggeber jeweils rechtzeitig, kostenfrei sowie in zur vertragsgemäßen Leistungserbringung erforderlichen Qualität und Form.
- Für Beistellungen ist der Auftraggeber verantwortlich; insbesondere dafür, dass diese im Einklang mit dem geltenden Recht sind.
- Soweit Beistellungen urheberrechtlich oder über andere Schutzvorschriften geschützt sind, gewährt der Auftraggeber uns das auf die Vertragsdauer befristete, nicht ausschließliche Recht, dessen Beistellungen im Rahmen der vertraglichen Vereinbarungen zu nutzen; im Übrigen verbleiben sämtliche Rechte bei dem Auftraggeber.
- Der Auftraggeber sichert insofern zu, über die erforderlichen Nutzungsrechte zu verfügen und stellt uns von Forderungen durch Dritte frei, welche auf der Verletzung von Drittrechten beruhen.
Schutz- und Urheberrrechte
- LearnBase behält sich die Urheberrechte an den von ihr oder ihren Erfüllungsgehilfen erstellten Unterlagen und Ergebnissen, Bild- und Tonaufnahmen oder sonstigen Inhalten ausdrücklich vor; Inhalte oder Teile davon sind nicht zu vervielfältigen, zu verbreiten oder öffentlich zu machen, es sei denn, wir stimmen ausdrücklich zu.
- Ohne unsere schriftlich erteilte Einwilligung ist der Name und das Logo von LearnBase nicht zur weiteren Nutzung (z.B. werbend auf der eigenen Website) einzusetzen; ausgenommen hiervon sind durch LearnBase ausgestellte befristete Zertifizierungen.
Beschränkung der Beratungs- und Prüfpflichten
- Die Beratungs- und Prüfpflichten von LearnBase reichen zunächst – vor allem in technischer und rechtlicher Hinsicht – nur so weit, wie es Ausbildungs- und Qualifikationsstand, finanzielles und zeitliches Budget sowie gesetzliche Vorgaben erwarten lassen.
- Wenn bestimmte Aufgabenstellungen eine Prüfung durch besonders qualifizierte Fachkundige erforderlich machen, weisen wir den Auftraggeber unverzüglich darauf hin; in solchen Fällen stimmen die Parteien ein weiteres Vorgehen gemeinsam ab und der Auftraggeber trägt die Kosten für den zusätzlichen Beratungsaufwand.
Haftung und Gewährleistung
- LearnBase haftet in ihrem Verantwortungsbereich für Sachschäden grundsätzlich bei Vorsatz oder grober Fahrlässigkeit.
- Eine Haftung für leichte Fahrlässigkeit ist ausgeschlossen, insofern und -soweit nicht eine wesentliche Vertragspflicht verletzt ist; dann ist die Haftung auf vertragstypisch vorhersehbare Schäden und der Höhe nach pro Schadensfall auf 500.000,- Euro sowie insgesamt auf höchstens 2.000.000,- Euro („Haftungsbeträge“) begrenzt.
- Wir gehen davon aus, dass diese Haftungsbeträge der Höhe nach ausreichend sind, um im Schadensfall den vertragstypisch vorhersehbaren Schaden vollumfänglich abzudecken; sollte dem Auftraggeber dies als unzureichend erscheinen, weist er uns darauf hin, damit ein ggf. erhöhtes Haftungsrisiko versichert werden kann.
- Die Haftung für einen Datenverlust ist, soweit nicht anderweitig bestimmt, auf den jeweiligen Wiederherstellungsaufwand mit üblichen Sicherungskopien des Auftraggebers, d.h. der regelmäßigen technischen Datensicherung („Backups“) beschränkt.
- Alle Haftungsbeschränkungen gelten für die gesetzlichen Vertreter und Erfüllungsgehilfen von LearnBase gleichermaßen.
- Wir räumen dem Auftraggeber uneingeschränkte gesetzliche Gewährleistungsrechte ein; offensichtliche Mängel sind innerhalb von 10 Arbeitstagen nach Erhalt der Leistung schriftlich zu rügen.
- Unsere Leistungen werden sorgfältig und gewissenhaft vorbereitet, nach den neuesten Erkenntnissen und auf aktuellem Stand erbracht; deren inhaltliche Vollständigkeit sowie technische Fehlerfreiheit wird ausdrücklich nicht zugesichert.
Höhere Gewalt
- Ereignisse, welche LearnBase, ihre gesetzlichen Vertreter und deren Erfüllungsgehilfen nicht zu vertreten haben („höhere Gewalt“), befreien uns für die Dauer ihres Vorliegens von der Erfüllung der durch jene Ereignisse erschwerten oder unmöglich gewordenen vertraglich übernommenen Leistungspflicht.
- Dies gilt insbesondere für nicht zu vertretene technische Ereignisse außerhalb des Einflussbereiches von LearnBase, wie Unterbrechung der Energieversorgung, Nichtfunktion der Telekommunikation oder vergleichbare technische Hindernisse und deren Folgen.
Vertraulichkeit und Datenschutz
- Beide Vertragsparteien sind zur vertraulichen Behandlung aller Betriebs- und Geschäftsgeheimnisse der jeweils anderen Vertragspartei verpflichtet, welche sie im Rahmen der Vertragsdurchführung erlangen („Vertrauliche Informationen“).
- Keine vertraulichen Informationen sind solche Informationen über technische Verfahren, Produkte und/oder Dienstleistungen, die von der betreffenden Vertragspartei allgemein veröffentlicht sind oder öffentlich zugängliche Erkenntnisse darstellen.
- LearnBase trifft in ihrem Verantwortungsbereich alle erforderlichen Maßnahmen, um die Einhaltung der Vorschriften der geltenden Datenschutzgesetze zu wahren und sicherzustellen.
- Alle Mitarbeitenden, gesetzlichen Vertreter und Erfüllungsgehilfen von LearnBase sind sowohl auf Geheimhaltung und Vertraulichkeit verpflichtet.
- Sofern sich LearnBase zur Erbringung der Vertragsleistung Dritter bedient, sind wir berechtigt, vertrauliche Informationen und Auftraggeberdaten gegenüber jenen Dritten unter Verpflichtung auf vertraulichen Umgang offenzulegen, insofern dies für die vertragsgemäße Leistungserbringung zwingend erforderlich ist.
- Soweit LearnBase aufgrund gesetzlicher Bestimmungen dazu verpflichtet ist, sind wir zur Offenlegung von vertraulichen Informationen und Auftraggeberdaten berechtigt.
- Ergänzend wird auf unsere Datenschutzerklärung verwiesen.
- Als Auftragsverarbeiter verarbeitet LearnBase solche personenbezogenen Daten, die durch den Kunden innerhalb der LearnBase Angebote verarbetet werden und die sich nicht auf den Kunden selbst beziehen. Für diese Verarbeitung personenbezogener Daten im Auftrag gilt der LearnBase-Auftragverarbeitungsvertrag, der als Annex 1 Bestandteil dieser Bedingungen ist und hiermit vereinbart wird.
Elektronische Kommunikation
- Die Kommunikation zwischen LearnBase und dem Auftraggeber erfolgt vorwiegend elektronisch – soweit vom Auftraggeber nicht ausdrücklich eine dem Stand der Technik entsprechende Verschlüsselung gewünscht ist – auch über unverschlüsselte E-Mails; der Auftraggeber ist sich dabei bewusst, dass diese nur eine eingeschränkte Sicherheit und Vertraulichkeit bieten.
- Der Auftraggeber hat unabhängig vom Vorhandensein einer E-Mail-Verschlüsselung sicherzustellen, dass die von ihm angegebene E-Mail-Adresse zutreffend ist und unter dieser Adresse die von uns versandten E-Mails – auch beim Einsatz von Spam-Filtern – empfangen werden können und widmet sein angegebenes E-Mail-Postfach ausdrücklich dem Empfang rechtsgeschäftlicher Erklärungen.
Vertragsbedingungen und Vertragsabwicklung
- LearnBase ist berechtigt, das Vertragsverhältnis ggf. außerordentlich und fristlos zu kündigen, wenn über das Vermögen des Auftraggebers ein Insolvenzverfahren oder ein anderes der Schuldenregulierung dienendes (außer-)gerichtliches Verfahren eingeleitet ist, die Zugangsmöglichkeiten zur SaaS-Lösung übertragen oder die Zugangsdaten ohne vorherige Zustimmung von uns Dritten zugänglich gemacht wurden, oder der Auftraggeber seinen Verpflichtungen aus dem Vertragsverhältnis im Übrigen verletzt hat und trotz Fristsetzung die Vertragsverletzung nicht einstellt oder Maßnahmen nachweist, die geeignet sind, eine Wiederholung auszuschließen.
- Nach Beendigung des Vertragsverhältnisses händigt LearnBase – auf Aufforderung – die im Rahmen der Vertragsdurchführung erstellten Datenbanken spätestens nach vier Wochen wahlweise über Datenfernübertragung oder auf Datenträgern an den Auftraggeber oder von ihm benannte Dritte aus; nach bestätigt erfolgreicher Datenübergabe löscht LearnBase sämtliche Daten und vernichtet etwaige Kopien innerhalb einer angemessenen Frist, sofern keine gesetzliche Frist zur Aufbewahrung besteht, und bietet bei Sonderbeauftragung weitergehende Support-Leistungen für die Migration der Daten an.
Bestimmungen für Software-as-a-Service (SaaS)
Ergänzend gelten für Dienstleistungen durch Software-as-a-Service („SaaS-Lösung“) auch folgende besonderen Geschäftsbedingungen.
Vertragsgegenstand, Wartung und Unterstützung
- LearnBase bietet Software-Lösungen zur Unterstützung von Geschäftsvorgängen zur Nutzung über das Internet als Webapplikation (SaaS-Lösung) an; der Funktionsumfang der SaaS-Lösung und Anforderungen an die Hardware- und Softwareumgebung des Auftraggebers, ergeben sich jeweils aus Angebot und Leistungsbeschreibung und eine Überlassung zur lokalen Installation ist nicht möglich.
- Die Software wird dem Auftraggeber für die im Angebot bestimmte Zeit zur Nutzung zur Verfügung gestellt; LearnBase räumt dem Auftraggeber daher für die vereinbarte Nutzungsdauer ein einfaches, nicht übertragbares, zeitlich auf die Vertragsdauer beschränktes und inhaltlich auf die vertragsgemäße Nutzung der Software beschränktes Nutzungsrecht an der Software ein.
- Leistungsübergabepunkt ist der Internetanschluss bzw. Router-Ausgang des von uns genutzten Rechenzentrums; für die eigene Anbindung an das Internet ist der Auftraggeber selbst verantwortlich.
- Als Bestandteil der SaaS-Lösung wird Speicherplatz auf zentralen Servern zur Verfügung gestellt, auf die mit der Software erzeugten und verarbeiteten Daten für die Vertragsdauer gespeichert werden können, wobei die Archivierung nach gesetzlichen vorgesehenen Aufbewahrungsfristen im Leistungsumfang nicht enthalten ist; dem Auftraggeber steht, sofern nicht etwas anderes vereinbart ist, 1 GB Speicherplatz je 100 Nutzer zur Verfügung, und zudem bleibt es ihm frei, gegen zusätzliches Entgelt nach Bedarf weiteren Speicherplatz hinzu zu buchen, wobei sich der Preis nach dem Vertrag oder dem Angebot richtet.
- LearnBase gewährleistet eine Verfügbarkeit der Software von 95% im Jahresmittel; es gelten hierbei folgende Support-Zeiten: Geschäftszeit (Montag bis Freitag, von 09:00 Uhr bis 17:00 Uhr).
- Wartungsarbeiten werden in der Regel außerhalb der Geschäftszeiten durchgeführt; soweit aus unaufschiebbaren Gründen ausnahmsweise Wartungsarbeiten während der üblichen Geschäftszeiten erforderlich sind, so dass die Software in dieser Zeit nicht zur Verfügung steht, erfolgt nach Möglichkeit eine angemessene Information.
- Fehler sind vom Auftraggeber unverzüglich, mit genauer Beschreibung mindestens in Textform gemeldete Störungen, die zur Folge haben, dass die Beschaffenheit oder Funktionsfähigkeit von Angebot und Leistungsbeschreibung abweicht und sich dies auf die Gebrauchstauglichkeit der Software mehr als unwesentlich auswirkt, oder eine Korruption oder ein Verlust von Daten eintritt, welche mit der Software bearbeitet oder von dieser erzeugt werden; wenn eine solche Störung nicht reproduzierbar ist, gilt sie nicht als Fehler.
- Bei Fehlermeldungen bietet LearnBase innerhalb der Reaktionszeit der jeweiligen Fehlerklasse einen Vorschlag zur Behebung an, welcher die Darstellung der Ergebnisse der durchgeführten Analyse und der Auswirkungen auf andere Funktionalitäten (Kritikalität) sowie eine konkrete Vorgehensweise zur Fehlerbehebung umfasst; LearnBase ist berechtigt, solche Leistungen als gesonderte Beauftragung zu behandeln und zu den Nutzungsgebühren der SaaS-Lösung bzw. nach gültigen Leistungssätzen zu berechnen.
- Die Art und Weise der Fehlerbeseitigung erfolgt nach Wahl von LearnBase; diese kann z.B. durch Überlassung von Software, welche die überlassende Software ändert und/oder ergänzt (Patches) oder im Wege der Online-Hilfe erfolgen.
- LearnBase ist nicht verpflichtet Supportleistungen zu erbringen bei etwaigen Fehlern, die auf unzulässigen Veränderungen der SaaS-Lösung beruhen, für andere Software, bei Fehlern, die auf unsachgemäßer oder nicht autorisierter Nutzung der SaaS-Lösung oder auf Bedienungsfehlern beruhen, sofern die Bedienung nicht in Übereinstimmung mit der Leistungsbeschreibung vorgenommen ist; bei jeglichen Hardwaredefekten, bei Nutzung der SaaS-Lösung auf anderen als nach der Leistungsbeschreibung vereinbarten Endgeräten bzw. Systemen, oder in Form von Vor-Ort-Einsätzen, für einen Erfolg bei der Beseitigung von etwaigen Fehlern steht LearnBase nicht ein und übernimmt insoweit auch keine Garantie.
Fehlerklassen und Reaktionszeiten
- Fehler sind qualitativ zu unterscheiden in verschiedene Klassen:
Fehlerklasse 1: Ein produktiver Einsatz der Software ist nicht oder nur erheblich eingeschränkt möglich ist oder wesentliche Leistungsmerkmale werden verfehlt;
Fehlerklasse 2: Die Kernfunktionalität der Software ist gewährleistet, jedoch liegt ein wesentlicher Fehler in einem Teilmodul vor, der die Nutzung des Moduls ganz verhindert oder zumindest in erheblichem Maße einschränkt;
Fehlerklasse 3: Ein sonstiger Fehler liegt vor. - Als maßgeblich entsprechende Reaktionszeiten gilt grundsätzlich
1 Arbeitstag (24 Stunden) bei Fehlerklasse 1,
3 Arbeitstage bei Fehlerklasse 2, und
5 Arbeitstage bei Fehlerklasse 3. - Die Reaktionszeit beginnt zu laufen, wenn LearnBase die Fehlermeldung zu den Geschäftszeiten zugegangen ist; als Arbeitstage gelten Werktage – ausgenommen Samstage.
Rechte und Pflichten des Auftraggebers
- In Fällen nicht vertragsgemäßer Leistung sind wir zur Nacherfüllung berechtigt und verpflichtet; sollte eine Nacherfüllung auch nach Nachfristsetzung nicht erfolgen, ist eine Vertragsauflösung nur eröffnet, bei Vorliegen von Mängeln der Fehlerklasse 1 oder 2, wobei die Verjährungsfrist für Rechte bei Mängeln zwölf Monate beträgt.
- Für die Durchführung der Leistungen überträgt der Auftraggeber nur Daten oder Inhalte auf Server von LearnBase, die nicht gegen Rechtsvorschriften verstoßen und keine Schutz- oder Urheberrechte oder sonstige Drittrechte verletzen; es dürfen nur solche Daten oder Inhalte übermittelt werden, die frei von Computerviren oder anderem schädlichen Code sind, und keine Software, Techniken oder Verfahren verwendet werden, die geeignet sind, den Betrieb, die Sicherheit oder die Verfügbarkeit der SaaS-Lösung zu beeinträchtigen.
- Sollten Dritte gegenüber LearnBase eine etwaige Rechtsverletzung durch Daten oder Inhalte beanspruchen, die vom Auftraggeber auf die von uns bereitgestellten Datenspeicher übermittelt wurden, ist LearnBase berechtigt, diese Daten oder Inhalte vorläufig zu sperren, wenn die Rechtsverletzung schlüssig dargelegt ist; falls der Auftraggeber auf Aufforderung innerhalb einer angemessenen Frist nicht oder nicht genügend die Rechtmäßigkeit nachweist oder die Rechtsverletzung nicht einstellt, ist LearnBase unbeschadet und vorbehaltlich weiterer Rechte und Ansprüche berechtigt, das Vertragsverhältnis ohne Einhaltung einer Frist zu kündigen.
- Soweit eine Rechtsverletzung vom Auftraggeber zu vertreten ist, hat dieser auch den daraus entstehenden Schaden zu ersetzen und stellt LearnBase insoweit von etwaigen Drittansprüchen frei.
Leistungsänderungen und Übertragung
- LearnBase ist jederzeit berechtigt, die SaaS-Lösung teilweise oder insgesamt weiterzuentwickeln, zu verändern oder zu ergänzen, wobei vertragsbezogene erhebliche Veränderungen spätestens sechs Wochen vor ihrem Wirksamwerden per E-Mail angekündigt werden.
- Der Auftraggeber kann Änderungen mit Monatsfrist ab Zugang der Änderungsmitteilung schriftlich oder per E-Mail widersprechen, ansonsten werden die Änderungen auch Vertragsbestandteil; im Falle eines Widerspruchs sind wir berechtigt, das Vertragsverhältnis mit Monatsfrist zum Ende des Kalendermonats schriftlich zu kündigen.
- LearnBase ist berechtigt, mit einer Ankündigungsfrist von einem Monat ganz oder teilweise Rechte und Pflichten aus diesem Vertragsverhältnis auf Dritte zu übertragen; der Auftraggeber ist in dem Fall berechtigt, das Vertragsverhältnis innerhalb von zwei Wochen nach Anzeige der Vertragsübernahme ordentlich zu kündigen.
Bestimmungen für Schulungen, Seminare und Workshops
LearnBase führt Schulungen, Seminare und Workshops (Veranstaltungen) entsprechend der jeweiligen Veranstaltungsbeschreibung durch, ggf. an Veranstaltungsorten des Auftraggebers (Inhouse Seminar), in den Teilnehmendengebühren sind die Kosten für Referenten, Unterlagen, Lehr- und Lernmittel, Räumlichkeiten und Verpflegung (bei nicht Inhouse Seminaren), sowie für eine Teilnehmendenbescheinigung enthalten.
Anmeldung
Anmeldungen zu Veranstaltungen können bis zum Anmeldeschluss der Veranstaltung oder ggf. auch kurzfristig auf Nachfrage erfolgen; sie werden nach Eingangsdatum berücksichtigt
Stornierung
Eine kostenfreie Stornierung ist bis zum Anmeldeschluss möglich, bei einer Stornierung bis 10 Tage vor der geplanten Veranstaltung fallen 50% der Veranstaltungsgebühren an; bei einer Stornierung von weniger als 10 Tagen vor der geplanten Veranstaltung fallen die vollen Veranstaltungsgebühren an.
Teilnehmendendaten
Wir weisen ausdrücklich darauf hin, dass die Daten der Teilnehmenden entsprechend den Bestimmungen der geltenden Datenschutzgesetze nur zur Auftragserfüllung gespeichert und verarbeitet werden; es erfolgt keine Weitergabe an unberechtigte Dritte.
Veranstaltungsverlauf
Wir behalten uns vor, einzelne Veranstaltungen aus besonderen Gründen (bspw. zu geringe TN-Zahl) oder bei höherer Gewalt ohne Fristsetzung örtlich oder zeitlich zu verlegen oder abzusagen. Anmeldungen sind dann kostenfrei stornierbar.
Veranstaltungsupdates
Über Veränderungen zur organisatorischen Durchführung von einzelnen Veranstaltungen werden Teilnehmende rechtzeitig informiert; der aktuelle Stand der jeweiligen Veranstaltung kann auf unserer Website eingesehen werden.
Bestimmungen für unseren Webshop
Verkaufsablauf
- Der Kunde kann aus dem Sortiment des Anbieters Produkte und Dienstleistungen auswählen und diese über den Button „in den Warenkorb“ in einem so genannten Warenkorb sammeln. Über den Button „zur Kasse“ gibt er einen verbindlichen Antrag zum Kauf der im Warenkorb befindlichen Waren ab. Vor Abschicken der Bestellung kann der Kunde die Daten jederzeit ändern und einsehen. Der Antrag kann jedoch nur abgegeben und übermittelt werden, wenn der Kunde durch Anhaken des Kontrollkästchens „Ich habe die Allgemeinen Geschäftsbedingungen gelesen und erkenne sie hiermit an“ die Vertragsbedingungen akzeptiert und dadurch in seinen Antrag aufgenommen hat.
- Der Anbieter sendet dem Kunden eine Empfangsbestätigung per E-Mail, in welcher die Bestellung nochmals aufgeführt wird. Dies entspricht automatisch der Auftragsbestätigung seitens des Anbieters. Der Vertragstext wird unter Wahrung des Datenschutzes gespeichert.
- Der Vertragsschluss erfolgt in deutscher Sprache.
- Bei digitalen Gütern räumt der Verkäufer dem Kunden ein nicht ausschließliches, örtlich und zeitlich unbeschränktes Recht ein, die überlassenen digitalen Inhalte zu nutzen. Eine Weitergabe der Inhalte an Dritte, sowie eine Vervielfältigung für Dritte ist nicht gestattet, sofern nicht eine Erlaubnis des Verkäufers erteilt wurde.
Preise und Zahlungsmodalitäten
- Alle Preise, die im Webshop angegeben sind, verstehen sich einschließlich der jeweils gültigen Umsatzsteuer.
- Die Zahlung des Verkaufspreises ist mit Erhalt der Rechnung innerhalb von 14 Tagen fällig.
Versandbedingungen
- Digitale Güter werden dem Kunden in elektronischer Form entweder per Download oder per E-Mail zur Verfügung gestellt.
Schlussbestimmungen
- Erfüllungsort ist, soweit nicht anderweitig bestimmt, Hannover.
- Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit Verträgen, die unter Einbeziehung dieser AGB geschlossen wurden, ist das Amtsgericht bzw. das Landgericht Hannover.
- Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
- Sollten einzelne dieser Bestimmungen unwirksam sein, berührt dies nicht die Gültigkeit der Bestimmungen insgesamt.
Hannover, März 2023
Annex 1 – Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO (Datenschutzgrundverordnung)
Stand: 08-2024
§ 1 Vertragsgegenstand
- Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten (nachstehend „Daten“ genannt) durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung.
- Die Beauftragung durch den Auftraggeber wird durch einen oder mehrere Hauptverträge bestimmt. Dies können z.B. Dienstleistungsverträge oder beauftragte Angebote bzw. Leistungsbeschreibungen sein (nachstehend Hauptvertrag genannt).
- Die konkreten Verarbeitungstätigkeiten der Auftragsverarbeitung im Zusammenhang mit dem Hauptvertrag, insbesondere die Art der Daten, der Zweck der Datenerhebung, Datenverarbeitung und -nutzung, sowie der Kreis der Betroffenen sind in Anlage 1
- Dem Auftragnehmer bleibt es vorbehalten, die Daten zu anonymisieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen auch darin überein, dass anonymisierte Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrages gelten.
- Dieser AV-Vertrag bildet in Verbindung mit den jeweils erforderlichen Anlagen einen Einzel-AV-Vertrag pro Hauptvertrag. Gibt es mehrere Hauptverträge, kann es erforderlich sein, dass die Anlagen 1 bis 4 mehrfach bzw. pro Hauptvertrag ausgefüllt werden müssen.
- Fernwartung: Falls eine Fernprüfung/-wartung Teil eines Hauptvertrages ist und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, wird Anlage 5 Bestandteil des jeweiligen Einzel-AV-Vertrages.
- Kirchliche Datenschutzaufsicht: Wenn im Rahmen eines Hauptvertrages Daten einer verantwortlichen Stelle verarbeitet werden, die dem Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) unterliegen, wird Anlage 6 Bestandteil des jeweiligen Einzel-AV-Vertrages.
§ 2 Verantwortlichkeit
- Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen als Verantwortlicher der Verarbeitung im Sinne des Art. 4 Nr. 7 DSGVO allein verantwortlich. Dieses gilt insbesondere für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der Betroffenen nach den Art. 12 bis 22 DSGVO.
- Die Inhalte dieses AV-Vertrages gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen (IT-Systemen) im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
- Der Auftragnehmer ist für die Einhaltung der jeweils für ihn als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO einschlägigen Datenschutzvorschriften, insbesondere des Art. 28 DSGVO, verantwortlich.
- Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
§ 3 Weisungsbefugnis des Auftraggebers
- Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Ausgenommen hiervon sind Sachverhalte, in denen dem Auftragnehmer eine Verarbeitung aus zwingenden rechtlichen Gründen auferlegt wird. Der Auftragnehmer unterrichtet soweit ihm möglich in derartigen Situationen den Auftraggeber vor Beginn der Verarbeitung über die entsprechenden rechtlichen Anforderungen. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Die Weisungen sind vom Auftragnehmer, sowie vom Auftraggeber in schriftlicher Form oder in Textform zu dokumentieren.
- In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen bestätigt der Auftraggeber im Nachgang unverzüglich (mind. Textform). Die weisungsberechtigten Personen sind in Anlage 2 aufgeführt.
- Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
§ 4 Pflichten des Auftragnehmers
- Der Auftragnehmer verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – zu verarbeiten, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen der zuständigen Aufsichtsbehörde. Zur Unterstützung gehören:
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen. Diese Maßnahmen muss der Auftragnehmer auf Anfrage dem Auftraggeber und ggfs. den Aufsichtsbehörden gegenüber nachweisen;
- die Verpflichtung, Verstöße des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen oder weiterer vom Auftragnehmer beauftragter Auftragsverarbeiter gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder der im Vertrag getroffenen Festlegungen, unverzüglich an den Auftraggeber zu melden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informationspflichten gegenüber der jeweils zuständigen Aufsichtsbehörde bzw. den von einer Verletzung des Schutzes personenbezogener Daten Betroffenen nach Art. 33, 34 DSGVO;
- die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung, mit allen ihm zur Verfügung stehenden Informationen;
- die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen der Aufsichtsbehörde.
- Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten Befugten zur Vertraulichkeit und falls erforderlich auf das Fernmeldegeheimnis (§ 88 TKG) verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Hauptvertrages fort.
- Der Auftragnehmer verpflichtet sich, den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person zu unterstützen, ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen und Anfragen von Betroffenen unverzüglich an den Auftraggeber weiterzuleiten.
- Der Auftragnehmer selbst führt für die Verarbeitung ein Verzeichnis der bei ihm stattfindenden Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 2 DSGVO. Des Weiteren stellt er das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung. Auf Anfrage des Auftraggebers stellt der Auftragnehmer dem Auftraggeber alle Angaben zur Verfügung, die zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 1 DSGVO benötigt werden.
- Der Auftragnehmer verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung und setzt auch keine Mittel zur Verarbeitung ein, die nicht vom Auftraggeber zuvor genehmigt wurden. Legt der Auftragnehmer unter Verstoß gegen die DSGVO Zwecke und Mittel selbst fest, gilt er in Bezug auf die Verarbeitung als Verantwortlicher.
- Die Erhebung, Verarbeitung oder Nutzung von Daten auf privaten Endgeräten ist nicht gestattet.
- Eine Verarbeitung außerhalb der Räumlichkeiten des Auftragnehmers (z.B. im Homeoffice) ist zulässig. Die Sicherheit der Verarbeitung wird vom Auftragnehmer sichergestellt. Auf Verlangen stellt der Auftragnehmer dem Auftraggeber alle Informationen, insbesondere einen detaillierten Nachweis zur IT-Sicherheit und Richtlinien zur Arbeit im Homeoffice (z.B. Dienstanweisungen oder Betriebsvereinbarungen) zur Verfügung. Die Arbeit außerhalb der Räumlichkeiten des Auftragnehmers findet nicht statt, sofern gesetzliche Regelungen dies nicht zulassen.
- Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.
- Der Auftragnehmer verpflichtet sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu behandeln.
- Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer zu kontrollieren, zu dokumentieren und in geeigneter Weise gegenüber dem Auftraggeber auf Anforderung nachzuweisen.
§ 5 Technische und organisatorische Maßnahmen
- Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben (Anlage 3). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
- Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
- Das Schutzniveau wird anhand der Kriterien in Anlage 1 festgelegt
- Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind dem Auftraggeber rechtzeitig vorab in einer zur Überprüfung geeigneten Form mitzuteilen und zu dokumentieren.
§ 6 Qualitätssicherung und sonstige Pflichten des Auftragnehmers
- Der Auftragnehmer hat zusätzlich zur Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- Die Angaben hinsichtlich der Benennung eines Datenschutzbeauftragen (sofern erforderlich) oder eines Ansprechpartners für Fragen zum Datenschutz, siehe Anlage 2.
- Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
- Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
- Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 9 dieses Vertrages (Dokumentationspflicht, z.B. technische Einrichtung; alle Vertraulichkeitsverpflichtungen von Personen, die Daten verarbeiten; alle Auftragsverarbeitungsverträge der Unterauftragsverarbeitungsverhältnisse).
- Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
§ 7 Unterauftragsverhältnisse
- Der Auftraggeber stimmt der Beauftragung von Unterauftragnehmern nur unter den folgenden Bedingungen zu:
- Der Auftragnehmer nimmt keinen Unterauftragnehmer ohne vorherige schriftliche Information (mindestens Textform) des Auftraggebers in Anspruch. Dies gilt in gleicher Weise für den Fall, dass weitere Unterauftragsverhältnisse durch Unterauftragnehmer begründet werden. Der Auftragnehmer stellt sicher, dass eine entsprechende Information des Auftragsgebers für alle im Zusammenhang mit der vertragsgegenständlichen Verarbeitung eingesetzten weiteren Unterauftragnehmer erfolgt.
- Die nachfolgenden Regelungen finden sowohl für den Unterauftragnehmer als auch für alle in der Folge eingesetzten weiteren Unterauftragnehmer entsprechende Anwendung:
- Der Auftragnehmer informiert den Auftraggeber immer mindestens 2 Wochen vor der Auslagerung über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
- Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht. Hierbei muss jedoch jeder Unterauftragnehmer (verbundenes Unternehmen) vor Beauftragung dem Auftraggeber schriftlich angezeigt werden, sodass der Auftraggeber bei Vorliegen wichtiger Gründe die Beauftragung untersagen kann.
- Zum Zeitpunkt des Abschlusses dieser Vereinbarung sind die in der Anlage 4 aufgeführten Unternehmen als Unterauftragnehmer für Teilleistungen für den Auftragnehmer tätig und verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Daten des Auftraggebers. Für diese Unterauftragnehmer gilt die Zustimmung für das Tätigwerden als erteilt, sofern der Auftraggeber einer Beauftragung von Unterauftragnehmern allgemein zugestimmt hat.
- Der Auftragnehmer muss Unterauftragnehmer unter besonderer Berücksichtigung der Eignung hinsichtlich der Erfüllung der zwischen Auftraggeber und Auftragnehmer vereinbarten technischen und organisatorischen Maßnahmen gewissenhaft auswählen.
- Ist der Auftragnehmer im Sinne dieser Vereinbarung befugt, die Dienste eines Unterauftragnehmers in Anspruch zu nehmen, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, so werden diesem Unterauftragnehmer im Wege eines Vertrages dieselben Pflichten auferlegt, die in dieser Vereinbarung zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, insbesondere hinsichtlich der Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages sowie den beschriebenen Kontroll- und Überprüfungsrechten des Auftraggebers. Hierbei müssen ferner hinreichend Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Die Unterauftragnehmer sind in jedem Fall in der Anlage 4 aufzuführen.
- Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.
- Der Auftragnehmer ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
- Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.
§ 8 Kontrollrechte des Auftraggebers
- Der Auftraggeber hat den Auftragnehmer unter dem Aspekt ausgewählt, dass diese hinreichenden Garantien dafür bieten, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen einmal im Jahr durchzuführen oder im Einzelfall durch zu benennende Prüfer durchführen zu lassen. Weitere Überprüfungen durch den Auftraggeber erfolgen gegen eine Aufwandsentschädigung und nach Abstimmung mit dem Auftragnehmer, sofern der Grund nicht in einem Verdacht auf einen Datenschutzverstoß beruht.
- Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers überzeugen kann (Dokumentationspflicht, z.B. technische Einrichtung; alle Vertraulichkeitsverpflichtungen von Personen, die Daten verarbeiten; alle Auftragsverarbeitungsverträge von den Unterauftragsdatenverhältnissen). Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
- Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
- eine geeignete Zertifizierung des eingesetzten Informations-Sicherheits-Management-Systems (z. B. gem. ISO 27001).
§ 9 Berichtigung, Einschränkung und Löschung von Daten
- Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
- Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Daten-Portabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
- Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt und sind streng untersagt. Hierfür bedarf es einer vorherigen schriftlichen (mindestens Textform) Genehmigung des Auftraggebers. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
- Nach Abschluss der vertraglichen Arbeiten, oder früher nach Aufforderung durch den Auftraggeber, hat der Auftragnehmer
- sämtliche im Rahmen des Auftrags in seinen Besitz gelangte Unterlagen oder Datenträger,
- erstellte Verarbeitungsergebnisse,
- Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen
dem Auftraggeber auszuhändigen oder auf Anweisung des Auftraggebers datenschutzkonform zu löschen bzw. zu vernichten, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht. Gleiches gilt für alle Daten, die Betriebs- oder Geschäftsgeheimnisse des Auftraggebers beinhalten. Das Protokoll der Löschung ist auf Anforderung vorzulegen und mindestens 3 Jahre aufzubewahren.
- Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen, jedoch mindestens 3 Jahre, über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
- Sofern zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten entstehen, bedarf es einer vorherigen schriftlichen Vereinbarung (mindestens Textform) über die Kostentragung.
- Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung bzgl. einer Löschung nicht erforderlich, diese müssen gelöscht werden.
§ 10 Leistungsort
- Die konkreten Angaben zum Leistungsort sind in Anlage 1 festgelegt.
- Der Auftraggeber stimmt einer Verlagerung eines Ortes der Leistungserbringung innerhalb des Leistungslandes, für das eine Zustimmung besteht, zu, wenn dort nachweislich ein gleiches Sicherheitsniveau gegeben ist und keine für den Auftraggeber geltenden gesetzlichen Bestimmungen gegen diese Verlagerung sprechen. Die Nachweispflicht hierzu liegt bei dem Auftragnehmer.
- Bei einer Verlagerung des Ortes der Leistungserbringung in Länder, die Mitglied der EU/EWR sind und über ein diesem Vertrag genügendes und verifiziertes Datenschutzniveau verfügen, wird der Auftraggeber schriftlich informiert.
- Sofern der Auftragnehmer vom Auftraggeber nicht innerhalb einer Frist von vier Wochen nach Zugang der Mitteilung gemäß Abs. 3 über die Verlagerung über Gründe informiert wird, die eine Verlagerung nicht zulassen, gilt die Zustimmung zu dieser Verlagerung seitens des Auftraggebers als erteilt.
- Wenn der Auftragnehmer die geschuldeten Leistungen ganz oder teilweise von einem Standort außerhalb der EU/EWR in einem sog. sicheren „Drittstaat“ erbringen möchte bzw. die Leistungserbringung dorthin zu verlagern plant, wird der Auftragnehmer zuvor die schriftliche Zustimmung (mindestens Textform) durch den Auftraggeber einholen.
- Sofern die Leistungsverlagerung in ein anderes Land nach den vorstehenden Regelungen möglich ist, gilt dies entsprechend für jeglichen Zugriff bzw. jegliche Sicht auf die Daten durch den Auftragnehmer, z. B. im Rahmen von internen Kontrollen oder zu Zwecken der Entwicklung, der Durchführung von Tests, der Administration oder der Wartung.
- Sofern die Datenverarbeitung nach dieser Vereinbarung und den gesetzlichen Vorgaben zur Verarbeitung personenbezogener Daten im Auftrag bzw. zur Übermittlung personenbezogener Daten in das Ausland zulässig außerhalb Deutschlands erbracht werden darf, wird der Auftragnehmer für die Einhaltung und Umsetzung der gesetzlichen Erfordernisse zur Sicherstellung eines adäquaten Datenschutzniveaus bei Standortverlagerungen und bei grenzüberschreitendem Datenverkehr Sorge tragen.
§ 11 Zurückbehaltungsrecht
Die Einrede des Zurückbehaltungsrechts, gleich aus welchem Rechtsgrund, an den vertragsgegenständlichen Daten sowie an evtl. vorhandenen Datenträgern wird ausgeschlossen.
§ 12 Laufzeit und Kündigung
- Die Laufzeit des jeweiligen Einzel-AV-Vertrages richtet sich nach der Laufzeit des entsprechenden Hauptvertrages. Der Auftraggeber kann den Hauptvertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder bewusst und unbegründet nicht ausführen will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Dies gilt insbesondere bei der Nichteinhaltung der Pflichten aus Art. 28 DSGVO.
- Es ist den Vertragspartnern bewusst, dass ohne Vorliegen eines gültigen AV-Vertrages, z. B. bei Beendigung des Hauptvertrages, keine (weitere) Auftragsverarbeitung durchgeführt werden darf.
- Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform.
Anlage 1 - Gegenstand, Art, Zweck und Schutzniveau der betroffenen Daten
Art der Verarbeitung
Bereitstellung eines Systems für die Organisation und Durchführung von E-Learning-Veranstaltungen; Aus- und Weiterbildung von Mitarbeitern mit Hilfe elektronischer Systeme, E-Learning in der Erwachsenen- und Weiterbildung.
Art der Daten
Personenstammdaten, Kommunikationsdaten, Abteilungszugehörigkeit, Kursteilnahme, Bewertungen, IP-Adresse, Browserdaten, Logindaten
Zweck der Datenerhebung, – verarbeitung und -nutzung
E-Learning in der betrieblichen Weiterbildung (Qualifizierungsangebote)
Kreis der Betroffenen
Mitarbeitende, Anbieter von Schulungsinhalten, Referenten
Schutzniveau der Daten
Normal
Anlage 2 - Weisungsberechtigte und Ansprechpersonen
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung der schriftlichen Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt.
Zum Empfang von Weisungen betreffend die Auftragsdatenverarbeitung sind aufseiten des Auftragnehmers ausschließlich folgende Personen berechtigt:
Daniela Hörnicke, Geschäftsführung, +49 0511 330603-95, dh@learnbase.de
Carola Haake, Produktmanagement LearnBase, +49 511 330603-95, ch@learnbase.de
Beim Auftragnehmer ist folgende Person als Datenschutzbeauftragte/r bestellt:
Frank Boje, +49 511 330603-90, kontakt-dsb@althammer-kill.de
Anlage 3 - Technische und organisatorische Maßnahmen
für Standort: Hannover
I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1. Zutrittskontrolle (Räume und Gebäude)
Ziel: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gelagert werden.
- Der Zutritt zu den Geschäftsräumen des Auftragnehmers ist durch eine durchgängig geschlossene Eingangstür gesichert.
- Schlüssel zu dieser Tür werden nur an angestellte Mitarbeitende des Auftragnehmers und das beauftragte Reinigungspersonal ausgegeben.
- Die Eingangstür ist mit einem Sicherheitsschloss gesichert.
- Die Vergabe und Verwaltung von Schlüsseln liegen ausschließlich in der Hand der Buchhaltung.
- Ein nicht-überwachter Zugang zu den Büroräumlichkeiten des Auftragnehmers durch Fremdpersonal von Dienstleistern ist, abgesehen von dem Reinigungspersonal, nicht vorgesehen.
- Für die Büroräume gilt eine Clean-Desk-Policy, welche besagt, dass alle Unterlagen bei Verlassen des Arbeitsplatzes in verschlossenen Schränken unterzubringen sind. Entsprechende
- Schränke sind in allen Büroräumen vorhanden.
2. Zugangskontrolle (IT-Systeme u. Anwendungen)
Ziel: Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
- In den Geschäftsräumen des Auftragnehmers werden keine Serversysteme betrieben.
- Die internen Netzwerke und externen Serversysteme werden durch Firewalls geschützt.
- IT-Systeme werden funktionsbezogen unterteilt (bspw. getrennte E-Mail-Systeme, Dateiablage, Client-Systeme, funktionsbezogene Serversysteme…).
- Administrative Zugriffe sind auf den Personenkreis eingeschränkt, der zur Erfüllung seiner Aufgaben diese Zugriffe benötigt.
- Notebooks und Smartphones werden nur mit aktivierter Vollverschlüsselung an die Mitarbeitenden ausgegeben.
- Die eingesetzte Anti-Virus-Lösung wird stets aktuell gehalten und regelmäßig mit Updates versorgt.
- Alle Systeme werden mindestens mit einer Kombination aus Benutzernamen und Passwort geschützt. Für besonders sensible Systeme werden weitere Maßnahmen getroffen.
- Beim Verlassen des Arbeitsplatzes muss, auch bei kurzweiliger Abwesenheit, der Zugriff auf den Arbeitsplatzrechner gesperrt werden. Auf den Geräten, die an die Mitarbeitenden ausgegeben werden, ist eine automatische Sperrung nach fünf Minuten Inaktivität eingerichtet.
- Nach Austritt eines Mitarbeitenden erfolgt zeitnah eine Sperrung aller Accounts. In Fällen, in denen eine Sperrung nicht möglich ist, werden die entsprechenden Passwörter geändert.
- Für den sicheren Umgang mit komplexen Passwörtern können Mitarbeitende lokale Passwortdatenbanken nutzen. Die entsprechende Software wird vorkonfiguriert bereitgestellt.
- Alle Mitarbeitenden sind auf die Vertraulichkeit verpflichtet.
Spezielle Maßnahmen für Fernwartung
- Die Initiierung einer Verbindung für Fernzugriff auf die installierte Software findet nur nach manueller Freigabe durch berechtigte Mitarbeitende des Auftragnehmers statt. Für den Verbindungsaufbau wird ein dynamisch erzeugtes Kennwort genutzt, wodurch ein dauerhafter Zugriff unterbunden wird.
- Die eingesetzte Fernwartungssoftware wird regelmäßig aktualisiert und an den aktuellen Stand der Technik angepasst.
- Ein dauerhafter Zugriff für externe Dienstleister wird nicht umgesetzt.
3. Zugriffskontrolle (Auf Daten und Informationen)
Ziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten, personenbezogenen Daten Zugang haben.
- Die Anmeldung an Systemen, auf denen besonders sensible Daten gespeichert werden oder an Systemen, die für den Betrieb der Infrastruktur eine herausragend wichtige Rolle besitzen, ist nur in Form einer Public-/Private-Key Authentifizierung mit einem zusätzlichen Passwort möglich.
- Findet in Kundenprojekten ein regelmäßiger Austausch von Dokumenten oder anderen Dateien statt, so kann hierfür eine eigene Ende-zu-Ende verschlüsselte Austauschplattform eingerichtet werden. Auf das entsprechende Kundenprojekt haben nur die entsprechenden Projektverantwortlichen des Auftragnehmers und die Ansprechpartner auf Kundenseite Zugriff.
- Papierdokumente, für die kein Zweck zur Aufbewahrung vorliegt, werden zeitnah vernichtet. Dazu sind in den Büroräumen Aktenvernichter mit Partikelschnitt und eine Datentonne vorhanden.
4. Trennbarkeit
Ziel: Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können.
- Dokumente, die in Kundenprojekten bereitgestellt werden, können auf einer Ende-zu-Ende verschlüsselten Austauschplattform gespeichert werden. Diese Dateiablage kann durch Zugriffberechtigungen von anderen Projekten abgetrennt werden.
- Die eingesetzten Anwendungen nutzen ein gemeinsames Datenbanksystem, welches aber logisch auf zweckgebundene Datenbanken aufgeteilt wird.
- Das Customer-Relationship-Management wird auf einem eigenständigen System betrieben.
5. Pseudonymisierung
Ziel: Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
- Auswertungszwecke, die keinen direkten Personenbezug benötigen, werden nicht in pseudonymisierter, sondern in anonymisierter Form erfüllt. Eine Anonymisierung findet bei technischen Protokolldateien über Serverzugriffe statt, da hier lediglich eine Unterscheidung einzelner Benutzer notwendig ist, aber kein Personenbezug.
II. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
6. Weitergabekontrolle
Ziel: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.
- Eingehende E-Mails werden durch Spam- und Anti-Virus-Filter vor der Zustellung geprüft. Dadurch wird das Risiko einer unberechtigten Weitergabe durch einen Virenbefall minimiert.
- E-Mails werden elektronisch signiert und verschlüsselt. Für die Transportverschlüsselung wird TLS eingesetzt. Zusätzlich wird, je nach Möglichkeiten der empfangenden Gegenstelle, eine S/MIME-, PGP- oder WEBSAFE-Verschlüsselung für Inhalte eingesetzt.
- Die eingesetzte Anwendungssoftware wird möglichst so konfiguriert, dass keine personenbezogenen Daten an den Hersteller oder Drittfirmen übermittelt werden.
- Serversysteme kommunizieren untereinander nur verschlüsselt über ein geschütztes privates Netzwerk (VPN).
- Die Geräte, die an Mitarbeitende ausgegeben werden, werden mit ihrer Seriennummer in einer zentralen Bestandsliste verwaltet.
7. Eingabekontrolle
Ziel: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.
- Zur internen Dokumentation von Vorgängen und Projekten wird ein Ticketsystem verwendet. Dieses System protokolliert Änderungen an Konfigurationen und Inhalten, in einem Umfang, der eine Nachvollziehbarkeit ermöglicht.
- Zur Verwaltung von Kundenkontakten und -korrespondenz wird eine Software zum Customer-Relationship-Management (CRM) eingesetzt. Änderungen an personenbezogenen Daten werden in diesem System nachvollziehbar protokolliert.
III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
8. Verfügbarkeitskontrolle
Ziel: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
- Datenbanksysteme, die personenbezogene Daten enthalten werden in regelmäßigen Abständen gesichert. Die Frequenz der Sicherung richtet sich dabei nach den verfügbaren Systemressourcen. Aktuell werden Sicherungen alle fünf Stunden erstellt.
- Von diesen Sicherungen wird täglich eine Gesamtsicherung erstellt, welche auf ein externes Laufwerk übertragen wird. Dieses befindet sich in einem Rechenzentrum in einem gesonderten Brandabschnitt.
- Neben den Datenbanksicherungen werden täglich Gesamtsicherungen kritischer Systeme erstellt.
- Diese kritischen Systeme umfassen auch die Datenbanksysteme mit personenbezogenen Daten. Die so erstellten Sicherungen werden bei einem externen Anbieter gespeichert.
- Die Belastbarkeit der genutzten Systeme wurde der typischen zu erwartenden Last angepasst. Für exponierte System, auf die Kunden direkten Zugriff haben, wird eine Architektur mit einem vorgeschalteten Load-Balancer eingesetzt. Dieser verteilt die Last von Anfragen je nach Auslastung auf verschiedene Anwendungsserver. Bei dauerhaft hoher Auslastung können in wenigen Stunden zusätzliche Ressourcen bereitgestellt werden.
9. Wiederherstellbarkeit
Ziel: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
- Die Wiederherstellbarkeit der Datenbanksicherungen wurde exemplarisch getestet. Seit diesem Test wurde die Konfiguration nicht weiter angepasst.
- Die Sicherungen, die von Gesamtsystemen erstellt werden, sind Sicherungen virtualisierter Umgebungen. Diese sind standardisiert und können bei einem Systemausfall auch auf einem anderen System vollständig wiederhergestellt werden
IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
10. Leitlinie(n), Richtlinien, Arbeitsanweisungen und Sicherheitskonzepte
- Einbindung eines externen Datenschutzbeauftragten
- Administration über das 4-Augen-Prinzip
- Auswertung von Protokolldateien
11. Regelmäßige Kontrollen, Dokumentation und ggf. Optimierung
- Protokolldateien werden durch die Voreinstellungen nach Möglichkeit nur anonymisiert gespeichert und nach Wegfall des Speicherzwecks automatisch gelöscht.
- Konfigurierbare Übermittlungen von Daten an Softwarehersteller werden deaktiviert.
Anlage 4 - Unterauftragnehmer
Unterauftragnehmer 1
Hetzner Online GmbH
Leistungen: Hosting, RZ-Leistungen
Ort der Leistungserbringung: Gunzenhausen
Verantwortlicher: Geschäftsführung
Unterauftragnehmer 2
Microsoft Ireland Operations Ltd.
Leistungen: unterstützende Anwendungssofrtware
Ort der Leistungserbringung: Europa
Verantwortlicher: Geschäftsführung
Unterauftragnehmer 3
Jetbrains
Leistungen: Projektplanung und Durchführung, Tickettracking
Ort der Leistungserbringung: Europa
Verantwortlicher: Geschäftsführung
Anlage 5 - Fernwartung
Für die Durchführung von Fernzugriffen bei der Prüfung und/oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen oder bei Fernzugriffen für andere Dienstleistungen gelten ergänzend folgende Rechte/Pflichten des Auftraggebers/Auftragnehmers:
- Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten an Arbeitsplatzsystemen werden erst nach Freigabe durch den zuständigen, benannten Mitarbeitenden des Auftraggebers durchgeführt.
- Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten von automatisierten Verfahren oder von Datenverarbeitungsanlagen werden, sofern hierbei ein Zugriff auf personenbezogene Daten nicht sicher ausgeschlossen werden kann, ausschließlich mit Zustimmung des Auftraggebers ausgeführt.
- Die Mitarbeitenden des Auftragnehmers verwenden angemessene Identifizierungs- und Verschlüsselungsverfahren.
- Vor Durchführung von Fernzugriffen werden sich Auftraggeber und Auftragnehmer über etwaig notwendige Datensicherheitsmaßnahmen in ihren jeweiligen Verantwortungsbereichen verständigen.
- Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten werden dokumentiert und protokolliert. Der Auftraggeber ist berechtigt, Prüfungs- und Wartungsarbeiten vor, bei und nach Durchführung zu kontrollieren. Bei Fernzugriffen ist der Auftraggeber – soweit technisch möglich – berechtigt, diese von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen.
- Der Auftragnehmer wird von den ihm eingeräumten Zugriffsrechten auf automatisierte Verfahren oder von Datenverarbeitungsanlagen (insb. IT-Systeme, Anwendungen) des Auftraggebers nur in dem Umfang – auch in zeitlicher Hinsicht – Gebrauch machen, wie dies für die ordnungsgemäße Durchführung der beauftragten Wartungs- und Prüfungsarbeiten notwendig ist.
- Soweit bei der Leistungserbringung Tätigkeiten zur Fehleranalyse erforderlich sind, bei denen eine Kenntnisnahme (z. B. auch lesender Zugriff) oder ein Zugriff auf Wirkdaten (Produktions-/Echtdaten) des Auftraggebers notwendig ist, wird der Auftragnehmer die vorherige Freigabe des Auftraggebers einholen.
- Tätigkeiten zur Fehleranalyse, bei denen eine Übermittlung der Daten außerhalb des Zuständigkeitsbereiches des Verantwortlichen erforderlich ist, bedürfen der vorherigen Zustimmung des Auftraggebers. Bei Datenabzug der Daten wird der Auftragnehmer diese Kopien, unabhängig vom verwendeten Medium, nach Bereinigung des Fehlers löschen. Daten dürfen nur zum Zweck der Fehleranalyse und ausschließlich auf dem bereitgestellten Equipment des Auftraggebers oder auf solchem des Auftragnehmers verwendet werden, sofern die vorherige Zustimmung des Auftraggebers vorliegt. Daten dürfen nicht ohne Zustimmung des Auftraggebers auf mobile Speichermedien (PDAs, USB-Speichersticks oder ähnliche Geräte) kopiert werden.
- Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten sowie sämtliche in diesem Zusammenhang erforderlichen Tätigkeiten, insbesondere Tätigkeiten wie Löschen, Datentransfer oder eine Fehleranalyse, werden ausschließlich mit ausdrücklicher und dokumentierter Zustimmung des Auftraggebers und unter Berücksichtigung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten durchgeführt. In diesem Zusammenhang wird der Auftragnehmer die technischen und organisatorischen Maßnahmen wie im Anhang beschrieben ergreifen.
Anlage 6 - kirchliche Datenschutzaufsicht (DSG-EKD)
- Die Mitarbeitenden des Auftragnehmers verarbeiten bei der Ausübung ihrer Tätigkeit personenbezogene Daten eines Verantwortlichen, der dem Datenschutzgesetz der evangelischen Kirche Deutschland (DSG-EKD) unterliegt. Der Auftragnehmer unterwirft sich gemäß § 30 Absatz 5 Satz 3 DSG-EKD der kirchlichen Datenschutzaufsicht.
- Die Unterwerfung erstreckt sich auf die Aufgaben und Befugnisse der kirchlichen Datenschutzaufsicht nach §§ 43, 44 DSG-EKD.
- Sofern der Auftragnehmer autorisiert ist, Unterauftragnehmer in die Durchführung der Tätigkeit des Hauptvertrages einzubeziehen und diese im Rahmen ihrer Tätigkeit auf personenbezogene Daten einer verantwortlichen Stelle gemäß DSG-EKD zugreifen können, hat der Auftragnehmer dafür Sorge zu tragen, dass auch diese Unterauftragnehmer sich der kirchlichen Datenschutzaufsicht unterwerfen. Des Weiteren haben der Auftragnehmer und der Unterauftragnehmer gemäß Art. 28 Abs. 4 DSGVO dafür Sorge zu tragen, dass diese Unterwerfung auch bei etwaigen Unterbeauftragungen vereinbart wird.