Allgemeine Geschäfts- und Lizenzbedingungen für Unternehmen

der Lano Software GmbH, Rosenthaler Str. 13, 10119 Berlin, Deutschland (nachfolgend „Anbieter“ oder „Lano“).

Oktober 2019

§ 1   Geltungsbereich

  1. Diese Allgemeinen Geschäfts- und Lizenzbedingungen (nachfolgend „AGB“) in ihrer zum Zeitpunkt der Bestellung des Kunden geltenden Fassung regeln die Vertragsbeziehung zwischen dem Anbieter und Personen, die beim Anbieter Software und begleitende Dienstleistungen bestellen (nachfolgend „Kunden“). Der Anbieter und der Kunde werden jeweils als „Partei“ und gemeinsam als „Parteien“ bezeichnet.
  2. Der Kunde sichert zu, dass er als Unternehmer i.S.d. § 14 BGB in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Der Anbieter schließt keine Verträge mit Verbrauchern.
  3. Es bestehen keine mündlichen Nebenabreden zwischen den Parteien. Diese AGB gelten ausschließlich. Abweichende oder diesen AGB entgegenstehende Geschäftsbedingungen des Kunden finden keine Anwendung; dies gilt auch dann, wenn der Anbieter den Geschäftsbedingungen des Kunden nicht ausdrücklich widerspricht.

§ 2   Vertragsgegenstand

  1. Lano bietet seinen Kunden verschiedene Software as Service-Lösungen für das Freelancer Management an. Die von Lano angebotene Software-Lösungen unterstützen Unternehmen beim Onboarding, bei der Organisation und bei der Bezahlung von Freelancern, Partnerunternehmen und Dienstleistern.
  2. Zudem können Freelancer, Partnerunternehmen und Dienstleister die Freelancer-Version Software von Lano zum Auftragsmanagement, zur Rechnungsstellung und zur Kundenverwaltung nutzen. Für Freelancer und sonstige Dienstleister finden diese AGB keine Anwendung, vielmehr gelten für diese die Nutzungsbedingungen für Freelancer und Dienstleister.
  3. Gegenstand des Vertrags ist die Bereitstellung der von Lano angebotenen Software zur Nutzung ihrer Funktionalitäten (nachfolgend „Software“), die Bereitstellung von Speicherplatz für durch die Software erzeugten bzw. zur Nutzung der Software erforderlichen Daten (nachfolgend „Anwendungsdaten“) sowie je nach Lizenzmodell ggf. Supportleistungen durch den Anbieter gegenüber dem Kunden gegen Zahlung des vereinbarten Entgelts.
  4. Der Funktionsumfang der Software ergibt sich aus diesen AGB sowie dem gewählten Lizenzmodell (z.B. Starter, Premium, Enterprise) und der im Bestellprozess angegebenen Leistungsbeschreibung (abrufbar unter https://www.lano.io/de/preise/). Soweit sich aus diesen AGB, den Angaben zum Lizenzmodell oder der Leistungsbeschreibung nichts Abweichendes ergibt, ist der Anbieter nicht zu weitergehenden Unterstützungsleistungen hinsichtlich des Vertragsgenstandes verpflichtet. Eine solche kann – wenn nicht bereits erfolgt – jedoch jederzeit zwischen den Parteien vereinbart werden. Unabhängig von der konkreten individuellen Vereinbarung zwischen den Parteien, bleibt das Recht des Anbieters unberührt, die Software zu pflegen, aktualisieren und zu warten.

§ 3   Vertragsschluss

  1. Die in Katalogen, Anzeigen und Internetseiten enthaltenen Angaben sind freibleibend und unverbindlich und stellen kein Angebot des Anbieters dar.
  2. Die Bestellung des Kunden stellt ein Angebot an den Anbieter zum Abschluss eines Vertrags über die vom Kunden jeweils bestellte Software bzw. Dienstleistung dar.
  3. Wenn der Kunde eine Bestellung per Internet bzw. E-Mail oder auf sonstigem Weg abgibt, erhält er von dem Anbieter eine E-Mail, die den Eingang der Bestellung bestätigt und Einzelheiten zur Bestellung aufführt (Bestellbestätigung). Diese Bestellbestätigung stellt keine Annahme des Angebots des Kunden dar, sondern informiert diesen lediglich darüber, dass seine Bestellung beim Anbietereingegangen ist. Der Kunde ist 14 Tage ab Eingang seiner Bestellung beim Anbieter an diese Bestellung gebunden.
  4. Ein Vertrag zwischen dem Kunden und dem Anbieter über die jeweils bestellte Software oder Dienstleistung kommt erst dann zustande, wenn der Anbieter die Bestellung durch eine weitere E-Mail oder in anderer Art und Weise annimmt, beispielsweise dem Kunden Zugangsdaten zu der Software übermittelt. Der Anbieter behält sich vor, das Angebot des Kunden nur teilweise anzunehmen; über Software, die nicht in der Annahmeerklärung aufgeführt sind, kommt kein Vertrag zustande.

§ 4   Bereitstellung der Software und Hosting der Anwendungsdaten

  1. Der Anbieter hält spätestens im Laufe des nach Zustandekommen des Vertrages folgenden Werktags auf einer oder mehreren Servern die jeweils bestellte Software in der jeweils aktuellen Version zur Nutzung nach Maßgabe der nachfolgenden Regelungen bereit.
  2. Der Anbieter haftet dafür, dass die bereitgestellte Software für die sich aus der im Bestellprozess angezeigten Leistungsbeschreibung ergebenden Zwecke geeignet ist, während der gesamten Vertragslaufzeit frei von Mängeln ist, insb. frei von Viren und ähnlicher Schadsoftware ist, welche die Tauglichkeit der Software zum vertragsgemäßen Gebrauch aufheben. Soweit der Anbieter die Software von Dritten bezieht, muss er die letzte allgemein am Markt verfügbare Version der jeweiligen Software spätestens sechs Monate ab herstellerseitiger allgemeiner Marktfreigabe zur Nutzung durch den Kunden bereithalten. Soweit der Anbieter eine Software selbst herstellt, sorgt er dafür, dass die vom ihm hergestellte Software stets dem erprobten Stand der Technik entspricht.
  3. Mit der Annahme des Angebots übermittelt der Anbieter dem Kunden für den von ihm bei der Bestellung angegeben Nutzer per E-Mail einen Link, unter dem der Kunde ein Passwort festlegen kann. Der Kunde hat ein hinreichend sicheres und nur ihm bekanntes Kennwort zu wählen. Mit Hilfe seiner E-Mail-Adresse und dem vom Kunden gewählten Passwort kann sich der Kunde auf der Website von Lano zur Nutzung der Software als Administrator anmelden. Die Zugangsdaten einschließlich des Passwortes sind vom Kunden geheim zu halten und unbefugten Dritten nicht zugänglich zu machen.
  4. Falls nach dem gewählten Lizenzmodell vorgesehen, können weitere vom Kunden benannte Mitarbeiter und Freelancer Zugang zur Software erhalten. Dafür kann der Kunde als Administrator weitere Nutzerkonten selbst anlegen. Der Kunde kann dafür über den Administrationsbereich der Website Nutzereinladungen an von ihm angegebene E-Mail-Adressen versenden. Im Verlauf des Anmeldevorganges wird der eingeladen Nutzer gebeten, seine Anmeldeinformationen, Kontaktdaten und ein Passwort anzugeben. Mit diesen Daten kann sich der Nutzer nach der Freischaltung des Zuganges und der Bestätigung des Kunden im Nutzer- bzw. Freelancer-Bereich der Website anmelden. Die maximale Anzahl der Nutzerkonten, die der Nutzer anlegen darf, richtet sich nach den in Bestellprozess angegebenen Lizenzmodell. Die Nutzungs- und Zugriffsrechte der weiteren vom Kunden benannten Nutzer können im Administrationsbereich der Software beschränkt werden.
  5. Freelancer-Accounts i.S.d. Abs. 4 erlauben es den Freelancern und sonstigen Dienstleistern, über die Website von Lano die Auftragsbeziehungen zu mehreren Auftraggebern zu verwalten. Die Nutzung der Freelancer-Accounts durch Freelancer und sonstige Dienstleister ist nicht exklusiv auf einen Kunden bzw. Auftraggeber beschränkt.
  6. Der Kunde benötigt für den Zugriff auf die bereitgestellte Software eine Internetverbindung sowie einen aktuellen Browser der Typen Internet Explorer, Chrome oder Firefox. Eine Unterstützung anderer Browser sichert der Anbieter nicht zu. Ferner wird entsprechende Hardware benötigt (z.B. internetfähiges Endgerät), welche in der Lage ist, die vorbenannten Browser zu betreiben.
  7. Der Anbieter hält auf dem Server ab dem in 4 Abs. 1 vereinbarten Zeitpunkt der betriebsfähigen Bereitstellung für die Anwendungsdaten Speicherplatz zur Verfügung. Der Speicherplatz für die Anwendungsdaten ist grundsätzlich auf 500 GB beschränkt, soweit sich aufgrund des gewählten Lizenzmodell nichts anderes ergibt. Die Parteien können eine abweichende Regelung schriftlich vereinbaren.
  8. Der Kunde hat keinen Anspruch auf Überlassung eines bestimmten Servers zu seiner alleinigen Nutzung. Der Anbieter kann bei Trennung der Datenbestände der Kunden im Rahmen der Leistungsfähigkeit des Servers, diesen einer Vielzahl von Kunden gleichzeitig zur Nutzung überlassen.
  9. Die Software und die Anwendungsdaten werden auf dem Server regelmäßig, mindestens täglich, in Backups gesichert. Die Backups werden für 30 Kalendertage Für die Einhaltung handels- und steuerrechtlicher Aufbewahrungsfristen ist der Kunde verantwortlich.
  10. Der Kunde wird den Anbieter unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder Kennwörter des Kunden oder seiner Nutzer nicht berechtigten Personen bekannt geworden sein könnten.
  11. Sofern und soweit mit der Bereitstellung einer neuen Version oder einer Änderung eine Änderung von Funktionalitäten der Software, durch die Software unterstützten Arbeitsabläufen des Kunden und/oder Beschränkungen in der Verwendbarkeit bisher erzeugter Daten einhergehen, wird der Anbieter dies dem Kunden spätestens sechs Wochen vor dem Wirksamwerden einer solchen Änderung schriftlich ankündigen. Widerspricht der Kunde der Änderung nicht schriftlich innerhalb einer Frist von zwei Wochen ab Zugang der Änderungsmitteilung, wird die Änderung Vertragsbestandteil. Der Anbieter wird den Kunden bei jeder Ankündigung von Änderungen auf die vorgenannte Frist und die Rechtsfolgen ihres Verstreichens bei Nichtwahrnehmung der Widerspruchsmöglichkeit aufmerksam machen.
  12. Übergabepunkt für die Software und die Anwendungsdaten ist der Routerausgang der vom Anbieter eingesetzten Server.

§ 5   Verfügbarkeit der Software und Zugriff auf die Anwendungsdaten

  1. Der Anbieter schuldet während der Betriebszeit (Mo-Fr: 7-20 Uhr) eine Verfügbarkeit der Software am Übergabepunkt (Schnittstelle zum Internet des Servers, in dem die Software gehostet wird) von 98 % im Monatsmittel. Unter Verfügbarkeit verstehen die Parteien die Möglichkeit der vertragsgemäßen Nutzung der Software am Übergabepunkt.
  2. Die Software gilt auch als verfügbar bei
    • Störungen an von nicht von dem Anbieter oder seinen Erfüllungsgehilfen bereit zu stellenden Teilen der für die Ausführung der Software erforderlichen technischen Infrastruktur oder des Internets;
    • Störungen oder sonstigen Ereignissen, die nicht vom Anbieter oder einem seiner Erfüllungsgehilfen (mit‑) verursacht sind;
    • geplanten Nichtverfügbarkeiten im Sinne von Abs. 4;
    • unerheblichen Minderungen der Tauglichkeit der Software zum vertragsgemäßen Gebrauch.
  3. Der Anbieter stellt dem Kunden eine Website (https://lano.freshdesk.com/) für Support-Anfragen oder Fehlermeldungen zur Verfügung. Zudem ist der Anbieter über die auf seiner Website angegebenen Kontaktinformationen (E-Mail-Adressen und Telefonnummern) für Support-Anfragen oder Fehlermeldungen erreichbar. Anfragen und Fehlermeldungen werden während Arbeitstagen in Berlin zwischen 7 und 20 Uhr in der jeweiligen Dringlichkeit angemessener Frist bearbeitet.
  4. Der Anbieter ist berechtigt, zur Wartung, Pflege, Datensicherung und aufgrund sonstiger Arbeiten an der Software und/oder dem Server, eine geplanten Nichtverfügbarkeit der Software und/oder des Servers einzurichten. Eine solche geplante Nichtverfügbarkeit wird dem Kunden mit einer Frist von mindestens einer Woche angekündigt und sollte in der Regel zu nutzungsarmen Zeiten (Montag bis Freitag zwischen 20 und 6 Uhr sowie an Wochenenden und bundeseinheitlichen Feiertagen) erfolgen. Eine Vorankündigung durch den Anbieter ist bei dringend erforderlichen Arbeiten, z.B. zur Schließung von Sicherheitslücken oder zur Aufrechterhaltung der Funktionsfähigkeit, nicht erforderlich. Während der geplanten Nichtverfügbarkeit besteht kein Rechtsanspruch des Kunden zur Nutzung der Software und/oder des Servers. Nutzt der Kunde die Software und/oder den Server während der geplanten Nichtverfügbarkeit dennoch besteht für diesen kein Anspruch auf Mangelhaftung oder Schadensersatz, im Falle einer Leistungsreduzierung oder -einstellung.

§ 6   Weite Leistungen des Anbieters

  1. Dokumentation
    • Der Anbieter stellt dem Kunden online (z.B. unter https://lano.freshdesk.com/support/home) Informationen zur Verfügung, die es dem Kunden ermöglichen, die Software für die vertraglich vorgesehen Zwecke zu nutzen. Die Informationen werden einmal jährlich angepasst, sofern sich wesentliche Änderungen in der Nutzung der Software ergeben.
    • Sofern der Anbieter Software Dritter bereitstellt und von diesem Dritten keine Dokumentation in deutscher/englischer Sprache allgemein erhältlich ist, ist der Anbieter berechtigt, allein die ihm zugängliche Dokumentation zur Verfügung zu stellen.
    • Der Kunde ist berechtigt, die zur Verfügung gestellte Dokumentation unter Aufrechterhaltung vorhandener Schutzrechtsvermerke zu speichern, auszudrucken und für Zwecke dieses Vertrags in angemessener Anzahl zu vervielfältigen. Im Übrigen gelten die unter 7 für die Software vereinbarten Nutzungsbeschränkungen für die Dokumentation entsprechend.
  2. Der Anbieter überlässt dem Kunden auf dessen schriftlichen Wunsch gegen Zahlung eines angemessenen Entgelts zudem eine vollständige Kopie sämtlicher Anwendungsdaten.
  3. Weitere Leistungen des Anbieters können jederzeit in Textform (z.B. per E-Mail) vereinbart werden, insb. Schulungen zu der Anwendung. Solche weiteren Leistungen werden gegen Erstattung des nachgewiesenen Aufwands zu den im Zeitpunkt der Beauftragung allgemein geltenden Preisen des Anbieters erbracht.

§ 7   Nutzungsrechte an und Nutzung der Software, Rechte des Anbieters bei Überschreitung der Nutzungsbefugnisse

  1. Der Kunde erhält an der Software einfache, nicht unterlizenzierbare und nicht übertragbare, auf die Laufzeit dieses Vertrags beschränkte Nutzungsrechte nach Maßgabe der nachstehenden Regelungen.
  2. Einzelheiten zu den Nutzungsrechten ergeben sich aus den im Bestellprozess angezeigten Beschreibungen und dem gewählten Lizenzmodell, die als Ergänzung zu diesen AGB gelten.
  3. Nutzungsberechtigt sind der Kunde sowie, abhängig vom gewählten Lizenzmodell, Mitarbeiter der Kunden und nach § 4 Abs. 4 angemeldete und vom Kunden bestätige Nutzer. Erfolgt eine Nutzung durch mehr als die nach dem jeweiligen Lizenzmodell vereinbarte Nutzeranzahl, zahlt der Kunde eine pauschalierte monatliche Nutzungsgebühr von 1 EUR je Nutzer; weitere Ansprüche des Anbieters bei einer mengenmäßigen Mehrnutzung über die vereinbarte Nutzung hinaus bleiben unberührt.
  4. Das Nutzungsrecht des Kunden beschränkt sich auf den Zugang zu der Software auf dem Server. Eine physische Überlassung der Software an den Kunden erfolgt nicht. Der Kunde darf die Software nur für seine eigenen geschäftlichen Tätigkeiten nutzen.
  5. Der Kunde nicht berechtigt, Änderungen an der Software vorzunehmen. Dies gilt nicht für Änderungen, die für die Berichtigung von Fehlern notwendig sind, sofern der Anbieter sich mit der Behebung des Fehlers in Verzug befindet, die Fehlerbeseitigung ablehnt oder wegen der Eröffnung des Insolvenzverfahrens zur Fehlerbeseitigung außer Stande ist.
  6. Sofern der Anbieter während der Laufzeit neue Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf die Software vornimmt, gelten die vorstehenden Rechte auch für diese.
  7. Soweit Rechte, vorstehend nicht ausdrücklich dem Kunden eingeräumt werden, stehen diese dem Kunden nicht zu. Der Kunde ist insb. nicht berechtigt, die Software, einschließlich des Quellcodes, über die vereinbarte Nutzung hinaus zu nutzen oder von Dritten nutzen zu lassen oder die Software Dritten zugänglich zu machen. Insb. ist es nicht gestattet, die Software zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, insb. nicht zu vermieten oder zu verleihen. Der Kunde trifft die notwendigen Vorkehrungen, die Nutzung der Software durch Unbefugte zu verhindern.
  8. Der Kunde haftet dafür, dass die ihm von Anbieter zur Verfügung gestellte Website und Software nicht zu rassistischen, diskriminierenden, pornographischen, den Jugendschutz gefährdenden, politisch extremen oder sonst gesetzeswidrigen oder gegen behördliche Vorschriften oder Auflagen verstoßenden Zwecken verwendet oder entsprechende Daten, insb. Anwendungsdaten, erstellt und/oder auf dem Server gespeichert werden. Der Kunde ist für die von ihm und von den Nutzern eingestellten Inhalte verantwortlich. Anbieter übernimmt keine Überprüfung der Inhalte auf Vollständigkeit, Richtigkeit, Rechtmäßigkeit, Aktualität, Qualität oder Eignung für einen bestimmten Zweck.
  9. Die auf der Plattform verfügbaren Dienste sind ausschließlich für nach 2 vorgesehenen Zwecke bestimmt. Die Nutzung für sonstige kommerzielle Zwecke ist untersagt, es sei denn, eine derartige Nutzung wurde vom Anbieter zuvor ausdrücklich und schriftlich erlaubt. Zur unerlaubten kommerziellen Nutzung zählen insbesondere alle Angebote und Bewerbungen entgeltlicher Inhalte, Dienste und/oder Produkte und zwar sowohl ihrer eigenen als auch solche Dritter, alle Angebote und Bewerbungen und Durchführungen von Aktivitäten mit kommerziellem Hintergrund wie Preisausschreiben, Verlosungen, Tauschgeschäfte, Inserate oder Schneeballsysteme.
  10. Bei einem Verstoß gegen die vorstehenden Regelungen, behält, sich der Anbieter das Recht vor, den Zugang des Kunden bzw. Nutzers vorübergehend oder dauerhaft zu sperren. Im Falle der vorübergehenden bzw. dauerhaften Sperrung sperrt der Anbieter die Zugangsberechtigung und benachrichtigt diesen hierüber. Verletzt der Kunde trotz entsprechender Mahnung des Anbieters weiterhin oder wiederholt die vorstehenden Regelungen und hat er dies zu vertreten, so kann der Anbieter den Vertrag ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen. Weitergehende Ansprüche seitens des Anbieters bleiben unberührt.
  11. Sofern und soweit während der Laufzeit dieses Vertrags, insb. durch Zusammenstellung von Anwendungsdaten, durch nach diesem Vertrag erlaubte Tätigkeiten des Kunden auf dem Server des Anbieters eine Datenbank, Datenbanken, ein Datenbankwerk oder Datenbankwerke entstehen, stellen alle Rechte hieran dem Kunden zu. Der Kunde bleibt auch nach Vertragsende Eigentümer der Datenbanken bzw. Datenbankwerke.

§ 8   Pflichten und Obliegenheiten des Kunden

  1. Der Kunde ist verpflichtet, in die Software nicht außerhalb der gewöhnlichen Nutzung einzugreifen oder eingreifen zu lassen oder in Datennetze des Anbieters unbefugt einzudringen oder ein solches Eindringen zu fördern (z.B. Durchführung von Last- und/oder Penetrationstest).
  2. Der Kunde sichert zu, dass er die Software und Anwendungsdaten nur auf Grundlage dieser AGB und über die vom Anbieter bereitgestellten Schnittstellen zugreift. Der Kunde wird zudem, keine Sicherheitsmaßnahmen, die der Anbieter zum Schutz der Software und Anwendungsdaten ergriffen hat, umgehen.
  3. Ferner ist der Kunde verpflichtet Mängel an Vertragsleistungen, insbesondere Mängel der Software, dem Anbieter unverzüglich anzuzeigen. Unterlässt der Kunde die rechtzeitige Anzeige aus Gründen, die er zu vertreten hat, stellt dies eine Mitverursachung bzw. ein Mitverschulden dar. Soweit der Anbieter infolge der Unterlassung oder Verspätung der Anzeige nicht Abhilfe schaffen konnte, ist der Kunde nicht berechtigt, die vereinbarte Vergütung ganz oder teilweise zu mindern, den Ersatz des durch den Mangel eingetretenen Schadens zu verlangen oder den Vertrag wegen des Mangels ohne Einhaltung einer Frist außerordentlich zu kündigen. Der Kunde hat darzulegen, dass er das Unterlassen der Anzeige nicht zu vertreten hat;
  4. Der Kunde wird den vom ihm verwendeten Benutzernamen sowie das gewählte Passwort geheim halten, keinem unberechtigten Dritten weitergeben und vor dem Zugriff von Dritten durch geeignete und übliche Maßnahmen schützen. Gleiches gilt für weitere dem Kunden im Rahmen der Nutzung der Software bekannt gewordenen Zugangsdaten sowie für Zugangsdaten zu vom Kunden selbst eingerichteten Nutzerkonten. Werden der Benutzername und/oder das Passwort dennoch nicht berechtigten Dritten bekannt oder hat der Kunde den Verdacht, dass dies geschehen ist, ist der Kunde verpflichtet, dem Anbieter unverzüglich hiervon in Kenntnis zu setzen. Zugangsdaten von ausgeschiedenen Mitarbeitern sind durch den Kunden unverzüglich zu deaktivieren oder zu ändern.
  5. Der Kunde wird den Anbieter von Ansprüchen Dritter freistellen, die auf einer rechtswidrigen Verwendung der Software durch ihn beruhen oder die sich aus vom Kunden verursachten datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der Software verbunden sind;
  6. die berechtigten Nutzer verpflichten, ihrerseits die für sie geltenden Bestimmungen dieses Vertrags einzuhalten;
  7. dafür Sorge tragen, dass er (z.B. bei der Übermittlung von Texten/Daten Dritter auf den Server des Anbieters) alle Rechte Dritter an von ihm verwendetem Material beachtet; ebenso hat er durch geeignete Maßnahmen dafür Sorge zu tragen, dass etwaige von den Nutzern eingestellte Inhalte nicht gegen Rechte Dritter verstoßen.
  8. vor der Versendung von Daten und Informationen an den Anbieter diese auf Viren prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einsetzen;
  9. wenn er zur Erzeugung von Anwendungsdaten dem Anbieter Daten übermittelt, diese regelmäßig und der Bedeutung der Daten entsprechend sichern und eigene Sicherungskopien erstellen, um bei Verlust der Daten und Informationen die Rekonstruktion derselben zu ermöglichen;
  10. sofern und soweit ihm einvernehmlich die technische Möglichkeit dazu eröffnet wird, regelmäßig die auf dem Server gespeicherten Anwendungsdaten durch Download sichern; unberührt bleibt die Verpflichtung des Anbieters zur Datensicherung nach 4 Abs. 6.

§ 9   Geheimhaltung

  1. Vertraulich zu behandelnde Informationen sind die von der informationsgebenden Partei ausdrücklich als vertraulich bezeichneten Informationen und solche Informationen, deren Vertraulichkeit sich aus den Umständen der Überlassung eindeutig ergibt. Durch den Anbieter vertraulich zu behandeln sind insb. die Anwendungsdaten, sollte er von ihnen Kenntnis erlangen.
  2. Keine vertraulich zu behandelnde Informationen liegt vor, soweit die die Information empfangende Partei nachweist, dass sie ihm vor dem Empfangsdatum bekannt oder allgemein zugänglich waren; der Öffentlichkeit vor dem Empfangsdatum bekannt oder allgemein zugänglich waren; der Öffentlichkeit nach dem Empfangsdatum bekannt oder allgemein zugänglich wurden, ohne dass die informationsempfangende Partei hierfür verantwortlich ist.
  3. Die Parteien werden über alle vertraulichen Informationen, die ihnen im Rahmen dieses Vertragsverhältnisses zur Kenntnis gelangt sind, Stillschweigen bewahren bzw. diese nur im vorher schriftlich hergestellten Einvernehmen der jeweils anderen Partei Dritten gegenüber – gleich zu welchem Zweck – verwenden.
  4. Die Parteien verpflichten sich, sämtliche Inanen im Rahmen des Vertrags zur Kenntnis gebrachten vertraulichen Informationen durch angemessene Geheimhaltungsmaßnahmen zu schützen.
  5. Der Anbieter ist berechtigt, den Namen, das Logo und das Tätigwerden für den Kunden sowie die Art der Tätigkeit ausschließlich zu eigenen Referenzzwecken, beispielsweise auf den von ihm betrieben Websites zu veröffentlichen, soweit der Kunde dem nicht schriftlich widerspricht. Im Fall eines Widerspruchs des Kunden, entfernt der Anbieter die Referenz unverzüglich. Öffentliche Erklärungen der Parteien über eine Zusammenarbeit werden im Übrigen nur im vorherigen gegenseitigen schriftlichen Einvernehmen abgegeben.
  6. Die Verpflichtungen nach Abs. 2 bestehen auch über das Vertragsende hinaus auf unbestimmte Zeit, und zwar so lange, wie ein Ausnahmetatbestand nach Abs. 1 nicht nachgewiesen ist.

§ 10 Datenschutz

  1. Die Parteien werden die jeweils anwendbaren, insb. die in Deutschland gültigen, datenschutzrechtlichen Bestimmungen beachten und ihre im Zusammenhang mit dem Vertrag und dessen Durchführung eingesetzten Beschäftigten auf die Vertraulichkeit im Umgang mit personenbezogenen Daten verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind.
  2. Freelancer und sonstige Dienstleister können, wie in 4 beschrieben, auf der Website von Lano eigene Accounts nutzen. Sofern bei der Nutzung der Software für Zwecke des Freelancer-Managements personenbezogene Daten der Freelancer bzw. sonstiger Dienstleister des Kunden verarbeitet werden (z.B. im Rahmen der Funktionalitäten zur Verwaltung von Auftragsbeziehungen), agieren die Parteien in Bezug auf die Verarbeitung dieser Daten in gemeinsamer datenschutzrechtlicher Verantwortung nach Maßgabe des Art. 26 DSGVO und des als Anlage 1 angehängten Vertrags über die gemeinsame Verantwortlichkeit.
  3. Erhebt, verarbeitet oder nutzt der Kunde mit Hilfe der Software für andere als in 10 Abs. 3 beschriebene Zwecke personenbezogene Daten (z.B. Daten der unselbstständig Beschäftigten oder der Endkunden des Kunden), so agiert er dabei grundsätzlich in eigenständiger datenschutzrechtlicher Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO. Er steht insbesondere dafür ein, dass er zur Verarbeitung personenbezogener Daten nach den anwendbaren, insb. datenschutzrechtlichen, Bestimmungen berechtigt ist und stellt im Fall eines Verstoßes den Anbieter von Ansprüchen Dritter frei. In diesem Fall agiert der Anbieter als Auftragsverarbeiter nach Maßgabe des Art. 28 DSGVO und des als Anlage Anhang 2 diesem Vertrag beigefügten Auftragsverarbeitungsvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und der Vereinbarung über die Auftragsverarbeitung geht Letzterer vor.
  4. Der Dienstanbieter weist darauf hin, dass die Nutzungsaktivitäten im gesetzlich zulässigen Umfang überwacht werden können. Dies beinhaltet gegebenenfalls auch die Protokollierung von IP-Verbindungdaten und Gesprächsverläufen sowie deren Auswertungen bei einem konkreten Verdacht eines Verstoßes gegen die vorliegenden Teilnahme- und Nutzungsbedingungen und/oder bei einem konkreten Verdacht auf das Vorliegen einer sonstigen rechtswidrigen Handlung oder Straftat.

§ 11 Entgelt und Konditionen

  1. Die Vergütung für die zu erbringenden Leistungen der Nutzungsgewährung bzgl. der Software und der Zurverfügungstellung von Speicherplatz richten sich nach der monatlichen Lizenzgebühr, deren Höhe im Bestellprozess, abhängig vom gewählten Lizenzmodell, angegeben wird. Der Anbieter kann die Höhe der Lizenzgebühr nach Maßgabe von 15 anpassen.
  2. Die im Bestellprozess angegebene Lizenzgebühr fällt monatlich ab betriebsfähiger Bereitstellung an. Sie wird mit Zugang der Rechnung fällig. Hat der Kunde den Vertrag berechtigterweise außerordentlich gekündigt, so ist die Pauschale zeitanteilig zurückzuzahlen.
  3. Die Zahlung kann in den jeweils von Anbieter angebotenen Zahlungsmethoden erfolgen. Der Anbieter darf den von Kunden gewählten Zahlungsdienstleister anweisen, gemäß den Bestimmungen dieser Vereinbarung Zahlungen zu veranlassen. Der Anbieter behält sich vor, bestimmte Zahlungsmethoden auszuschließen. Soweit eine Zahlung gegen Rechnungstellung angeboten wird, behält sich der Anbieter im Einzelfall eine Bonitätsprüfung vor.
  4. Sonstige Leistungen werden vom Anbieter nach Aufwand (Time & Material) zu den jeweils im Zeitpunkt der Beauftragung geltenden allgemeinen Listenpreisen des Anbieters erbracht.
  5. Der Anbieter ist berechtigt, Rechnungen in Textform an die ihm mitgeteilte E-Mail-Adresse des Kunden zu versenden.
  6. Vergütungen werden zuzüglich MwSt. in der jeweils anfallenden gesetzlichen Höhe geschuldet.
  7. Aufrechnungen durch den Kunden sind ausgeschlossen, es sei denn, die Gegenforderung des Kunden ist unbestritten oder rechtskräftig festgestellt.

§ 12 Ansprechpartner und Eskalationsstufe

  1. Die Parteien benennen schriftlich zu Zwecken der Kanalisierung der – insb. bei Störungen im Leistungsgefüge erforderlichen – Kommunikation jeweils einen Hauptansprechpartner, der für die jeweiligen Partei rechtlich verbindliche Erklärungen abgeben kann oder solche Erklärungen innerhalb von sechs Werktagen, nachdem ihm der Hauptansprechpartner der anderen Partei einen Sachverhalt und das Bedürfnis nach Entscheidung schriftlich mitgeteilt hat, herbeiführen kann.
  2. Ist eine Abstimmung auf der Ebene der Hauptansprechpartner nicht innerhalb von zwölf Werktagen nach Mitteilung des Sachverhalts und des Entscheidungsbedürfnisses getroffen, ist der Vorgang unverzüglich der jeweiligen Geschäftsführung der Parteien oder der von diesen benannten Vertretern zur Entscheidung vorzulegen. Diese Eskalationsstufe soll innerhalb einer Frist von weiteren zwölf Werktagen ab Eingang des Vorgangs eine abschließende Entscheidung treffen.
  3. Die vorstehend vorgegebenen Eskalationsfristen führen nicht zur Hemmung von in diesem Vertrag einschließlich Anhängen vereinbarten Reaktions-, Ausführungs-, Wiederherstellungs- oder sonstigen Fristen. Vor Durchlaufen des Eskalationsverfahrens ist jedoch in aller Regel eine außerordentliche Kündigung unwirksam, sofern und soweit die Kündigung auf einer Meinungsverschiedenheit der Parteien zur Leistungserfüllung beruhen soll.

§ 13 Haftung

  1. Die Parteien haften einander bei Vorsatz oder grober Fahrlässigkeit für alle von ihnen sowie ihren gesetzlichen Vertretern oder Erfüllungsgehilfen verursachten Schäden unbeschränkt.
  2. Bei leichter Fahrlässigkeit haften die Parteien im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.
  3. Im Übrigen haftet eine Partei nur, soweit sie eine wesentliche Vertragspflicht verletzt hat. Wesentliche Vertragspflichten sind solche Pflichten, die für die Erreichung des Vertragsziels von besonderer Bedeutung sind, ebenso alle diejenigen Pflichten, die im Fall einer schuldhaften Verletzung dazu führen können, dass die Erreichung des Vertragszwecks gefährdet wird. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens beschränkt. Die verschuldensunabhängige Haftung des Anbieters auf Schadensersatz (§ 536a BGB) für bei Vertragsschluss vorhandene Mängel wird ausgeschlossen; Abs. 1 und 2 bleiben unberührt.
  4. Gerät der Anbieter mit der betriebsfähigen Bereitstellung der Software in Verzug, so richtet sich die Haftung nach 13. Der Kunde ist zum Rücktritt vom Vertrag berechtigt, wenn der Anbieter eine vom Kunden gesetzte zweiwöchige Nachfrist nicht einhält, d.h. innerhalb der Nachfrist nicht die volle vereinbarte Funktionalität der Software zur Verfügung stellt.
  5. Kommt der Anbieter nach betriebsfähiger Bereitstellung einer Software und/oder der Anwendungsdaten den vereinbarten Verpflichtungen ganz oder teilweise nicht nach, so verringert sich die monatliche Nutzungspauschale anteilig für die Zeit, in der die Software und/oder die Anwendungsdaten dem Kunden nicht in dem vereinbarten Umfang bzw. der Speicherplatz nicht in dem vereinbarten Umfang zur Verfügung standen. Laufende Nutzungsgebühren fallen nur für Geschäftsvorfälle an, die trotz der Einschränkung oder des Fortfalls der Leistungen unter Nutzung der Software tatsächlich durchgeführt wurden. Hat der Anbieter diese Nichterfüllung zu vertreten, so kann der Kunde ferner Schadensersatz nach Maßgabe von § 16 geltend machen.
  6. Eine Partei ist zur Zahlung einer Vertragsstrafe nur verpflichtet, wenn dies dieser Vertrag ausdrücklich vorsieht. Eine Vertragsstrafe braucht nicht vorbehalten zu werden. Die Aufrechnung mit ihr und gegen sie ist zulässig.
  7. Keiner der Parteien ist zur Erfüllung der vertraglichen Verpflichtungen im Fall und für die Dauer höherer Gewalt verpflichtet. Insb. folgende Umstände sind als höhere Gewalt in diesem Sinne anzusehen: von der Partei nicht zu vertretende(s) Feuer/Explosion/Überschwemmung; Krieg, Meuterei, Blockade, Embargo; über 6 Wochen andauernder und von der Partei nicht schuldhaft herbeigeführter Arbeitskampf; nicht von einer Partei beeinflussbare technische Probleme des Internets; dies gilt nicht, sofern und soweit der Anbieter die Telekommunikationsleistung mit anbietet. Jeder Partei hat die andere über den Eintritt eines Falls höherer Gewalt unverzüglich schriftlich in Kenntnis zu setzen.
  8. Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

§ 14 Laufzeit, Kündigung

  1. Das Vertragsverhältnis beginnt mit Zustandekommen des Vertrags und wird auf unbestimmte Zeit geschlossen. Die Bereitstellung der Leistungen erfolgt spätestens am auf den Vertragsschluss folgenden Werktag.
  2. Es gilt eine Mindestvertragslaufzeit von 12 Monaten. Das Vertragsverhältnis kann von jeder Partei schriftlich mit einer Frist von einem Monat zum Ablauf der Mindestvertragslaufzeit ordentlich gekündigt werden. Nach Ablauf der Mindestvertragslaufzeit verlängert sich der Vertrag jeweils erneut um die Mindestvertragslaufzeit, soweit der Vertrag nicht wirksam gekündigt wurde.
  3. Die außerordentliche Kündigung wegen oder im Zusammenhang mit einer Pflichtverletzung ist nur nach vorangegangener schriftlicher Abmahnung mit angemessener Fristsetzung von nicht unter 14 Werktagen möglich.
  4. Hat die kündigungsberechtigte Partei länger als zwei Monate Kenntnis von den die außerordentliche Kündigung rechtfertigenden Umständen, kann sie die Kündigung nicht mehr auf diese Umstände stützen.
  5. Ungeachtet der Regelung in Abs. 3 kann der Anbieter den Vertrag ohne Einhaltung einer Frist kündigen, wenn der Kunde für zwei aufeinander folgende Monate mit der Bezahlung der Preise bzw. eines nicht unerheblichen Teils der Preise oder in einem Zeitraum, der sich über mehr als zwei Monate erstreckt, mit der Bezahlung des Entgelts in Höhe eines Betrags, der das Entgelt für zwei Monate erreicht, in Verzug ist. Der Anbieter kann in diesem Fall zusätzlich einen sofort in einer Summe fälligen pauschalierten Schadensersatz in Höhe eines Viertels der bis zum Ablauf der regulären Vertragslaufzeit restlichen monatlichen Grundpauschale verlangen. Dem Kunden bleibt der Nachweis eines geringeren Schadens vorbehalten.

§ 15 Änderung dieses Vertragsverhältnisses, Preisanpassungen

  1. Der Anbieter ist berechtigt, Bestimmungen dieser AGB, die nicht zu einer wesentlichen Umgestaltung des Vertragsgefüges führen oder dieses berühren jederzeit und ohne Nennung von Gründen zu andern, sofern diese Änderung nicht zu einer Umgestaltung des Vertragsgefüges insgesamt führt. Zu den wesentlichen Bestimmungen des Vertragsgefüges gehören insbesondere Regelungen, die die Art und den Umfang der vertraglich vereinbarten Leistungen, die Laufzeit und die Kündigung des Vertrages betreffen.
  2. Ferner ist der Anbieter berechtigt, diese AGB anzupassen oder zu ergänzen, sofern dies zur Beseitigung von Schwierigkeiten bei der Vertragsdurchführung des mit dem Kunden aufgrund von nach Vertragsschluss entstandener Regelungslücken erforderlich ist. Die geänderten Bedingungen werden dem Kunden mindestens sechs Wochen vor ihrem Inkrafttreten per E-Mail zugesandt. Die Änderungen gelten als genehmigt, wenn der Kunde ihnen nicht in Textform widerspricht. Der Widerspruch muss innerhalb von sechs Wochen nach Zugang der Mitteilung zu den geänderten Bedingungen eingegangen sein. Der Anbieter wird auf die Widerspruchsmöglichkeit und die Bedeutung der Sechswochenfrist in der Mitteilung zu den geänderten Bedingungen besonders hinweisen. Übt der Kunde sein Widerspruchsrecht aus, gilt der Änderungswunsch von dem Anbieter als abgelehnt. Der Vertrag wird dann ohne die vorgeschlagenen Änderungen fortgesetzt. Das Recht der Parteien zur Kündigung des Vertrages bleibt hiervon unberührt.
  3. Der Anbieter ist unter folgenden Bedingungen berechtigt, zum Ausgleich einer Erhöhung ihrer Gesamtkosten die vom Kunden zu zahlende Abo-Preise für die im Rahmen des Vertrages zu erbringenden wiederkehrenden Leistungen zu erhöhen. Die Gesamtkosten bestehen aus Kosten für Instandhaltung und Betrieb der digitalen (Verschlüsselungs- und Entschlüsselungs-) Infrastruktur, die technische Zuführung der Software einschließlich der Kosten für zusätzliche Programme und Features, Entgelte für etwaige Urheber- und Leistungsschutzrechte, Materialkosten, Lohn- und Lohnnebenkosten einschließlich Leih- und Zeitarbeitskosten, Kosten für die Kundenverwaltung (z. B. Call-Center, IT-Systeme) sowie Kosten der allgemeinen Verwaltung.
    • Die Anpassung der Abo-Preise darf nur bis zum Umfang der Kostenerhöhung und entsprechend dem Anteil des erhöhten Kostenelements an den Gesamtkosten erfolgen; sie ist nur zulässig, wenn die Kostenerhöhung auf Änderungen beruht, die nach Vertragsschluss eingetreten sind und die von dem Anbieter nicht veranlasst wurden. Dies ist zum Beispiel der Fall, wenn Vorlieferanten, Zulieferer oder andere Dienstleister des Anbieters ihre Preise erhöhen, bei der Belegung der vertragsgegenständlichen Leistungen mit geänderten oder zusätzlichen Steuern oder Abgaben oder bei Tariflohnerhöhungen.
    • Etwaige Kostenentlastungen sind bei der Berechnung der Gesamtkostenbelastung des Anbieters mindernd zu berücksichtigen. Eine Erhöhung der Abo-Preise ist jeweils nur einmal pro Kalenderjahr zulässig. Führen Umstande, die nach Vertragsschluss eingetreten sind und die von dem Anbieter nicht veranlasst wurden, dazu, dass sich die Gesamtkosten des Anbieters im Sinne dieser Ziffer vermindern, verpflichtet sich er Anbieter dazu, die vom Kunden zu zahlende Abo-Preise im Umfang der Kostenminderung und entsprechend dem Anteil des verminderten Kostenelements an den Gesamtkosten zu ermäßigen. Etwaige Erhöhungen einzelner Kosten kann der Anbieter hierbei berücksichtigen, soweit diese nicht bereits im Rahmen einer Erhöhung der Abo-Preise Berücksichtigung gefunden haben.
    • Beträgt die Erhöhung der Abo-Preise mehr als 5 % des bis zum Zeitpunkt der Erhöhung geltenden Preise, ist der Kunde berechtigt, den Vertrag innerhalb von sechs Wochen nach Zugang der Mitteilung über die Erhöhung mit Wirkung zum Zeitpunkt des Inkrafttretens der Erhöhung zu kündigen. Macht der Kunde von diesem Sonderkündigungsrecht Gebrauch, wird die Erhöhung nicht wirksam und der Vertrag mit Wirkung zum Zeitpunkt des Inkrafttretens der Erhöhung der Abo-Preise beendet. Kündigt der Kunde nicht oder nicht fristgemäß, wird der Vertrag zu dem in der Mitteilung genannten Zeitpunkt zu der neuen Servicepauschale fortgesetzt.
    • Der Anbieter wird den Kunden im Rahmen ihrer Mitteilung über die Erhöhung der Servicepauschale auf das Kündigungsrecht und die Folgen einer nicht fristgerecht eingegangenen Kündigung besonders hinweisen. Der Anbieter wird den Kunden über eine Anpassung der Servicepauschale mindestens sechs Wochen vor ihrem Inkrafttreten informieren.
  4. Unbeschadet des Vorstehenden ist der Anbieter bei einer Änderung der gesetzlich vorgegebenen Mehrwertsteuer berechtigt, die Abo-Preise entsprechend anzupassen.

§ 16 Demoversion

  1. Auf Anfrage des Kunden kann der Anbieter dem Kunden nach freiem Ermessen eine unentgeltliche Demoversion der Software (bzw. ein Testkonto) zur Verfügung stellen. Der Anbieter stellt pro Kunde nur einmalig eine Demoversion zur Verfügung.
  2. Sofern nichts anders vereinbart ist, darf der Kunde die Demoversion für 14 Tage ab Erhalt der Zugangsdaten und ausschließlich zu Testzwecken nutzen. Eine Übertragung dieser Nutzungsrechte an der Demoversion an Dritte ist ausgeschlossen.
  3. Der Anbieter sichert weder die Funktionsfähigkeit des Demoversion noch des Testkontos zu. Dem Kunden ist es untersagt, die Demoversion zur Verarbeitung personenbezogener Daten zu nutzen; der Kunde ist vielmehr gehalten, ausschließlich fiktive Daten in der Demoversion zu verarbeiten. Soweit gesetzlich zulässig, übernimmt der Anbieter keine Haftung für die Verfügbarkeit, Integrität oder Vertraulichkeit der vom Kunden in der Demoversion verarbeiteten Daten. Davon unberührt bleibt die Haftung für grobe Fahrlässigkeit und Vorsatz.
  4. Der Kunde hat keinen Anspruch auf die Zurverfügungstellung einer Demoversion. Der Anbieter darf dem Kunden zudem den Zugang zur Demoversion jederzeit und ohne Angabe von Gründen entziehen und etwaige in der Demoversion gespeicherte Daten löschen.
  5. Soweit sich aus den vorstehenden Absätzen nichts anderes ergibt, gelten die Regelungen aus 7, § 8, § 9, § 10, § 15 und § 17 dieser AGB für die Demoversion entsprechend. Die übrigen Regelungen aus diesen AGB finden für die Demoversion keine Anwendung.

§ 17 Schlussbestimmungen

  1. Nebenbestimmungen außerhalb dieses Vertrags und seiner Anhänge bestehen nicht. Etwaige frühere Vereinbarungen zum Vertragsgenstand werden hiermit unwirksam. Änderungen oder Ergänzungen dieses Vertrags und der Anhänge bedürfen der zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Abbedingung des Schriftformerfordernisses.
  2. Die etwaige Unwirksamkeit einzelner Bestimmungen dieses Vertrags beeinträchtigt nicht die Gültigkeit des übrigen Vertragsinhalts. Ergeben sich in der praktischen Software dieses Vertrags Lücken, die die Parteien nicht vorgesehen haben, oder wird die Unwirksamkeit einer Regelung rechtskräftig oder von beiden Parteien übereinstimmend festgestellt, so verpflichten sie sich, diese Lücke oder unwirksame Regelung in sachlicher, am wirtschaftlichen Zweck des Vertrages orientierter angemessener Weise auszufüllen bzw. zu ersetzen.
  3. Auf das Vertragsverhältnis findet deutsches materielles Recht Anwendung.
  4. Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm zwingend einen anderen Gerichtsstand anordnet, ist der Geschäftssitz des Anbieters.

§ 18 Liste der Anlagen

Anlage 1: Vertrag über das Zusammenwirken als gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO hinsichtlich der Daten der Freelancer bzw. Dienstleister

Anlage 2: Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO hinsichtlich der Daten der Beschäftigten im Unternehmen

Anlage 3: Unterauftragsverhältnisse

Anlage 1

Vertrag über das Zusammenwirken als gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO hinsichtlich der Daten der Freelancer bzw. Dienstleister

Präambel

Der Kunde (nachfolgend: „Verantwortlicher 2“) und der Anbieter (nachfolgend: „Verantwortlicher 1“) sind eigenständige Unternehmen, die im Rahmen der Nutzung des Services des Verantwortlichen 1 regelmäßig personenbezogene Daten der Freelancer bzw. Dienstleister gemeinsam verarbeiten, um diese verwalten zu können. Hierbei haben sie gemeinsam die Zwecke und die Mittel der Verarbeitung festgelegt. Zwischen beiden Verantwortlichen besteht ein Verhältnis der gemeinsamen Verantwortlichkeit für die Freelancer bzw. Dienstleisterdaten gemäß Art. 26  der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, „DSGVO“). Soweit der Anbieter Daten des Kunden im Auftrag verarbeitet (z.B. Daten der Beschäftigten oder Endkunden des Kunden) besteht ein Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO. Der entsprechende Auftragsverarbeitungsvertrag ist den AGB als sich Anlage 2 beigefügt.

Die Parteien sind bestrebt, die Privatsphäre der betroffenen Personen und ihre personenbezogenen Daten umfassend zu schützen und eine rechtskonforme Verarbeitung zu gewährleisten. Ziel dieser Vereinbarung ist, in transparenter Form festzulegen, wer der Vertragsparteien, welche Verpflichtungen gemäß der Europäischen Datenschutz-Grundverordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Personen gemäß den Artikeln 12-23 DSGVO betrifft und wie den Informationspflichten gemäß Artikeln 13 und 14 DSGVO nachgekommen wird. Diese Vereinbarung findet als Anlage 1 zu den AGB zusammen mit diesen Anwendung.

Vor diesem Hintergrund vereinbaren die Vertragsparteien das Folgende:

§1   Anwendungsbereich und Begriffsbestimmungen

(1)          Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen, die der Verantwortliche 1 auf Grundlage des Hauptvertrages gegenüber dem Verantwortlichen erbringt.

(2)          Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(3)          Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.

(4)          Die Verantwortlichen 1 und 2 werden im Folgenden durch V1 und V2 abgekürzt.

§2   Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen

(1)          V1 bietet Freelancern und Dienstleistern verschiedene Software-as-Service-Lösungen als digitale Plattform (insbesondre unter lano.io) und als App-Lösung zum Auftragsmanagement, zur Rechnungsstellung, zur Kundenverwaltung und für vergleichbare Funktionalitäten an. Mit Hilfe der von V1 angebotenen Software können sich Freelancer und Dienstleister mit V2 vernetzen. V2 kann über die Software von V1 seine Aufträge an Freelancer und Dienstleister verwalten und hat damit insbesondere Zugriff auf die Daten der Freelancer und Dienstleister, die sie in ihrem Profil und zur Auftragserfüllung und Auftragsabrechnung bereitstellen.

(2)          Die Vertragsparteien verarbeiten personenbezogene Daten von folgenden Betroffenen

    1. Freelancer bzw. Dienstleister

(3)          Die Vertragsparteien verarbeiten die folgenden Datenkategorien:

    1. Profildaten (Name, Anrede, Titel/akademischer Grad, Geburtsdatum, Selbstbeschreibung, Fähigkeiten, Foto)
    2. Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift)
    3. Auftragsdaten der Aufträge von V2 (Auftragsdetails, Leistungen)
    4. Auftragshistorie
    5. Auftragsrechnungsdaten und Zahlungsinformationen (Rechnungsdetails, Bankverbindung,)
    6. Sonstige Dokumente, die von V2 oder vom Betroffenen für V2 bereitgestellt werden

§3   Zwecke und Mittel der Datenverarbeitung

Die Parteien legen folgende Zwecke und Mittel für die Verarbeitung gemeinsam fest:

Hauptzweck der gemeinsamen Datennutzung ist die Verwaltung der oben genannten Daten zur Auftragsgenerierung und Abrechnung zwischen den Betroffenen und V2 mittels der Plattform von V1.

§4   Anlaufstelle für Betroffene

Die Vertragsparteien haben keine zentrale Anlaufstelle für Fragen von Betroffenen zu datenschutzrechtlichen Fragen, die sich aufgrund der gemeinsamen Datenverarbeitung ergeben, eingerichtet. Betroffene können sich wenden an:

Lano Software GmbH, Rosenthaler Str. 13, 10119 Berlin

oder

an die Kontaktadresse von V2.

§5   Drittstaatenübermittlung und Subdienstleister

Die Verarbeitung und Nutzung der Daten findet sowohl bei V1 als auch bei V2 ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der Mitteilung an den jeweils anderen Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Mit dem Einsatz von den in Anlage 3 aufgeführten Subdienstleistern von V1 erklärt sich V2 für einverstanden.

§6 Technische und organisatorische Maßnahmen

 Der Vertragsparteien verpflichtet sich, insbesondere unter Beachtung der Grundsätze ordnungsgemäßer Datenverarbeitung gem. Art 32 i. V. m. Art. 5 Abs. 1 DSGVO, durch geeignete Kontrollen sicherzustellen, dass die gemeinsam verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und des zugrundeliegenden Hauptvertrages verarbeitet werden. Die gemeinsam Verantwortlichen sichern sich gegenseitig einen datenschutzkonformen und sicheren Umgang mit den personenbezogenen Daten zu. Sie werden insbesondere folgende Sicherungsmaßnahmen gewährleisten:

  • Unbefugten Personen wird der Zugriff auf die personenbezogenen Daten verwehrt. Dies gilt unabhängig davon ob die Daten elektronisch gespeichert oder ausgedruckt sind.
  • Computersysteme sind durch Passwörter zu sichern und technisch auf dem aktuellen Stand zu halten.
  • Die personenbezogenen Daten dürfen nur von den Personen eingesehen und bearbeitet werden, die mit der konkreten Auftragsabwicklung betraut sind. Mitarbeiter sind zum vertraulichen Umgang mit personenbezogenen Daten zu verpflichten.
  • Die Daten von verschiedenen Auftraggebern oder Geschäftspartnern werden aufgabenbezogen und systematisch getrennt.
  • Sofern die Verantwortlichen feststellen, dass nach dem Stand der Technik besondere Übermittlungswege notwendig sind um eine sichere Übertragung elektronisch gespeicherter Daten zu gewährleisten, werden diese umgesetzt.
  • Die Verantwortlichen unterstützten sich gegenseitig bei der Erfüllung der Rechte der betroffenen Personen, insbesondere im Hinblick auf Datenportabilität, Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, auf erstes Anfordern im Rahmen seiner Möglichkeiten. Sollte eine datenschutzrechtliche Anfrage eines Betroffenen beim bei einem Verantwortlichen eingehen, die auch für den anderen relevant ist, wird der Verantwortliche diese Anfrage unverzüglich an den anderen Verantwortlichen weiterleiten und ihm die Beantwortung der Anfrage überlassen oder diese gemeinsam durchführen .
  • Im Übrigen unterstützen sich die Verantwortlichen gegenseitig bei sämtlichen sonstigen Pflichten, die sich für die Verantwortlichen aus der DSGVO sowie ggf. aus weiteren datenschutzrechtlichen Vorschriften und Spezialgesetzen ergeben und die gemeinsame Datenverarbeitung betreffen.

§7   Gegenseitige Informationspflichten

Die Verantwortlichen teilen sich gegenseitig unverzüglich Störungen, Verstöße oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in dieser Vereinbarung getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten, die die gemeinsame Datenverarbeitung betreffen mit. Dies gilt vor allem auch für unberechtigte Zugriffe von Dritten (z.B. Hacking) auf die personenbezogenen Daten. Der Verantwortliche bei dem der Datenschutzverstoß eintritt wird den Vorgang einschließlich der Auswirkungen und Abhilfemaßnahmen dokumentieren und dem anderen Verantwortlichen diese Dokumentation auf Nachfrage jederzeit zur Verfügung stellen. Sollte der Verantwortliche aufgrund verspäteter, unvollständiger, falscher oder anderweitig unsachgemäßer Information durch den anderen Verantwortlichen nicht in der Lage sein, seiner gesetzlichen Meldepflicht nachzukommen, wird der Verantwortliche alle aus dieser Verzögerung resultierenden Schäden ersetzen. Die Verantwortlichen werden sich bei der umfassenden und rechtzeitigen Erfüllung etwaiger Meldepflichten unterstützen.

Bei eventuellen Kontrollmaßnahmen einer Datenschutzaufsichtsbehörde sowie bei anderweitigen Anfragen, Ermittlungen oder Erkundigungen der Datenschutzaufsichtsbehörde, werden die Verantwortlichen nach Kenntniserlangung über die Durchführung der Kontrollmaßnahme sich gegenseitig unverzüglich informieren, soweit personenbezogene Daten die die gemeinsame Verarbeitung betreffen, betroffen sind.

§8   Pflichtenverteilung bei der Beantwortung von Betroffenenrechten

(1)   Für den Fall, dass eine betroffene Person Rechte auf Berichtigung, Löschung oder Sperrung von personenbezogenen Daten oder auf Auskunft über die gespeicherten personenbezogenen Daten geltend macht, ist für die Erfüllung der Ansprüche der betroffenen Personen diejenige Partei verantwortlich, gegenüber welcher die Geltendmachung der Rechte erfolgt.

(2)   Wenn Betroffenenrechte nach Maßgabe des vorstehenden Absatzes geltend gemacht werden, werden sich die Parteien wechselseitig unterstützen, soweit dies zur Wahrung der Betroffenenrechte erforderlich oder zweckmäßig ist.

(3)    Die Parteien sind verpflichtet, sich gegenseitig unverzüglich zu benachrichtigen, wenn eine betroffene Person Rechte gemäß Absatz 1 geltend macht, soweit sich nicht ausschließen lässt, dass die Unterstützung der anderen Partei nach Maßgabe des Absatzes 3 erforderlich wird.

§9   Erfüllung von Informationspflichten

(1)  V1 hat eine Datenschutzerklärung für die Plattform unter lano.io und für die App-Lösung formuliert. Für die Rechtmäßigkeit und Vollständigkeit der Datenschutzerklärung ist V1 verantwortlich. V1 wird den Betroffenen alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache bereitstellen.

(2)    V1 wird die Online-Datenschutzerklärung abändern und ergänzen, soweit dies wegen geänderter Abläufe der Datenverarbeitung oder aus rechtlichen Gründen erforderlich oder zweckmäßig ist. Sollten V2 Umstände bekannt werden, die eine Abänderung oder Ergänzung der Datenschutzerklärung notwendig oder zweckmäßig erscheinen lassen, wird V2 dies V1 unverzüglich mitteilen.

(3)    V1 verpflichtet sich, den wesentlichen Inhalt der Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit den betroffenen Personen zur Verfügung zu stellen (Art. 26 Abs. 2 DSGVO).

§10   Sonstiges

(1)          Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.

(2)          Änderungen und Ergänzungen dieser Vereinbarung setzen die beidseitige Zustimmung der Vertragsparteien voraus unter konkreter Bezugnahme auf die zu ändernde Regelung dieser Vereinbarung. Mündliche Nebenabreden bestehen nicht und sich auch für künftige Änderungen dieser Vereinbarung ausgeschlossen.

(3)          Diese Vereinbarung unterliegt deutschem Recht.

(4)          Sofern der Zugriff auf die Daten durch Maßnahmen Dritter (z.B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) haben sich die Parteien gegenseitig zu informieren.

Anlage 2

Vereinbarung über die Datenverarbeitung 

Präambel

Zwischen dem Kunden (nachfolgend: „Verantwortlicher“) und dem Anbieter (nachfolgend: „Auftragsverarbeiter“) besteht ein Auftragsverhältnis im Sinne des Art. 28 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, „DSGVO“) hinsichtlich der Daten der Nutzer beim Verantwortlichen. Hinsichtlich der Daten der Freelancer bzw. Dienstleister besteht gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO. Der entsprechende Vertrag befindet sich Anlage 1.

Dieser Vereinbarung einschließlich aller Anlagen (nachfolgend gemeinsam als „Vereinbarung“ bezeichnet) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus den zugrundeliegenden Allgemeine Geschäfts- und Lizenzbedingungen („AGB“), der Leistungsvereinbarung und/oder Auftragsbeschreibung einschließlich aller Anlagen (nachfolgend gemeinsam als „Hauptvertrag“ bezeichnet). Diese Vereinbarung findet als Anlage 2 zu den AGB zusammen mit diesen Anwendung.

Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen zur Erfüllung des Hauptvertrages und dieser Vereinbarung nach Maßgabe der folgenden Bestimmungen:

§1   Anwendungsbereich und Begriffsbestimmungen

(1)          Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung im Sinne des Art. 28 DSGVO, die der Auftragsverarbeiter auf Grundlage des Hauptvertrages gegenüber dem Verantwortlichen erbringt.

(2)          Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(3)          Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.

§2   Gegenstand und Dauer der Datenverarbeitung

(1)          Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.

(2)          Gegenstand des Auftrags ist die Nutzung der vom Auftragnehmer als Software-as-a-Service („SaaS“) bereitgestellten Plattform zur Verwaltung von Freelancern bzw. Dienstleistern im Rahmen des mit dem Auftragsverarbeiter vereinbarten Umfangs, gemäß dem Hauptvertrag.

(3)          Diese Vereinbarung findet ausschließlich auf die weisungsgebundene Verarbeitung personenbezogener Daten durch den Anbieter statt. Soweit die Parteien als in eigenständiger oder gemeinsamer datenschutzrechtlicher Verantwortlichkeit agieren, findet diese Vereinbarung keine Anwendung.

(4)          Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.

§3   Art und Zweck der Datenverarbeitung

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dieser umfasst folgende Tätigkeiten und Zwecke:

  • Der Auftragnehmer stellt dem Verantwortlichen seine Plattform als Software-as-a-Service Dienstleistung zur Verfügung. Der Verantwortliche nutzt die Plattform zum Management von Freelancern, Partnerunternehmen und Dienstleistern.
  • Dieses Management umfasst das Vertragsmanagement und die Compliance, das Sourcing, die Bezahlung, das Onboarding, die Personalplanung, das Monitoring, die Budgetplanung sowie die interne Leistungsevaluierung. Die dafür erforderlichen Daten werden dem Auftragnehmer vom Verantwortlichen zur Verfügung gestellt.

§4   Kategorien betroffener Personen

Im Rahmen dieser Vereinbarung werden personenbezogene Daten von folgenden Kategorien betroffener Personen verarbeitet:

  • Beschäftigte des Verantwortlichen

§5   Art der personenbezogenen Daten

Von der Auftragsverarbeitung sind folgende Datenarten betroffen:

  • Registrierungsdaten (Anrede, Name, Geburtsdatum, dienstliche Kontaktdaten)
  • Profildaten (Foto, Sprache)
  • Aktivitäten in der Software (Projektverwaltung, Partnernetzwerk, Rechnungszahlung)

§6   Rechte und Pflichten des Verantwortlichen

(1)          Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Verantwortliche zuständig und somit für die Verarbeitung Verantwortlicher im Sinne des Art. 4 Nr.7 DSGVO.

(2)          Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind auf Verlangen des Auftragsverarbeiters unverzüglich vom Verantwortlichen schriftlich oder in Textform (z.B. per E-Mail) zu bestätigen.

(3)          Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Diese wird der Verantwortliche dem Auftragsverarbeiter schriftlich oder in Textform mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Verantwortlichen ändern, wird dies dem Auftragsverarbeiter unter Benennung der jeweils neuen Person schriftlich oder in Textform mitgeteilt.

(4)          Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter festgestellt werden.

§7   Pflichten des Auftragsverarbeiters

(1)          Datenverarbeitung

Der Auftragsverarbeiter wird personenbezogene Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen zu verarbeiten.

(2)          Betroffenenrechte

  1. Der Auftragsverarbeiter wird den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Sollte der Auftragsverarbeiter die in § 5 dieser Vereinbarung genannten personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten und sind diese Daten Gegenstand eines Verlangens auf Datenportabilität gem. Art. 20 DSGVO, wird der Auftragsverarbeiter dem Verantwortlichen den betreffenden Datensatz innerhalb einer angemessen gesetzten Frist, im Übrigen innerhalb von sieben Arbeitstagen, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
  2. Der Auftragsverarbeiter hat auf Weisung des Verantwortlichen die in § 5 dieser Vereinbarung genannten personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten vorsieht.
  3. Soweit sich eine betroffene Person unmittelbar an den Auftragsverarbeiter zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung der in § 5 dieser Vereinbarung genannten personenbezogenen Daten wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich nach Erhalt an den Verantwortlichen weiterleiten.

(3)          Kontrollpflichten

  1. Der Auftragsverarbeiter stellt durch geeignete Kontrollen sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des Hauptvertrages und/oder den entsprechenden Weisungen verarbeitet werden.
  2. Der Auftragsverarbeiter wird sein Unternehmen und seine Betriebsabläufe so gestalten, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
  3. Der Auftragsverarbeiter bestätigt, dass er gem. Art. 37 DSGVO und, sofern anwendbar, gemäß § 38 BDSG einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter des Auftragsverarbeiters ist derzeit:

Frau Inna Gendelman

support@lano.io (mit dem Zusatz „z.Hd. Datenschutzbeauftragter“)

(4)          Informationspflichten

  1. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine von dem Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
  2. Der Auftragsverarbeiter wird den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen.

(5)          Ort der Datenverarbeitung

Die Verarbeitung der Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(6)          Löschung der personenbezogenen Daten nach Auftragsbeendigung

Nach Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern der Löschung dieser Daten keine gesetzlichen Aufbewahrungspflichten des Auftragsverarbeiters entgegenstehen. Die datenschutzgerechte Löschung ist zu dokumentieren und gegenüber dem Verantwortlichen auf Anforderung zu bestätigen.

§8   Kontrollrechte des Verantwortlichen

(1)          Der Verantwortliche ist berechtigt, nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Geschäftsbetriebes des Auftragsverarbeiters oder Gefährdung der Sicherheitsmaßnahmen für andere Verantwortliche und auf eigene Kosten, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Die Kontrollen können auch durch Zugriff auf vorhandene branchenübliche Zertifizierungen des Auftragsverarbeiters aktuelle Testate oder Berichte einer unabhängigen Instanz (wie z.B. Wirtschaftsprüfer, externer Datenschutzbeauftragter, Revisor oder externer Datenschutzauditor) oder Selbstauskünfte durchgeführt werden. Der Auftragsverarbeiter wird die notwendige Unterstützung zur Durchführung der Kontrollen anbieten.

(2)          Der Auftragsverarbeiter wird den Verantwortlichen über die Durchführung von Kontrollmaßnahmen der Aufsichtsbehörde informieren, soweit die Maßnahmen oder Datenverarbeitungen betreffen können, die der Auftragsverarbeiter für den Verantwortlichen erbringt.

§9   Unterauftragsverhältnisse

(1)          Der Verantwortliche ermächtigt den Auftragsverarbeiter weitere Auftragsverarbeiter gemäß den nachfolgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zu nehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung i. S. d. Art. 28 Abs. 2 DSGVO dar.

(2)          Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den in der Anlage 3 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.

(3)          Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen. Der Auftragsverarbeiter wird den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte Änderung Einspruch erheben.

(4)          Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 2 Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder einen alternativen weiteren Auftragsverarbeiter vorschlagen und mit dem Verantwortlichen abstimmen. Sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragsverarbeiter nicht zumutbar ist – etwa aufgrund von damit verbundenen unverhältnismäßigen Aufwendungen für den Auftragsverarbeiter – oder die Abstimmung eines weiteren Auftragsverarbeiters fehlschlägt, können der Verantwortliche und der Auftragsverarbeiter diese Vereinbarung sowie den Hauptvertrag mit einer Frist von einem Monat zum Monatsende kündigen.

(5)          Bei Einschaltung eines weiteren Auftragsverarbeiters muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten weiteren Auftragsverarbeiter verantwortlich.

§10   Vertraulichkeit

(1)          Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet.

(2)          Der Auftragsverarbeiter verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vornahme der Verpflichtungen wird der Auftragsverarbeiter dem Verantwortlichen auf Nachfrage nachweisen.

(3)          Sofern der Verantwortliche anderweitigen Geheimnisschutzregeln unterliegt, wird er dies dem Auftragsverarbeiter mitteilen. Der Auftragsverarbeiter wird seine Mitarbeiter entsprechend den Anforderungen des Verantwortlichen auf diese Geheimnisschutzregeln verpflichten.

§11   Technische und organisatorische Maßnahmen

(1)          Die in Anlage 2.1 beschriebenen technischen und organisatorischen Maßnahmen werden als angemessen vereinbart. Der Auftragsverarbeiter kann diese Maßnahmen aktualisieren und ändern, vorausgesetzt dass das Schutzniveau durch solche Aktualisierungen und/oder Änderungen nicht wesentlich herabgesetzt wird.

(2)          Der Auftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art 32 i.V.m. Art. 5 Abs. 1 DSGVO. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Er wird alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Die zu treffenden Maßnahmen umfassen insbesondere Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Maßnahmen, die die Kontinuität der Verarbeitung nach Zwischenfällen gewährleisten. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, wird der Auftragsverarbeiter die implementierten Maßnahmen regelmäßig evaluieren und ggf. Anpassungen vornehmen.

§12   Haftung/ Freistellung

(1)          Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Eine Ersatzpflicht des Auftragsverarbeiters besteht nicht, sofern der Auftragsverarbeiter nachweist, dass er die ihm überlassenen Daten des Verantwortlichen ausschließlich nach den Weisungen des Verantwortlichen verarbeitet und seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nachgekommen ist.

(2)          Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die aufgrund einer schuldhaften Verletzung der Verpflichtungen aus dieser Vereinbarung oder geltenden datenschutzrechtlichen Vorschriften durch den Verantwortlichen gegen den Auftragsverarbeiter geltend gemacht werden.

§13   Sonstiges

(1)          Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.

(2)          Änderungen und Ergänzungen dieser Vereinbarung setzen die beidseitige Zustimmung der Vertragsparteien voraus unter konkreter Bezugnahme auf die zu ändernde Regelung dieser Vereinbarung. Mündliche Nebenabreden bestehen nicht und sich auch für künftige Änderungen dieser Vereinbarung ausgeschlossen.

(3)          Diese Vereinbarung unterliegt deutschem Recht.

(4)          Sofern der Zugriff auf die Daten, die der Verantwortliche dem Auftragsverarbeiter zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z.B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich hierüber zu benachrichtigen.

Anlage 2.1

Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung

Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:

A   Maßnahmen zur Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

Beschreibung der Pseudonymisierung: Keine, da auf einem Zentral-Server verarbeitet wird         

B   Maßnahmen zur Verschlüsselung

Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:

  • Ausschließlich Verwendung von      bekannten       Verschlüsselungs-Bibliotheken           und Verschlüsselungs-Algorithmen.
  • Verwendung geeigneter Verschlüsselungsalgorithmen (wie z.B. AES, 3DES, SHA2) und Schlüsselgrößen
Typ Keysize in bit
Symmetrisch 128
Asymmetrisch 2048
Hashes 200 – 256
  • Verschlüsselte Daten nur bei Benutzung entschlüsseln.
  • Unmittelbar nach Verwendung Klartextdaten sicher löschen.
  • Trennung von (verschlüsselten) Daten und Schlüssel.
  • Schlüssel auf getrennten Systemen speichern.

C   Maßnahmen zur Sicherung der Vertraulichkeit

  1. Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:

Beschreibung des Zutrittskontrollsystems:

  • Ausweisleser, kontrollierte Schlüsselvergabe, Chipkarte, etc.
  • Türsicherung (elektronischer Türöffner, etc.)
  • Pförtner
  • Überwachungseinrichtung (Alarmanlagen, Video)
  • Kontrollsystem für Besucher
  1. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

Beschreibung des Zugangskontrollsystems:

  • System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
  • Nutzer müssen sich mit Nutzername und Passwort identifizieren
  • Nutzerreicht werden nur eingeschränkt gewährt
  • All logins/logoffs werden aufgezeichnet
  • Einsatz einer zentralen PasswortPolicy
  1. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung des Zugriffskontrollsystems:

  • Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation
  • Auswertung/Protokollierungen
  • Verschlüsselung von unterschiedlichen Datenträgern
  • Archivierungskonzept
  • Protokollierung von Zugriffen und Missbrauchsversuchen
  • System und Datenzugang sind eingeschränkt auf autorisierte Nutzer
  • Nutzer müssen sich mit Nutzername und Passwort identifizieren
  1. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

Beschreibung des Trennungskontrollvorgangs:

  • Berechtigungskonzepte
  • Systeme erlauben Daten Segregation durch unterschiedliche Software
  • Produktiv- und Testsysteme sind getrennt voneinander
  • Datensätze sind nur durch Systeme zugänglich, die vordefiniert sind
  • Datenbanken Nutzerrechte werden zentral ausgegeben und verwaltet

D   Maßnahmen zur Sicherung der Integrität

  1. Datenintegrität

Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden:

Beschreibung der Datenintegrität:

  • Einspielen neuer Releases und Patchtes mit Release-/Patchmanagement
  • Funktionstest bei Installation und Releases/Patches durch IT-Abteilung
  • Logging
  • Transportprozesse mit individueller Verantwortlichkeit
  1. Übertragungskontrolle

Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können:

Beschreibung der Übertragungskontrolle:

  • Logging
  • Transportprozesse mit individueller Verantwortlichkeit
  • Prüfsummen
  1. Transportkontrolle

Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:

Beschreibung der Transportkontrolle:

  • Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN)
  • Transportprozesse mit individueller Verantwortlichkeit
  • Verschlüsselungsverfahren die Datenveränderungen während des Transports aufdecken
  • HTTPS
  • umfassende Protokollierungsverfahren
  1. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Beschreibung des Eingabekontrollvorgangs:

  • Protokollierung sämtlicher Systemaktivitäten und Aufbewahrung dieser Protokolle von mindestens drei Jahren
  • Protokollauswertungssysteme
  • Prüfsummen
  • Digitale Signaturen
  • Nutzung der zentralen Rechteverwaltung für die Eingabe, Ändern und Löschen von Daten

E   Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

  1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

  • Es werden regelmäßig Backups erstellt.
  • Backup- und Wiederherstellungsplan ist vorhanden.
  • Datensicherungsdateien werden an einem sicheren und entfernten Ort gespeichert.
  • Lokalisierung
  • Datenrettung wird regelmäßig getestet
  • Sowie diverse weitere Maßnahmen der Server Dienstleister
  1. Rasche Widerherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Beschreibung der Maßnahmen zur raschen Widerherstellbarkeit:

  • Datensicherungsverfahren
  • regelmäßige Tests der Datenwiederherstellung
  • Notfallpläne
  1. Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:

Beschreibung der Maßnahmen zur Zuverlässigkeit:

  • Automatisches Monitoring mit E-Mail-Benachrichtigung
  • Notfallpläne mit Verantwortlichkeiten
  • IT-Notdienst 24/7
  • regelmäßige Tests der Datenwiederherstellung

F   Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung

  1. Überprüfungsverfahren

Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.

Beschreibung der Überprüfungsverfahren:

  • Datenschutzmanagement
  • Formalisierte Prozesse für Datenschutzvorfälle
  • Weisungen des Auftraggebers werden dokumentiert
  • formalisiertes Auftragsmanagement
  • Service-Level-Agreements für die Durchführung von Kontrollen
  • Hinzuziehung der externen Datenschutzbeauftragten zu allen Datenschutzrelevanten Fragen
  1. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

Beschreibung der Maßnahmen zur Auftragskontrolle:

  • Weisungen des Auftraggebers werden dokumentiert
  • formalisiertes Auftragsmanagement

Anlage 3

Unterauftragsverhältnisse

Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.

  1. Docusign

Name/Firma: Docusign Germany GmbH

Funktion/Tätigkeit: elektronische Verarbeitung von Vertragsdokumenten

Sitz: Frankfurt, Deutschland

  1. Stripe

Name/Firma: Stripe, Inc.

Funktion/Tätigkeit: Online-Zahlungsabwicklung

Sitz: San Francisco, USA

Garantie für ein angemessenes Datenschutzniveau im Falle einer Verarbeitung in Drittstaaten (außerhalb der EU bzw. des EWR): Wir haben mit Stripe die Standardvertragsklauseln der EU-Kommission geschlossen.

  1. Sengrid / Twilio

Name/Firma: Twilio Ireland Limited

Funktion/Tätigkeit: Mailingdienstleister

Sitz: Dublin, Irland

Garantie für ein angemessenes Datenschutzniveau im Fall einer Verarbeitung in Drittstaaten: Vertragspartner ist die Irische Limited. Falls die US-Konzernmutter Twilio Inc. Daten erhalten sollte, ist diese zertifiziert nach dem EU-US Privacy Shield.

      4. Google Analytics

Name/Firma: Google LLC

Funktion/Tätigkeit: Datenanalyse

Sitz [Stadt, Land]: Mountain View, USA

Garantie für ein angemessenes Datenschutzniveau im Falle einer Verarbeitung in Drittstaaten: Die Google LLC Analytics ist zertifiziert nach EU-US Privacy Shield.