vertrags­bedingungen
für die
überlassung
von
cloud-services

 

Impressum

Datenschutzerklärung

Auftragsdatenverarbeitung

Druckversion

  1. Vertragsgegenstand
    1. Die Beschaffenheit und der Leistungsumfang des Cloud-Service ergeben sich aus der jeweiligen Programmbeschreibung, einsehbar unter https://www.cloudiax.com/de/preisliste/ und der Auftragsbestätigung.
    2. Der Anbieter wird dem Kunden während der Laufzeit die Nutzungsmöglichkeit des Cloud-Service mittels Fernzugriff über das Internet einräumen. Der Cloud-Service, die für die Nutzung erforderliche Rechnerleistung sowie der notwendige Speicherplatz für Daten wird vom Anbieter oder einem von ihm beauftragten Rechenzentrum bereitgehalten. Der dem Kunden zugewiesene Systembereich ist gegen den Zugriff Dritter geschützt.
    3. Der Anbieter übermittelt dem Kunden die für die Nutzung des Cloud-Service erforderlichen Zugangsdaten zur Identifikation und Authentifikation. Dem Kunden ist es nicht gestattet, diese Zugangsdaten Dritten zu überlassen, sofern es sich nicht um einen dem Anbieter benannten zusätzlichen Nutzer handelt, der bei der Vergütung berücksichtigt wurde. Neue zusätzliche Nutzer wird der Kunde dem Anbieter vor Tätigkeitsbeginn melden, damit eine Anpassung der Vergütung erfolgen kann.
    4. Alle weiteren Leistungen des Anbieters, die auf Wunsch des Kunden erbracht werden (insbesondere Einsatzvorbereitung, Demonstration, Einweisung, Schulung und Beratung), werden gesondert nach Aufwand vergütet.
  2. Nutzungsvoraussetzungen
    1. Zur Nutzung des Cloud-Service ist ein Zugang des Kunden zum Internet notwendig. Der Zugang des Kunden zum Internet ist nicht Gegenstand dieses Vertragsverhältnisses. Der Kunde trägt die alleinige Verantwortung für die Funktionsfähigkeit seines Internetzugangs einschließlich der Übertragungswege sowie seines eigenen Computers.
    2. Weitere technische Voraussetzungen für die Nutzung des Cloud-Service werden in der Programmbeschreibung oder den Release-Notes des Cloud-Service veröffentlicht.
  3. Service Level
    1. Der Anbieter wird den Cloud-Service während der Betriebszeit mit einer Verfügbarkeit von 99,5 % zur Verfügung stellen. Die Betriebszeit beträgt 24 Stunden an 365 Tagen pro Jahr, bzw. 366 Tagen in Schaltjahren. Davon ausgenommen sind nachfolgende festgelegte Wartungsfenster, die nicht als Betriebszeit gelten und bei der Berechnung der Verfügbarkeit als entschuldigte Ausfallzeit abgezogen werden.
    2. Jeden ersten Sonntag im Monat von 00:00 bis 04:00 CET/CEST. Dieses Wartungsfenster steht dem Anbieter als generelles Wartungsfenster zur Verfügung.
    3. Eine Stunde pro Kalenderwoche für Wartungsarbeiten an den individuellen Systemen des Kunden. Tag und Uhrzeit müssen vom Kunden im Vorfeld festgelegt werden.
    4. Ferner werden weitere entschuldigte Ausfallzeiten für nicht vermeidbare Wartungsarbeiten nicht in die Berechnung der Verfügbarkeit eingerechnet, wenn der Anbieter den Kunden hierüber mindestens eine Woche vorher informiert. Die Information wird auf der Statusseite https://status.cloudiax.com/ bereitgestellt.
    5. Die Verfügbarkeit wird auf Basis eines Kalendermonats gemessen und berechnet. Die Verfügbarkeit berechnet sich anhand folgender Formel:
  4. Beseitigung von Störungen an dem Cloud-Service
    1. Der Anbieter gewährleistet, dass der Cloud-Service während der Betriebszeit bei vertragsgemäßem Einsatz den Vereinbarungen gemäß Ziffer 1.1 entspricht. Mängel an dem Cloud-Service (im Folgenden als „Störungen“ bezeichnet) werden vom Anbieter nach entsprechender Mitteilung der Störung durch den Kunden innerhalb der in diesem in Ziffer 4.2 ff. festgelegten Reaktionszeit behoben. Gleiches gilt für sonstige Störungen der Möglichkeit zur Nutzung des Cloud-Service.
    2. Der Anbieter wird Störungsmeldungen des Kunden entgegennehmen, den vereinbarten Störungskategorien zuordnen und anhand dieser Zuordnung die vereinbarten Maßnahmen zur Analyse und Bereinigung von Störungen durchführen. Das Störungsmanagement umfasst keine Leistungen, die im Zusammenhang mit dem Einsatz von dem Cloud-Service in nicht freigegebenen Einsatzumgebungen oder mit Veränderungen der Cloud-Service durch den Kunden oder Dritten stehen.
    3. Der Anbieter wird während der Betriebszeit ordnungsgemäße Störungsmeldungen des Kunden entgegennehmen und jeweils mit einer Kennung versehen. Auf Anforderung des Kunden bestätigt ihm der Anbieter den Eingang einer Störungsmeldung unter Mitteilung der vergebenen Kennung.
    4. Soweit nichts anderes vereinbart ist, wird der Anbieter entgegengenommene Störungsmeldungen nach erster Sichtung einer der folgenden Kategorien zuordnen:
    5. Schwerwiegende Störung: Die Störung beruht auf einem Fehler des Cloud-Service, der die Nutzung des Cloud-Service unmöglich macht oder nur mit schwerwiegenden Einschränkungen erlaubt. Der Kunde kann dieses Problem nicht in zumutbarer Weise umgehen und deswegen unaufschiebbare Aufgaben nicht erledigen.
    6. Sonstige Störung: Die Störung beruht auf einem Fehler des Cloud-Service, der die Nutzung des Cloud-Service durch den Kunden mehr als nur unwesentlich einschränkt, ohne dass eine schwerwiegende Störung vorliegt.
    7. Sonstige Meldung: Störungsmeldungen, die nicht in die Kategorien nach Ziffer 4.4.1 und Ziffer 4.4.2 fallen, werden den sonstigen Meldungen zugeordnet. Sonstige Meldungen werden vom Anbieter nur nach den dafür getroffenen Vereinbarungen behandelt.
    8. Bei Meldungen über schwerwiegende Störungen und sonstige Störungen wird der Anbieter unverzüglich anhand der vom Kunden mitgeteilten Umstände entsprechende Maßnahmen einleiten, um zunächst die Störungsursache zu lokalisieren. Stellt sich die mitgeteilte Störung nach erster Analyse nicht als Fehler des Cloud-Service dar, teilt der Anbieter dies dem Kunden unverzüglich mit. Sonst wird der Anbieter entsprechende Maßnahmen zur weitergehenden Analyse und zur Bereinigung der mitgeteilten Störung veranlassen oder – bei Komponenten von Dritten – die Störungsmeldung zusammen mit seinen Analyseergebnissen dem Vertreiber oder Hersteller der Komponenten mit der Bitte um Abhilfe übermitteln. Der Anbieter wird dem Kunden ihm vorliegende Maßnahmen zur Umgehung oder Bereinigung eines Fehlers des Cloud-Service, etwa Handlungsanweisungen, in angemessener Frist zur Verfügung stellen. Der Kunde wird solche Maßnahmen zur Umgehung oder Bereinigung von Störungen unverzüglich übernehmen und dem Anbieter bei deren Einsatz etwa verbleibende Störungen unverzüglich erneut melden. Der Kunde hat Mangelansprüche nur, wenn gemeldete Mängel reproduzierbar oder anderweitig durch den Kunden nachweisbar sind.
  5. Service-Center
    1. Der Anbieter richtet ein Service-Center für den Kunden ein. Diese Stelle bearbeitet die Anfragen des Kunden im Zusammenhang mit den technischen Einsatzvoraussetzungen und -bedingungen des Cloud-Service sowie einzelnen funktionalen Aspekten. Vom Service-Center werden keine Leistungen erbracht, die im Zusammenhang mit dem Einsatz vom Cloud-Service in nicht freigegebenen Einsatzumgebungen oder mit Veränderungen des Cloud-Service durch den Kunden oder Dritten stehen.
    2. Voraussetzung für die Annahme und Bearbeitung von Anfragen ist, dass der Kunde gegenüber dem Anbieter fachlich und technisch entsprechend qualifiziertes Personal benennt, das intern beim Kunden mit der Bearbeitung von Anfragen der Anwender des Cloud-Service beauftragt ist. Der Kunde ist verpflichtet, nur über dieses, dem Anbieter benannte Personal, Anfragen an das Service-Center zu richten und dabei vom Anbieter gestellte Formulare zu verwenden. Das Service-Center nimmt solche Anfragen per Ticketsystem über https://portal.cloudiax.com/ und bei schwerwiegenden Störungen zusätzlich per Telefon entgegen.
    3. Das Service-Center wird ordnungsgemäße Anfragen im üblichen Geschäftsgang bearbeiten und soweit möglich beantworten. Das Service-Center kann zur Beantwortung auf dem Kunden vorliegende Dokumentationen und sonstige Ausbildungsmittel für den Cloud-Service verweisen.
    4. Soweit eine Beantwortung durch das Service-Center nicht oder nicht zeitnah möglich ist, wird der Anbieter – soweit dies ausdrücklich vereinbart ist – die Anfrage zur Bearbeitung weiterleiten, insbesondere Anfragen zu nicht von ihm hergestellten Komponenten des Cloud-Service.
    5. Weitergehende Leistungen des Service-Center, etwa andere Ansprechzeiten und -fristen sowie Rufbereitschaften oder Einsätze des Anbieters vor Ort beim Kunden sind vorab ausdrücklich zu vereinbaren.
  6. Laufzeit
    1. Die Laufzeit des Vertrags beginnt mit der Übersendung der Zugangsdaten für den Cloud-Service durch den Anbieter an den Kunden. Die Laufzeit des Vertrages beträgt, sofern in der Auftragsbestätigung des Anbieters nichts anderes vereinbart ist, zwölf Monate. Der Vertrag verlängert sich automatisch um jeweils weitere 12 Monate, wenn der Vertrag nicht von einer der Parteien mindestens einen Monat vor dem Ende der Laufzeit gekündigt wird.
    2. Der Vertrag gilt ebenfalls als gekündigt, wenn der Kunde der Zahlungsverpflichtung gemäß 7.2 nicht vor Beginn der Vertragsverlängerung nachkommt.
    3. Darüber hinaus kann der Vertrag vom Anbieter und Kunden ohne Einhaltung einer Frist aus wichtigem Grund gekündigt werden.
    4. Kündigungserklärungen sind nur schriftlich wirksam.
  7. Vergütung
    1. Die Parteien werden die Vergütung für die Nutzungsüberlassung des Cloud-Service in der Auftragsbestätigung des Anbieters regeln.
    2. Die Vergütung wird für den vereinbarten Zeitraum im Voraus fällig und vom Anbieter an den Kunden in Rechnung gestellt.
    3. Bei wirtschaftlichem Unvermögen des Kunden, seine Pflichten gegenüber dem Anbieter zu erfüllen, kann der Anbieter bestehende Austauschverträge mit dem Kunden durch Rücktritt, Dauerschuldverhältnisse durch Kündigung fristlos beenden, auch bei einem Insolvenzantrag des Kunden.
  8. Nutzungsrechte an dem Cloud-Service und Schutz vor unberechtigter Nutzung
    1. Für die Dauer der Laufzeit, wird dem Kunden ein nicht-ausschließliches Recht gewährt, der Cloud-Service und die Dokumentation mittels Fernzugriff zu internen Geschäftszwecken des Kunden zu nutzen;
    2. Eine erweiterte Nutzung ist stets vor ihrem Beginn vertraglich zu vereinbaren. Die Vergütung richtet sich nach dem Umfang des Einsatzrechts.
    3. Der Anbieter ist berechtigt, angemessene technische Maßnahmen zum Schutz vor einer nicht vertragsgemäßen Nutzung zu treffen.
    4. Der Anbieter kann das Nutzungsrecht des Kunden widerrufen, wenn dieser nicht unerheblich gegen Einsatzbeschränkungen oder sonstige Regelungen zum Schutz vor unberechtigter Nutzung (siehe auch Ziffer 1.3 und Ziffer 10.4) verstößt. Der Anbieter hat dem Kunden vorher eine Nachfrist zur Abhilfe zu setzen. Im Wiederholungsfall und bei besonderen Umständen, die unter Abwägung der beiderseitigen Interessen den sofortigen Widerruf rechtfertigen, kann der Anbieter den Widerruf ohne Fristsetzung aussprechen. Der Kunde hat dem Anbieter die Einstellung der Nutzung nach dem Widerruf schriftlich zu bestätigen. Der Anbieter wird dem Kunden das Einsatzrecht wieder einräumen, nachdem der Kunde schriftlich dargelegt und versichert hat, dass keinerlei Verstöße gegen das Einsatzrecht mehr vorliegen sowie vorherige Verstöße und deren Folgen beseitigt sind.
  9. Einschaltung von Subunternehmern
    1. Der Anbieter ist frei darin, zur Erfüllung seiner Verpflichtungen Subunternehmer einzusetzen. Der Kunde erklärt bereits jetzt sein Einverständnis hierzu. Eine Liste mit Subunternehmern ist unter https://www.cloudiax.com/de/datenschutzerklaerung/ einsehbar.
  10. Pflichten des Kunden
    1. Der Kunde sorgt dafür, dass während der Laufzeit fachkundiges Personal für die Unterstützung des Anbieters und den Einsatz des Cloud-Service zur Verfügung steht.
    2. Der Kunde wird den Anbieter soweit erforderlich bei der Beseitigung von Mängeln unterstützen, insbesondere den Mangel, falls vom Anbieter verlangt auch schriftlich, genauest möglich beschreiben, erforderlichen Daten, Unterlagen und Informationen zur Verfügung stellen.
    3. Der Kunde erkennt an, dass der Cloud-Service samt der Bedienungsanleitung und weiterer Unterlagen – auch in künftigen Versionen – urheberrechtlich geschützt ist.
    4. Der Kunde benennt schriftlich mit Vor- und Zunamen, Telefonnummer und E-Mail-Adresse einen Security-Manager, der für den Anbieter als zentraler Ansprechpartner für alle sicherheitsrelevanten Fragen und Entscheidungen zur Verfügung steht. Zu den sicherheitsrelevanten Entscheidungen zählen unter anderem Gewährung von Zugriffsrechten auf Daten des Kunden oder die Löschung von Daten des Kunden.
    5. Der Kunde darf nichts unternehmen, was einer unberechtigten Nutzung Vorschub leisten könnte. Der Kunde wird den Anbieter unverzüglich unterrichten, wenn er Kenntnis davon hat, dass in seinem Bereich ein unberechtigter Zugriff droht oder erfolgt ist.
  11. Mangelansprüche des Kunden
    1. Für die Mängelansprüche gilt mietvertragliches Mängelrecht. Störungen am Cloud-Service werden vom Anbieter wie unter Ziffer 4 beschrieben beseitigt. Der Kunde darf eine Entgeltminderung nicht durch Abzug vom vereinbarten Entgelt durchsetzen. Entsprechende Bereicherungs- oder Schadensersatzansprüche bleiben unberührt.
    2. Das Kündigungsrecht des Kunden wegen Nichtgewährung des Gebrauchs ist ausgeschlossen, sofern nicht die Herstellung des vertragsgemäßen Gebrauchs als fehlgeschlagen anzusehen ist.
    3. Der Anbieter leistet Gewähr für die vertraglich geschuldete Beschaffenheit der Leistungen. Für eine nur unerhebliche Abweichung der Leistungen des Anbieters von der vertragsgemäßen Beschaffenheit bestehen keine Ansprüche wegen Sachmängeln. Ansprüche wegen Mängeln bestehen auch nicht bei unsachgemäßer Nutzung, nicht reproduzierbaren Fehlern oder bei Schäden, die aufgrund besonderer äußerer Einflüsse entstehen, die nach dem Vertrag nicht vorausgesetzt sind. Dies gilt auch bei nachträglicher Veränderung oder Instandsetzung durch den Kunden oder Dritte, außer diese erschwert die Analyse und die Beseitigung eines Sachmangels nicht. Für Schadensersatz- und Aufwendungsersatzansprüche gilt Ziffer 13 ff. ergänzend.
    4. Die Verjährungsfrist für Sachmangelansprüche beträgt ein Jahr. Die Bearbeitung einer Sachmangelanzeige des Kunden durch den Anbieter führt nur zur Hemmung der Verjährung, soweit die gesetzlichen Voraussetzungen dafür vorliegen. Ein Neubeginn der Verjährung tritt dadurch nicht ein. Eine Nacherfüllung (Neulieferung oder Nachbesserung) kann ausschließlich auf die Verjährung des die Nacherfüllung auslösenden Mangels Einfluss haben.
    5. Der Anbieter kann Vergütung seines Aufwands verlangen, soweit (1) er aufgrund einer Meldung tätig wird, ohne dass ein Mangel vorliegt, außer der Kunde konnte mit zumutbarem Aufwand nicht erkennen, dass kein Mangel vorlag, oder (2) eine gemeldete Störung nicht reproduzierbar ist, oder (3) zusätzlicher Aufwand wegen nicht ordnungsgemäßer Erfüllung der Pflichten des Kunden (siehe auch Ziffer 10 ff.) anfällt.
  12. Rechtsmängel
    1. Für Verletzungen von Rechten Dritter durch seine Leistung haftet der Anbieter nur, soweit die Leistung vertragsgemäß und insbesondere in der vertraglich vereinbarten, sonst in der vorgesehenen Einsatzumgebung, unverändert eingesetzt wird. Der Anbieter haftet für Verletzungen von Rechten Dritter nur am Ort der vertragsgemäßen Nutzung der Leistung.
    2. Macht ein Dritter gegenüber dem Kunden geltend, dass eine Leistung des Anbieters seine Rechte verletzt, benachrichtigt der Kunde unverzüglich den Anbieter. Der Anbieter und ggf. dessen Vorlieferanten sind berechtigt, aber nicht verpflichtet, soweit zulässig die geltend gemachten Ansprüche auf deren Kosten abzuwehren. Der Kunde ist nicht berechtigt, Ansprüche Dritter anzuerkennen, bevor er dem Anbieter angemessen Gelegenheit gegeben hat, die Rechte Dritter auf andere Art und Weise abzuwehren.
    3. Werden durch eine Leistung des Anbieters Rechte Dritter verletzt, wird der Anbieter nach eigener Wahl und auf eigene Kosten (1) dem Kunden das Recht zur Nutzung der Leistung verschaffen oder (2) die Leistung rechtsverletzungsfrei gestalten oder (3) die Leistung unter Erstattung der dafür vom Kunden geleisteten Vergütung (abzüglich einer angemessenen Nutzungsentschädigung) zurücknehmen, wenn der Anbieter keine andere Abhilfe mit angemessenem Aufwand erzielen kann. Die Interessen des Kunden werden dabei angemessen berücksichtigt.
    4. Ansprüche des Kunden wegen Rechtsmängeln verjähren entsprechend Ziffer 11.4. Für Schadensersatz- und Aufwendungsersatzansprüche des Kunden gilt Ziffer 13 ff. ergänzend, für zusätzlichen Aufwand des Anbieters gilt Ziffer 11.5 entsprechend.
  13. Allgemeine Haftung des Anbieters
    1. Der Anbieter haftet dem Kunden stets (1) für die von ihm sowie seinen gesetzlichen Vertretern oder Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursachten Schäden und (2) für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die der Anbieter, seine gesetzlichen Vertreter oder Erfüllungsgehilfen zu vertreten haben.
    2. Der Anbieter haftet bei leichter Fahrlässigkeit nicht, außer soweit er eine wesentliche Vertragspflicht verletzt hat, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Diese Haftung ist bei Sach- und Vermögensschäden auf den vertragstypischen und vorhersehbaren Schaden beschränkt. Dies gilt auch für entgangenen Gewinn und ausgebliebene Einsparungen. Die Haftung für sonstige entfernte Folgeschäden ist ausgeschlossen. Für einen einzelnen Schadensfall ist die Haftung auf den Vertragswert begrenzt, bei laufender Vergütung auf die Höhe der Vergütung pro Vertragsmonat. Für die Verjährung gilt Ziffer 11.4 entsprechend. Die Haftung gemäß Ziffer 13.1 bleibt von diesem Absatz unberührt.
    3. Aus einer Garantieerklärung haftet der Anbieter nur auf Schadensersatz, wenn dies in der Garantie ausdrücklich übernommen wurde. Diese Haftung unterliegt bei leichter Fahrlässigkeit den Beschränkungen gemäß Ziffer 13.2.
    4. Bei Verlust von Daten haftet der Anbieter nur für denjenigen Aufwand, der für die Wiederherstellung der Daten bei ordnungsgemäßer Datensicherung durch den Kunden (siehe Ziffer 14.2) erforderlich ist.
  14. Datenschutz und Kopien der Daten des Kunden
    1. Soweit der Anbieter auf Daten und insbesondere auf personenbezogene Daten zugreifen kann, die auf Systemen des Kunden gespeichert sind, wird er ausschließlich als Auftragsdaten-Verarbeiter tätig und diese Daten nur zur Vertragsdurchführung verarbeiten und nutzen. Der Anbieter wird Weisungen des Kunden für den Umgang mit diesen Daten beachten. Der Kunde trägt etwaige nachteilige Folgen solcher Weisungen für die Vertragsdurchführung.
    2. Der Kunde bleibt sowohl allgemein im Auftragsverhältnis als auch im datenschutzrechtlichen Sinne der Verantwortliche. Verarbeitet der Kunde im Zusammenhang mit dem Vertrag personenbezogene Daten (einschließlich Erhebung und Nutzung), so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes den Anbieter von Ansprüchen Dritter frei.
      Für das Verhältnis zwischen Anbieter und Kunde gilt: Gegenüber der betroffenen Person trägt die Verantwortung für die Verarbeitung (einschließlich Erhebung und Nutzung) personenbezogener Daten der Kunde, außer soweit der Anbieter etwaige Ansprüche der betroffenen Person wegen einer ihm zuzurechnenden Pflichtverletzung zu vertreten hat. Der Kunde wird etwaige Anfragen, Anträge und Ansprüche der betroffenen Person verantwortlich prüfen, bearbeiten und beantworten. Das gilt auch bei einer Inanspruchnahme des Anbieters durch die betroffene Person. Der Anbieter wird den Kunden im Rahmen seiner Pflichten unterstützen. Der Anbieter ist jedoch zu keiner Zeit in Bezug auf §26 DSGVO für die Verarbeitung von personenbezogenen Daten des Kunden ‚gemeinsam verantwortlich‘.
    3. Der Anbieter gewährleistet, dass Daten des Kunden ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gespeichert werden, soweit nichts anderes vereinbart ist.
    4. Der Kunde wird einmal pro Kalendermonat die jeweils vom Anbieter bereitgestellte elektronische Kopie der Daten des Kunden verschlüsselt vom Anbieter herunterladen, speichern und als eigenes Backup des Kunden sicher verwahren.
    5. Nach Ablauf der vertraglichen Nutzungszeit wird der Anbieter die Datensicherung vom letzten Tag der Vertragslaufzeit innerhalb von 48 Stunden bereitstellen. Der Kunde ist berechtigt diese Datensicherung innerhalb von 10 Tagen wie in Ziffer 14.2 beschrieben, herunterzuladen. Im Anschluss daran wird der Anbieter alle Daten des Kunden endgültig löschen.
    6. Der Anbieter verarbeitet Daten (Alle üblichen und relevanten Daten, die in ERP- (insbesondere SAP) und zugehörigen Sub-Systemen gespeichert werden. Dies sind insbesondere folgende Daten: Kunden, Lieferanten und Interessenten mit Daten zu Ansprechpartnern. Personaldaten, wie Bewerber, Mitarbeiter, Auszubildende, Praktikanten, Ruheständler, usw. Daten zur Arbeitszeiterfassung und Zugangskontrolle und Terminverwaltung. Daten zur Kommunikation sowie zur Abwicklung und Kontrolle von Transaktionen sowie technische Systeme; Notfallkontaktdaten; Sonstige Personengruppen) im Auftrag des Kunden. Dies umfasst Tätigkeiten (Betrieb von SAP- und Subsystemen. Beratung zur Optimierung und zum Einsatz von SAP- und Subsystemen. Konfiguration und Bereitstellung von SAP- und Subsystemen. Fehlersuche und Datenkorrektur in SAP- und Subsystemen. Übernahme von Daten und Aufbereitung von Daten zum Einspielen in SAP- und Sub-Systemen. Aufbereitung von Daten zur Weitergabe an Dritte nach Aufforderung durch den Kunden; z.B. Personaldaten an Abrechnungssysteme; Elektronische Überweisungsträger an Banken; Datenbanken an Softwarehersteller (z.B. SAP) zur weiteren Fehleranalyse und Korrektur in SAP- und Subsystemen), die in der Leistungsbeschreibung konkretisiert sind. Der Kunde ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Anbieter sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.
    7. Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Kunden danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
    8. Der Anbieter darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Kunden verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3a) der Datenschutzgrundverordnung vor. Der Anbieter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Anbieter darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.
    9. Der Anbieter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Kunden treffen, die den Anforderungen des Datenschutzgesetzes genügen. Diese Maßnahmen betreffen: (1) Zutrittskontrolle, (2) Zugangskontrolle, (3) Zugriffskontrolle, (4) Weitergabekontrolle, (5) Eingabekontrolle, (6) Auftragskontrolle, (7) Verfügbarkeitskontrolle und (8) Trennungskontrolle. Die vom Anbieter getroffenen Sicherheitsmaßnahmen werden nachfolgend aufgeführt. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Anbieter vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
    10. Zutrittskontrolle
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle): (1) Einführung und Aufrechterhaltung gestaffelter Zutrittsrechte für Mitarbeiter und Dritte; (2) Regelung und Begrenzung von Zutrittsrechten, Ausgabe von entsprechenden Schlüsseln oder Schlüsselkarten; (3) Regelmäßige Überprüfung und Aktualisierung von Schlüsseln oder Schlüsselkarten; (4) Identifikation und Überprüfung aller Personen mit Zutrittsrechten; (5) Protokollierung von Besuchern, die Zugriff zu Datenverarbeitungsanlagen haben
    11. Zugangskontrolle
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle): (1) Betrieb von zentralen Datenverarbeitungsanlagen (Servern) nur in speziell gesicherten Räumen, zu denen nur ausgewählte Mitarbeiter (Administratoren) und zu Sorgfalt und Verschwiegenheit verpflichtete Dienstleister Zutritt haben; (2) Erstellung und Durchsetzung von Verhaltensregeln für die Nutzung mobiler Endgeräte, die die Mitarbeiter u.a. verpflichten, solche auf Reisen nicht unbeaufsichtigt zu lassen; (3) Logische (z.B. durch Passwörter) und physische (z.B. durch die Verwendung abschließbarer oder anderweitig gesicherter Behältnisse) Sicherung von allen Datenspeichermedien (externe Festplatten, USB-Sticks, CD-ROMs, DVDs etc.).
    12. Zugriffskontrolle
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle): (1) Erstellung und Durchsetzung einer Nutzungsrichtlinie, die die Erfassung, das Lesen, das Ändern und das Löschen von Daten regelt; (2) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (3) Sperrung von Nutzerkonten, soweit diese länger als 30 Tage nicht benutzt wurden; Nutzung von sicheren Passwörtern; (4) Regelmäßige Änderung der Passwörter; (5) Sperrung von Passwörtern nach mehrmaliger Falscheingabe; (6) Beschränkung der Nutzerrechte für Mitarbeiter, die keine Administratoren sind; Trennung von Test- und Produktivsystemen.
    13. Weitergabekontrolle
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle): (1) Erstellung und Durchsetzung einer Nutzungsrichtlinie, die die Weitergabe und den Transport von Daten regelt; (2) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (3) Erstellung von Dokumentationen für alle Programme, die Daten verschlüsseln, senden oder empfangen; (4) Überwachung aller Schnittstellen (Ports) der Datenverarbeitungsanlage zum Internet und Sperre aller nicht für die übliche Tätigkeit benötigter Schnittstellen (z.B. von Ports, die für Filesharing-Programme oder Chat-Programme genutzt werden); (5) Überwachung von dezentralen Unternehmensstandorten, soweit diese Dateien senden oder empfangen.
    14. Eingabekontrolle
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle): (1) Erstellung und Durchsetzung einer Nutzungsrichtlinie, die die Erfassung, das Lesen, das Ändern und das Löschen von Daten regelt; (2) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (3) Protokollierung der relevanten Datenzugriffe.
    15. Auftragskontrolle
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle): (1) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (2) Protokollierung der relevanten Datenzugriffe.
    16. Verfügbarkeitskontrolle
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle): (1) Erstellung von Sicherungskopien mindestens einmal alle 24 Stunden mit mindestens zwei unterschiedlichen Systemen; (2) Aufbewahrung der Sicherheitskopien in brandgeschützten Behältnissen oder einem räumlich getrennten Rechenzentrum.
    17. Datentrennung
      Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: (1) Logische Trennung von Daten des Kunden und anderen Daten
    18. Der Anbieter gewährleistet, dass es den mit der Verarbeitung der Daten des Kunden befassten Mitarbeitern und anderen für den Anbieter tätigen Personen per Verpflichtung untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Anbieter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
    19. Der Anbieter unterrichtet den Kunden unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Kunden bekannt werden. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Kunden ab. Der Anbieter unterstützt den Kunden bei der Erfüllung seiner Informationspflichten.
    20. Der Anbieter nennt dem Kunden den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
    21. Der Anbieter verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung.
    22. Der Anbieter gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d der Datenschutzgrundverordnung nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen. Der Anbieter berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Kunde dies anweist. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Anbieter aufgrund einer Einzelbeauftragung durch den Kunden, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Kunden zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.
    23. Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich.
    24. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Kunde.
    25. Der Kunde hat den Anbieter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
    26. Ist der Kunde aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu erteilen, wird der Anbieter den Kunden dabei unterstützen, diese Informationen bereitzustellen. Dies setzt voraus, dass der Kunde den Anbieter hierzu schriftlich oder in Textform aufgefordert hat und der Kunde dem Anbieter die durch diese Unterstützung entstandenen Kosten erstattet. Der Anbieter wird keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Kunden verweisen.
    27. Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den Anbieter, wird der Anbieter den Betroffenen an den Kunden verweisen.
      Der Anbieter weist dem Kunden die Einhaltung der in diesem Vertrag niedergelegten Pflichten auf Anfrage mit geeigneten Mitteln nach. Als Nachweis gilt das Prüfungsergebnis des jährlichen Datenschutz-Audits der technischen & organisatorischen Maßnahmen (TOM) lt. §32 DSGVO durch einen externen Datenschutzbeauftragten.
    28. Sofern im Einzelfall Inspektionen durch den Kunden oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Anbieter darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Anbieter stehen, hat der Anbieter gegen diesen ein Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Inspektion darf der Anbieter eine Aufwandsentschädigung verlangen. Der Aufwand einer Inspektion ist für den Anbieter grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. Gleiches gilt, sollte eine Datenschutzbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Kunden eine Inspektion vornehmen. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
    29. Der Kunde ist damit einverstanden, dass der Anbieter zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Anbieters zur Leistungserfüllung heranzieht bzw. Unternehmen mit den aufgeführten Leistungen unterbeauftragt.
    30. Erteilt der Anbieter Aufträge an Subunternehmer, so obliegt es dem Anbieter, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages und erfolgt gemäß §28 Abs.4 DSGVO. Eine etwaige Prüfung durch den Kunden beim Subunternehmer erfolgt nur in Abstimmung mit dem Anbieter.
    31. Durch schriftliche Aufforderung ist der Kunde berechtigt, vom Anbieter Auskunft über die datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.
    32. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Anbieter Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei externem Personal, Post- und Versanddienstleistungen oder Wartung.
    33. Der Anbieter wird mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen Datenschutz zu gewährleisten.
    34. Sollten die Daten des Kunden beim Anbieter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Anbieter den Kunden unverzüglich darüber zu informieren. Der Anbieter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden liegen.
    35. 14.35 Weitere detaillierte Angaben zum Umgang mit personenbezogenen Daten, die über die in diesen Vertrag hinausgehen, werden in der Datenschutzerklärung veröffentlicht. Hier werden auch die vollständigen Daten der Verantwortlichen beim Anbieter und dessen Subunternehmern gepflegt und können hier jederzeit eingesehen werden.
  15. Rechte des Herstellers der eingesetzten Software
    1. Der Kunde nimmt zur Kenntnis, dass der Anbieter dem oder den Softwareherstellern, z.B. SAP oder Microsoft regelmäßig Berichte über seine Endkunden – was auch den Kunden umfasst – vorlegen muss. Hierzu stimmt der Kunde zu, dass der Anbieter folgende Angaben an den Softwarehersteller übermittelt: (1) Auftragsnummer für den Kunden; (2) Name des Kunden; (3) Adresse des Kunden (Straße, Postleitzahl, Ort, Land); (4) DUNS-Nummer des Kunden (Dun & Bradstreet’s Nummer zwecks eindeutiger Identifizierung von Unternehmen); (5) Status des Kunden (Grundlaufzeit des Vertrags/Kündigungstermin, Anzahl und Typ der Nutzer beim Kunden); und (6) weitere Einzelheiten über den Kunden, wie sie vom Softwarehersteller gegenüber dem Anbieter auf deren vertraglicher Grundlage verlangt werden können.
    2. Der Kunde wird – und wird sicherstellen, dass seine definierten Nutzer dies tun – vertrauliche Informationen vom Softwarehersteller in Übereinstimmung mit Ziffer 16 ff. mindestens so vertraulich behandeln wie die vertraulichen Informationen des Anbieters.
    3. Der Kunde räumt dem Softwarehersteller das Recht ein (als echtes Recht zugunsten Dritter), im Falle einer Verletzung der Rechte des Softwareherstellers am geistigen Eigentum durch den Kunden Schadenersatzforderungen geltend zu machen.
    4. Der Kunde verpflichtet sich ferner, sicherzustellen, dass der Softwarehersteller  – in Übereinstimmung mit den anwendbaren Datenschutzgesetzen – Prüfungen durchführen kann, um (1) die Einhaltung der Lizenzbestimmungen für die jeweilige Software, (2) die Berechnung der Gebühren zwischen dem Anbieter und dem Softwarehersteller, und/oder (3) die Richtigkeit und Vollständigkeit der vom Anbieter gegenüber dem Softwarehersteller vorzulegenden Berichte zu überprüfen, und die erforderliche Zustimmung zu solchen Prüfungen von Personen einzuholen, die für den Kunden arbeiten.
    5. Vorbehaltlich gesetzlicher Beschränkungen, und ohne Inhalte oder andere vertrauliche Informationen zu sammeln und an den Softwarehersteller zu übermitteln, wird es dem Softwarehersteller gestattet, (a) die Software so einzurichten, dass jedes System die für eine Prüfung benötigten Informationen generiert und an den Softwarehersteller überträgt, und (b) remote auf die Software und die Geräte, auf denen sie installiert ist, zuzugreifen, um ihre Nutzung zu überprüfen.
  16. Vertraulichkeit
    1. Jede Partei behandelt alle vertraulichen Informationen, geschützten Informationen und Geschäftsgeheimnisse der anderen Partei, die sie in Verbindung mit diesem Vertrag erlangt, streng vertraulich. Jede Partei behandelt diesen Vertrag und seine Bedingungen als vertrauliche Informationen. Die Parteien stellen ihren Mitarbeitern oder Dritten vertrauliche Informationen nur insoweit zur Verfügung, als dies zur Erfüllung ihrer Pflichten im Rahmen dieses Vertrags erforderlich ist und nur unter der Voraussetzung, dass diese Personen an eine entsprechende Geheimhaltungspflicht gebunden werden.
    2. Vertrauliche Informationen umfassen keine Informationen, die: (1) ohne Verschulden der empfangenden Partei allgemein bekannt oder öffentlich zugänglich werden; (2) sich vor dem Erhalt von der offenlegenden Partei ohne Verletzung einer Geheimhaltungspflicht im Besitz der empfangenden Partei befanden, dieser bekannt waren oder in dinglicher Form erworben wurden; (3) von der empfangenden Partei ohne Nutzung der vertraulichen Informationen unabhängig entwickelt wurden; (4) der empfangenden Partei von Dritten, die durch keine Geheimhaltungsverpflichtung in Bezug auf die Informationen gebunden sind, rechtmäßig offengelegt wurden; (5) von der empfangenden Partei nach vorheriger schriftlicher Zustimmung der offenlegenden Partei preisgegeben wurden; (6) gemäß gesetzlichen oder verwaltungsrechtlichen Vorschriften offengelegt werden müssen, wenn die offenlegende Partei ohne unbillige Verzögerung über diese Pflicht informiert wird und der Umfang der Offenlegung so weit wie möglich beschränkt wird, oder Informationen, die aufgrund eines Gerichtsbeschlusses offengelegt werden müssen, wenn die offenlegende Partei ohne unbillige Verzögerung über diesen Beschluss informiert wird und keine Möglichkeit besteht, gegen den Beschluss Berufung einzulegen.
    3. Die vorgenannten Geheimhaltungspflichten bestehen auch nach Beendigung dieses Vertrags fort.
  17. Sonstiges
    1. Der Kunde wird für die Leistungen anzuwendende Import-und Export-Vorschriften eigenverantwortlich beachten. Bei grenzüberschreitender Leistung trägt der Kunde anfallende Zölle, Gebühren und sonstige Abgaben. Der Kunde wird gesetzliche oder behördliche Verfahren im Zusammenhang mit grenzüberschreitenden Leistungen eigenverantwortlich abwickeln, außer soweit anderes ausdrücklich vereinbart ist.
    2. Es gilt deutsches Recht. Die Anwendung des UN-Kaufrechts ist ausgeschlossen.
    3. Die Annahme der Leistungen durch den Kunden gilt als Anerkennung der allgemeinen Vertragsbedingungen des Anbieters. Andere Bedingungen sind nur verbindlich, wenn der Anbieter sie schriftlich anerkannt hat.
    4. Änderungen und Ergänzungen dieses Vertrages bedürfen in jedem Fall der Schriftform.
    5. Gerichtsstand ist der Sitz des Anbieters. Der Anbieter kann den Kunden auch an dessen Sitz verklagen.




Please wait

Interessiert?

Nachricht

Schreib eine E-Mail an info@cloudiax.com oder
ruf +49 2822 7131 620 an.

Die persönlichen Daten, die du uns schickst, sind für uns wichtig. Daher nehmen wir den Schutz dieser Daten sehr ernst. Die hier übermittelten Daten werden von unserm Vertriebsteam für die Kontaktaufnahme mit dir benutzt. Wir werden diese Daten nur zu diesem Zweck verwenden. Kontaktdaten, die direkt per E-Mail an uns gesendet werden, befinden sich in unserem E-Mail-System, das nach 2 Jahren eine automatisierte Archivierung durchführt und nach 5 Jahren endgültig gelöscht wird, soweit nicht höheres Recht dem entgegensteht. Alles, was wir noch zum Schutz deiner Daten bei uns tun, kannst du in unserer Datenschutzerklärung nachlesen.

Registriere dich hier, um weitere
Informationen über Cloudiax zu bekommen!