Support

Wünschen Sie Hilfe?

Im pixelconcept Kundenportal finden Sie einen ausführlichen Hilfebereich sowie Informationen zu Programm-Updates.

AGB AUTOMANAGER Marketplace (Fahrzeugbörse)

Technische Voraussetzungen und Rahmenbedingungen für die Integration des AUTOMANAGER Marketplace (Fahrzeugbörse)

Technische und organisatorische Maßnahmen

Allgemeine Geschäftsbedingungen bezüglich der Automanager-Produkte

§ 1 Geltungsbereich und Vertragsgegenstand

(1) Die folgenden allgemeinen Geschäftsbedingungen gelten für die Geschäftsbeziehungen der pixelconcept GmbH, Friedrich-Ebert-Straße 79, 34119 Kassel (im Folgenden: Provider) mit ihren Kunden (im Folgenden: Kunde) bezüglich Produkten aus der Software-Produktreihe „Automanager“ (im Folgenden, auch bei Mehrzahl: Anwendung), insbesondere den Produkten Automanager Free, Automanager Basis, Automanager Professional, Automanager Enterprise, Carscanner, Standzeitcontrolling, Leadmanagement, Call Tracking Basis und Call Tracking Professional.

(2) Bei der Anwendung handelt es sich um zeitweise zur Nutzung zur Verfügung gestellte Standardsoftware (sogenannte „Software as a Service“, abgekürzt: SaaS), die das Abwickeln von Geschäftsprozess mit Fahrzeugen im eCommerce zum Gegenstand hat (Online-Handel). Für die Zeit der Nutzung bietet der Provider zusätzlich Speicherplatz zum Ablegen der bei der Verwendung der Anwendung erzeugten und/oder zu deren Nutzung erforderlichen Daten (im Folgenden: Anwendungsdaten). Der Umfang der durch den Provider bereit zu stellenden Leistungen ergibt sich aus dem Umfang des Auftrags des Kunden. Eine individuelle Anpassung der Anwendung an die Bedürfnisse des Kunden, sog. Customizing, sowie deren Einrichtung, sog. Setup, sind nicht Leistungsgegenstand. Soweit mittels der Anwendung Datenbestände von Drittanbietern zur vereinfachten Anlage von Fahrzeugangeboten zusammengeführt werden handelt es sich dabei lediglich um eine Erleichterung der Anlage von Fahrzeugangeboten; eine Zusammenführung vollständiger und auf das anzubietende Fahrzeug tatsächlich zutreffender Daten wird vom Provider nicht geschuldet. Soweit bei Drittanbietern sowohl für den Bezug von Datensätzen als auch für die Präsentation von Fahrzeugangeboten Kosten anfallen, sind diese vom Kunden zu tragen.

(3) Der Kunde nutzt die Anwendung über eine Telekommunikationsverbindung mittels einer Zugriffssoftware (Internet-Browser), die der Provider dem Kunden nicht zur Verfügung stellt und die der Kunde auf sein eigenes Risiko nutzt.

(4) Der Provider räumt dem Kunden die zur vertragsgemäßen Nutzung der Anwendung erforderlichen Nutzungsrechte ein und/oder vermittelt ihm diese.

(5) Der Kunde zahlt für die Leistungen des Providers das vereinbarte Entgelt.

(6) Der Provider schließt Verträge ausschließlich mit Kunden ab, die Unternehmer im Sinne von § 14 BGB sind.

§ 2 Bereitstellung der Anwendung und Speicherplatz für Anwendungsdaten

(1) Der Provider hält ab dem in der Auftragsbestätigung mitgeteilten Zeitpunkt auf einer zentralen Datenverarbeitungsanlage oder mehreren Datenverarbeitungsanlagen (im Folgenden: Server) die Anwendung in der jeweils aktuellen Version zur Nutzung nach Maßgabe der folgenden Regelungen bereit. Der Provider bedient sich zur Bereitstellung der Server auch Dienste Dritter. Der Kunde stimmt dem zu. Der Provider passt die Konfiguration der Datenverarbeitungsanlagen dem Stand der Technik an.

(2) Der Provider haftet dafür, dass die bereit gestellte Anwendung für die sich aus der diesbezüglichen Leistungsbeschreibung ergebenden Zwecke geeignet ist und während der gesamten Vertragslaufzeit frei von Mängeln ist, insbesondere frei von Viren und ähnlicher Schadsoftware, die die Tauglichkeit der Anwendung zum vertragsgemäßen Gebrauch aufheben.

(3) Der Provider übermittelt dem Kunden die zur Nutzung der Anwendung erforderlichen Zugangsdaten.

(4) Der Provider sorgt dafür, dass die von ihm zur Nutzung bereit gestellte Anwendung dem Stand der Technik entspricht. Sofern und soweit mit der Bereitstellung einer neuen Version oder einer Änderung (im Folgenden: Änderung) von Funktionalitäten der Anwendung, durch die Anwendung unterstützten Arbeitsabläufen des Kunden und/oder Beschränkungen in der Verwendbarkeit einhergehen, wird der Provider dies dem Kunden spätestens sechs Wochen vor dem Wirksamwerden einer solchen Änderung in Textform ankündigen unter Übersendung einer Liste mit den anstehenden Änderungen und/oder Beschränkungen (im Folgenden: Release Notes). Widerspricht der Kunde nicht in Textform innerhalb einer Frist von zwei Wochen ab Zugang der Release Notes, werden diese Vertragsbestandteil. Der Provider wird den Kunden bei jeder Ankündigung von Änderungen auf die vorgenannte Frist und die Rechtsfolgen ihres Verstreichens bei Nichtwahrung der Widerspruchsmöglichkeit aufmerksam machen. Hat der Kunde der Änderung widersprochen und teilt der Provider dem Kunden daraufhin mit, dass eine Fortsetzung des Vertrages ohne die Änderung für den Provider aus technischen oder wirtschaftlichen Gründen unzumutbar ist, kann der Kunde den Vertrag innerhalb eines Monats ab Zugang dieser Mitteilung in Textform kündigen. Die Änderung gilt als genehmigt, wenn der Kunde von diesem Kündigungsrecht keinen Gebrauch macht. Auf die Rechtsfolge einer unterbleibenden Kündigung in Textform weist der Provider den Kunden mit der Mitteilung über die Unzumutbarkeit der Fortsetzung des Vertragsverhältnisses hin.

(5) Die Anwendung und die Anwendungsdaten werden auf dem Server regelmäßig, mindestens an jedem zweiten Kalendertag, gesichert. Die vom Kunden generierten und erstellten Anwendungsdaten werden durch den Provider für einen Zeitraum von maximal 3 Jahren gespeichert, soweit hinsichtlich einzelner Daten keine gesetzliche Löschungspflicht besteht. Nach Ablauf der Frist werden die Daten auch bei Fortbestehen des Vertrages vollständig gelöscht. Für die Einhaltung handels- und steuerrechtlicher Aufbewahrungsfristen ist der Kunde verantwortlich.

(6) Übergabepunkt für die Anwendung und die Anwendungsdaten ist der Routerausgang des Rechenzentrums des Providers.

(7) Der Kunde hält für die Nutzung der Anwendung des Providers einen dem Stand der Technik entsprechenden Personal Computer (PC) vor, auf dem eine geeignete Zugriffssoftware installiert ist. Für Änderungen am technischen System des Providers gilt die Widerspruchslösung des Abs. 4 entsprechend. Für die Beschaffenheit der erforderlichen Hard- und Software auf Seiten des Kunden sowie für die Telekommunikationsverbindung zwischen dem Kunden und dem Provider bis zum Übergabepunkt ist der Provider nicht verantwortlich.

§ 3 Zugriffssoftware

(1) Der Provider stellt dem Kunden keine Zugriffssoftware zur Verfügung.

(2) Der Kunde hält einen der folgenden kostenlos beziehbaren Internet-Browser in der aktuellen Version auf eigene Verantwortung zum Zugriff auf die Anwendung des Providers vor: Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Internet Explorer.

(3) Ein Zugriff auf die Anwendung des Providers mit mobilen Endgeräten, insbesondere Handys, Smartphones und Tablets, wird vom Provider nicht geschuldet.

§ 4 Technische Verfügbarkeit der Anwendung und des Zugriffs auf die Anwendungsdaten, Reaktions- und Wiederherstellungszeiten

(1) Der Provider schuldet die vereinbarte Verfügbarkeit der Anwendung und der Anwendungsdaten am Übergabepunkt. Unter Verfügbarkeit verstehen die Vertragspartner die technische Nutzbarkeit der Anwendung und der Anwendungsdaten am Übergabepunkt zum Gebrauch durch den Kunden unter Verwendung der Zugriffssoftware.

(2) Die Verfügbarkeit bezieht sich jeweils auf jede einzelne zur Verfügung gestellte Software aus der Produktreihe „Automanager“. Es wird eine Verfügbarkeit von 99% bezogen auf ein Kalenderjahr zugesichert.

(3) Der Provider beseitigt innerhalb angemessener Frist nach folgender Maßgabe ihm gemeldete Mängel oder den Ausfall beziehungsweise Teilausfall der Anwendung. Auftretende Mängel werden von den Parteien einvernehmlich als betriebsverhindernde, betriebsbehindernde oder sonstige Mängel eingeordnet. Erzielen die Parteien kein Einvernehmen, entscheidet der Provider über die Einordnung unter angemessener Berücksichtigung der Interessen des Kunden.

(4) Je nach Einordnung eines Mangels gelten folgende Reaktions- und Wiederherstellungszeiten:

(a) Für einen betriebsverhindernden Mangel werden eine Reaktionszeit von 36 Stunden und eine Wiederherstellungszeit von 3 Tagen vereinbart. Ein betriebsverhindernder Mangel liegt vor, wenn die Nutzung der Anwendung beispielsweise aufgrund von Fehlfunktionen, falschen Arbeitsergebnissen oder Antwortzeiten unmöglich ist oder schwerwiegend eingeschränkt wird und dieser Mangel nicht mit zumutbaren organisatorischen Hilfsmitteln umgangen werden kann.

(b) Für einen betriebsbehindernden Mangel werden eine Reaktionszeit von 48 Stunden und eine Wiederherstellungszeit von 5 Tagen vereinbart. Ein betriebsbehindernder Mangel liegt vor, wenn die Nutzung der Anwendung beispielsweise aufgrund von Fehlfunktionen, falschen Arbeitsergebnissen oder Antwortzeiten zwar nicht unmöglich ist oder schwerwiegend eingeschränkt wird, die Nutzungseinschränkung(en) aber zugleich auch nicht nur unerheblich ist (sind) und mit zumutbaren organisatorischen oder sonstigen wirtschaftlichen zumutbaren Mitteln nicht umgangen werden kann (können).

(c) Für einen sonstigen Mangel werden eine Reaktionszeit von 3 Werktagen und eine Wiederherstellungszeit von 14 Werktagen vereinbart. Ein sonstiger Mangel liegt vor, wenn die Nutzung der Anwendung nicht unmittelbar und/oder nicht erheblich beeinträchtigt wird, wie etwa bei ungünstig definierten Grundeinstellungen oder ausfallenden Funktionen, die für die Erfüllung des Zwecks der Software nebensächlich sind und/oder lediglich die Bedienung der Software erleichtern (so bezeichnete „Nice-to-have-Funktionen“).

(d) Ein Mangel der Anwendung liegt vor, wenn (1) die jeweilige Software bei vertragsgemäßen Einsatz die in der Produkt- und/oder Leistungsbeschreibung der Software festgelegten Funktionalitäten nicht erbringt oder (2) wenn sie sich für die nach dem Vertrag vorausgesetzte Verwendung nicht eignet oder (3) wenn sie sich für die gewöhnliche Verwendung nicht eignet und nicht die Beschaffenheit aufweist, die bei Anwendungen der gleichen Art üblich ist und der Kunde diese nach der Art der Software erwarten kann. Ein Mangel i.S. dieser Vorschrift liegt insbesondere dann nicht vor, wenn sich das Vorliegen einer der vorgenannten Voraussetzungen (a)-(c) nur unwesentlich auf die Nutzung der Anwendung auswirkt oder die Störung durch unsachgemäße Nutzung der Anwendung im Sinne von § 7 Abs. 1 hervorgerufen wurde.

(5) Mängel meldet der Kunde dem Provider über das von diesem auf seiner Webseite betriebene Kundenportal.

(6) Art und Weise der Mängelbeseitigung stehen im billigen Ermessen des Providers. Bietet der Provider dem Kunden zur Vermeidung oder Beseitigung von Mängeln Patches, Bugfixes, eine neue Version, Softwareteile oder ähnliches an, so hat der Kunde diese, wenn und sobald es für ihn zumutbar ist, zu übernehmen. Die Beseitigung eines Mangels kann darüber hinaus auch in der Form von Handlungsanweisungen gegenüber dem Kunden erfolgen. Der Kunde hat derartige Handlungsanweisungen zu befolgen, es sei denn, diese sind ihm nicht zumutbar. Die Verpflichtung des Providers zur Mangelbeseitigung ist erfüllt, wenn kein Mangel im Sinne des Abs. 3 mehr vorliegt.

(7) Kann der Provider einen Mangel nicht innerhalb des vertraglich vereinbarten Zeitraums beseitigen, stellt er dem Kunden auf eigene Kosten eine vorübergehende Umgehungslösung zur Verfügung, soweit dies für ihn wirtschaftlich zumutbar ist. Die Verpflichtung des Providers zur dauerhaften Mangelbeseitigung bleibt durch die Lieferung der vorübergehenden Umgehungslösung unberührt.

(8) Zur Prüfung und Behebung von Fehleranzeigen und Fehlern genehmigt der Kunde schon mit Vertragsabschluss den Zugriff auf Anwendungsdaten. Der Zugriff durch den Provider wird nur soweit genommen, wie dies zur Fehlerprüfung und Fehlerbeseitigung erforderlich ist. Die Regelungen des § 10 und § 11 dieser Geschäftsbedingungen werden somit durch diese Regelung erweitert.

§ 5 Nichterfüllung von Hauptleistungspflichten

(1) Kommt der Provider den §§ 2 und 4 vereinbarten Verpflichtungen nicht vollständig nach, gelten die folgenden Regelungen.

(2) Gerät der Provider mit der erstmaligen Bereitstellung der Anwendung in Verzug, so ist er zum Rücktritt vom Vertrag berechtigt, wenn der Provider eine vom Kunden gesetzte zweiwöchige Nachfrist nicht einhält, das heißt innerhalb der Nachfrist nicht die vollvereinbarte Funktionalität der Anwendung zur Verfügung stellt.

(3) Kommt der Provider nach erstmaliger betriebsfähiger Bereitstellung einer Anwendung und/oder von Anwendungsdaten den vereinbarten Verpflichtungen ganz oder teilweise nicht nach, so verringert sich die monatliche Nutzungspauschale nach § 9 Abs. 1, 2 anteilig für die Zeit, in der die Anwendung und/oder die Anwendungsdaten dem Kunden nicht in dem vereinbarten Umfang beziehungsweise der Speicherplatz nicht in dem vereinbarten Umfang zur Verfügung standen.

(4) Ist eine Nutzung einer Anwendung nicht innerhalb der in § 4 vereinbarten Frist, nachdem der Provider vom Mangel Kenntnis erlangt hat, wiederhergestellt, so kann der Kunde unabhängig von dem Grund der Nichterfüllung, jedoch nicht, wenn ausschließlich höhere Gewalt vorliegt, das Vertragsverhältnis in Bezug auf die Nutzung der betroffenen Anwendung ohne Einhaltung einer Frist außerordentlich kündigen.

§ 6 Sonstige Leistungen des Providers

(1) Der Provider stellt dem Kunden einmalig bei Vertragsbeginn ein elektronisches ausdruckbares in deutscher Sprache abgefasstes Benutzerhandbuch die Anwendung zur Verfügung. Das Benutzerhandbuch kann in dem vom Provider betriebenen Kundenportal auf dessen Webseite heruntergeladen werden. Im Fall einer Aktualisierung der Anwendung nach § 2 Abs. 4 wird das Benutzerhandbuch entsprechend angepasst.

(2) Der Kunde ist berechtigt, das zur Verfügung gestellte Benutzerhandbuch unter Aufrechterhaltung vorhandener Schutzrechtsvermerke zu speichern, auszudrucken und für Zwecke dieses Vertrags in angemessener Anzahl zu vervielfältigen. Im Übrigen gelten die unter § 7 für die Anwendung vereinbarten Nutzungsbeschränkungen für das Benutzerhandbuch entsprechend.

§ 7 Nutzungsrechte an und Nutzung der Anwendung, Rechte des Providers bei Überschreitung der Nutzungsbefugnisse

(1) Nutzungsrechte an der Anwendung

(a) Der Kunde erhält an der Anwendung einfache, nicht unterlizenzierbare und nicht übertragbare) auf die Laufzeit dieses Vertrags beschränkte Nutzungsrechte nach Maßgabe der nachstehenden Regelungen.

(b) Eine physische Überlassung der Anwendung an den Kunden erfolgt nicht. Der Kunde darf die Anwendung nur für seine eigenen geschäftlichen Tätigkeiten durch eigenes Personal nutzen.

(d) Der Kunde ist nicht berechtigt, Änderungen an der jeweiligen Anwendung vorzunehmen. Dies gilt nicht für Änderungen, die für die Berichtigung von Fehlern notwendig sind, sofern der Provider sich mit der Behebung des Fehlers in Verzug befindet, die Fehlerbeseitigung ablehnt oder wegen der Eröffnung des Insolvenzverfahrens zur Fehlerbeseitigung außer Stande ist.

(e) Sofern der Provider während der Laufzeit neue Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf die Anwendung vornimmt, gelten die vorstehenden Rechte auch für diese.

(f) Rechte, die vorstehend nicht ausdrücklich dem Kunden eingeräumt werden, stehen dem Kunden nicht zu. Der Kunde ist insbesondere nicht berechtigt, die jeweilige Anwendung über die vereinbarte Nutzung hinaus zu nutzen oder von Dritten nutzen zu lassen oder die jeweilige Anwendung Dritten zugänglich zu machen. Insbesondere ist es nicht gestattet, die jeweilige Anwendung zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, insbesondere nicht zu vermieten oder zu verleihen.

(2) Verpflichtungen des Kunden zur sicheren Nutzung

(a) Der Kunde trifft die notwendigen Vorkehrungen, um die Nutzung der Anwendung durch Unbefugte zu verhindern.

(b) Der Kunde haftet dafür, dass die Anwendung nicht zu rassistischen, diskriminierenden, pornographischen, den Jugendschutz gefährdenden, politisch extremen oder sonst gesetzeswidrigen oder gegen behördliche Vorschriften oder Auflagen verstoßenden Zwecken verwendet oder entsprechende Daten, insbesondere Anwendungsdaten, erstellt und/oder auf dem Server gespeichert werden.

(3) Verletzung der Bestimmungen nach Abs. 1 und 2 durch den Kunden

(a) Verletzt der Kunde die Regelungen in Abs. 1 oder 2 aus von ihm zu vertretenden Gründen, kann der Provider den Zugriff des Kunden auf die Anwendung oder die Anwendungsdaten sperren, wenn die Verletzung hierdurch nachweislich abgestellt werden kann.

(b) Verstößt der Kunde rechtswidrig gegen Abs. 2 lit. b, ist der Provider berechtigt, die dadurch betroffenen Daten beziehungsweise Anwendungsdaten zu löschen. Im Fall eines rechtswidrigen Verstoßes durch Nutzer hat der Kunde dem Provider auf Verlangen unverzüglich sämtliche Angaben zur Geltendmachung der Ansprüche gegen den Nutzer zu machen, insbesondere dessen Namen und Anschrift mitzuteilen.
Verletzt der Kunde trotz entsprechender Abmahnung des Providers in Textform weiterhin oder wiederholt die Regelungen in Abs. 1 oder 2, und hat er dies zu vertreten, so kann der Provider den Vertrag ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen.

(c) Für jeden Fall, in dem der Kunde die Nutzung der Anwendung durch Dritte oder durch nicht vom Kunden benannte Nutzer schuldhaft ermöglicht, hat der Kunde jeweils eine sofort fällige Vertragsstrafe in Höhe der monatlichen Grundpauschale nach § 9 Abs. 1, 2 zu zahlen. Die Geltendmachung von Schadensersatz bleibt vorbehalten; in diesem Fall wird die Vertragsstrafe auf den Schadensersatzanspruch angerechnet.

(4) Rechte des Kunden an etwa entstehenden Datenbanken/Datenbankwerken Sofern und soweit während der Laufzeit dieses Vertrags, insbesondere durch Zusammenstellung von Anwendungsdaten, durch nach diesem Vertrag erlaubte Tätigkeiten des Kunden auf dem Server des Providers eine Datenbank, Datenbanken, ein Datenbankwerk oder Datenbankwerke entstehen, stellen alle Rechte hieran dem Kunden zu. Der Kunde bleibt auch nach Vertragsende Eigentümer der Datenbanken bzw. Datenbankwerke.

§ 8 Haftung für Rechte Dritter

(1) Der Provider wird den Kunden von Rechten Dritter bzw. von deren Geltendmachung und von einer daraus resultierenden Beeinträchtigung der Erbringung vereinbarter Leistungen unverzüglich unterrichten und ihm in geeigneter Weise den vollen Zugriff auf die Anwendungsdaten ermöglichen.

(2) Der Kunde ist, sofern und soweit die Rechte Dritter ihn im Gebrauch der Anwendung beeinträchtigen, nicht zur Vergütung verpflichtet.

(3) Eine nicht vorhandene Nutzbarkeit der Anwendung und/oder der Anwendungsdaten aus rechtlichen Gründen nach Abs. 1 gilt als Nichtverfügbarkeit im Sinne dieser Vertragsbedingungen.

(4) Soweit der Provider nicht oder nicht mehr über die Rechte verfügt, die er benötigt, um den Vertrag ordnungsgemäß zu erfüllen, insbesondere über die notwendigen Nutzungsrechte an der Software und die Anwendung nicht gemäß diesen Vertragsbedingungen nutzbar ist, gelten § 5 Abs. 3 und 4 entsprechend.

(5) Der Provider hält den Kunden auf erstes Anfordern frei von sämtlichen Ansprüchen Dritter, die diese aus ihren Rechten gegen den die Anwendung vertragsgemäß nutzenden Kunden geltend machen. Die Vertragspartner werden sich unverzüglich in Textform benachrichtigen, falls ihnen gegenüber Ansprüche geltend gemacht werden. Die Regelungen des § 14 finden insoweit keine Anwendung.

(6) Der Provider haftet nicht für eine Verletzung der Rechte Dritter durch den Kunden, sofern und soweit sich diese Verletzung aus einer Überschreitung der nach diesem Vertrag eingeräumten Nutzungsrechte ergibt. In diesem Fall stellt der Kunde den Provider auf erstes Anfordern frei von sämtlichen Ansprüchen Dritter.

§ 9 Entgelt

(1) Die Vergütung für die zu erbringenden Leistungen der Nutzungsgewährung bzgl. der Anwendung und der Zurverfügungstellung von Speicherplatz einschließlich der Datensicherung ergibt sich aus der jeweils aktuellen Preisliste des Providers, die auf der Webseite des Providers in der jeweils gültigen Fassung eingesehen werden kann.

(2) Die anfallenden monatlichen Pauschalen werden monatlich im Voraus abgerechnet und werden zum Monatsersten des Monats fällig, für den sie anfallen.

(3) Der Provider ist berechtigt, die vereinbarten Preise für die vertraglichen Leistungen zum Ausgleich von Personal- und sonstigen Kostensteigerungen angemessen zu erhöhen. Der Provider wird diese Preiserhöhungen dem Kunden in Textform bekannt geben; die Preiserhöhungen gelten nicht für die Zeiträume, für die Kunde bereits Zahlungen geleistet hat. Beträgt die Preiserhöhung mehr als 8 % des bisherigen Preises, so ist der Kunde berechtigt, den Vertrag im Ganzen mit einer Frist von 6 Wochen zum Ende eines Halbjahres zu kündigen; macht er von diesem Kündigungsrecht Gebrauch, so werden bis zum Wirksamwerden der Kündigung die nicht erhöhten Preise berechnet. Auf dieses Kündigungsrecht wird der Provider den Kunden zusammen mit jeder Ankündigung hinweisen.

(4) Sonstige ausdrücklich als vergütungspflichtig vereinbarte Leistungen werden vom Provider nach Aufwand (Time & Material) zu den jeweils im Zeitpunkt der Beauftragung geltenden allgemeinen Listenpreisen des Providers erbracht.

(5) Vergütungen werden zuzüglich MwSt. in der jeweils anfallenden gesetzlichen Höhe geschuldet.

(6) Die Zahlung erfolgt mittels SEPA-Lastschriftverfahren.

§ 10 Pflichten und Obliegenheiten des Kunden

(1) Der Kunde wird alle Pflichten und Obliegenheiten erfüllen, die zur Abwicklung des Vertrags erforderlich sind. Er wird insbesondere

1. die ihm bzw. den Nutzern zugeordneten Nutzungs- und Zugangsberechtigungen sowie vereinbarte Identifikations- und Authentifikations-Sicherungen geheim halten, vor dem Zugriff durch Dritte schützen und nicht an unberechtigte Nutzer weitergeben. Diese Daten sind durch geeignete und übliche Maßnahmen zu schützen. Der Kunde wird den Provider unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder Kennwörter nicht berechtigten Personen bekannt geworden sein könnten;
2. die vereinbarten Zugangsvoraussetzungen schaffen;
3. die Beschränkungen/Verpflichtungen im Hinblick auf die Nutzungsrechte nach § 7 einhalten, insbesondere
- a. keine Informationen oder Daten unbefugt abrufen oder abrufen lassen oder in Programme, die von dem Provider betrieben werden eingreifen oder eingreifen lassen oder in Datennetze des Providers unbefugt eindringen oder ein solches Eindringen fördern;
- c. den im Rahmen der Vertragsbeziehung und/oder unter Nutzung der Anwendung möglichen Austausch von elektronischen Nachrichten nicht missbräuchlich für den unaufgeforderten Versand von Nachrichten und Informationen an Dritte zu Werbezwecken nutzen;
- d. den Provider von Ansprüchen Dritter freistellen, die auf einer rechtswidrigen Verwendung der Anwendung durch ihn beruhen oder die sich aus vom Kunden verursachten datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der Anwendung verbunden sind;
- e. die berechtigten Nutzer verpflichten, ihrerseits die für sie geltenden Bestimmungen dieses Vertrags einzuhalten;
4. dafür Sorge tragen, dass er (z. B. bei der Übermittlung von Texten/Daten Dritter auf den Server des Provider) alle Rechte Dritter an von ihm verwendetem Material beachtet;
5. nach § 11 Abs. 2 die erforderliche Einwilligung des jeweils Betroffenen einholen, soweit er bei Nutzung der Anwendung personenbezogene Daten erhebt, verarbeitet oder nutzt und kein gesetzlicher Erlaubnistatbestand eingreift;
6. vor der Versendung von Daten und Informationen an den Provider diese auf Viren prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einsetzen;
7. wenn er zur Erzeugung von Anwendungsdaten mit Hilfe der Anwendung dem Provider Daten übermittelt, diese regelmäßig und der Bedeutung der Daten entsprechend sichern und eigene Sicherungskopien erstellen, um bei Verlust der Daten und Informationen die Rekonstruktion derselben zu ermöglichen;
8. sofern und soweit ihm einvernehmlich die technische Möglichkeit dazu eröffnet wird, regelmäßig die auf dem Server gespeicherten Anwendungsdaten durch Download sichern; unberührt bleibt die Verpflichtung des Providers zur Datensicherung;
9. mittels zusammengeführten Daten von der Deutsche Automobil Treuhand GmbH (im Folgenden: DAT) und der JATO Dynamics Limited (im Folgenden: JATO) von der Anwendung vorgegebene Fahrzeugkonfigurationen auf ihre Richtigkeit anhand der tatsächlichen Beschaffenheit des von ihm zum Verkauf angebotenen Fahrzeugs zu überprüfen;
- a. Copyright (c) JATO Dynamics Limited, 1990 – 2018. Alle Rechte vorbehalten. JATO hat bei der Zurverfügungstellung genauer und vollständiger Informationen äußerste Sorgfalt walten lassen, übernimmt jedoch keine Gewähr für die Richtigkeit oder Vollständigkeit der Daten. Bitte lassen Sie bei der Nutzung der Ihnen zur Verfügung gestellten Informationen die erforderliche Sorgfalt walten.
10. Einstellungen in der Anwendung jederzeit hinsichtlich der damit einhergehenden Kosten bei Drittanbietern prüfen, bei denen kostenpflichtig Fahrzeuge eingestellt werden (vor allem Autoscout 24 und mobile.de), insbesondere bei Einstellungen
- a. zum Import und Export von Fahrzeugen, vor allem hinsichtlich des pauschalen Einstellens einer Finanzierungsmöglichkeit oder des pauschalen Einstellens einer Meldung eines Fahrzeugs als neu,
- b. zu Aktionen, insbesondere den Aktionen „Blickfänger“, „Top-Inserat“, „Seite-1-Inserat“, „Rotstiftpreis“, „Export zu eBay Kleinanzeigen“, „Premiuminserat“ und „PlusInserat“;
11. vor Nutzung der Funktionen der Anwendung diese hinsichtlich der damit einhergehenden Kosten bei Drittanbietern prüfen, bei denen kostenpflichtig Fahrzeuge eingestellt werden (vor allem Autoscout 24 und mobile.de), insbesondere bei manuellen, automatisierten Importen von Fahrzeugen, vor allem
- a. bei der Durchführung von Standortwechseln durch Anreicherung, da hierbei potentiell ein Fahrzeug aus einem Konto bei einem Drittanbieter gelöscht und in einem anderen Konto bei dem gleichen Drittanbieter wieder kostenpflichtig angelegt werden kann,
- b. beim Importieren von Fahrzeugen aus Listen, da hierbei durch Angabe eines falschen Kontos bzw. Kürzels derselbe Fahrzeugbestand kostenpflichtig in ein zweites Konto bei einem Drittanbieter erfolgen kann,
- c. bei einer Löschung von Beständen und deren Neuanlage mit Listen.
12. bei der Übertragung von Daten aus der Anwendung an Drittanbieter, bei denen Fahrzeuge angeboten werden, diese jederzeit auf ihre Richtigkeit beim Drittanbieter überprüfen;
13. durch den Provider in der Anwendung zur Verfügung gestellte Daten, insbesondere Fahrzeugdaten zur automatisierten Vorkonfiguration von Angeboten, ausschließlich im Rahmen der Anwendung nutzen und diese keiner anderen Verwendung zuführen als der von der Anwendung vorgegebenen, im Fall von Fahrzeugdaten ausschließlich zur Erstellung von Angeboten mit der Anwendung;
14. sicherstellen und garantieren, dass der bzw. die als Administrator eingetragene/n Nutzer der Anwendung, insbesondere im Fall von Störungen im Leistungsgefüge, berechtigt ist/sind für den Kunden in dessen Vertretung rechtlich wirksame Erklärungen abzugeben.

(2) Mängel an Vertragsleistungen, insbesondere Mängel an den Leistungen nach §§ 4 bis 7 sind dem Provider unverzüglich anzeigen. Unterlässt der Kunde die rechtzeitige Anzeige aus Gründen, die er zu vertreten hat, stellt dies eine Mitverursachung beziehungsweise ein Mitverschulden dar. Soweit der Provider infolge der Unterlassung oder Verspätung der Anzeige nicht Abhilfe schaffen konnte, ist der Kunde nicht berechtigt, die Pauschale nach § 9 Abs. 1, 2 des Vertrages ganz oder teilweise zu mindern, den Ersatz des durch den Mangel eingetretenen Schadens zu verlangen oder den Vertrag wegen des Mangels ohne Einhaltung einer Frist außerordentlich zu kündigen. Der Kunde hat darzulegen, dass er das Unterlassen der Anzeige nicht zu vertreten hat.

§ 11 Datensicherheit, Datenschutz, Auftragsverarbeitung

(1) Die Vertragspartner werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen, datenschutzrechtlichen Bestimmungen beachten und ihre im Zusammenhang mit dem Vertrag und dessen Durchführung eingesetzten Beschäftigten auf die Einhaltung dieser Bestimmungen verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind.

(2) Verarbeitet der Kunde personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen, Bestimmungen berechtigt ist und stellt im Fall eines Verstoßes den Provider von Ansprüchen Dritter frei. Soweit die zu verarbeitenden Daten personenbezogene Daten sind, liegt eine Auftragsverarbeitung vor; hier gilt die Anlage Auftragsverarbeitung.

§ 12 Geheimhaltung/Referenznennung

(1) Vertraulich zu behandelnde Informationen sind die von dem informationsgebenden Vertragspartner ausdrücklich als vertraulich bezeichneten Informationen und solche Informationen, deren Vertraulichkeit sich aus den Umständen der Überlassung eindeutig ergibt. Durch den Provider vertraulich zu behandeln sind insbesondere die Anwendungsdaten, sollte er von ihnen Kenntnis erlangen. Keine vertraulich zu behandelnde Information liegt vor, soweit der die Information empfangende Vertragspartner nachweist, dass sie ihm vor dem Empfangsdatum bekannt oder allgemein zugänglich waren, der Öffentlichkeit vor dem Empfangsdatum bekannt oder allgemein zugänglich waren und/oder der Öffentlichkeit nach dem Empfangsdatum bekannt oder allgemein zugänglich wurden, ohne dass der informationsempfangende Vertragspartner hierfür verantwortlich ist.

(2) Die Vertragspartner werden über alle vertraulichen Informationen, die ihnen im Rahmen dieses Vertragsverhältnisses zur Kenntnis gelangt sind, Stillschweigen bewahren beziehungsweise diese nur im vorher in Textform hergestellten Einvernehmen des jeweils anderen Vertragspartners Dritten gegenüber – gleich zu welchem Zweck – verwenden.

(3) Öffentliche Erklärungen der Vertragspartner über eine Zusammenarbeit werden nur im vorherigen gegenseitigem Einvernehmen abgegeben.

(4) Die Verpflichtungen nach Abs. 2 bestehen auch über das Vertragsende hinaus auf unbestimmte Zeit, und zwar so lange, wie ein Ausnahmetatbestand nach Abs. 1 nicht nachgewiesen ist.

(5) Unbeschadet der voranstehenden Absätze ist der Provider berechtigt, den Kunden unter Angaben von dessen Namen, Adress- sowie Kontaktdaten und dessen Logo mit Verweis auf dessen Webseite, auch per Link, als Referenz zu nennen, auch über das Ende des Vertragsverhältnisses hinaus.

(7) Der Kunde stellt die Agentur wegen einer unbefugten Nutzung von Ansprüchen Dritter frei einschließlich der deswegen anfallenden Kosten einer Rechtsverteidigung.

§ 13 Insolvenz bzw. drohende Insolvenz einer Vertragspartei

(1) Eine Partei hat die andere Partei unverzüglich davon in Kenntnis zu setzen, wenn

1. sie die Eröffnung des Insolvenzverfahrens beantragt hat oder dies in den kommenden 14 Kalendertagen beabsichtigt,

2. die Eröffnung des Insolvenzverfahrens von Dritten beantragt worden ist,

3. sie auf Grund von Zahlungsschwierigkeiten die Zahlungen einstellen muss,

4. gegen sie im zeitlichen Zusammenhang mit Zahlungsschwierigkeiten Maßnahmen zur Befriedigung von Drittgläubigeransprüchen getroffen wurden, oder

5. sie im zeitlichen Zusammenhang mit Zahlungsschwierigkeiten Vereinbarungen zur Befriedigung von Drittgläubigeransprüchen zugestimmt hat.

(2) Liegt einer der Umstände des Abs. 1 Nr. 3 bis 5 vor, so kann die andere Partei das Vertragsverhältnis ohne Einhaltung einer Frist außerordentlich kündigen.

§ 14 Haftung, Haftungsgrenzen und Vertragsstrafe

(1) Die Vertragspartner haften einander bei Vorsatz oder grober Fahrlässigkeit für alle von ihnen sowie ihren gesetzlichen Vertretern oder Erfüllungsgehilfen verursachten Schäden unbeschränkt.

(2) Bei leichter Fahrlässigkeit haften die Vertragspartner im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

(3) Im Übrigen haftet ein Vertragspartner nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Wesentliche Vertragspflichten sind solche Pflichten, die für die Erreichung des Vertragsziels von besonderer Bedeutung sind, ebenso alle diejenigen Pflichten, die im Fall einer schuldhaften Verletzung dazu führen können, dass die Erreichung des Vertragszwecks gefährdet wird. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schaden beschränkt. Die verschuldensunabhängige Haftung des Providers auf Schadensersatz (§ 536a BGB) für bei Vertragsschluss vorhandene Mängel wird ausgeschlossen; Abs. 1 und 2 bleiben unberührt.

(4) Ein Vertragspartner ist zur Zahlung einer Vertragsstrafe nur verpflichtet, wenn dies dieser Vertrag ausdrücklich vorsieht. Eine Vertragsstrafe braucht nicht vorbehalten zu werden. Die Aufrechnung mit ihr und gegen sie ist zulässig.

(5) Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

§ 15 Laufzeit, Kündigung

(1) Das Vertragsverhältnis beginnt mit Zustandekommen des Vertrages. Die Bereitstellung der Leistungen erfolgt ab dem mit der Auftragsbestätigung vereinbarten oder gesondert nach Annahme mitgeteilten Zeitpunkt.

(2) Der Vertrag wird, falls nichts anderes vereinbart ist, mit einer Laufzeit von 24 Monaten geschlossen. Ist der Vertrag auf bestimmte Zeit geschlossen oder wurde mit dem Kunden eine Mindestvertragslaufzeit vereinbart, so verlängert sich der Vertrag jeweils um die vereinbarte Zeit der Mindestlaufzeit, höchstens aber um ein Jahr, wenn er nicht mit einer Frist von einem Monat zum jeweiligen Ablauf der bestimmten Zeit oder Ablauf der Mindestvertragslaufzeit von einer Vertragspartei gekündigt wird.

(3) Der Provider kann den Vertrag ohne Einhaltung einer Frist kündigen, wenn der Kunde für zwei aufeinander folgende Monate mit der Bezahlung der abgerechneten Kosten bzw. eines nicht unerheblichen Teils der abgerechneten Kosten oder in einem Zeitraum, der sich über mehr als zwei Monate erstreckt, mit der Bezahlung des Entgeltes in Höhe eines Betrages, der das Entgelt für zwei Monate erreicht in Verzug ist. Der Provider kann in diesem Fall zusätzlich einen sofort in einer Summe fälligen pauschalierten Schadensersatz in Höhe der bis zum Ablauf der regulären Vertragslaufzeit anfallenden monatlichen Entgelte verlangen. Dem Kunden bleibt vorbehalten, nachzuweisen, dass ein geringerer oder gar kein Schaden entstanden ist.

(4) Der Provider ist berechtigt den Vertrag außerordentlich zu kündigen, wenn der Kunde die Leistungen nicht oder nur geringfügig nutzt. Das Kündigungsrecht des Providers besteht, wenn über einen Zeitraum von zwei Monaten weniger als 5 Fahrzeuge mit der Anwendung zum Verkauf bei Drittanbietern eingestellt werden. Dem Nutzer wird nach der Kündigung einmalig die Möglichkeit gegeben die Anwendung innerhalb einer Frist von einem Monat wieder zu aktivieren oder eine kostenpflichtige Datensicherung vorzunehmen, bevor es dann gelöscht wird.

(5) Der Provider kann den Vertrag kündigen, wenn der Kunde seine nach §§ 7,8 und 10 bestehenden Obliegenheiten nach Abmahnung wiederholt schuldhaft verletzt.

(6) Jede Kündigung hat wenigstens in Textform zu erfolgen.

§ 16 Pflichten bei und nach Beendigung des Vertrages

(1) Der Provider wird auf Wunsch des Kunden sämtliche vom Kunden gespeicherte Daten dem Kunden im Wege der Datenfernübertragung oder zum Download zur Verfügung zu stellen. Der Kunde ist verpflichtet, dem Provider die sich aus der Preisliste ergebende Vergütung hierfür zu zahlen.

(2) Nach Vertragsbeendigung werden alle generierten Daten noch für einen Monat vorgehalten. Eine darüber hinausgehende Speicherung durch den Provider erfolgt nicht. Der Kunde erhält bei Vertragsbeendigung auf Anfrage die Möglichkeit die Daten zu sichern. Mitwirkungsleistungen des Providers bei der Datensicherung sind kostenpflichtig. Der Kunde ist für eine fortlaufende Sicherung seiner Daten selbst verantwortlich

§ 17 Änderung der Geschäftsbedingungen und der Leistungsbeschreibung

(1) Diese Allgemeinen Geschäftsbedingungen und die Leistungsbeschreibung können durch entsprechende Vereinbarung zwischen dem Kunden und dem Provider geändert werden.

(2) Wünscht der Provider eine Änderung dieser Allgemeinen Geschäftsbedingungen oder der Leistungsbeschreibung, wird er dies dem Kunden mitteilen und ein Angebot auf Vertragsänderung unterbreiten. Widerspricht der Kunde diesem Angebot nicht innerhalb einer Frist von zwei Wochen nach Zugang des Angebots in Textform, gilt das Angebot als angenommen. In diesem Fall tritt die Vertragsänderung sechs Wochen nach Zugang des Angebots in Kraft. Widerspricht der Kunde hingegen gemäß vorstehendem Satz 2, so gilt der Vertrag zu den bisherigen Bedingungen ohne Änderung fort. Der Provider wird den Kunden mit dem Angebot auf Vertragsänderung über die besonderen Rechtsfolgen eines unterbleibenden wenigstens in Textform zu erklärenden Widerspruchs gesondert unterrichten.

(3) Hat der Kunde dem Angebot auf Vertragsänderung widersprochen und teilt der Provider dem Kunden daraufhin mit, dass eine Fortsetzung des Vertrages ohne die Vertragsänderung für den Provider aus technischen oder wirtschaftlichen Gründen unzumutbar ist, kann der Kunde den Vertrag innerhalb eines Monats ab Zugang dieser Mitteilung in Textform kündigen. Die geänderten Vertragsbedingungen gelten als genehmigt, wenn der Kunde von diesem Kündigungsrecht keinen Gebrauch macht. Auf die Rechtsfolge einer unterbleibenden Kündigung in Textform weist der Provider den Kunden mit der Mitteilung über die Unzumutbarkeit der Fortsetzung des Vertragsverhältnisses hin.

§ 18 Höhere Gewalt

Keiner der Vertragspartner ist zur Erfüllung der vertraglichen Verpflichtungen im Fall und für die Dauer höherer Gewalt verpflichtet. Insbesondere folgende Umstände sind als höhere Gewalt in diesem Sinne anzusehen:

von dem Vertragspartner nicht zu vertretende(s) Feuer/Explosion/Überschwemmung,
Krieg, Meuterei, Blockade, Embargo,
über 6 Wochen andauernder und von dem Vertragspartner nicht schuldhaft herbeigeführter Arbeitskampf,
nicht von einem Vertragspartner beeinflussbare technische Probleme des Internets; dies gilt nicht, sofern und soweit der Provider die Telekommunikationsleistung mit anbietet.

Jeder Vertragspartner hat den anderen über den Eintritt eines Falls höherer Gewalt unverzüglich in Textform in Kenntnis zu setzen.

§ 19 Schlussbestimmungen

(1) Auf das Vertragsverhältnis findet deutsches materielles Recht unter Ausschluss des UN-Kaufrechts Anwendung.

(2) Anhänge sind in ihrer jeweils gültigen Fassung Bestandteil dieses Vertrags.

(3) Nebenbestimmungen außerhalb dieser Vertragsbedingungen bestehen nicht.

(4) Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm zwingend einen anderen Gerichtsstand anordnet, das für Kassel zuständige Landgericht.

Allgemeine Geschäftsbedingung bezüglich des AUTOMANAGER Marketplace (Fahrzeugbörse)

§ 1 Geltungsbereich und Vertragsgegenstand

(2) Bei der Anwendung handelt es sich um zeitweise zur Nutzung zur Verfügung gestellte Standardsoftware (sogenannte „Software as a Service“, abgekürzt: SaaS) in Gestalt einer vom Provider nach dessen Vorgaben gestalteten Webseite, mittels derer in der Anwendung „Automanager“ des Providers verwaltete Fahrzeuge im Internet zum Verkauf angeboten werden können (Vertriebskanal). Für die Anwendung Automanager gelten die diesbezüglichen Allgemeinen Geschäftsbedingungen des Providers. Für die Zeit der Nutzung bietet der Provider zusätzlich Speicherplatz zum Ablegen der bei der Verwendung der Anwendung erzeugten und/oder zu deren Nutzung erforderlichen Daten (im Folgenden: Anwendungsdaten). Der Umfang der durch den Provider bereit zu stellenden Leistungen ergibt sich aus dem Umfang des Auftrags des Kunden. Eine individuelle Anpassung der Anwendung an die Bedürfnisse des Kunden, sog. Customizing, sowie deren Einrichtung, sog. Setup, sind nicht Leistungsgegenstand. Soweit mittels der Anwendung Automanager Datenbestände von Drittanbietern zur vereinfachten Anlage von Fahrzeugangeboten zusammengeführt werden handelt es sich dabei lediglich um eine Erleichterung der Anlage von Fahrzeugangeboten; eine Zusammenführung vollständiger und auf das anzubietende Fahrzeug tatsächlich zutreffender Daten wird vom Provider nicht geschuldet. Soweit bei Drittanbietern sowohl für den Bezug von Datensätzen als auch für die Präsentation von Fahrzeugangeboten Kosten anfallen, sind diese vom Kunden zu tragen.

(4) Der Provider räumt dem Kunden die zur vertragsgemäßen Nutzung der Anwendung erforderlichen Nutzungsrechte ein und/oder vermittelt ihm diese.

(5) Der Kunde zahlt für die Leistungen des Providers das vereinbarte Entgelt.

(6) Der Provider schließt Verträge ausschließlich mit Kunden ab, die Unternehmer im Sinne von § 14 BGB sind.

(7) Widersprechende, abweichende oder ergänzende allgemeine Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn der Anbieter stimmt deren Geltung ausdrücklich zu.

§ 2 Bereitstellung der Anwendung und Speicherplatz für Anwendungsdaten

(3) Der Provider übermittelt dem Kunden die zur Nutzung der Anwendung erforderlichen Zugangsdaten.

(4) Der Provider sorgt dafür, dass die von ihm zur Nutzung bereit gestellte Anwendung dem Stand der Technik entspricht. Sofern und soweit mit der Bereitstellung einer neuen Version oder einer Änderung von Funktionalitäten der Anwendung (im Folgenden: Änderung) durch die Anwendung unterstützte Arbeitsabläufe des Kunden geändert und/oder Beschränkungen in der Verwendbarkeit einhergehen, wird der Provider dies dem Kunden spätestens sechs Wochen vor dem Wirksamwerden einer solchen Änderung in Textform ankündigen unter Übersendung einer Liste mit den anstehenden Änderungen und/oder Beschränkungen (im Folgenden: Release Notes). Widerspricht der Kunde nicht in Textform innerhalb einer Frist von zwei Wochen ab Zugang der Release Notes, werden diese Vertragsbestandteil. Der Provider wird den Kunden bei jeder Ankündigung von Änderungen auf die vorgenannte Frist und die Rechtsfolgen ihres Verstreichens bei Nichtwahrung der Widerspruchsmöglichkeit aufmerksam machen. Hat der Kunde der Änderung widersprochen und teilt der Provider dem Kunden daraufhin mit, dass eine Fortsetzung des Vertrages ohne die Änderung für den Provider aus technischen oder wirtschaftlichen Gründen unzumutbar ist, kann der Kunde den Vertrag innerhalb eines Monats ab Zugang dieser Mitteilung in Textform kündigen. Die Änderung gilt als genehmigt, wenn der Kunde von diesem Kündigungsrecht keinen Gebrauch macht. Auf die Rechtsfolge einer unterbleibenden Kündigung in Textform weist der Provider den Kunden mit der Mitteilung über die Unzumutbarkeit der Fortsetzung des Vertragsverhältnisses hin.

(6) Übergabepunkt für die Anwendung und die Anwendungsdaten ist der Routerausgang des Rechenzentrums des Providers.

§ 3 Nutzungsvoraussetzungen

(1) Der Provider stellt dem Kunden keine Zugriffssoftware zur Verfügung.

(3) Ein Zugriff auf die Anwendung des Providers mit mobilen Endgeräten, insbesondere Handys, Smartphones und Tablets, wird vom Provider nicht geschuldet.

(4) Die Anwendung kann nur genutzt werden mit einer Variante der Anwendung „Automanager“ des Providers.

(5) Eine Einbindung der Anwendung in eine eigene Webseite des Kunden wird nur unter Beachtung der in der Anlage „Technische Voraussetzungen“ vorgesehenen Bedingungen geschuldet.

§ 4 Technische Verfügbarkeit der Anwendung und des Zugriffs auf die Anwendungsdaten, Reaktions- und Wiederherstellungszeiten

(2) Es wird eine Verfügbarkeit von 99% bezogen auf ein Kalenderjahr zugesichert. Die Verfügbarkeit wird berechnet nach der Formel: Verfügbarkeit = (Gesamtzeit – Gesamtausfallzeit) / Gesamtzeit * 100%

(3) Der Provider beseitigt innerhalb angemessener Frist nach folgender Maßgabe ihm gemeldete Mängel oder den Ausfall beziehungsweise Teilausfall der Anwendung. Auftretende Mängel werden von den Parteien einvernehmlich als betriebsverhindernde, betriebsbehindernde oder sonstige Mängel eingeordnet. Erzielen die Parteien kein Einvernehmen entscheidet der Provider über die Einordnung unter angemessener Berücksichtigung der Interessen des Kunden.

(4) Je nach Einordnung eines Mangels gelten folgende Reaktions- und Wiederherstellungszeiten:

(a) Für einen betriebsverhindernden Mangel werden eine Reaktionszeit von 36 Stunden und eine Wiederherstellungszeit von 3 Tagen vereinbart. Ein betriebsverhindernder Mangel liegt vor, wenn die Nutzung der Anwendung beispielsweise aufgrund von Fehlfunktionen, falschen Arbeitsergebnissen oder Antwortzeiten unmöglich ist oder schwerwiegend eingeschränkt wird und dieser Mangel nicht mit zumutbaren organisatorischen Hilfsmitteln umgangen werden kann.
(b) Für einen betriebsbehindernden Mangel werden eine Reaktionszeit von 48 Stunden und eine Wiederherstellungszeit von 5 Tagen vereinbart. Ein betriebsbehindernder Mangel liegt vor, wenn die Nutzung der Anwendung beispielsweise aufgrund von Fehlfunktionen, falschen Arbeitsergebnissen oder Antwortzeiten zwar nicht unmöglich ist oder schwerwiegend eingeschränkt wird, die Nutzungseinschränkung(en) aber zugleich auch nicht nur unerheblich ist (sind) und mit zumutbaren organisatorischen oder sonstigen wirtschaftlichen zumutbaren Mitteln nicht umgangen werden kann (können).
(c) Für einen sonstigen Mangel werden eine Reaktionszeit von 3 Werktagen und eine Wiederherstellungszeit von 14 Werktagen vereinbart. Ein sonstiger Mangel liegt vor, wenn die Nutzung der Anwendung nicht unmittelbar und/oder nicht erheblich beeinträchtigt wird, wie etwa bei ungünstig definierten Grundeinstellungen oder ausfallenden Funktionen, die für die Erfüllung des Zwecks der Software nebensächlich sind und/oder lediglich die Bedienung der Software erleichtern (so bezeichnete „Nice-to-have-Funktionen“).
(d) Ein Mangel der Anwendung liegt vor, wenn
- (1) die Anwendung bei vertragsgemäßen Einsatz die in der Produkt- und/oder Leistungsbeschreibung der Software festgelegten Funktionalitäten nicht erbringt oder
- (2) wenn sie sich für die nach dem Vertrag vorausgesetzte Verwendung nicht eignet oder
- (3) wenn sie sich für die gewöhnliche Verwendung nicht eignet und nicht die Beschaffenheit aufweist, die bei Anwendungen der gleichen Art üblich ist und der Kunde diese nach der Art der Anwendung erwarten kann. Ein Mangel i.S. dieser Vorschrift liegt insbesondere dann nicht vor, wenn sich das Vorliegen einer der vorgenannten Voraussetzungen (a)-(c) nur unwesentlich auf die Nutzung der Anwendung auswirkt oder die Störung durch unsachgemäße Nutzung der Anwendung im Sinne von § 7 Abs. 1 hervorgerufen wurde.

(5) Mängel meldet der Kunde dem Provider über das von diesem auf seiner Webseite betriebene Kundenportal.

§ 5 Nichterfüllung von Hauptleistungspflichten

(1) Kommt der Provider den §§ 2 und 4 vereinbarten Verpflichtungen nicht vollständig nach, gelten die folgenden Regelungen.

(3) Kommt der Provider nach erstmaliger betriebsfähiger Bereitstellung der Anwendung und/oder von Anwendungsdaten den vereinbarten Verpflichtungen ganz oder teilweise nicht nach, so verringert sich die monatliche Nutzungspauschale nach § 9 Abs. 1, 2 anteilig für die Zeit, in der die Anwendung und/oder die Anwendungsdaten dem Kunden nicht in dem vereinbarten Umfang beziehungsweise der Speicherplatz nicht in dem vereinbarten Umfang zur Verfügung standen.

(4) Ist eine Nutzung der Anwendung nicht innerhalb der in § 4 vereinbarten Frist, nachdem der Provider vom Mangel Kenntnis erlangt hat, wiederhergestellt, so kann der Kunde unabhängig von dem Grund der Nichterfüllung, jedoch nicht, wenn ausschließlich höhere Gewalt vorliegt, das Vertragsverhältnis in Bezug auf die Nutzung der betroffenen Anwendung ohne Einhaltung einer Frist außerordentlich kündigen.

§ 6 Sonstige Leistungen des Providers

§ 7 Nutzungsrechte an und Nutzung der Anwendung, Rechte des Providers bei Überschreitung der Nutzungsbefugnisse

(1) Nutzungsrechte an der Anwendung

(a) Der Kunde erhält an der Anwendung einfache, nicht unterlizenzierbare und nicht übertragbare auf die Laufzeit dieses Vertrags beschränkte Nutzungsrechte nach Maßgabe der nachstehenden Regelungen.
(b) Eine physische Überlassung der Anwendung an den Kunden erfolgt nicht. Der Kunde darf die Anwendung nur für seine eigenen geschäftlichen Tätigkeiten durch eigenes Personal nutzen.
(c) Der Kunde nutzt die jeweilige Anwendung nur durch die in der Leistungsbeschreibung angegebene Anzahl von Personen.
(d) Der Kunde ist nicht berechtigt, Änderungen an der jeweiligen Anwendung vorzunehmen. Dies gilt nicht für Änderungen, die für die Berichtigung von Fehlern notwendig sind, sofern der Provider sich mit der Behebung des Fehlers in Verzug befindet, die Fehlerbeseitigung ablehnt oder wegen der Eröffnung des Insolvenzverfahrens zur Fehlerbeseitigung außer Stande ist.
(e) Sofern der Provider während der Laufzeit neue Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf die Anwendung vornimmt, gelten die vorstehenden Rechte auch für diese.
(f) Rechte, die vorstehend nicht ausdrücklich dem Kunden eingeräumt werden, stehen dem Kunden nicht zu. Der Kunde ist insbesondere nicht berechtigt, die jeweilige Anwendung über die vereinbarte Nutzung hinaus zu nutzen oder von Dritten nutzen zu lassen oder die jeweilige Anwendung Dritten zugänglich zu machen. Insbesondere ist es nicht gestattet, die jeweilige Anwendung zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, insbesondere nicht zu vermieten oder zu verleihen.

(2) Verpflichtungen des Kunden zur sicheren Nutzung

(a) Der Kunde trifft die notwendigen Vorkehrungen, um die Nutzung der Anwendung durch Unbefugte zu verhindern.
(b) Der Kunde haftet dafür, dass die Anwendung nicht zu rassistischen, diskriminierenden, pornographischen, den Jugendschutz gefährdenden, politisch extremen oder sonst gesetzeswidrigen oder gegen behördliche Vorschriften oder Auflagen verstoßenden Zwecken verwendet oder entsprechende Daten, insbesondere Anwendungsdaten, erstellt und/oder auf dem Server gespeichert werden.

(3) Verletzung der Bestimmungen nach Abs. 1 und 2 durch den Kunden

(a) Verletzt der Kunde die Regelungen in Abs. 1 oder 2 aus von ihm zu vertretenden Gründen, kann der Provider den Zugriff des Kunden auf die Anwendung oder die Anwendungsdaten sperren, wenn die Verletzung hierdurch nachweislich abgestellt werden kann.
(b) Verstößt der Kunde rechtswidrig gegen Abs. 2 lit. b, ist der Provider berechtigt, die dadurch betroffenen Daten beziehungsweise Anwendungsdaten zu löschen. Im Fall eines rechtswidrigen Verstoßes durch Nutzer hat der Kunde dem Provider auf Verlangen unverzüglich sämtliche Angaben zur Geltendmachung der Ansprüche gegen den Nutzer zu machen, insbesondere dessen Namen und Anschrift mitzuteilen. Verletzt der Kunde trotz entsprechender Abmahnung des Providers in Textform weiterhin oder wiederholt die Regelungen in Abs. 1 oder 2, und hat er dies zu vertreten, so kann der Provider den Vertrag ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen.
(c) Für jeden Fall, in dem der Kunde die Nutzung der Anwendung durch Dritte oder durch nicht vom Kunden benannte Nutzer schuldhaft ermöglicht, hat der Kunde jeweils eine sofort fällige Vertragsstrafe in Höhe der monatlichen Grundpauschale nach § 9 Abs. 1, 2 zu zahlen. Die Geltendmachung von Schadensersatz bleibt vorbehalten; in diesem Fall wird die Vertragsstrafe auf den Schadensersatzanspruch angerechnet.

(4) Rechte des Kunden an etwa entstehenden Datenbanken/Datenbankwerken
Sofern und soweit während der Laufzeit dieses Vertrags, insbesondere durch Zusammenstellung von Anwendungsdaten, durch nach diesem Vertrag erlaubte Tätigkeiten des Kunden auf dem Server des Providers eine Datenbank, Datenbanken, ein Datenbankwerk oder Datenbankwerke entstehen, stellen alle Rechte hieran dem Kunden zu. Der Kunde bleibt auch nach Vertragsende Eigentümer der Datenbanken bzw. Datenbankwerke.

§ 8 Haftung für Rechte Dritter

(2) Der Kunde ist, sofern und soweit die Rechte Dritter ihn im Gebrauch der Anwendung beeinträchtigen, nicht zur Vergütung verpflichtet.

(3) Eine nicht vorhandene Nutzbarkeit der Anwendung und/oder der Anwendungsdaten aus rechtlichen Gründen nach Abs. 1 gilt als Nichtverfügbarkeit im Sinne dieser Vertragsbedingungen.

§ 9 Entgelt

(2) Die anfallenden monatlichen Pauschalen werden monatlich im Voraus abgerechnet und werden zum Monatsersten des Monats fällig, für den sie anfallen.

(5) Vergütungen werden zuzüglich MwSt. in der jeweils anfallenden gesetzlichen Höhe geschuldet.

(6) Die Zahlung erfolgt mittels SEPA-Lastschriftverfahren.

§ 10 Pflichten und Obliegenheiten des Kunden

(1) Der Kunde wird alle Pflichten und Obliegenheiten erfüllen, die zur Abwicklung des Vertrags erforderlich sind. Er wird insbesondere

1. die ihm bzw. den Nutzern zugeordneten Nutzungs- und Zugangsberechtigungen sowie vereinbarte Identifikations- und Authentifikations-Sicherungen geheim halten, vor dem Zugriff durch Dritte schützen und nicht an unberechtigte Nutzer weitergeben. Diese Daten sind durch geeignete und übliche Maßnahmen zu schützen. Der Kunde wird den Provider unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder Kennwörter nicht berechtigten Personen bekannt geworden sein könnten;
2. die vereinbarten Zugangsvoraussetzungen schaffen;
3. die Beschränkungen/Verpflichtungen im Hinblick auf die Nutzungsrechte nach § 7 einhalten, insbesondere
- a. keine Informationen oder Daten unbefugt abrufen oder abrufen lassen oder in Programme, die von dem Provider betrieben werden eingreifen oder eingreifen lassen oder in Datennetze des Providers unbefugt eindringen oder ein solches Eindringen fördern;
- b. den im Rahmen der Vertragsbeziehung und/oder unter Nutzung der Anwendung möglichen Austausch von elektronischen Nachrichten nicht missbräuchlich für den unaufgeforderten Versand von Nachrichten und Informationen an Dritte zu Werbezwecken nutzen;
- c. den Provider von Ansprüchen Dritter freistellen, die auf einer rechtswidrigen Verwendung der Anwendung durch ihn beruhen oder die sich aus vom Kunden verursachten datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der Anwendung verbunden sind;
- d. die berechtigten Nutzer verpflichten, ihrerseits die für sie geltenden Bestimmungen dieses Vertrags einzuhalten;
4. dafür Sorge tragen, dass er (z. B. bei der Übermittlung von Texten/Daten Dritter auf den Server des Provider) alle Rechte Dritter an von ihm verwendetem Material beachtet;
5. nach § 11 Abs. 2 die erforderliche Einwilligung des jeweils Betroffenen einholen, soweit er bei Nutzung der Anwendung personenbezogene Daten erhebt, verarbeitet oder nutzt und kein gesetzlicher Erlaubnistatbestand eingreift;
6. vor der Versendung von Daten und Informationen an den Provider diese auf Viren prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einsetzen;
7. wenn er zur Erzeugung von Anwendungsdaten mit Hilfe der Anwendung dem Provider Daten übermittelt, diese regelmäßig und der Bedeutung der Daten entsprechend sichern und eigene Sicherungskopien erstellen, um bei Verlust der Daten und Informationen die Rekonstruktion derselben zu ermöglichen;
8. sofern und soweit ihm einvernehmlich die technische Möglichkeit dazu eröffnet wird, regelmäßig die auf dem Server gespeicherten Anwendungsdaten durch Download sichern; unberührt bleibt die Verpflichtung des Providers zur Datensicherung;
9. sicherstellen und garantieren, dass der bzw. die als Administrator eingetragene/n Nutzer der Anwendung, insbesondere im Fall von Störungen im Leistungsgefüge, berechtigt ist/sind für den Kunden in dessen Vertretung rechtlich wirksame Erklärungen abzugeben
10. überprüfen, ob die aus der Anwendung Automanager übernommenen Fahrzeugangebote richtig in der Anwendung dargestellt werden und ggf. erforderliche Korrekturen vornehmen;
11. im Fall der Darstellung der Anwendung in einer von ihm betriebenen Webseite, täglich überprüfen, ob die Fahrzeugbörse technisch einwandfrei funktioniert.

§ 11 Datensicherheit, Datenschutz, Auftragsverarbeitung

§ 12 Geheimhaltung/Referenznennung

(3) Öffentliche Erklärungen der Vertragspartner über eine Zusammenarbeit werden nur im vorherigen gegenseitigem Einvernehmen abgegeben.

(4) Die Verpflichtungen nach Abs. 2 bestehen auch über das Vertragsende hinaus auf unbestimmte Zeit, und zwar so lange, wie ein Ausnahmetatbestand nach Abs. 1 nicht nachgewiesen ist.

(6) Soweit der Kunde Inhalte zur Verfügung stellt, die zur Referenznennung bestimmt sind, insbesondere Texte, Bilder und Grafiken, versichert er befugt zu sein, diese Inhalte dem Provider zum Zweck seiner Referenznennung zur Benutzung zur Verfügung zu stellen. Der Kunde stellt den Provider wegen einer unbefugten Nutzung solcher Inhalte von Ansprüchen Dritter frei einschließlich der deswegen anfallenden Kosten einer Rechtsverteidigung.

§ 13 Insolvenz bzw. drohende Insolvenz einer Vertragspartei

(1) Eine Partei hat die andere Partei unverzüglich davon in Kenntnis zu setzen, wenn

1. sie die Eröffnung des Insolvenzverfahrens beantragt hat oder dies in den kommenden 14 Kalendertagen beabsichtigt,
2. die Eröffnung des Insolvenzverfahrens von Dritten beantragt worden ist,
3. sie auf Grund von Zahlungsschwierigkeiten die Zahlungen einstellen muss,
4. gegen sie im zeitlichen Zusammenhang mit Zahlungsschwierigkeiten Maßnahmen zur Befriedigung von Drittgläubigeransprüchen getroffen wurden, oder
5. sie im zeitlichen Zusammenhang mit Zahlungsschwierigkeiten Vereinbarungen zur Befriedigung von Drittgläubigeransprüchen zugestimmt hat.

(2) Liegt einer der Umstände des Abs. 1 Nr. 3 bis 5 vor, so kann die andere Partei das Vertragsverhältnis ohne Einhaltung einer Frist außerordentlich kündigen.

§ 14 Haftung, Haftungsgrenzen und Vertragsstrafe

(2) Bei leichter Fahrlässigkeit haften die Vertragspartner im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

(5) Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

§ 15 Laufzeit, Kündigung

(5) Der Provider kann den Vertrag kündigen, wenn der Kunde seine nach §§ 7,8 und 10 bestehenden Obliegenheiten nach Abmahnung wiederholt schuldhaft verletzt.

(6) Jede Kündigung hat wenigstens in Textform zu erfolgen.

§ 16 Pflichten bei und nach Beendigung des Vertrages

§ 17 Änderung der Geschäftsbedingungen und der Leistungsbeschreibung

(1) Diese Allgemeinen Geschäftsbedingungen und die Leistungsbeschreibung können durch entsprechende Vereinbarung zwischen dem Kunden und dem Provider geändert werden.

§ 18 Höhere Gewalt

von dem Vertragspartner nicht zu vertretende(s) Feuer/Explosion/Überschwemmung,
Krieg, Meuterei, Blockade, Embargo,
über 6 Wochen andauernder und von dem Vertragspartner nicht schuldhaft herbeigeführter Arbeitskampf,
nicht von einem Vertragspartner beeinflussbare technische Probleme des Internets; dies gilt nicht, sofern und soweit der Provider die Telekommunikationsleistung mit anbietet.

Jeder Vertragspartner hat den anderen über den Eintritt eines Falls höherer Gewalt unverzüglich in Textform in Kenntnis zu setzen.

§ 19 Schlussbestimmungen

(1) Auf das Vertragsverhältnis findet deutsches materielles Recht unter Ausschluss des UN-Kaufrechts Anwendung.

(2) Anhänge sind in ihrer jeweils gültigen Fassung Bestandteil dieses Vertrags.

(3) Nebenbestimmungen außerhalb dieser Vertragsbedingungen bestehen nicht.

(4) Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm zwingend einen anderen Gerichtsstand anordnet, Kassel.

Technische Voraussetzungen und Rahmenbedingungen für die Integration des AUTOMANAGER Marketplace (Fahrzeugbörse)

1 Allgemein

Die Fahrzeugbörse wird mit dem Ziel entwickelt, dass sie sich ohne Weiteres in die Webseite eines Kunden integrieren lässt, ohne dass sie selbst oder die umgebende Seite funktional oder optisch beeinträchtigt werden. Aufgrund der vielfältigen Möglichkeiten zur Programmierung von Webseiten und der damit einhergehenden Implikationen kann dieses Ziel nur näherungsweise erreicht werden. Um eine optimale Einbindung der Fahrzeugbörse in die Webseite des Kunden zu ermöglichen, hat dieser die Folgende Anforderungen zu erfüllen.

2 Einbindung

Zur Einbindung der Fahrzeugbörse in die Webseite des Kunden wird eine Skript-Referenz in der Webseite des Kunden eingebunden. Alle weiteren Ressourcen und Abhängigkeiten werden durch dieses Skript selbsttätig nachgeladen.

Die Position der Fahrzeugbörse in der Webseite des Kunden kann von dem Kunden mit einem Html-Element – vorzugsweise mit einem div-Element – mit der id am-marketplace bestimmt werden. Kein Element der Seite darf zu einem anderen Zweck mit dieser Id versehen sein.

Verwendet der Kunde kein solches Html-Element, generiert die Fahrzeugbörse selbst eines. In diesem Fall wird das Html-Element dort in der Webseite des Kunden platziert, wo sich die Skript-Referenz befindet. Befindet sich die Skript-Referenz im Head-Abschnitt, so wird das Element mangels anderer Möglichkeiten als neues Element am Ende des Body-Abschnitts eingefügt

3 Isolation

Die Fahrzeugbörse lädt sämtliche von ihr benötigten Javascript Bibliotheken vollständig autark nach. Das schließt die genutzte jQuery-Bibliothek und -Plugins als auch das angular-Framework und dazu gehörige Pakete ein. Das Ziel ist, dass diese Bibliotheken so geladen werden, dass gegebenenfalls in der umgebenden Webseite des Kunden vorhandene Instanzen unberührt bleiben.

4 Styling

In der Fahrzeugbörse verwendete Styling-Anweisungen werden durchgängig mit dem Namen #am-marketplace als Prefix versehen. Damit ist ausgeschlossen, dass das Styling der Fahrzeugbörse auf die umgebende Webseite des Kunden angewendet wird.

Styling-Anweisungen der umgebenden Webseite des Kunden können insbesondere dann auf Elemente der Fahrzeugbörse angewendet werden, wenn in den Styling-Anweisungen der umgebenden Webseite des Kunden die !important Option verwendet wird.

5 Abgrenzung

Aufgrund der Vielzahl möglicher Kombinationen von Javascript und Css-Frameworks können spezifische Konstellation zu unerwarteten Fehlern führen, insbesondere dergestalt, dass die Fahrzeugbörse nicht vollständig lädt, nicht korrekt startet oder einzelne Funktionen nicht ansprechbar sind. Auch die umgebende Webseite des Kunden kann beeinträchtigt werden. Eine voll funktionsfähige Einbindung der Fahrzeugbörse in die Webseite des Kunden erfolgt nur für die Browser Google Chrome, Mozilla Firefox, Apple Safari und Microsoft Edge in der jeweils aktuellen Version des jeweiligen Herstellers.

Folgende Technologien in der umgebenden Webseite des Kunden beeinträchtigen die Funktionalität nicht:

Technologie	Typ
Bootstrap 3	CSS
Bootstrap 4	CSS
jQuery 1	Java Script
jQuery 2	Java Script
jQuery 3	Java Script
Angular 1.3	Java Script
Angular 1.4	Java Script
Angular 1.5	Java Script
Angular 1.6	Java Script
Angular 1.7	Java Script
UIKit	Java Script / CSS
HTML 5	HTML

Anlage Auftragsverarbeitung

Präambel

Führt ein Auftragsverarbeiter (folgend: Provider) Leistungen im Auftrag seines Vertragspartners (folgend: Kunde) aus, müssen die Anforderungen der jeweils gültigen Datenschutzgesetze Berücksichtigung finden und insbesondere bei den Verarbeitungstätigkeiten ein angemessenes Datenschutzniveau garantiert sein. Die vorliegende Vereinbarung berücksichtigt die besonderen Anforderungen aus der EU-Datenschutzgrundverordnung ¹.

§ 1 Gegenstand des Auftrags

(1) Der Kunde beauftragt den Provider mit der Verarbeitung personenbezogener Daten. Der Gegenstand des Auftrags und damit der Zweck, die Art und der Umfang der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten ergibt sich aus dem zugrundeliegenden Hauptvertrag.

(2) Die Verarbeitung und Nutzung der Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der einschlägigen Datenschutzgesetze erfüllt sind.

§ 2 Dauer des Auftrags

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.

§ 3 Art der Daten

Gegenstand der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten sind Daten aus folgenden Datenartenkategorien: Name, Funktionsbezeichnung, Adressdaten, E-Mailadresse, Telefonnummer, Kontaktdaten, Bonitätsdaten, Geburtsdatum, Abrechnungsdaten, IT-Nutzungsdaten, Vertragsdaten, Zahlungsdaten, Bankverbindungsdaten, Zeiterfassungsdaten, Telefonate, Gesundheitsdaten, Interessen, Vertriebsplanungsdaten, Personalstammdaten, Fahrzeugidentifikationsnummern (soweit personenbezogen), Suchparameter, Leistungsdaten von Mitarbeitern, Fahrzeugkennzeichen, Zahlungsvereinbarungen, Fahrzeugdokumente, Opt-Ins Datenschutzerklärungen.

§ 4 Kreis der Betroffenen

Der Kreis, der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen, umfasst folgende Kategorien: Mitarbeiter des Autohauses (Nutzer), soweit zutreffend Werksangehörige, Kunden, Dienstleistungsunternehmen, Interessenten/ Kunden von Fahrzeugen, Anrufer.

§ 5 Technisch-organisatorische Maßnahmen

(1) Der Provider hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Kunden zur Prüfung zu übergeben (Beilage „Technisch-organisatorische Maßnahmen“). Bei Akzeptanz durch den Kunden werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ ein Audit des Kunden einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Die technisch-organisatorischen Maßnahmen sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie die Systembelastbarkeit im Zuge der Datenverarbeitung sicherstellen. Aus den angegebenen Maßnahmen muss ein angemessenes Sicherheitsniveau ableitbar sein. Der Provider hat den Kunden bei der Ergreifung technischorganisatorischer Maßnahmen bestmöglich zu unterstützen.

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Provider gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§ 6 Information der Betroffenen

Der Kunde wird die Betroffenen über die Übermittlung von Daten an den Provider als Datenempfänger informieren. Den Provider trifft insbesondere keine Benachrichtigungspflicht gegenüber den Betroffenen.

§ 7 Berichtigung, Sperrung, Einschränkung und Löschung von Daten

Der Provider hat nur nach Weisung des Kunden die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen, einzuschränken oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Provider zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Provider dieses Ersuchen unverzüglich an den Kunden weiterleiten.

§ 8 Kontrollen und sonstige Pflichten des Providers

Der Provider hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags folgende Pflichten:

a) Schriftliche Bestellung eines Datenschutzbeauftragten. Der Datenschutzbeauftragte ist über datenschutz@pixelconcept.de erreichbar.

b) Verpflichtung von Mitarbeitern: alle natürlichen Personen, die auftragsgemäß auf personenbezogene Daten des Kunden zugreifen können, müssen auf die weisungsgebundene Verarbeitung verpflichtet werden.

c) Der Provider stellt sicher, dass er die Verarbeitung personenbezogener Daten ausschließlich auf Grundlage dokumentierter Weisungen des Kunden vornimmt (vergl. § 11 dieses Vertrages). Sofern der Provider zu einer Verarbeitung gesetzlich verpflichtet ist, teilt er dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit.

d) Der Provider hat den Kunden bei seiner Pflicht zur Wahrung der Betroffenenrechte zu unterstützen. Dies ist durch geeignete organisatorische Maßnahmen zu gewährleisten.

e) Sofern den Kunden aufgrund eines voraussichtlich hohen Risikos der Verarbeitung die Pflicht zur Datenschutz-Folgenabschätzung trifft, hat der Provider ihn hierbei zu unterstützen. Dies gilt ebenso für die Pflicht zur vorherigen Konsultation der Aufsichtsbehörde, sofern sich eine solche aus der vorangegangenen Folgenabschätzung ergibt.

f) Die unverzügliche Information des Kunden über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde beim Provider ermittelt.

g) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Kunden. Hierzu kann der Provider auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder andere hinreichende Garantien vorlegen.

§ 9 Unterauftragsverhältnisse

(1) Soweit bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten des Kunden Unterauftragnehmer für die vorliegende Verarbeitung von Daten im Auftrag einbezogen werden sollen, wird dies genehmigt, wenn folgende Voraussetzungen vorliegen:

a) Die Einschaltung von Unterauftragnehmern wird grundsätzlich gestattet. Der Provider hat den Kunden bei jeder Hinzuziehung oder Änderung von Unterauftragsverhältnissen rechtzeitig vorab zu informieren. Der Kunde hat das Recht, einzelnen Unterauftragsvergaben oder Änderungen zu widersprechen.

b) Der Provider hat die vertraglichen Vereinbarungen mit dem/ den Unterauftragnehmern so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Provider und Kunden entsprechen. Es müssen hinreichende Garantien dafür geboten sein, dass die technischen und organisatorischen Maßnahmen den Anforderungen an die rechtmäßige Datenverarbeitung genügen.

c) Bei der Unterbeauftragung sind dem Kunden Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Kunden, vom Provider auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.

(2) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Provider bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer etc. Der Provider ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Kunden auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

(3) Der Provider setzt folgende Unterauftragnehmer zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Sinne dieser Vereinbarung ein:

OVH GmbH
St. Johanner Str. 41-43
662111 Saarbrücken
Deutschland

Bereitstellung von Service-Rufnummern, Durchleiten der Verbindungen:
Matelso GmbH
Heilbronner Str. 150
70191 Stuttgart

Serverüberwachung/ Logfiles mit Nutzerdaten
New Relic, Inc
188 Spear Street, Suite 1200
San Francisco, CA 94105
USA

Bereitstellung CRM-System u. Campaigns
Zoho Corporation Pvt. Ltd.,
Estancia IT Park,
Plot No. 140 & 151, GST Road,
Vallancherry Village,
Chengalpattu Taluk,
Kanchipuram District 603 202, INDIA

Bereitstellung Chat-Funktion & Intelligente Hilfe-Artikel
Intercom R&D Unlimited Company,
55 Second Street, Suite 400,
San Francisco, CA 94105
USA

Bereitstellung Spamserver für Emailkommunikation
Spezial Host
Max-Beckmann-Str. 21,
04109 Leipzig

Bereistellung Videotelefonie
Daily.co
1231 9th Ave., Floor 2
San Francisco, CA 94122
USA

§ 10 Kontrollrechte des Kunden

(1) Der Kunde hat das Recht, eine Auftragskontrolle mit dem Provider durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Provider in dessen Geschäftsbetrieb zu überzeugen. Der Provider verpflichtet sich, dem Kunden auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

(2) Im Hinblick auf die Kontrollverpflichtungen des Kunden vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Provider sicher, dass sich der Kunde von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Provider dem Kunden auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder durch andere hinreichende Garantien erbracht werden.

(3) Kosten für Kontrollen werden vollumfänglich durch den Kunden getragen.

§ 11 Mitteilung bei Verstößen des Providers

(1) Der Provider erstattet in allen Fällen dem Kunden eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Kunden oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.

(2) Es ist dem Provider bekannt, dass Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Kunden mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Kunden. Der Provider hat im Benehmen mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

(3) Soweit den Kunden Melde- und/oder Benachrichtigungspflichten treffen, hat der Provider ihn hierbei zu unterstützen. Dies gilt sowohl für die Meldung einer etwaigen Pflichtverletzung gegenüber der Aufsichtsbehörde, als auch für die Benachrichtigung der von der Verletzung des Schutzes personenbezogenen Daten betroffenen Personen.

§ 12 Weisungsbefugnis des Kunden

(1) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Kunden. Der Kunde behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Provider nur nach vorheriger schriftlicher Zustimmung durch den Kunden erteilen.

(2) Mündliche Weisungen wird der Kunde unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Provider verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(3) Der Provider hat den Kunden unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Provider ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine beim Kunden befugte Person bestätigt oder geändert wird.

§ 13 Löschung von Daten und Rückgabe von Datenträgern

(1) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Kunden – spätestens mit Beendigung der Leistungsvereinbarung – hat der Provider sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Kunden auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(2) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Provider entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Kunden übergeben.

§ 14 Haftung

(1) Für den Ersatz von Schäden, die eine Person wegen einer nicht den Datenschutzvorschriften entsprechenden unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Kunde und Provider im Außenverhältnis gemeinsam als Gesamtschuldner.

(2) Der Kunde trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm selbst verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Kunde den Provider auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Provider erhoben werden. Unter diesen Voraussetzungen ersetzt der Kunde dem Provider ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.

(3) Der Provider haftet ausschließlich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der er den aus der EU-DSGVO resultierenden und speziell für Auftragsverarbeiter auferlegten Pflichten nicht nachgekommen ist oder er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers handelte oder er gegen die rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt hat.

(4) Für Schäden des Kunden durch schuldhafte Verstöße des Providers oder etwaiger Unterauftragsverarbeiter bleibt ihm der Rückgriff auf den Provider vorbehalten.

§ 15 Anonymisierte Nutzung von Daten durch den Provider

(1) Der Provider hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und für eigene Zwecke zu nutzen. Unter Wahrung der Anonymität kann der Provider die Daten zu statistischen Auswertungen, Benchmarking oder Produktoptimierungen nutzen.

(2) Der Kunde hat jederzeit das Recht, der anonymisierten Nutzung der anfallenden Daten schriftlich zu widersprechen. In diesem Fall werden die anfallenden personenbezogenen Daten nicht mehr anonymisiert und für die genannten Zwecke ausgewertet.

§ 16 Informationspflichten, Schriftformklausel, Rechtswahl, Salvatorische Klausel

(1) Sollten die Daten des Kunden beim Provider durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Provider den Kunden unverzüglich darüber zu informieren.

(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Providers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Es gilt deutsches Recht sowie das in Deutschland unmittelbar und zwingend anzuwendende Recht der Europäischen Union.

(4) Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit dieser Vereinbarung im Übrigen unberührt.

(5) An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der (datenschutz-)rechtlichen Zielsetzung am nächsten kommen, welche die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.

Technische und organisatorische Maßnahmen

der pixelconcept GmbH, Friedrich-Ebert-Straße 79, 34119 Kassel

Als nicht-öffentliche Stelle, die im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, müssen wir technische und organisatorische Maßnahmen treffen, die erforderlich sind, um die Ausführung der Datenschutzvorschriften nach Art. 32 DGSVO zu gewährleisten. Insbesondere sind Vertraulichkeit, Integrität, Verfügbarkeit und Systembelastbarkeit im Zusammenhang mit der Datenverarbeitung sicherzustellen. Dieses Dokument beschreibt die hierzu getroffenen Maßnahmen.

1 Übersicht der Sicherheitsarchitektur

Die Anwendungen der pixelconcept GmbH werden in besonders gesicherten Rechenzentren bereitgestellt. Die Server werden bei der OVH GmbH angemietet; das Rechenzentrum ist nach ISO 27001 zertifiziert. Der Zugriff erfolgt über ausnahmslos verschlüsselte Verbindungen mit starker Authentifizierung.

Am Stammsitz der pixelconcept GmbH werden Server zu Test- und Entwicklungszwecken betrieben.
Diese Übersicht folgt den Vorgaben der EU-Datenschutzgrundverordnung nach Art. 32 DSGVO hinsichtlich der Sicherheitsvorkehrungen und wird ergänzt durch eine Übersicht, wie weitere Vorgaben der DSGVO umgesetzt werden.

2 Vertraulichkeit

2.1 Zutrittskontrolle/Gebäudeabsicherung am Standort Kassel

Die Zutrittskontrolle am Standort Kassel wird durch ständigen Verschluss der Räume sichergestellt. Besucher müssen klingeln; ein Nachvollzug des Zutritts ist durch schriftliche Ausgabe von Schließmedien und durch biometrische Zugangssperren gesichert. Das Reinigungspersonal ist sorgfältig ausgewählt. Außerhalb der Arbeitszeiten sind die Räume durch eine Alarmanlage gesichert, die auf einen Wachdienst aufgeschaltet ist.

2.2 Zutrittskontrolle/Gebäudeabsicherung im Rechenzentrum

Das Rechenzentrum der OVH GmbH ist durch Alarmanlagen und mehreren Sicherheitszonen geschützt. Es existiert ein elektronisches Zutrittskontrollsystem mit Protokollierung; die Schließmedien werden dokumentiert an Mitarbeiter ausgegeben. Es existieren Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude. Die Gebäude werden zudem videoüberwacht.

2.3 Zugangskontrolle/ Absicherung Systemzugang

Die Zugangskontrolle erfolgt durch den Einsatz von individuellen Benutzern und Zuordnung von Benutzerrechten nach verschiedenen Rechtskonzepten je nach Notwendigkeit des Systemzugriffs. Die Authentifizierung erfolgt mit Benutzername und Kennwort. Systemseitig werden dabei komplexe Kennwörter verlangt. Ein Bildschirmschoner mit Kennwortsperre wird zentral ausgerollt. Der Fernzugriff auf die IT-Infrastruktur erfolgt über VPN.

2.4 Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen

Ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb der eingesetzten Systeme wird durch Umsetzung von Berechtigungskonzepten sichergestellt. Die Anzahl der besonders verpflichteten Administratoren ist auf das Notwendigste reduziert. Datenträger werden physisch vernichtet, mindestens nach DIN 66399 Stufe 3. Für die Absicherung der Zugriffe werden Anti-Viren-Software sowie Hard- und Softwarefirewalls eingesetzt.

2.5 Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten

Daten, die zu unterschiedlichen Zwecken erhoben werden, sind teils physikalisch, teils durch virtuell getrennte Systeme separiert. Die Trennungskontrolle wird zudem durch die Arbeit nach einem Berechtigungskonzept, sowie letztendlich eine logische, softwareseitige Mandantentrennung umgesetzt.

2.6 Pseudonymisierung

Bei der Entwicklung der Produkte wird geprüft, wo Daten in pseudonymisierter Form verarbeitet werden können. Dies wird insbesondere in der Nutzeranalyse umgesetzt; die Zuordnung erfolgt auf einem getrennten, gesicherten System.

3 Integrität

3.1 Weitergabekontrolle/Sicherheit beim Datentransfer

Ein unbefugtes Lesen, Kopieren, Veränderung oder Entfernen von Daten bei elektronischer Übertragung oder Transport wird verhindert durch den Einsatz von VPN-Tunneln, verschlüsselte Datenübermittlungen via https oder SFTP und beim physischen Transport durch sichere Transportbehälter und sorgfältige Auswahl des Transportpersonals / geschlossene Fahrzeugaufbauten des Datenvernichtungsunternehmens.
Eine E-Mailverschlüsselung kann durch die Nutzung von verschlüsselten Anhängen umgesetzt werden.

3.2 Eingabekontrolle

Die Eingabekontrolle wird sichergestellt durch die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen), Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts und – soweit rechtlich zulässig – die Protokollierung der Eingabe, Änderung und Löschung von Daten auf den jeweiligen Systemen.

4 Verfügbarkeit und Belastbarkeit

4.1 Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust Standort Kassel

Die Daten am Standort Kassel werden abgesichert durch den Einsatz von unterbrechungsfreier Stromversorgung, Klimatisierung, Kohlenstoffdioxid-Feuerlöscher, Rauchmelder sowie Alarmsicherung des Serverraums.

4.2 Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust im Rechenzentrum

Die Daten im Rechenzentrum werden durch mehrstufige Klimatisierung, Stickoxid-Feuerlöschanlagen, zentrale unterbrechungsfreie Stromversorgung, Notstromaggregate und Notstromdiesel geschützt.

4.3 Weitere Maßnahmen der Verfügbarkeitskontrolle

Die Datenbestände werden durch mehrstufige Backuproutinen gesichert. Dabei werden Dateibestände, Datenbanken und Systemzustände gesichert.

4.4 Rasche Wiederherstellbarkeit

Eine rasche Wiederherstellung wird durch ein Backup- und Recovery-Konzept sowie ein Testen von Datenwiederherstellung sichergestellt.

5 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

5.1 Datenschutz-Management

Die Grundsätze zum Datenschutz (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten) sind einer unternehmensinternen Richtlinie festgelegt. Es ist ein Datenschutzbeauftragter (DSB) schriftlich benannt. Der DSB ist bei der Datenschutzfolgeabschätzung eingebunden. Die Mitarbeiter sind auf rechtskonformen Umgang mit personenbezogenen Daten verpflichtet und nachweislich geschult. Administratoren sind auf das Fernmeldegeheimnis verpflichtet.

5.2 Störungsfallmanagement

Es ist ein Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Störungen in IT-Bereichen vorgesehen.

5.3 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

In den internen Richtlinien sind Beachtung von Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen aufgenommen; im Entwicklungsprozess und Produktdesign fließen so die Vorgaben des Art. 25 DSGVO ein.

5.4 Auftragskontrolle/Einbindung von Unter-Auftragsverarbeitern

Es erfolgt keine Auftragsdatenverarbeitung ohne entsprechende Weisung des Auftraggebers. Die Verträge sind eindeutig gestaltet, die Auswahl der (Unter-)Auftragsverarbeiter erfolgt unter Sorgfaltsgesichtspunkten, insbesondere hinsichtlich der Datensicherheit). Vor Beauftragung erfolgt eine Prüfung und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen. Gegenüber den Auftragsverarbeitern werden wirksame Kontrollrechte vereinbart. Der Auftragsverarbeiter und seine Tätigkeiten werden regelmäßig überprüft. Die Mitarbeiter des Auftragsverarbeiters sind auf die Vertraulichkeit beim Umgang mit personenbezogenen Daten verpflichtet.

¹ Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, EU-DSGVO).