COMARCH Software und Beratung AG
Allgemeine Geschäftsbedingungen für den Comarch Shop (B2B)
§ 1 Definitionen
Allgemeine Bedingungen – die vorliegenden Allgemeinen Geschäftsbedingungen für den Comarch Shop.
Applikation – die sogenannte Zugangssoftware, deren Einsatz die Voraussetzung oder ggf. die Alternative für die Nutzung des Comarch Service-Produktes ist und die auf den Arbeitsplätzen der Nutzer installiert sein muss.
Arbeitsergebnisse – die vom Kunden in die Datenbanken des Comarch Service-Produktes eingegebenen Daten und Dateien sowie die vom Kunden mittels des Comarch Service-Produktes erstellte Ergebnisse (Daten, Dateien), die auf den von Comarch zur Verfügung gestellten Servern vom Kunden gespeichert werden.
Bestellung – ein Angebot des Bestellers an Comarch in elektronischer Form bezüglich der Nutzung von Comarch Service-Produkten gemäß den Bestimmungen dieser Allgemeinen Bedingungen.
Comarch – Comarch Software und Beratung AG.
Comarch Service Angebot – Comarch Service-Produkte, die dem Kunden unter den verschiedenen Webauftritten von Comarch wie z.B. https://shop.comarch.de/, https://www.erpxt.de oder https://www.ibard.com/de angeboten, beschrieben und nach Abschluss des Einzelvertrages zur Nutzung mittels eines Browsers und einer Internetverbindung zur Verfügung gestellt werden.
Comarch Service-Produkte – Software und andere Produkt-Pakete wie z.B. Comarch ERP XT, IBARD u.a., die im Rahmen des Comarch Service Angebots zur Nutzung angeboten werden und sich je nach Nutzungs- und Funktionsumfang unterscheiden.
Geschäftszeiten – Zeiten in denen Bestellungen bearbeitet werden; in der Regel von 9:00 bis 17:00 Uhr an Werktagen.
Konto – ein Konto, das für den Kunden auf der Website als Ergebnis des Registrierungsprozesses eingerichtet wurde.
Kunde – Unternehmer im Sinne des § 14 Abs. 1 BGB, die Comarch Service-Produkte über den Comarch Shop bestellen.
Nutzer – jede Person, die mittels der individuellen Zugangsdaten das jeweilige Comarch Service-Produkt im Rahmen des Einzelvertrages nutzen kann.
Personenbezogene Daten – der Teil der Kunden-Daten, die nach den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) bzw. der Datenschutz-Grundverordnung (DS-GVO) als personenbezogene Daten gelten.
Preis – der Nettopreis der Comarch Service-Produkte, der neben den Informationen über die Produkte angegeben wird, ohne die Kosten für Lieferung und Mehrwertsteuer.
Preisliste – eine Aufstellung der Comarch Service-Produkte zusammen mit ihren Eigenschaften und Preisen.
Shop – der Online-Shop, der von Comarch betrieben wird und unter https://shop.comarch.de/ erreichbar ist.
Website – Website von Comarch, v.a. https://shop.comarch.de/, https://www.erpxt.de und https://www.ibard.com/de.
Werktage – Montag bis Freitag, ausgenommen Samstage und Feiertage.
Zugangsdaten – die für die Nutzung des vertraglich vereinbarten Comarch Service-Produktes erforderlichen Zugangsdaten.
§ 2 Anwendungsbereich und Änderungen der Allgemeinen Bedingungen
- Die Allgemeinen Bedingungen gelten für die jeweils zwischen Comarch und ihren Kunden geschlossenen Einzelverträge über die Nutzung der Comarch Service-Produkte. Bestellungen dürfen nur Kunden im Sinne dieser Allgemeinen Bedingungen, also Unternehmer, durchführen. Der Kunde bestellt die Comarch Service-Produkte ausschließlich im Zusammenhang mit seiner beruflichen oder geschäftlichen Tätigkeit.
- Die Allgemeinen Bedingungen gelten auch für alle künftigen Einzelverträge mit den Kunden aus laufenden oder zukünftigen Geschäftsbeziehungen, soweit nichts anderes vereinbart wird.
- Comarch ist berechtigt, die Allgemeinen Bedingungen für zukünftige Leistungserbringung im Rahmen einer laufenden Geschäftsbeziehung in angemessenen zeitlichen Abständen zu ändern.
§ 3 Registrierung /Anmeldung
- Nach der Registrierung ist es möglich, mit dem Konto Comarch Service-Produkte auszuwählen und Bestellungen abzugeben. Bestellungen können zum einen im Comarch Shop getätigt werden, zum anderen können bestimmte Produkt-Pakete und Erweiterungen auch direkt im Konto hinzugebucht werden.
- Um sich zu registrieren, ist der Kunde verpflichtet, das entsprechende Formular auf der Website korrekt auszufüllen und einen eindeutigen Benutzernamen und ein Passwort (Zugangsdaten) anzugeben.
- Der Kunde ist verantwortlich für die Richtigkeit und Vollständigkeit der an Comarch übermittelten Daten.
- Der Kunde ist für die Geheimhaltung der Zugangsdaten verantwortlich und wird die Zugangsdaten vor dem Zugriff unbefugter Dritte schützen und entsprechend sorgfältig aufbewahren.
- Im Rahmen der Registrierung kann der Kunde dem Erhalt eines Newsletters über die zu diesem Zweck angegebene E-Mail-Adresse zustimmen und willigt damit ein, dass Comarch die E-Mail-Adresse und den angegebenen Namen zur Kontaktaufnahme und Anrede im Rahmen des Newsletters speichern und verarbeiten darf.
- Mit dem Ausfüllen und Absenden des Formulars erklärt sich der Auftraggeber mit den Allgemeinen Bedingungen einverstanden.
- Mit dem Ausfüllen und Absenden des Formulars erklärt der Kunde, dass er ein Unternehmer ist und Bestellungen im Shop nur im Zusammenhang mit seiner beruflichen oder geschäftlichen Tätigkeit abgibt.
§ 4 Bestellung und Vertragsabschluss
- Die Parteien vereinbaren die konkrete Leistungserbringung durch Einzelverträge. Der Inhalt der Einzelverträge ergibt sich aus dem Comarch Service Angebot auf der Website und dieser Allgemeinen Bedingungen. Mit der Bestellung legt der Kunde den Leistungsumfang fest, indem er das Comarch Service-Produkt und, soweit auswählbar, dessen Nutzungs- und Funktionsumfang als bestimmtes Produkt-Paket auswählt.
- Bei Widersprüchen zwischen Angaben im Comarch Service Angebot und den Allgemeinen Bedingungen gilt das Comarch Service Angebot vorrangig. Die Allgemeinen Geschäftsbedingungen des Kunden kommen nicht zur Anwendung.
- Sämtliche Comarch Service Angebote sind freibleibend und unverbindlich.
- Einzelverträge kommen dadurch zustande, dass der registrierte Kunde nach Anmeldung in sein Konto unter der entsprechenden Website das Comarch Service-Produkt durch Auswahl des gewünschten Nutzungs- und Funktionsumfangs bestellt und darauffolgend Comarch diese Bestellung annimmt. Die Bestellung durch den Kunden gilt als verbindliches Angebot (§ 145 BGB), den Einzelvertrag abzuschließen und wird durch Anklicken des Buttons „ZAHLUNGSPFLICHTIG BESTELLEN“ (oder ähnliches) abgegeben. Das Angebot kann von Comarch innerhalb von 10 Kalendertagen nach dem Zugang angenommen werden. Comarch ist berechtigt, den Abschluss des Einzelvertrages ohne Angabe von Gründen abzulehnen. In diesem Fall wird Comarch den Kunden darüber informieren und die übermittelten Daten sowie ggf. Unterlagen löschen bzw. vernichten sowie die vor dem Abschluss des Einzelvertrages ggf. entrichtete Vergütung unverzüglich zurückerstatten.
- Die Annahme des Angebotes durch Comarch bei Bestellung im Comarch Shop liegt in der Übermittlung eines Produktcodes an die vom Kunden bestimmte(n) E-Mail-Adresse(n) und/oder in der Absendung der entsprechenden Hardware. Bei Bestellungen von Produkt-Paketen oder Erweiterungen im Konto selbst erfolgt die Annahme von Comarch durch Freischaltung der entsprechenden Funktionen im Konto.
- Der Kunde kann jeweils nur ein bestimmtes Produkt-Paket für die Comarch Service-Produkte Comarch ERP XT und IBARD bestellen. Wenn der Kunde eine Bestellung für mehr als 1 Produkt-Paket abgibt, ist Comarch berechtigt, die eingereichte Bestellung entsprechend zu ändern. Um einen fehlerhaften Auftrag zu überprüfen, wird Comarch den Kunden kontaktieren bevor die Bestellung geändert wird.
- Der Kunde erhält nach erfolgreich übermittelter Bestellung eine Bestellbestätigung per E-Mail an die bei der Registrierung angegebene E-Mail-Adresse mit Zusammenfassung der Bestelldaten. Diese Bestätigung gilt nicht als Annahme des Bestellangebots des Kunden.
- Die Abgabe der Bestellung ist jederzeit möglich. Die Bestellung wird während der Geschäftszeiten von Comarch bearbeitet.
- Bestellungen werden ausschließlich in Deutschland ausgeführt.
§ 5 Testzugang
- Der Kunde kann sich bei Comarch auch zur Nutzung bestimmter Comarch Service-Produkte mittels Testzugang registrieren. Über sein Konto hat der Kunde dann die Möglichkeit bestimmte Funktionen der Comarch Service-Produkte kostenfrei zu testen.
- Der Testzugang wird in der Regel für einen Monat bereitgestellt und beginnt zum Zeitpunkt der Registrierung. Nach Ablauf der Laufzeit des Testzugangs endet dieser automatisch. Es bedarf keiner zusätzlichen Kündigung durch den Kunden.
- Das Konto und die über den Testzugang gespeicherten Arbeitsergebnisse werden spätestens 12 Monate nach Registrierung gelöscht, soweit der Kunde innerhalb dieser Frist keine kostenpflichtigen Comarch Service-Produkte über das Konto bestellt.
§ 6 Leistungsumfang
- Comarch stellt dem Kunden im Rahmen des Einzelvertrages das vereinbarte Comarch Service-Produkt über den bereitgestellten Zugang per Domain oder ggf. per Applikation zur Verfügung und räumt dem Kunden das Recht ein, die Arbeitsergebnisse auf den von Comarch zur Verfügung gestellten Servern zu speichern.
Das vertraglich vereinbarte Comarch Service-Produkt wird auf den Servern eines von Comarch genutzten Rechenzentrums betrieben. Der Kunde erhält für die Laufzeit des Einzelvertrages das nicht ausschließliche und nicht übertragbare Recht, auf das im Einzelvertrag bezeichnete Comarch Service-Produkt mittels eines Browsers oder ggf. der Applikation und einer Internetverbindung zuzugreifen und für eigene Geschäftszwecke zu nutzen. Für die Nutzung der Softwareprogramme Dritter (Betriebssysteme, Datenbanken) gelten die Allgemeinen Bedingungen Dritter.
- Der Standardfunktionsumfang des Comarch Service-Produktes ergibt sich aus der jeweiligen zum Zeitpunkt des Abschluss des Einzelvertrages aktuellen Dokumentation. Dokumentationen, Hilfe oder FAQ werden auf den jeweiligen Produkt-Webseiten dargestellt und/oder werden dem Kunden als Textdatei zur Verfügung gestellt.
- Die dem Kunden eingeräumten Funktionen des Comarch Service-Produktes werden standardmäßig und softwaregesteuert zur Verfügung gestellt. Weder Installations- noch Konfigurationsleistungen noch Umprogrammieren des Comarch Service-Produktes sind von Comarch geschuldet.
- Comarch stellt dem Kunden das jeweils neueste freigegebene Release des Comarch Service-Produktes zur Nutzung. Comarch führt den Releasewechsel des Comarch Service-Produktes selbst durch. Zu neuen Releases liefert Comarch auch, soweit vorhanden, jeweils eine neue Dokumentation bzw. eine Ergänzung der Dokumentation.
- Soweit im Einzelvertrag nicht anders vereinbart gewährleistet Comarch die Erreichbarkeit der für die Nutzung des Comarch Service-Produktes und die Speicherung der Arbeitsergebnisse zur Verfügung gestellten Server zu 98% im Jahresmittel. Hiervon ausgenommen sind die Zeiten der Wartungsarbeiten, des Releasewechsels sowie die Zeiten, in denen die Infrastruktur aufgrund technischer oder sonstiger Probleme außerhalb des Einflussbereichs von Comarch liegt. Alle Wartungsarbeiten werden dem Kunden über eine entsprechende Programmnachricht frühzeitig angekündigt.
- Außer den in den Allgemeinen Bedingungen ausdrücklich genannten Rechten werden dem Kunden keine anderen Rechte in Bezug auf das Comarch Service-Produkt eingeräumt. Insbesondere ist der Kunde nicht berechtigt das Comarch Service-Produkt auf einem eigenen Rechner zu installieren.
- Der Kunde ist nicht berechtigt, das Comarch Service-Produkt zu vermieten oder es in sonstiger Weise an Dritte zu überlassen oder den Dritten zur Verfügung zu stellen.
- Der Kunde ist damit einverstanden, dass das Comarch Service-Produkt den Anforderungen der „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ nicht genügt, es sei denn es wird zwischen den Vertragspartnern ausdrücklich anders vereinbart.
- Zur Nutzung des Comarch Service-Produkts werden mindestens die folgenden Versionen von Internetbrowsern benötigt: Internet Explorer 8, Fire Fox 5, Google Chrome 11.
§ 7 Änderung des Comarch Service-Produktes
Comarch ist berechtigt, das Comarch Service-Produkt zu ändern, wenn eine der folgenden Voraussetzungen vorliegt:
(i) das Comarch Service-Produkt ist ein Produkt anderer Hersteller und dieses Produkt steht Comarch nicht mehr oder nur noch in geänderter Form zur Verfügung, ohne dass dies durch Comarch zu vertreten ist;
(ii) gesetzliche oder behördliche Änderungen oder Anforderungen erfordern eine Änderung des Comarch Service-Produktes;
(iii) das Comarch Service-Produkt entspricht nicht mehr dem aktuellen Stand der Technik, den Sicherheitsbestimmungen oder dem Datenschutz;
(iv) Comarch tauscht das Comarch Service-Produkt ganz oder teilweise gegen ein gleich– oder höherwertiges Produkt aus, wobei die für das ursprüngliche Comarch Service-Produkt vereinbarte Soll-Beschaffenheit erhalten bleibt und die Leistungsänderung für den Kunden zumutbar ist.
§ 8 Rechtseinräumung an der Applikation
- Sofern für die Nutzung des Comarch Service-Produktes die Installation auf den Arbeitsplätzen der Nutzer einer Applikation, die dem Kunden mit dem Zugang zur Nutzung des Comarch Service-Produktes zur Verfügung gestellt wird, erforderlich ist, räumt Comarch dem Kunden das einfache, nicht ausschließliche Recht ein, die Applikation für eigene Geschäftszwecke des Kunden innerhalb der Laufzeit des Einzelvertrages zu nutzen.
- Das Recht zur Vervielfältigung der Applikation ist insoweit zulässig, als dies für den vertragsgemäßen Gebrauch notwendig ist. Der Kunde hat das Recht zur Anfertigung einer Sicherungskopie der Applikation.
- Der Kunde schützt die in §§ 69a und 69c UrhG genannten Urheberrechte an der Applikation. Der Kunde ist nur dann berechtigt, die Applikation zu bearbeiten, soweit dies der Erhalt oder die Wiederherstellung der vereinbarten Funktionalität erfordert und sofern dies nicht von Comarch vorgenommen wird bzw. Comarch hierzu die Erlaubnis erteilt. Der Kunde ist zur Dekompilierung der Applikation nur insoweit befugt, als das Gesetz dies unabdingbar erlaubt oder dies vertraglich vereinbart wurde.
- Außer durch die in den Allgemeinen Bedingungen ausdrücklich genannten Nutzungs- und Verwertungsrechte werden dem Kunden keine anderen Rechte in Bezug auf die Applikation eingeräumt.
- Urheberrechts- und sonstige Marken- oder Patentrechtsvermerke innerhalb der Applikation dürfen weder entfernt noch verändert werden. Sie sind auf jeder Kopie mit zu übertragen.
§ 9 Pflichten des Kunden
- Der Kunde ist verpflichtet, die Comarch Service-Produkte nur entsprechend der Dokumentation zu benutzen.
- Der Kunde führt die Einrichtungen des Comarch Service-Produktes (individuelle Einstellungen, Import von Daten und Dateien) im Rahmen des vereinbarten Standardfunktionsumfangs des Comarch Service-Produktes selbst durch.
- Der Kunde ist für die Bereitstellung der für die Nutzung des Comarch Service-Produktes benötigten organisatorischen und technischen IT-/Telekommunikations-Kapazität und Infrastruktur, Internetverbindung, Informationen, Materialien, Daten, Softwareprodukte und Hardware verantwortlich.
- Der Kunde ist verpflichtet, regelmäßig Sicherheitskopien der von ihm auf den von Comarch zur Verfügung gestellten Servern gespeicherten oder dort eingegebenen Daten durch Exportieren oder eine ähnliche Funktion anzufertigen. Insbesondere ist der Kunde verpflichtet, Daten gemäß den gesetzlichen Anforderungen aufzubewahren.
- Der Kunde ist verpflichtet, bei der Nutzung des Comarch Service-Produktes die gesetzlichen Vorschriften einzuhalten, insbesondere keine schadhaften oder rechtswidrigen Daten einzuspielen, die Integrität der genutzten Infrastruktur zu gefährden oder die Leistungserbringung von Comarch in sonstiger Weise zu missbrauchen.
- Der Kunde ist verantwortlich für die Geheimhaltung und Vertraulichkeit der auf den von Comarch zur Verfügung gestellten Server gespeicherten oder dort eingegebenen Daten.
- Der Kunde ist verantwortlich für die Handlungen der Nutzer, denen er die Zugangsdaten zur Verfügung gestellt hat, wie für eigene Handlungen.
- Weitere Pflichten können sich auch aus den einzelnen Regelungen dieser allgemeinen Bedingungen ergeben.
§ 10 Vergütung und Zahlung
- Comarch erhält für die im Rahmen des Einzelvertrages erbrachten Leistungen die vereinbarte Vergütung. Die Preise der Comarch Service-Produkte sind im Shop dargestellt.
- Alle Preise verstehen sich zuzüglich etwaiger nach den gesetzlichen Bestimmungen zu berücksichtigender Steuer (Umsatzsteuer oder vergleichbare Steuern). Die Preise werden ausschließlich in Euro angegeben.
- Für die unter dem Einzelvertrag erbrachte Leistung zahlt der Kunde eine nutzungszeitabhängige Gebühr und ggf. im Einzelvertrag zusätzlich vereinbarte Gebühren (z.B. Anfangsgebühr, Einzelkaufpreise). Ein Abrechnungszeitraum erfasst ein Jahr, sofern im Einzelvertrag nicht anders vereinbart.
- Der Kunde ist verpflichtet, die Zahlung der Vergütung für den ersten vereinbarten Abrechnungszeitraum bei Bestellung vorzunehmen. Nach seiner ersten Bestellung wird der Kunde zum Zahlungsservice eines Comarch Partners umgeleitet, um den Zahlungsvorgang abzuschließen. Die Übermittlung des Produktcodes bzw. des Aktivierungslinks durch Comarch für die Nutzung des Comarch Service-Produktes setzt die vorherige Zahlung der Vergütung für den ersten vereinbarten Abrechnungszeittraum voraus. Jede weitere Zahlung der im Einzelvertrag vereinbarten Vergütung ist innerhalb von 15 Tagen nach Rechnungsstellung zur Zahlung fällig. Die Vergütung ist ohne Abzug von Skonto auf das in der Rechnung ausgewiesene Bankkonto zu entrichten.
- Die vereinbarte Vergütung ist unabhängig von der tatsächlichen Inanspruchnahme der Leistungen durch den Kunden zur Zahlung fällig.
- Comarch ist berechtigt, die vereinbarte Vergütung während eines laufenden Einzelvertrages jeweils einmal pro Kalenderjahr der Preisentwicklung der Kosten anzupassen. Diese Anpassung wird Comarch dem Kunden mit einer Ankündigungsfrist von mindestens vier Wochen vor ihrem Inkrafttreten, erstmals zum Ende des ersten vollen Vertragsjahres, ankündigen. Bei einer Anhebung der Vergütung von über 5% im Kalenderjahr ist der Kunde berechtigt, den Einzelvertrag mit einer Kündigungsfrist von zwei Wochen zum Ende des laufenden Abrechnungszeitraums zu beenden (Sonderkündigungsrecht).
- Comarch ist bei erheblichem Zahlungsverzug, d.h. mehr als 15 Tage nach Fälligkeit berechtigt, nach vorheriger schriftlicher Mahnung mit einer Fristsetzung von mindestens 15 Tagen den Zugang zu dem Comarch Service-Produkt zu sperren und/oder den Einzelvertrag außerordentlich zu kündigen. Während der Sperrzeit hat der Kunde keinen Zugriff auf die im Rechenzentrum gespeicherten Daten. Darauf wird Comarch in der Mahnung noch einmal ausdrücklich hinweisen. Darüber hinaus ist Comarch berechtigt, Verzugszinsen in der jeweils gültigen gesetzlichen Höhe vom Tage des Verzuges an zu berechnen. Für jedes Mahnschreiben berechnet Comarch einen Pauschalbetrag in der Höhe von € 2,50. Die Geltendmachung eines weiteren Schadens bleibt unberührt.
- Gegen Ansprüche von Comarch kann der Kunde nur mit einer unbestrittenen oder rechtskräftig festgestellten Gegenforderung aufrechnen. Dem Kunden steht ein die Geltendmachung eines Zurückbehaltungsrechts nur wegen Ansprüchen aus dem mit Comarch eingegangenen Vertragsverhältnis zu.
§ 11 Vertragsbeginn, Laufzeit und Kündigung
- Sofern nicht anders im jeweiligen Comarch Service-Angebot im Shop beschrieben werden die Einzelverträge zur Bereitstellung der Comarch Service-Produkte nach § 6 Ziffer 1 auf unbestimmte Zeit geschlossen.
- Die Leistung wird ab Übermittlung des Produktcodes bzw. wenn ein solcher nicht übermittelt wird ab Freischaltung der entsprechenden Funktionen im Konto erbracht.
- Sofern nicht in dem Einzelvertrag abweichend geregelt, kann dieser mit einer Frist von 4 Wochen zum Ende des vereinbarten Abrechnungszeitraums ordentlich gekündigt werden.
- Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Besteht der wichtige Grund in Verletzung einer wesentlichen Pflicht aus dem Einzelvertrag, ist die Kündigung erst nach erfolglosem Ablauf einer zur Abhilfe bestimmten angemessenen Frist zulässig. Die Fristsetzung ist nicht erforderlich, soweit das Festhalten am Einzelvertrag dem kündigenden Vertragspartner nicht zumutbar ist. Comarch ist auch berechtigt, den Einzelvertrag fristlos zu kündigen, wenn der Kunde in Vermögensverfall gerät oder Tatsachen gegeben sind, die auf eine Überschuldung oder Zahlungseinstellung oder, wenn der Kunde eine juristische Person ist, auf eine geplante Liquidation des Kunden schließen lassen.
- Die Kündigung bedarf zu ihrer Wirksamkeit der schriftlichen Form.
- Mit Ablauf der vereinbarten Vertragsdauer ist der Kunde nicht mehr berechtigt, die Leistungen von Comarch in Anspruch zu nehmen.
§ 12 Lieferung von Waren
- Die Lieferung von Comarch Service-Produkten welche Hardware oder anderen Kaufgegenstände darstellen, erfolgt per Kurier oder Post an die vom Kunden im Bestellprozess angegebene inländische Anschrift, nachdem die Zahlung bei Comarch eingegangen ist. Die Versandkosten werden während des Bestellvorgangs angezeigt.
- Mit Übergabe der Comarch Service-Produkte nach § 11 Ziffer 1 an den von Comarch bestimmten Frachtführer geht die Gefahr des zufälligen Untergangs oder der Verschlechterung dieser Comarch Service-Produkte auf den Kunden über.
- Die zur Hardware zugehörige Dokumentation wird als Textdatei zugesandt.
- Darüber hinaus schuldet Comarch die Installation, Einrichtung oder Einweisung der Hardware und/oder der dazugehörigen Software nur nach ausdrücklicher vertraglicher Vereinbarung.
- Comarch behält sich das Eigentum an der Hardware bis zum vollständigen Ausgleich der entsprechenden Kaufpreisforderung vor.
§ 13 Geheimhaltung und Datenschutz
1. Keiner der Vertragspartner ist berechtigt, vertrauliche Informationen des jeweils anderen Vertragspartners ohne schriftliche Zustimmung an Dritte zu übermitteln. Beide Vertragspartner verpflichten sich, vertrauliche Informationen nur wie in den Allgemeinen Bedingungen oder den Einzelverträgen vorgesehen zu verwenden. Beide Vertragspartner treffen mindestens diejenigen Vorsichtsmaßnahmen, die sie auch im Hinblick auf eigene vertrauliche Informationen treffen. Solche Vorsichtsmaßnahmen müssen wenigstens angemessen sein, um die Weitergabe an unbefugte Dritte zu verhindern. Beide Vertragspartner sind darüber hinaus verpflichtet, die unbefugte Weitergabe oder Nutzung vertraulicher Informationen durch ihre Kunden, Mitarbeiter, Subunternehmer oder gesetzliche Vertreter zu verhindern. Die Vertragspartner werden sich gegenseitig schriftlich darüber informieren, falls es zu missbräuchlicher Nutzung vertraulicher Informationen kommt. Als vertrauliche Informationen gelten solche Informationen nicht, die
-dem anderen Vertragspartner bereits vor Übermittlung unter diesem Vertrag und ohne bestehende Geheimhaltungsvereinbarung bekannt waren;
-von einem Dritten, der keiner vergleichbaren Vertraulichkeitsvereinbarung unterliegt, übermittelt werden;
-anderweitig öffentlich bekannt sind;
-unabhängig und ohne Nutzung der vertraulichen Informationen entwickelt werden;
-zur Veröffentlichung schriftlich freigegeben sind; oder
-aufgrund einer gerichtlichen Verfügung übermittelt werden müssen, vorausgesetzt, dass der von der Übermittlung betroffene Vertragspartner rechtzeitig informiert wird, um noch Rechtsschutzmaßnahmen einleiten zu können.
2. Soweit im Zusammenhang mit diesem Vertrag personenbezogene Daten verarbeitet werden, gilt folgendes: Der Kunde gilt als Auftraggeber, Comarch gilt als Auftragnehmer. Die Vertragspartner sind sich einig, dass Comarch als Auftragsverarbeiter tätig wird. Zur Wahrung der anwendbaren Bestimmungen der DS-GVO schließen Comarch und der Kunde eine ergänzende Vereinbarung zur Auftragsverarbeitung. Die Vereinbarung zur Auftragsverarbeitung ist im Anhang zu den Allgemeinen Geschäftsbedingungen enthalten und somit Bestandteil des Einzelvertrages.
3. Comarch erwirbt keine Rechte an den Daten des Kunden. Comarch ist jedoch berechtigt, diese Daten nach Maßgabe dieser Bestimmungen und im Rahmen des Vertragsverhältnisses zu nutzen. Comarch wird:
-personenbezogene Daten im Rahmen der geltenden datenschutzrechtlichen Bestimmungen und der erklärten Einwilligungen des Kunden erheben, nutzen und verarbeiten;
-personenbezogene Daten ausschließlich auf den Servern innerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes speichern und verarbeiten,
-personenbezogene Daten ausschließlich zu den mit dem Kunden vereinbarten Zwecken verarbeiten, und
-die Verarbeitung von personenbezogenen Daten nur in datenschutzgerecht gesicherten Computersystemen durchführen, und
-personenbezogene Daten nur datenschutzgerecht transportieren oder übertragen, und
-Daten unter Beachtung der Datenschutzbestimmungen nach Beendigung der Verarbeitung, insbesondere nach Beendigung des Einzelvertrages, unter Bewahrung der gesetzlichen Vorschriften und der für Comarch geltenden Aufbewahrungspflichten, innerhalb angemessener Frist physisch löschen und evtl. Unterlagen oder Ausschussmaterial datenschutzgerecht vernichten, und
-dem Endkunden die Erfüllung der vertraglichen Vereinbarungen zum Datenschutz auf Wunsch jederzeit nachweisen.
4. Comarch verpflichtet sich, das Datengeheimnis gemäß § 53 BDSG einzuhalten und verpflichtet sich weiterhin, das Datengeheimnis auch nach Beendigung geschlossener Einzelverträge zu wahren. Comarch verpflichtet sich weiterhin, bei der Verarbeitung der personenbezogenen Daten nur solche Mitarbeiter einzusetzen, die auf das Datengeheimnis verpflichtet wurden.
5. Comarch stellt die technischen und organisatorischen Sicherheitsvorkehrungen und Maßnahmen gemäß der Anlage 2 des Vertrags zur Auftragsverarbeitung im Anhang sicher.
6. Sollten Dritte im Rahmen der Leistungserbringung eingesetzt werden, so wird Comarch personenbezogene Daten im Rahmen einer Auftragsdatenverarbeitung übergeben. Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nicht, es sei denn dies ist aufgrund gesetzlicher Vorschriften gestattet oder der Kunde hat in die Weitergabe eingewilligt. Für die im Sinne von § 15 AktG folgenden verbundenen Unternehmen von Comarch: Comarch AG (Deutschland, Dresden), Comarch Solutions GmbH (Österreich, Innsbruck), Comarch Swiss AG (Schweiz, Arbon) und Comarch S.A. (Polen, Krakau), gilt die Einwilligung mit dem Abschluss des Einzelvertrages als erteilt.
§ 14 Haftung
Die Haftung von Comarch wird gleich aus welchem Rechtsgrund (Verzug, Sach- und Rechtsmängel, Schutzrechtsverletzungen, Schlechtleistung) nach den folgenden Bestimmungen festgelegt:
-
- Comarch haftet uneingeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, unabhängig von der Schwere des Verschuldens, und für Schäden, die auf Vorsatz oder grober Fahrlässigkeit beruhen.
- Comarch haftet für leichte Fahrlässigkeit, sofern eine wesentliche Pflicht verletzt wird, deren Einhaltung für die Erreichung des Zweckes des Einzelvertrages von besonderer Bedeutung ist und auf deren Einhaltung der Kunde regelmäßig vertraut. Die Haftung für leichte Fahrlässigkeit ist auf den Ersatz des vertraglich vorhersehbaren Schadens beschränkt.
- Die Haftung von Comarch für Datenverlust ist auf den typischen Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer, regelmäßiger und der Gefahr entsprechender Anfertigung von Sicherungskopien eingetreten wäre.
- Jede Haftung, die nicht durch § 14 Ziffer 1 bis 3 erfasst ist, insbesondere die Haftung für die leicht fahrlässige Verletzung unwesentlicher Pflichten, ist auf einen Betrag von maximal 1.000 € beschränkt.
- Ist ein Schaden sowohl auf ein Verschulden von Comarch als auch auf ein Verschulden vom Kunden zurückzuführen, muss sich der Kunde sein Mitverschulden anrechnen lassen.
- Die verschuldensunabhängige Haftung von Comarch auf Schadensersatz (§ 536 a BGB) für bei Vertragsschluss vorhandene Mängel ist ausgeschlossen.
- Die Haftung für alle übrigen Schäden, die nicht von § 14 Ziffer 1 bis 5 erfasst sind, ist ausgeschlossen, insbesondere für Datenverluste oder Systemstörungen, die auf den Einsatz von Fremdsoftware zurückzuführen sind.
- Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.
§ 15 Sachmängel der Comarch Service-Produkte
- Ein Sachmangel liegt vor, wenn das vom Kunden vertraglich genutzte Comarch Service Produkt nicht die vereinbarte Beschaffenheit hat oder, wenn sich diese nicht zu der bestimmungsgemäßen Verwendung eignet, die in der Leistungsbeschreibung festgelegt ist.
- Ansprüche wegen Sachmängeln verjähren ein Jahr nach Übermittlung der Produktcodes oder des Aktivierungslinks bzw. nach Versand der Hardware (siehe § 4 Ziff. 5). Die unter dieser § 15 Ziff. 2 bestimmte Frist gilt nicht für Ansprüche wegen der Verletzung von Leben, Körper oder Gesundheit und/oder Ansprüche aufgrund von grob fahrlässig oder vorsätzlich verursachten Schäden und/oder für Ansprüche aufgrund von Schäden aus der Verletzung einer wesentlichen Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf (Kardinalpflicht), bei Arglist und bei Übernahme einer Garantie. In diesen Fällen gelten die gesetzlichen Bestimmungen zur Verjährung.
- Wenn der Kunde das Comarch Service Produkt nicht rechtgemäß bedient oder es in Verbindung mit Produkten verwendet, für die Comarch das Comarch Service Produkt nicht freigegeben hat, entfallen sämtliche Leistungspflichten der Comarch sowie die Ansprüche wegen Sachmängeln, es sei denn der Kunde weist nach, dass aufgetretene Fehler nicht auf diese Tatsache zurückzuführen sind und auch die Fehleranalyse und Beseitigung bzw. sonstige Leistungserbringung durch Comarch dadurch nicht beeinträchtigt wird.
- Auftretende Sachmängel sind vom Kunden in für Comarch möglichst nachvollziehbarer Weise zu dokumentieren und Comarch in Textform und möglichst unverzüglich nach ihrer Entdeckung mitzuteilen, so dass die Sachmängelreproduktion durch Comarch möglich ist. Dabei muss die Adresse des Kunden, Auftragsnummer und eine detaillierte Beschreibung des Mangels angegeben werden, damit die Mängelanzeige bearbeitet werden kann. Diese Mitteilung sollte Comarch per E-Mail an die folgende Adresse geschickt werden: shop@comarch.de oder schriftlich an die folgende Adresse: Comarch Software und Beratung AG, Riesstraße 16, 80992 München mit dem Betreff „Comarch Online Shop”.
- Erhält Comarch Kenntnis von Sachmängeln ist Comarch berechtigt, auf Grund gemeldeter Sachmängel die Nacherfüllung nach seiner Wahl durch Nachbesserung, Neulieferung oder durch Ersatzleistung zu erbringen. Der Kunde kann innerhalbangemessener Frist eine Neulieferung, eine Ersatzleistung oder Nachbesserung verlangen, wenn ihm die jeweils andere Form der Nacherfüllung unzumutbar ist.
- Ist die Nacherfüllung innerhalb einer angemessenen Frist, die mindestens zwei Nachbesserungsversuche ermöglicht, nicht erfolgreich, ist der Kunde nach seiner Wahl zur Minderung der im jeweiligen Einzelvertrag vereinbarten Vergütung oder zur Kündigung des jeweiligen Einzelvertrags berechtigt. Die Nacherfüllung gilt nicht schon mit dem zweiten Nachbesserungsversuch als endgültig fehlgeschlagen. Vielmehr steht Comarch während der angemessenen Frist die Anzahl der Nachbesserungsversuche frei, es sei denn, dies ist für den Kunden unzumutbar. Das Abwarten von Fristen und Fristsetzung durch den Kunden ist entbehrlich, wenn dies dem Kunden nicht mehr zumutbar ist, insbesondere, wenn Comarch die Nacherfüllung endgültig und ernsthaft verweigert hat.
- Das Recht des Kunden zur Kündigung und/oder ein Anspruch auf Schadensersatz statt der ganzen Leistung besteht nur bei erheblichen Sachmängeln.
§ 16 Rechtsmängel
- Ein Rechtsmangel liegt vor, wenn dem Kunden die für die vertragliche Verwendung des Comarch Service-Produktes erforderlichen Rechte nicht wirksam eingeräumt werden konnten.
- Macht ein Dritter die Verletzung von Schutzrechten gegenüber dem Kunden wegen der Nutzung des Comarch Service-Produktes (Rechtsmängel) geltend, wird der Kunde Comarch darüber unverzüglich schriftlich informieren und Comarch soweit gesetzlich zulässig und tatsächlich möglich die Verteidigung gegen diese Rechtsmängelansprüche überlassen. Dabei wird der Kunde Comarch jegliche zumutbare Unterstützung gewähren. Insbesondere wird der Kunde Comarch sämtliche erforderlichen Informationen über den Einsatz eines Comarch Service-Produktes möglichst schriftlich übermitteln und erforderliche Unterlagen dazu überlassen sowie erforderliche Vollmachten erteilen.
- Soweit Rechte Dritter verletzt sind, kann Comarch nach seiner Wahl die Nacherfüllung dadurch vornehmen, dass Comarch:
-zugunsten des Kunden ein für die vertraglichen Zwecke ausreichendes Nutzungsrecht am betroffenen Comarch Service-Produkt erwirbt, oder
-das schutzrechtsverletzende Comarch Service-Produkt ohne bzw. nur mit für den Kunden vertretbaren Auswirkungen auf deren Funktion ändert, oder
-das schutzrechtsverletzende Comarch Service-Produkt ohne bzw. nur mit für den Kunden vertretbaren Auswirkungen auf dessen Funktion gegen einen Leistungsgegenstand austauscht, dessen vertragsgemäße Nutzung keine Schutzrechte verletzt, oder
-eine neue Version des Comarch Service-Produktes liefert, bei dessen vertragsgemäßer Nutzung keine Schutzrechte Dritter verletzt werden.
Soweit keine der vorstehenden Alternativen wirtschaftlich sinnvoll ist, ist Comarch berechtigt, vom betroffenen Einzelvertrag zurückzutreten und die unter dem betroffenen Einzelvertrag gezahlte Vergütung, ggf. anteilig zurückzuerstatten.
§ 17 Sonstiges
- Sofern dem Kunden die Nutzung des Comarch Service-Produktes auf eine zwischen den Vertragspartnern bestimmte Zeit zu Testzwecken kostenfrei gewährt wurde, gelten die Bestimmungen der Allgemeinen Bedingungen entsprechend.
- Comarch erbringt ihre Leistungen ausschließlich für die Zwecke der gewerblichen oder selbständigen beruflichen Tätigkeit des Kunden.
- Der Kunde ist nicht berechtigt, einzelne Rechte oder Pflichten aus dem mit Comarch eingegangenen Vertragsverhältnis abzutreten oder Rechte und Pflichten aus dem Vertragsverhältnis ganz oder teilweise auf Dritte zu übertragen.
- Comarch ist zum Einsatz von Subunternehmern nur bei vorheriger Zustimmung des Kunden berechtigt. Der Kunde kann diese Zustimmung nur aus wichtigem Grund verweigern. Für die im Sinne von § 15 AktG folgenden verbundenen Unternehmen von Comarch: Comarch AG (Deutschland, Dresden), Comarch Solutions GmbH (Österreich, Innsbruck), Comarch Swiss AG (Schweiz, Arbon) und Comarch S.A. (Polen, Krakau), gilt die Zustimmung mit dem Abschluss des Einzelvertrages als erteilt.
- Die Parteien verpflichten sich Mitarbeiter der jeweils anderen Partei nicht abzuwerben.
- Erfüllungsort und Leistungsort ist der Sitz von Comarch.
- Sämtliche Verträge zwischen Comarch und dem Kunden unterliegen dem Recht der Bundesrepublik Deutschland. Das UN Kaufrecht wird ausgeschlossen.
- Ausschließlicher Gerichtsstand ist der jeweilige Sitz von Comarch. Comarch ist zudem berechtigt, den Kunden an seinem allgemeinen Gerichtsstand zu verklagen.
- Änderungen und Ergänzungen dieser Allgemeinen Bedingungen bedürfen zur Ihrer Wirksamkeit der Textform. Dies gilt auch für Änderungen des Textformerfordernisses.
- Sollten einzelne Bestimmungen der Allgemeinen Bedingungen ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen der Allgemeinen Bedingungen dadurch nicht berührt. In diesem Fall verpflichten sich die Parteien, sich auf wirksame Bestimmungen zu einigen, die wirtschaftlich dem ursprünglich gewollten Zweck der unwirksamen Bestimmung am nächsten kommen. Das gleiche gilt für den Fall, dass diese Allgemeinen Bedingungen eine Regelungslücke enthalten.
Anhang
Vertrag zur Auftragsverarbeitung
Präambel
Der Auftraggeber (der Kunde von Comarch) hat den Auftragnehmer (Comarch) mit den im Einzelvertrag genannten Leistungen beauftragt. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien den vorliegenden Vertrag.
§ 1. Vertragsgegenstand
- Der Auftragnehmer erbringt für den Auftraggeber im Rahmen seines Service-Angebotes Leistungen, die im Einzelvertrag festgehalten sind (nachfolgend „Hauptvertrag“ genannt). Dabei erhält der Auftragnehmer Zugriff auf die in der Anlage 1 näher spezifizierten personenbezogenen Daten (nachfolgend „personenbezogene Daten“ genannt) und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. Der vorliegende Vertrag konkretisiert die beiderseitigen datenschutzrechtlichen Rechte und Pflichten im Hinblick auf die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer im Auftrag des Auftraggebers.
- Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber verarbeitet werden.
- Gegenstand, Dauer, Art und Zweck der Datenverarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffenen Personen sind in der Anlage 1
- Die Verarbeitung der personenbezogenen Daten findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 4 ff. DS-GVO erfüllt sind.
§ 2. Weisungsrecht
- Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers verarbeiten; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
- Die Weisungen des Auftraggebers werden anfänglich durch den Hauptvertrag und den vorliegenden Vertrag festgelegt. Sie können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Der Auftragnehmer hat personenbezogene Daten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
- Der Auftraggeber und der Auftragnehmer werden die weisungsberechtigten Personen des Auftraggebers und die Weisungsempfänger beim Auftragnehmer benennen. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem anderen Vertragsteil unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.
- Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren.
- Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
- Sämtliche Kosten, die durch Erfüllung von Weisungen des Auftraggebers entstehen und die außerhalb des § 2 Ziffer 2 Satz 1 dieses Vertrags liegen, erstattet der Auftraggeber an den Auftragnehmer.
§ 3. Schutzmaßnahmen des Auftragnehmers
- Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten. Personenbezogene Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
- Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um ein dem Risiko angemessenes Schutzniveau der personenbezogenen Daten hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme zu gewährleisten. Insbesondere trifft der Auftragnehmer mindestens die in Anlage 2 aufgeführten Maßnahmen. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer hat regelmäßig und bei gegebenen Anlass eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen.
- Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Soweit noch nicht erfolgt, wird der Auftragnehmer alle Personen, die von ihm zur Verarbeitung der personenbezogenen Daten befugt wurden oder werden vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut machen und zur Vertraulichkeit verpflichten, es sei denn, sie unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen der eingesetzten Person und dem Auftragnehmer bestehen bleiben. Der Auftraggeber wird mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung durch die eingesetzten Personen sicherstellen.
§ 4. Datenschutzbeauftragter
Beim Auftragnehmer ist ein betrieblicher Datenschutzbeauftragter. Die Kontaktdaten des betrieblichen Datenschutzbeauftragten sind wie folgt:
Datenschutzbeauftragter
Riesstr. 16
80992 München
Tel. 089 – 143 290
datenschutzbeauftragter@comarch.com
Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite (comarch.de) und teilt sie der Aufsichtsbehörde mit.
§ 5. Informationspflichten des Auftragnehmers
- Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch vom Auftragnehmer beauftragte Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für vertragsrelevante Überprüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
- eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
- Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
- Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit die personenbezogenen Daten von einer Verletzung nach Ziffer 1 betroffen sind.
- Sollten die personenbezogenen Daten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist.
- Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gemäß Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
- An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber sowie bei erforderlichen Datenschutz-Folgenabschätzung des Auftraggebers hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
- Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Sämtliche Kosten, die durch Mitwirkung des Auftragnehmers gemäß § 5 Ziffern 6 und 7 des vorliegenden Vertrags bei dem Auftragnehmer entstehen, trägt der Auftraggeber.
§ 6. Kontrollrechte des Auftraggebers
- Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen des Auftragnehmers sowie der im vorliegenden Vertrag festgelegten Verpflichtungen. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen. Nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten des Auftragnehmers kann der Auftraggeber die Einhaltung der im vorliegenden Vertrag festgelegten Verpflichtungen selbst prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Hierzu gehören u.a. die Einholung von Auskünften, die Einsichtnahme in die vertragsgegenständlichen personenbezogenen Daten und die Datenverarbeitungsprogramme sowie Überprüfungen und Inspektionen vor Ort. Der Auftraggeber wird Kontrollen nur im erforderlichen und angemessenen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unangemessen stören. Die kontrollierenden Personen werden vor der Durchführung der Kontrollen oder Prüfungen von Ort Vertraulichkeitsverpflichtungen abgeben. Der Inhalt der Vertraulichkeitsverpflichtung wird sich u.a. auf dabei gewonnene Erkenntnisse über Sicherheitsmaßnahmen und weitere Betriebs- und Geschäftsgeheimnisse des Auftragnehmers als auch auf Daten anderer Auftraggeber, die beiläufig zur Kenntnis genommen werden könnten, sofern sich dies produktionstechnisch nicht vermeiden lässt, erstrecken.
- Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
- Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer im Rahmen eines entsprechenden Berichts mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, werden die Änderungen einvernehmlich vereinbart.
- Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des vorliegenden Vertrages bestehen.
- Sämtliche Kosten, die durch Tätigkeiten des Auftragnehmers gemäß § 6 Ziffern 1 und 2 des vorliegenden Vertrags bei dem Auftragnehmer entstehen, trägt der Auftraggeber.
§ 7. Einsatz von Subunternehmern
- Die Verarbeitung der personenbezogenen Daten wird unter Einschaltung der im Hauptvertrag genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen hinsichtlich der Verarbeitung der gegenständlichen personenbezogenen Daten zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt. Er setzt den Auftraggeber hiervon vorab in Kenntnis, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
- Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit, insbesondere der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO auszuwählen. Sofern die eingesetzten Subunternehmen die personenbezogenen Daten verarbeiten werden, hat der Auftragnehmer bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen des vorliegenden Vertrages zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Prüf- und Kontrollrechte aus dem vorliegenden Vertrag auch direkt gegenüber den Subunternehmern wahrnehmen kann. Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
- Eine Einbeziehung von Subunternehmern in einem Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
- Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und dabei die Subunternehmer die personenbezogenen Daten verarbeiten werden.
§ 8. Anfragen und Rechte Betroffener
1. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrnehmung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
2. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
§ 9. Haftung
Hinsichtlich der Haftung wird auf Art. 82 DS-GVO verwiesen. Im Innenverhältnis zwischen dem Auftraggeber und dem Auftragnehmer gelten die im Hauptvertrag vereinbarten Haftungsbeschränkungen. Im Übrigen wird vereinbart, dass der Auftraggeber den Auftragnehmer von der Haftung freistellt, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
§ 10. Laufzeit und Kündigung
- Die Laufzeit des vorliegenden Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
- Unabhängig von Ziffer 1 kann der vorliegende Vertrag mit einer Kündigungsfrist von 3 Monaten ordentlich gekündigt werden. Darüber hinaus kann der Auftraggeber den vorliegenden Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt.
§ 11. Beendigung des Hauptvertrags
Der Auftragnehmer wird nach Beendigung der Erbringung der Verarbeitungsleistungen oder jederzeit auf Anforderung des Auftraggebers alle gegenständlichen personenbezogenen Daten nach Wahl des Auftraggebers entweder datenschutzgerecht löschen oder vernichten oder dem Auftraggeber zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Die Löschung kann jedoch durch den Auftragnehmer ausgesetzt werden, sofern der Auftragnehmer die personenbezogenen Daten zu eigenen Beweissicherungszwecken verarbeiten will und zwar solange bis die Verjährungsfristen hinsichtlich der Auftragsdatenverarbeitung nicht abgelaufen sind. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in Textform zu bestätigen. Sämtliche Kosten, die durch Tätigkeiten des Auftragnehmers gemäß diesem § 11 bei dem Auftragnehmer entstehen, trägt der Auftraggeber.
§ 12. Schlussbestimmungen
- Änderungen und Ergänzungen des vorliegenden Vertrags bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
- Sollten einzelne Bestimmungen des vorliegenden Vertrags ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
- Der vorliegende Vertrag unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist München.
Anlagen
Anlage 1 – Angaben zu Gegenstand, Dauer, Art und Zweck der Datenverarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffenen Personen sowie zu weisungsberechtigten Personen
Anlage 2 – Technische und organisatorische Maßnahmen des Auftragnehmers
ANLAGE 1
Angaben zu Gegenstand, Dauer, Art und Zweck der Datenverarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffenen Personen sowie zu weisungsberechtigten Personen.
I. Gegenstand der Datenverarbeitung
Der Gegenstand des Auftrags zur Verarbeitung der personenbezogenen Daten ergibt sich aus dem Hauptvertrag.
II. Dauer der Datenverarbeitung
Die Dauer des Auftrags zur Verarbeitung der personenbezogenen Daten entspricht der Laufzeit des Hauptvertrags sofern der vorliegende Vertrag nicht früher gemäß § 10 Ziffer 2 gekündigt wird.
III. Art der Datenverarbeitung
Art der Datenverarbeitung der personenbezogenen Daten durch den Auftragnehmer ergibt sich aus dem Hauptvertrag.
IV. Zweck der Datenverarbeitung
Zweck der Datenverarbeitung der personenbezogenen Daten durch den Auftragnehmer ergibt sich aus dem Hauptvertrag.
V. Art der personenbezogenen Daten
Der Auftragnehmer verarbeitet den Tel der Kunden-Daten, die nach den Bestimmungen der DS-GVO als personenbezogene Daten gelten. Dabei kommen u.a. folgende Arten der personenbezogenen Daten in Betracht:
• Personenstammdaten (z.B. Vorname, Nachname, E-Mail-Adresse)
• Kommunikationsdaten (z.B. Telefon, E-Mail, Fax)
• andere
VI. Kategorien betroffenen Personen
Der Auftragnehmer verarbeitet den Tel der Kunden-Daten, die nach den Bestimmungen der DS-GVO als personenbezogene Daten gelten. Dabei kommen u.a. folgende Kategorien der durch die Verarbeitung der personenbezogenen Daten betroffenen Personen in Betracht:
• Kunden des Auftraggebers
• Interessenten des Auftraggebers
• Beschäftigte des Auftraggebers
• Lieferanten des Auftraggebers
• andere
ANLAGE 2
Technische und organisatorische Maßnahmen des Auftragnehmers
Zu den genannten Punkten bestehen beim Auftragnehmer interne Richtlinien, die von der Geschäftsführung veranlasst wurden und die eingehalten und kontrolliert werden.
1. Vertraulichkeit
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren:
- Zutrittskontrolle mit Zutrittsberechtigung nur für autorisierte Mitarbeiter.
- Organisationsanweisung zur Ausgabe von Schlüsseln (Schlüsselausgabe für neue und Schlüsselrücknahme von ausscheidenden Mitarbeitern durch definierte Verantwortliche).
- Richtlinien zur Anmeldung und Begleitung von Gästen innerhalb der Standorte.
- Vergaberichtlinien für Zutrittsberechtigungen zu den Sicherheitsbereichen.
- Verschluss des Standorts nach Arbeitsschluss und Aktivierung der Alarmverfolgung (soweit implementiert).
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
- Nutzung der Clientsysteme nur nach passwortgestützter Authentifizierung.
- Administrierung der Serversysteme nur mit Konsolenpasswort oder über passwortgeschützte Verbindung.
- Eindeutige Zuordnung von Benutzerkonten zu Benutzern, keine unpersönlichen Sammelkonten (z.B. „AZUBIS“).
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Bereitstellung von Methoden zur Datenverschlüsselung.
- Netzlaufwerke mit Zugriff nur für berechtigte Benutzergruppen (s. o.).
- Remote-Zugriff für Mitarbeiter über verschlüsseltes VPN.
- Arbeitsrichtlinien zur Verwendung von mobilen Datenträgern (z. B. Laptop, Wechsel-Festplatten, USB-Sticks) bei Kunden und auf Reisen.
- Verbindliche Verfahren zur Wiederherstellung von Daten aus Backups.
- Installation einer proprietären Antivirensoftware auf allen Arbeitsplätzen.
- Bereitstellung von Software-Updates über zentrale Softwareverteilung.
- Firewallkonzept, welches u. a. den Einsatz von Paketfiltern, IDSs und ALGs beinhaltet.
- Verbindliche Richtlinien zum Umgang mit Kundendaten durch den bDSB.
- Zentral organisierte Zugriffsberechtigungen zur Unternehmens-IT.
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Berechtigungskonzept, das der getrennten Verarbeitung von Daten des Kunden von Daten anderer Mandanten Rechnung trägt.
Maßnahmen, die gewährleisten, dass personenbezogene Daten von Klartext in einen Geheimtext durch eine von einem Schlüssel abhängige Umwandlung so abgeändert werden, dass der Klartext aus dem Geheimtext nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden kann:
- Bereitstellung von Methoden zur Datenverschlüsselung.
- Remote-Zugriff für Mitarbeiter über verschlüsseltes VPN.
- Richtlinie für Verschlüsselung von personenbezogenen Daten vor dem Transport.
2. Integrität
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
- Transport von Datenträgern zu den externen und von den externen Stellen nur durch hierfür befugte Mitarbeiter des Auftragnehmers.
- Physische und protokollierte Vernichtung von defekten Datenträgern (z. Festplatten, USB-Sticks) oder von Datenträgern, die nicht mehr benötigt werden (z. B. CDs/DVDs), durch Mitarbeiter des Auftragnehmers oder durch für diesen Zweck zertifizierte Entsorgungsunternehmen mit Vernichtung der Datenträger vor Ort.
- Richtlinie für Verschlüsselung von personenbezogenen Daten vor dem Transport.
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Vertragliche Beschränkung der Arbeit mit personenbezogenen Daten des Kunden auf die im Zusammenhang mit Leistungen aus dem Vertrag tätigen Mitarbeiter des Auftragnehmers (Verpflichtung der Mitarbeiter auf das Datengeheimnis)
- Registrierung der Benutzer in Teilnehmer-verwaltungssystemen.
3. Verfügbarkeit und Belastbarkeit
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch widerhergestellt wird:
- Einsatz einer Festplattenspiegelung.
- Einsatz von zentralen Schutzprogrammen.
- Vollständiges Backup- und Recovery-Konzept mit regelmäßiger Sicherung.
- Einsatz einer unterbrechungsfreien Stromversorgung (USV) für alle Server.
- Notfallkonzepte für Großschadensereignisse, z. B. Brand.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden:
- Vertragliche Festlegung von Art und Umfang sowie Zweck der beauftragten Verarbeitung personenbezogener Daten des Kunden.
- Benennung verantwortlicher Personen des Kunden, die in Bezug auf die vereinbarte Auftragsdatenverarbeitung gegenüber dem Auftragnehmer weisungsbefugt sind.
- Einbindung des bDSB des Auftragnehmers in die dafür relevanten betrieblichen Prozesse.
- Verpflichtung der Subdienstleister des Auftragnehmers zur Einhaltung der gesetzlichen Regelungen zum Datenschutz.