Kontakt
Beratung
Kontakt
Beratung
logotype
logotype

Allgemeine Geschäftsbedingungen (AGB) & Auftragsverarbeitungsvertrag (AVV)

Inhaltsverzeichnis

Unternehmens- und Kontaktinformationen

Allgemeine Geschäftsbedingungen (AGB) & Nutzungsbedingungen

§ 1 – Geltungsbereich
§ 2 – Vertragsgegenstand
§ 3 – Vertragsschluss
§ 4 – Leistungserbringung und Mitwirkungspflichten des AG
§ 5 – Drittprodukte, Gewährleistung und Beratung
§ 6 – Leistungsänderungen (Change Requests)
§ 7 – Abnahme und Dokumentenfreigabe
§ 8 – Urheberrechte und Nutzungsrechte
§ 9 – Preise, Vergütung und Zahlungsbedingungen
§ 10 – Haftung, Gewährleistung und Mängelrechte
§ 11 – Vertraulichkeit und Datenschutz
§ 12 – Vertragsdauer und Kündigung
§ 13 – Wartung, Support und Weiterentwicklung
§ 14 – Besondere Bestimmungen für SaaS-Lösungen und digitale Produkte
§ 15 – Marketing, Referenznutzung und Case Studies
§ 16 – Sonstige Bestimmungen, Streitbeilegung, Gerichtsstand und Nutzungseinschränkungen
§ 17 – Änderungen der AGB
§ 18 – Schulungen und Einweisungen
§ 19 – Begriffsdefinitionen

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

§ 1 – Gegenstand und Dauer der Verarbeitung
§ 2 – Art und Zweck der Verarbeitung
§ 3 – Art der verarbeiteten Daten
§ 4 – Kategorien betroffener Personen
§ 5 – Rechte und Pflichten des Verantwortlichen
§ 6 – Pflichten des Auftragsverarbeiters
§ 7 – Subunternehmer (Unterauftragsverarbeiter)
§ 8 – Dauer der Verarbeitung / Löschung
§ 9 – Unterstützung bei Betroffenenrechten
§ 10 – Technische und organisatorische Maßnahmen (TOMs)
§ 11 – Kontrollrechte
§ 12 – Vertragsstrafe bei Datenschutzverstoß durch den Verantwortlichen
§ 13 – Schlussbestimmungen

Technische und Organisatorische Maßnahmen (TOMs) gemäß Art. 28 DSGVO

1. Technische Maßnahmen
2. Organisatorische Maßnahmen
Begriffsdefinitionen

Unternehmens- und Kontaktinformationen:

Allgemeine Geschäftsbedingungen (AGB)

§ 1 – Geltungsbereich

1.1 Anwendungsbereich der AGB
Diese nachstehenden Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Geschäftsbeziehungen, Leistungen, Verträge und Angebote zwischen dem Auftragnehmer, wirautomatisieren e.U. (nachfolgend „AN“), und dessen Auftraggebern (nachfolgend „AG“) in der jeweils gültigen Fassung zum Zeitpunkt des Vertragsschlusses.

1.2 Vorrang abweichender Einzelregelungen
Soweit einzelvertragliche Regelungen bestehen, welche im Angebot oder Vertrag vermerkt sind und von den Bestimmungen dieser AGB abweichen oder ihnen widersprechen, gehen die einzelvertraglichen Regelungen vor.

1.3 Abwehrklausel gegen fremde AGB
Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des AG werden nicht Vertragsbestandteil, es sei denn, ihrer Geltung wird ausdrücklich schriftlich zugestimmt.

1.4 Einschränkung auf Unternehmer (§ 14 BGB)
Die Leistungen des AN richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB, also natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln. Verträge mit Verbrauchern im Sinne des § 13 BGB werden nicht geschlossen.

1.5 Vertragssprache und Auslegung
Die Vertragssprache ist Deutsch. Die Allgemeinen Geschäftsbedingungen des AN samt Anlagen werden nur in deutscher Sprache angeboten. Mögliche Übersetzungen der AGB dienen lediglich als Verständnishilfe. Bei Streit- bzw. Auslegungsfragen ist ausschließlich die deutsche Fassung der AGB heranzuziehen.

§ 2 – Vertragsgegenstand

2.1 Leistungsgegenstand des AN
Der AN erbringt Beratungs-, Entwicklungs- und Umsetzungsleistungen zur Digitalisierung und Automatisierung von Prozessen (Middleware, API-Integrationen, KI-Integration, iPaaS, Datenbank-Integration, Entwerfen von Datenbank-Modellen, Erstellen von Software, Bereitstellung von Hardware, Betrieb und Administration von EDV-Systemen, Hosting von Software- und Automatisierungslösungen, Bereitstellung von SaaS-Lösungen), welche vor Vertrags- bzw. Dienstleistungsbeginn im Angebot und der Projektbeschreibung definiert werden. Mündliche Nebenabreden sind unwirksam, sofern sie nicht schriftlich bestätigt wurden.

2.2 Technische Bereitstellung und Hosting
Die Bereitstellung der Software erfolgt über Server, die bei einem externen Hosting-Anbieter (z. B. Hetzner Online GmbH) angemietet werden. Der Anbieter ist berechtigt, zur Erfüllung seiner Leistungspflichten Dritte als Erfüllungsgehilfen einzusetzen. Die Auswahl und der Wechsel des Hosting-Anbieters bleiben dem Anbieter vorbehalten, sofern dem Kunden hierdurch keine unzumutbaren Nachteile entstehen.

§ 3 – Vertragsschluss

3.1 Zustandekommen des Vertrags
Der Vertrag kommt durch schriftliche Bestätigung eines Angebots des AN durch den AG oder durch beiderseitig unterzeichnete Verträge zustande.

3.2 Verbindlichkeit von Angeboten
Angebote des AN sind freibleibend und unverbindlich, sofern sie nicht ausdrücklich als verbindlich gekennzeichnet sind.

3.3 Vertragsschluss per Fernkommunikation
Ein Vertrag kann auch durch elektronische Kommunikation, insbesondere durch Bestätigung per E-Mail, durch das Anklicken einer Schaltfläche auf der Website des AN (z. B. „Jetzt kaufen“) oder durch digitale Unterschrift zustande kommen, sofern sich daraus die Annahme eines konkreten Angebots ergibt.

§ 4 – Leistungserbringung und Mitwirkungspflichten des AG

4.1 Leistungserbringung durch den AN
Der AN erbringt seine Leistungen gemäß den Grundsätzen ordnungsgemäßer Berufsausübung und auf Basis der zum Zeitpunkt der Leistungserbringung geltenden Standards. Die konkreten Leistungen ergeben sich aus dem Angebot, der Projektbeschreibung oder einem gesonderten Vertrag.

4.2 Projektzeitplan und Meilensteine
Der AN informiert den AG über vereinbarte Meilensteine und den Endtermin. Zeitpläne und Liefertermine werden im Angebot oder in der Projektbeschreibung dokumentiert und gelten mit Vertragsannahme als verbindlich.

4.3 Informationsaustausch zwischen den Parteien
Beide Parteien verpflichten sich, zur reibungslosen Projektabwicklung Informationen und Unterlagen zeitnah auszutauschen und etwaige Probleme offen zu kommunizieren.

4.4 Leistungsentfall bei technischen oder rechtlichen Hindernissen
Ist die vertraglich vereinbarte Leistungserbringung infolge technischer oder rechtlicher Änderungen (z. B. API-Verlust, Funktionsänderungen durch Drittanbieter) nicht möglich, entfällt die Leistungspflicht des AN. Aufwände des AN sind dennoch zu vergüten.

4.5 Einsatz von Subunternehmern
Der AN ist berechtigt, zur Vertragserfüllung Subunternehmer einzusetzen. Der AN bleibt dabei alleiniger Vertragspartner des AG und gewährleistet die Einhaltung datenschutzrechtlicher und vertraglicher Vorgaben durch die beauftragten Dritten.

4.6 Mitwirkungspflichten des AG
Der AG verpflichtet sich, den AN bei der vertragsgemäßen Leistungserbringung angemessen und fristgerecht zu unterstützen. Hierzu gehört insbesondere:
– die rechtzeitige Bereitstellung aller für die Leistung erforderlichen Informationen, Inhalte, Zugänge und technischen Voraussetzungen,
– die termingerechte Erfüllung der in der Projektbeschreibung oder im Angebot definierten Mitwirkungspflichten,
– die Bereitstellung geeigneter Ansprechpartner sowie einer funktionierenden Infrastruktur.

Kommt der AG seinen Mitwirkungspflichten nicht, verspätet oder unvollständig nach, und kann der AN dadurch vereinbarte Termine nicht einhalten, verlieren diese Termine ihre Verbindlichkeit, bis eine neue Abstimmung erfolgt.

Der AG hat dem AN nachweislich entstandene Mehraufwände zu erstatten, die infolge einer unzureichenden Mitwirkung entstehen. Der AN wird dem AG in diesem Fall eine angemessene Frist zur Nachholung der Mitwirkung setzen und darauf hinweisen, dass bei erneutem Verstreichen der Frist weitere Verzögerungen oder Mehrkosten entstehen können.

Verstreicht auch diese Nachfrist ohne vollständige Mitwirkung, ist der AN berechtigt:
– die Leistung bis zur vollständigen Mitwirkung auszusetzen,
– eine Anpassung des Zeitplans oder der Vergütung zu verlangen oder
– den Vertrag nach vorheriger schriftlicher Abmahnung und Setzung einer angemessenen Frist aus wichtigem Grund gemäß § 314 BGB zu kündigen.

Die Geltendmachung weiterer gesetzlicher oder vertraglicher Rechte bleibt hiervon unberührt.

4.7 Notfallmaßnahmen bei Nichterreichbarkeit des AG
Ist der AG kurzfristig nicht erreichbar, darf der AN notwendige Maßnahmen zur Zielerreichung eigenständig umsetzen, sofern diese zur Sicherung des Projekterfolgs erforderlich sind. Der AN informiert den AG unverzüglich im Nachgang.

4.8 Technische Voraussetzungen durch den AG
Der AG ist verpflichtet, die für die Erbringung der Leistungen erforderlichen technischen Voraussetzungen (z. B. aktuelle Browser, Betriebssysteme, API-Zugänge, Internetverbindung) bereitzustellen. Entsprechende Anforderungen werden vor Projektbeginn abgestimmt. Verzögerungen oder Mehraufwand durch fehlende Voraussetzungen sind vom AG zu vertreten.

4.9 Verfügbarkeit und Leistungsverzögerungen
Der AN verpflichtet sich, die vereinbarten Leistungen innerhalb der üblichen Geschäftszeiten (werktags von 9:00 bis 18:00 Uhr) mit fachlicher Sorgfalt zu erbringen. Bei nicht planbaren technischen Problemen, kurzfristiger Nichtverfügbarkeit von Personal oder externen Abhängigkeiten wird der AG zeitnah informiert. Eine durchgängige Verfügbarkeit kann im Rahmen projektbasierter Dienstleistungen nicht garantiert werden.

Unvorhersehbare Verzögerungen infolge höherer Gewalt, Ausfällen bei Subunternehmern oder Drittanbietern oder fehlender Mitwirkung des AG führen nicht zu einem Verzug des AN.

§ 5 – Drittprodukte, Gewährleistung und Beratung

5.1 Beschaffung von Drittprodukten durch den AG
Sofern der AG im Rahmen des Projekts Hardware, Software oder sonstige Drittprodukte benötigt, erfolgt die Beschaffung – sofern nicht anders vereinbart – durch den AG selbst auf eigene Verantwortung und Kosten.

5.2 Verantwortung und Haftung für Drittprodukte
Für Funktionalität, Sicherheit oder Rechtskonformität von Drittprodukten übernimmt der AN keine Haftung, es sei denn, er hat sie fahrlässig fehlerhaft ausgewählt. Lizenzbedingungen Dritter sind vom AG einzuhalten.

5.3 Beratungsleistungen und Verantwortung des AG
Beratungsleistungen des AN sind auf die fachgerechte Durchführung gerichtet; ein konkreter wirtschaftlicher Erfolg wird nicht geschuldet. Der AG ist für die rechtliche Prüfung und Umsetzung automatisierter Prozesse selbst verantwortlich.

§ 6 – Leistungsänderungen (Change Requests)

6.1 Verfahren zur Beantragung von Änderungen
Jeder der Vertragspartner kann beim anderen Vertragspartner in schriftlicher Form Änderungen des vereinbarten Leistungsumfangs beantragen.

Nach Erhalt eines Änderungsantrags wird der Empfänger prüfen, ob und zu welchen Bedingungen die Änderung durchführbar ist, und dem Antragsteller die Zustimmung bzw. Ablehnung unverzüglich schriftlich mitteilen und gegebenenfalls begründen.

Erfordert ein Änderungsantrag des AG eine umfangreiche Überprüfung, kann der Überprüfungsaufwand hierfür vom AN bei vorheriger Ankündigung berechnet werden, sofern der AG dennoch auf der Überprüfung des Änderungsantrages besteht.

Gegebenenfalls werden die für eine Überprüfung und/oder eine Änderung erforderlichen vertraglichen Anpassungen der vereinbarten Bedingungen und Leistungen in einer Änderungsvereinbarung schriftlich festgelegt und kommen entsprechend diesen AGB zustande.

6.2 Durchführung nur bei schriftlicher Bestätigung
Ohne schriftliche Bestätigung der Leistungsänderung ist der AN nicht zur Durchführung verpflichtet.

§ 7 – Abnahme und Dokumentenfreigabe

7.1 Abnahmebereitschaft und Abnahmefiktion
Nach Fertigstellung der vereinbarten Leistungen teilt der AN dem AG die Abnahmebereitschaft schriftlich mit. Der AG ist verpflichtet, die Leistungen innerhalb von zehn Werktagen ab Zugang der Mitteilung zu prüfen und entweder schriftlich die Abnahme zu erklären oder bestehende wesentliche Mängel schriftlich zu rügen.

Erfolgt innerhalb dieser Frist keine Erklärung oder wesentliche Mängelrüge, gilt die Leistung als abgenommen, sofern der AN den AG in der Abnahmeaufforderung ausdrücklich auf diese Frist sowie die Rechtsfolgen des Fristablaufs hingewiesen hat.

Die Abnahmefiktion tritt nicht ein, wenn die Leistung mit einem wesentlichen Mangel behaftet ist, der die Abnahme objektiv hindert.

Die Abnahme gilt ebenfalls als erfolgt, wenn der AG die Leistung produktiv nutzt oder in Betrieb nimmt.

7.2 Produktive Nutzung als konkludente Abnahme
Mit produktiver Nutzung oder Live-Schaltung der Lösung durch den AG gilt die Abnahme ebenfalls als erfolgt.

7.3 Nicht abnahmefähige Leistungen
Schulungs-, Beratungs-, Unterstützungs-, Service- und Wartungsleistungen sind nicht abnahmefähig. Sie gelten mit Durchführung als erbracht.

7.4 Abnahme von Dokumenten

7.4.1 Übergabe und Überprüfung
Der AN übergibt dem AG projektbezogene Dokumente wie Konzepte, Projektbeschreibungen und Strategiepapiere zur Überprüfung der Vertragsgemäßheit.

7.4.2 Rückmeldung durch den AG
Der AG hat innerhalb von zehn Werktagen nach Übergabe Gelegenheit, dem AN etwaigen Verbesserungsbedarf mitzuteilen.

7.4.3 Umsetzung berechtigter Änderungen
Der AN wird berechtigte Änderungsvorschläge innerhalb einer angemessenen Frist von mindestens zehn Werktagen umsetzen.
Nach Umsetzung der Änderungen gelten die überarbeiteten Dokumente mit ihrer Übergabe als vertragsgemäß erstellt.

§ 8 – Urheberrechte und Nutzungsrechte

8.1 Urheberrechte und eingeräumte Nutzungsrechte
Die Urheberrechte an vom AN selbst entwickelter Software, Middleware, API-Integrationen, Prozessautomatisierungen, Quellcodes, Zeichnungen und Prozessketten verbleiben ausschließlich beim AN – es sei denn, der Quellcode wird im Angebot ausdrücklich als Verkaufsgegenstand ausgewiesen.

Der AG erhält an den vom AN im Rahmen der vertraglichen Leistungspflichten erstellten Arbeitsergebnissen ein einfaches, nicht übertragbares, unwiderrufliches und unbefristetes Nutzungsrecht. Dies gilt auch ohne Herausgabe des Quellcodes, ausgenommen sind Bestandteile, die unter einer Open-Source-Lizenz stehen.

Alle darüber hinausgehenden Rechte, insbesondere Urheberrechte, gewerbliche Schutzrechte oder sonstige Verwertungsrechte, verbleiben ausschließlich beim AN.

8.2 Umfang, Grenzen und Kontrolle der Nutzung
Die Nutzung der Vertragssoftware ist auf den vertraglich vereinbarten Umfang beschränkt. Nutzt der AG die Software darüber hinaus – sei es qualitativ oder quantitativ – ist er verpflichtet, umgehend die hierfür erforderlichen zusätzlichen Nutzungsrechte beim AN zu erwerben.

Eine Weitergabe oder Übertragung der eingeräumten Nutzungsrechte an Dritte bedarf der vorherigen schriftlichen Zustimmung des AN.
Der AN hat einen Auskunftsanspruch über Art und Umfang der Nutzung der vertragsgegenständlichen Software.

Die Nutzung der Software ist auf die im Angebot vereinbarte Anzahl an Nutzern beschränkt („Named-User“-Modell). Eine parallele Nutzung durch mehr Nutzer als vereinbart ist unzulässig und verpflichtet zur Nachlizenzierung.

Die Nutzung der Software zur Verarbeitung von Daten im Auftrag Dritter (z. B. bei Agenturen oder IT-Dienstleistern) ist nur im Rahmen der vereinbarten Lizenzen zulässig. Eine Multi-Mandanten-Nutzung ist gesondert zu vereinbaren.

8.3 Kombination mit Hardware
Wird die Vertragssoftware gemeinsam mit einer Hardware des AN geliefert, darf diese Software ausschließlich im Zusammenhang mit der mitgelieferten Hardware eingesetzt werden.

8.4 Technische Schutzmaßnahmen, Sandbox-Nutzung, Dekompilierung
Der AG ist nur dann berechtigt, die Vertragssoftware gemäß § 69e UrhG zu dekompilieren, zu vervielfältigen, zu verändern oder zu erweitern, wenn dies zur Herstellung der Interoperabilität mit anderen Programmen notwendig ist und der AN dem AG die hierfür erforderlichen Informationen trotz Aufforderung nicht innerhalb angemessener Frist bereitstellt.

Der AN ist berechtigt, technische Schutzmaßnahmen (z. B. Lizenzprüfungen, Token-Limits, IP-Restriktionen) einzusetzen, um die vertraglich vereinbarte Nutzung sicherzustellen.

In Testphasen oder Sandbox-Umgebungen darf die Software ausschließlich zu Evaluierungszwecken verwendet werden. Eine produktive Nutzung oder Weitergabe der Ergebnisse ist in dieser Phase untersagt.

8.5 Nutzung von Fremdsoftware und externen Diensten
Soweit der AN im Rahmen seiner Leistungen Fremdsoftware liefert, ist der AG verpflichtet, sich eigenverantwortlich über die Lizenzbedingungen des jeweiligen Herstellers zu informieren, diese einzuhalten und alle datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten zu beachten.

Werden im Rahmen der Dienstleistung externe Dienste (z. B. Server, Hosting) eingesetzt, gelten ausschließlich die Nutzungsbedingungen der jeweiligen Dienstleister. Diese sind vom AG im Voraus zu akzeptieren. Der AN tritt hierbei lediglich als Erfüllungsgehilfe auf.

8.6 Prozesse und strategisches Know-how
Das geistige Eigentum an den durch den AN entwickelten Prozessen, Digitalisierungs- und Automatisierungsstrategien verbleibt beim AN.
Der AG darf Anpassungen, den Weiterverkauf oder die Offenlegung solcher Prozesse und Strategien gegenüber Dritten nur mit ausdrücklicher Zustimmung des AN vornehmen.
Der Erwerb des Eigentums an diesen Prozessen und Strategien durch den AG ist gegen ein individuell zu verhandelndes Entgelt möglich.
Der AN behält sich vor, Quellcodes, Prozesse und automatisierte Abläufe an Drittunternehmen zu veräußern.

8.7 Open-Source-Komponenten
Sofern in der Vertragssoftware Komponenten enthalten sind, die unter Open-Source-Lizenzen stehen, gelten für diese ausschließlich die Lizenzbedingungen der jeweiligen Rechteinhaber. Der AN stellt dem AG auf Wunsch eine Übersicht der verwendeten Open-Source-Komponenten zur Verfügung.

8.8 Geheimhaltung von Zugangsdaten
Der AG verpflichtet sich, Zugangsdaten geheim zu halten und nur autorisierten Nutzern zugänglich zu machen. Eine Weitergabe an Dritte oder gemeinschaftliche Nutzung von Accounts ist nur mit ausdrücklicher Zustimmung des AN zulässig.

§ 9 – Preise, Vergütung und Zahlungsbedingungen

9.1 Preisgrundlagen und Umsatzsteuer
Es gelten die im jeweiligen Angebot angegebenen Preise, die sich aus dem vereinbarten Projektumfang ergeben.
Die Preise verstehen sich gemäß § 19 UStG (Kleinunternehmerregelung) ohne Ausweis der Mehrwertsteuer.

9.2 Zahlungsmodalitäten und Fälligkeit

Die Zahlung erfolgt per Überweisung unter Angabe der Rechnungs- oder Angebotsnummer, wie im Angebot angegeben.

Sofern im Angebot nicht anders geregelt, erfolgt die Zahlung in zwei Raten:
– 50 % zum Projektbeginn,
– 50 % vor dem Live-Gang bzw. nach erfolgreichem Test der Automatisierungslösung durch den Kunden.

Erfolgt keine Zahlung nach erfolgreicher Testphase, wird die Lösung nicht in den Live-Betrieb überführt.

Rechnungen sind innerhalb von zehn Kalendertagen ab Rechnungsdatum zu begleichen.

Skonto wird nicht gewährt. Vom AG abgezogene Skontobeträge werden nachbelastet. Weitere Zahlungsarten, insbesondere Barzahlung, Schecks, Sachgüter, Guthaben oder die Abtretung von Forderungen an Dritte, werden nicht akzeptiert, es sei denn, sie wurden schriftlich vereinbart.

9.3 Zahlungsverzug und Leistungsstopp
Gerät der AG mit einer Zahlung in Verzug, ist der AN berechtigt, Verzugszinsen in gesetzlicher Höhe (§ 288 BGB) zu berechnen.

Der AN ist ferner berechtigt, bei Zahlungsverzug die weitere Leistungserbringung bis zum vollständigen Zahlungsausgleich auszusetzen. Dies gilt insbesondere für:
– Projektfortschritte,
– Teststellungen,
– Liveschaltungen sowie
– Supportleistungen.

Weitere Rechte, insbesondere auf Schadensersatz oder Vertragskündigung, bleiben unberührt.

9.4 Schätzpreise und Leistungsumfang auf Zeit- und Materialbasis
Preisangaben auf Zeit- und Materialbasis, insbesondere im Rahmen von Kostenvoranschlägen, gelten als unverbindliche Schätzpreise.
Den Schätzungen liegen nach bestem Wissen ermittelte Annahmen über den voraussichtlichen Leistungsumfang zugrunde.

9.5 Erstattung von Reisekosten
Reisekosten sind vom AG zu erstatten, wenn der AN oder dessen Subunternehmer auf Wunsch oder mit Zustimmung des AG Dienstreisen durchführen.

Zu den erstattungsfähigen Reisekosten gehören insbesondere:
– Fahrtkosten (pauschal 0,50 € pro gefahrenem Kilometer),
– Unterbringungskosten,
– Parkgebühren,
– gesetzliche Verpflegungspauschalen.

Die genannten Preise und Erstattungsansprüche gelten ab Geschäftssitz des AN in 34466 Wolfhagen.

9.6 Kostenerhöhung während der Auftragsdurchführung
Sollte der AN während der Ausführung des Auftrags feststellen, dass die veranschlagten Kosten voraussichtlich um mehr als 20 % steigen, wird er die Arbeiten unverzüglich einstellen und den AG darüber informieren.

Gleichzeitig erhält der AG eine aktualisierte Kostenschätzung für den zu erwartenden Mehraufwand. Der AG entscheidet daraufhin, ob der Auftrag kostenpflichtig abgebrochen oder fortgesetzt wird.

Bei einem Abbruch sind die bis dahin erbrachten Leistungen und Lieferungen zu vergüten. Sämtliche bis zu diesem Zeitpunkt erstellten Arbeitsergebnisse werden dem Kunden übergeben.

§ 10 – Haftung, Gewährleistung und Mängelrechte

10.1 Der AN haftet unbeschränkt
– bei Vorsatz oder grober Fahrlässigkeit,
– bei schuldhafter Verletzung von Leben, Körper oder Gesundheit sowie
– nach den Vorschriften des Produkthaftungsgesetzes.

Für diese Fälle gelten die gesetzlichen Verjährungsfristen.

Bei einfacher Fahrlässigkeit ist die Haftung des AN – gleich aus welchem Rechtsgrund – auf die im Angebot vereinbarte Haftungssumme begrenzt.

Eine Haftung für indirekte oder Folgeschäden (z. B. entgangener Gewinn, Produktions- bzw. Betriebsunterbrechungen, ausgebliebene Einsparungen) ist ausgeschlossen, sofern nicht Ziffer 10.1 Anwendung findet.

10.2 Haftungsausschlüsse

10.2.1 Drittdienstleister und höhere Gewalt
Der AN haftet nicht für Verzögerungen oder Leistungsausfälle, die auf Ursachen außerhalb seines Einflussbereichs zurückzuführen sind. Dazu zählen insbesondere:
– Ausfälle, Verzögerungen oder technische Einschränkungen bei Drittdienstleistern (z. B. Hosting-Anbieter, API-Betreiber, Cloud-Dienste),
– höhere Gewalt (z. B. Naturkatastrophen, behördliche Anordnungen, Energieausfälle, Cyberangriffe).

Eine Haftung besteht jedoch, sofern der AN schuldhaft seine Sorgfaltspflichten bei Auswahl oder Überwachung dieser Drittanbieter verletzt hat (sog. Auswahlverschulden).

10.2.2 Einschränkungen durch Drittsoftware und APIs
Sollte eine Drittsoftware, API oder ein Drittdienst die vom AG beabsichtigten Funktionen nicht bereitstellen oder technische Änderungen ohne Einfluss des AN vornehmen, entsteht daraus keine Pflicht des AN zur Leistungserbringung, soweit die Leistung dadurch unmöglich oder unzumutbar wird.

Der AN verpflichtet sich jedoch, den AG bei auftretenden Einschränkungen unverzüglich zu informieren und zumutbare Alternativlösungen zu prüfen.

10.2.3 Verzögerungen durch Mitwirkungsverzug des AG
Verzögerungen, die auf fehlende oder verspätete Mitwirkung des AG zurückzuführen sind (z. B. unvollständige Informationen, nicht bereitgestellte Zugänge), begründen keine Verzugs- oder Schadensersatzansprüche gegen den AN.

10.2.4 Beratungs- und Automatisierungsleistungen
Für die rechtliche Zulässigkeit und Konformität automatisierter Prozesse oder Beratungsergebnisse trägt der AG die alleinige Verantwortung. Der AN haftet nicht für mittelbare Schäden oder Rechtsfolgen, sofern er die Leistungen nach bestem Wissen und auf Grundlage der bereitgestellten Informationen erbracht hat, soweit rechtlich zulässig.

10.3 Verjährung von Ansprüchen

10.3.1 Schadens- und Aufwendungsersatz
Ansprüche auf Schadens- oder Aufwendungsersatz – gleich aus welchem Rechtsgrund – verjähren ein Jahr nach
– Erbringung der letzten Dienstleistung oder
– Abnahme der Leistung,
je nachdem, welches Ereignis später eintritt.

10.3.2 Mängelansprüche
Ansprüche wegen Sach- oder Rechtsmängeln verjähren ebenfalls zwölf Monate nach Ablieferung bzw. Abnahme, sofern nicht Ziffer 10.1 Anwendung findet.

10.4 Rechte bei Mängeln

10.4.1 Nacherfüllung
Liegt ein Mangel vor, wird der AN nach eigener Wahl nachbessern oder neu liefern.

10.4.2 Fehlschlag der Nacherfüllung
Schlägt die Mängelbeseitigung nach zwei angemessenen Fristen fehl, kann der AG
– den Preis für den mangelhaften Teil mindern oder
– bei wesentlicher Abweichung von der vereinbarten Beschaffenheit – nach vorheriger schriftlicher Androhung – vom Vertrag zurücktreten.

Weitere Ansprüche sind ausgeschlossen.

10.4.3 Obliegenheiten des AG
– Mängel sind unverzüglich schriftlich unter genauer Beschreibung geltend zu machen.
– Der AG unterstützt den AN zumutbar bei der Mängelbeseitigung.
– Stellt sich heraus, dass kein Mängelanspruch besteht, kann der AN den entstandenen Aufwand nach Zeit- und Materialaufwand zu den vereinbarten Preisen berechnen.

Die vorstehenden Haftungsregelungen gelten für alle Schadens- und Aufwendungsersatzansprüche – einschließlich vor-, neben- und nachvertraglicher Pflichten – gleich welcher Rechtsgrundlage.

§ 11 – Vertraulichkeit und Datenschutz

11.1 Vertraulichkeitspflicht

11.1.1 Vertrauliche Informationen
Die Parteien verpflichten sich, alle im Rahmen der Vertragsdurchführung erlangten Geschäfts- und Betriebsgeheimnisse sowie alle ausdrücklich als vertraulich gekennzeichneten Informationen streng vertraulich zu behandeln. Eine Weitergabe an Dritte ist unzulässig.

11.1.2 Ausnahmen
Keine Dritten im Sinne dieser Regelung sind:
– der AN selbst,
– dessen Subunternehmer,
– sowie Berater beider Parteien,
sofern diese zur beruflichen Verschwiegenheit verpflichtet sind.

11.2 Datenschutzrechtliche Verpflichtungen

11.2.1 Einhaltung gesetzlicher Vorschriften
Beide Parteien verpflichten sich zur Einhaltung der jeweils für sie geltenden datenschutzrechtlichen Vorschriften.

11.2.2 Verpflichtung von Erfüllungspersonen
Es dürfen nur solche Personen mit der Leistungserbringung betraut werden, die gemäß anwendbarem Datenschutzrecht ausdrücklich auf Vertraulichkeit bzw. das Datengeheimnis verpflichtet worden sind.

11.2.3 Verarbeitung von Kundendaten
Der AG erklärt sich damit einverstanden, dass der AN die zur Vertrags- und Geschäftsabwicklung erforderlichen Daten unter Beachtung der gesetzlichen Datenschutzbestimmungen verarbeitet.

11.3 Regelungen zur Auftragsverarbeitung

11.3.1 Datenschutzerklärung und AVV
Die Verarbeitung personenbezogener Daten wird ergänzend in der Datenschutzerklärung und im Auftragsverarbeitungsvertrag (AVV) geregelt. Der AVV ist damit integraler Bestandteil dieser AGB.

11.4 Einwilligung zur Referenznennung und Widerruf
Der AG erklärt sich mit der Verwendung seines Firmennamens und Logos zu Referenzzwecken durch den AN einverstanden. Dies umfasst insbesondere die Darstellung auf der Webseite, in Präsentationen oder in Marketingunterlagen.

Die Einwilligung zur Referenznennung kann jederzeit mit Wirkung für die Zukunft formlos widerrufen werden, z. B. per E-Mail an info@wirautomatisieren.de.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Im Fall des Widerrufs werden die betreffenden Inhalte unverzüglich entfernt.

11.5 Datensicherungspflichten des AG
Der AG ist verpflichtet, regelmäßig eigene Sicherungskopien seiner Daten anzufertigen, insbesondere vor Implementierung oder Änderung von Softwarelösungen. Der AN haftet nicht für Datenverluste, die auf unterlassene oder unzureichende Datensicherung durch den AG zurückzuführen sind, es sei denn, der AN hat diese vorsätzlich oder grob fahrlässig verursacht.

11.6 Einsatz von Dienstleistern außerhalb der EU
Der AN nutzt im Rahmen seiner Leistungen auch IT-Dienstleister und Tools mit Sitz oder Serverstandorten außerhalb der Europäischen Union. Die Auswahl erfolgt unter Berücksichtigung geltender Datenschutzvorgaben, insbesondere der DSGVO.

Soweit eine Übermittlung personenbezogener Daten in Drittländer erfolgt, stellt der AN sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen – insbesondere durch den Abschluss von EU-Standardvertragsklauseln oder den Einsatz von Anbietern mit einem vergleichbaren Datenschutzniveau.

Der AG erklärt sich mit der Nutzung solcher Tools einverstanden, sofern diese für die Vertragserfüllung erforderlich sind.

§ 12 – Vertragsdauer und Kündigung

12.1 Beginn und Laufzeit des Vertrags
Der Vertrag beginnt mit Vertragsschluss gemäß § 3 dieser AGB.
Er endet mit Abschluss des Projekts oder zu einem ausdrücklich vereinbarten Zeitpunkt, sofern keine fortlaufenden Wartungs- oder Supportleistungen vereinbart wurden.
Sind Wartungs- oder Supportleistungen Bestandteil des Angebots, verlängert sich die Vertragslaufzeit entsprechend und läuft auf unbestimmte Zeit weiter, soweit im Angebot keine abweichende Regelung getroffen wurde.

12.2 Kündigung

12.2.1 Ordentliche Kündigung
– Der Vertrag kann von beiden Parteien mit einer Frist von vier Wochen ordentlich gekündigt werden.
– Dies gilt auch für Wartungs- und Supportvereinbarungen, sofern nichts Abweichendes im Angebot geregelt ist.

12.2.2 Außerordentliche Kündigung gemäß § 314 BGB
Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
Ein wichtiger Grund liegt insbesondere vor, wenn:
– sich die Vermögenslage einer Partei erheblich verschlechtert oder
– eine Partei ihre Zahlungsverpflichtungen mehrfach hintereinander nicht erfüllt.

12.3 Leistungserbringung bis Vertragsende
Alle bis zum Vertragsende vom AN erbrachten Dienstleistungen werden – sofern technisch möglich – dem AG in geeigneter Form übergeben.

12.4 Aufrechnung
Der AG ist nur berechtigt, gegenüber Forderungen des AN mit rechtskräftig festgestellten oder unbestrittenen Gegenforderungen aufzurechnen.

§ 13 – Wartung, Support und Weiterentwicklung

13.1 Vertragsgrundlage
Wartungs-, Support- und Weiterentwicklungsleistungen sind nur dann Bestandteil des Vertragsverhältnisses, wenn sie im Angebot, in der Projektbeschreibung oder in einem separaten Vertrag ausdrücklich vereinbart wurden.

Liegt eine solche Vereinbarung nicht vor, besteht keine Verpflichtung des AN zur Erbringung dieser Leistungen.

13.2 Support- und Reaktionszeiten
Sofern nichts anderes vereinbart ist, bestehen keine garantierten Support- oder Reaktionszeiten.
Verbindliche Zeiten ergeben sich ausschließlich aus dem jeweiligen Angebot, der Projektbeschreibung oder einem separaten Supportvertrag.

13.3 Abrechnung individueller Leistungen
Support- und Wartungsanfragen, die außerhalb eines vertraglich geregelten Leistungsumfangs gestellt werden, gelten als individuelle Serviceleistungen und werden stundenbasiert abgerechnet.
Die Höhe des Stundensatzes richtet sich nach dem vereinbarten Dringlichkeitsgrad und der gewünschten Reaktionszeit.

13.4 Weiterentwicklungen
Leistungen zur Weiterentwicklung von Software, Prozessen oder Automatisierungslösungen sind ausschließlich dann Vertragsbestandteil, wenn sie ausdrücklich im Angebot, der Projektbeschreibung oder einem separaten Vertrag festgelegt wurden.
Ohne ausdrückliche Vereinbarung besteht keine Verpflichtung zur Umsetzung von Weiterentwicklungen.

13.5 Ticket-System und automatisierte Prozesssteuerung
Die Parteien vereinbaren, dass zur Abwicklung von Supportfällen und zur Durchführung von Wartungsmaßnahmen vorrangig ein Ticket-System genutzt wird.
Tickets sind in einem definierten Format zu erstellen. Sind Tickets unvollständig oder unzureichend nachvollziehbar, behält sich der AN vor, den zusätzlich erforderlichen Aufwand in Rechnung zu stellen.

Zur Fehlerbehebung oder zur Steuerung automatisierter Abläufe dürfen im Rahmen dieses Systems auch Prozesse mit externen Schnittstellen überwacht und – falls erforderlich – aktiviert oder deaktiviert werden.
Details zur technischen Umsetzung sowie zu Ticketinhalten ergeben sich aus dem jeweiligen Angebot oder der Projektbeschreibung.

§ 14 – Besondere Bestimmungen für SaaS-Lösungen und digitale Produkte

Dieser Abschnitt gilt für alle vom AN angebotenen digitalen Produkte und Software-as-a-Service (SaaS)-Lösungen, insbesondere für das Produkt „IQMail“ – ein intelligentes Postfach zur Optimierung des E-Mail-Eingangs auf Basis von Automatisierungsregeln und künstlicher Intelligenz (KI).

14.1 Testphase, Vertragsabschluss und Nutzung
Der Kunde kann das Produkt über die Schaltfläche „Jetzt testen“ auf der Website des AN für eine 14-tägige Testphase nutzen. Vor Aktivierung muss er die AGB durch Setzen eines Häkchens akzeptieren.

Während der Testphase erhält der Kunde per E-Mail eine Zahlungsaufforderung mit allen erforderlichen Zahlungsinformationen.

Ein verbindlicher Vertrag über das kostenpflichtige Abonnement kommt nur zustande, wenn der Kunde innerhalb dieser Testphase die Zahlung leistet.
Ohne Zahlung endet der Zugang automatisch mit Ablauf der Testphase. Erfolgt die Zahlung nachträglich, kann der Account innerhalb von vier Wochen reaktiviert werden; danach werden alle Daten und Konfigurationen unwiderruflich gelöscht.

Der Zugang zum Produkt wird unmittelbar nach Aktivierung bereitgestellt. Der Kunde erhält ein persönliches Benutzerkonto mit Login-Daten. Die AGB sind jederzeit auf der Website des AN einsehbar.

14.2 Abonnement, Preise und Kündigung
Das Produkt wird als Jahresabonnement mit einer Laufzeit von 12 Monaten angeboten.
Die Preise verstehen sich netto gemäß § 19 UStG (Kleinunternehmerregelung) und sind per Überweisung zu zahlen.

Das Abonnement kann bis vier Wochen vor Quartalsende schriftlich gekündigt werden. Erfolgt keine Kündigung, verlängert sich das Abonnement automatisch um weitere 12 Monate. Die neue Rechnung wird per E-Mail übermittelt und ist innerhalb von zehn Tagen zu begleichen.

Ein bei Kündigung bestehender Restbetrag wird nicht zurückerstattet. Dies gilt auch bei vorzeitiger Einstellung der Nutzung durch den Kunden.

14.3 Nutzungsrechte
Der Kunde erhält für die Dauer des Abonnements ein nicht ausschließliches, nicht übertragbares Nutzungsrecht an der jeweiligen SaaS-Lösung.

Mit Vertragsende erlischt das Nutzungsrecht automatisch. Eine Weitergabe des Zugangs oder der Inhalte an Dritte ist nicht gestattet.

14.4 Support, Wartung und Weiterentwicklung
Supportanfragen können per E-Mail oder telefonisch gestellt werden und werden während der Geschäftszeiten von 09:00 bis 18:00 Uhr bearbeitet.

Die maximale Reaktionszeit beträgt 24 Stunden, die maximale Wiederherstellungszeit sieben Kalendertage.

Der AN entwickelt das Produkt fortlaufend weiter, führt regelmäßig Wartungsarbeiten durch und passt es an aktuelle Sicherheitsstandards an. Die Weiterentwicklung orientiert sich an den Anforderungen und der Anzahl aktiver Nutzer. Der Kunde hat keinen Anspruch auf Beibehaltung bestimmter Funktionen, sofern die vereinbarte Kernfunktionalität erhalten bleibt.

14.5 Künstliche Intelligenz und Nutzungskontingente
IQMail nutzt moderne KI-Systeme, insbesondere Mistral AI.
Bei der Verarbeitung durch KI kann nicht ausgeschlossen werden, dass personenbezogene Inhalte wie z. B. Namen, E-Mail-Inhalte oder sonstige Daten an externe KI-Modelle übermittelt werden.

Der Kunde ist dafür verantwortlich, sicherzustellen, dass eine solche Verarbeitung zulässig ist und den gesetzlichen Anforderungen – insbesondere der DSGVO – entspricht.

Je Nutzerkonto sind 10 Millionen Tokens pro Monat für KI-Funktionen enthalten. Bei Überschreitung kann der AN die Nutzung einschränken oder ein Upgrade-Paket anbieten. Es besteht kein Anspruch auf fehlerfreie KI-Ergebnisse. Eine Haftung für inhaltliche Fehler durch KI-generierte Antworten ist ausgeschlossen.

14.6 Verfügbarkeit und Wartungsfenster
Der AN gewährleistet eine durchschnittliche Verfügbarkeit von mindestens 98 % im Jahresmittel, ausgenommen angekündigte Wartungsfenster, höhere Gewalt oder externe Störungen. Geplante Wartungsarbeiten werden – soweit möglich – mindestens 24 Stunden im Voraus angekündigt.

14.7 Exportkontrolle und rechtliche Nutzung
Der Kunde verpflichtet sich, das Produkt nur im Einklang mit geltendem deutschen, europäischen und internationalen Exportkontrollrecht zu nutzen. Die Nutzung in verbotenen Regionen oder für rechtswidrige Zwecke ist untersagt.

14.8 Datenexport bei Vertragsende
Nach Vertragsende hat der Kunde das Recht, innerhalb von 30 Tagen die Herausgabe seiner gespeicherten Daten in einem gängigen maschinenlesbaren Format (z. B. CSV oder JSON) zu verlangen. Erfolgt keine Anforderung innerhalb dieser Frist, behält sich der AN das Recht vor, die Daten dauerhaft zu löschen.
Der Kunde ist für die rechtmäßige Speicherung, Nutzung und Löschung personenbezogener Daten innerhalb der Software selbst verantwortlich. Eine Archivierungsfunktion wird nur bereitgestellt, wenn dies ausdrücklich vereinbart ist.

§ 15 – Marketing, Referenznutzung und Case Studies

15.1 Nutzung zu Marketing- und Referenzzwecken
Nach erfolgreichem Abschluss eines Projekts ist der AN berechtigt, den AG als Referenzkunden zu benennen. Dies kann durch Nennung des Unternehmensnamens, Logos, des Tätigkeitsbereichs sowie einer kurzen Projektbeschreibung erfolgen.

15.2 Mitwirkung an Case Studies
Der AG erklärt sich grundsätzlich bereit, auf individuelle Anfrage bei der Erstellung von Case Studies mitzuwirken. Diese Einwilligung ist freiwillig und kann jederzeit abgelehnt oder widerrufen werden.

15.3 Veröffentlichungen auf digitalen Kanälen
Die Nutzung des Logos und der Projektbeschreibung kann insbesondere auf folgenden Kanälen erfolgen:
– Webseite des AN,
– Social-Media-Auftritte (z. B. LinkedIn),
– Präsentationen bei Veranstaltungen oder Pitches.

15.4 Widerruf und Einschränkungen
Der AG kann die Nutzung seiner Referenz jederzeit einschränken oder untersagen. Der Widerruf ist schriftlich oder per E-Mail möglich. In diesem Fall wird der AN alle betroffenen Inhalte binnen angemessener Frist entfernen.

§ 16 – Sonstige Bestimmungen, Streitbeilegung, Gerichtsstand und Nutzungseinschränkungen

16.1 Geltungsbereich und Kundenkreis
Die Produkte und Dienstleistungen des AN richten sich ausschließlich an Geschäftskunden (B2B) mit Sitz in Deutschland.
Ein Erwerb durch Privatpersonen (Verbraucher im Sinne des BGB) oder Kunden außerhalb Deutschlands ist ausgeschlossen.

16.2 Streitbeilegung und Schlichtung
Die Parteien verpflichten sich, bei Meinungsverschiedenheiten zunächst eine gütliche Einigung im Rahmen einer außergerichtlichen Schlichtung anzustreben.
Schlichtungsverfahren sind freiwillig, es sei denn, sie sind vertraglich ausdrücklich vereinbart oder gesetzlich vorgeschrieben.

16.3 Gerichtsstand und anwendbares Recht
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis – einschließlich solcher über dessen Wirksamkeit – ist, sofern der AG Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder seinen Sitz im Ausland hat, nach Wahl des AN der Geschäftssitz des AN in Wolfhagen (Gerichtsbezirk Kassel).

Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

16.4 Schriftformerfordernis und salvatorische Klausel
Abweichende oder ergänzende Vereinbarungen zu diesen AGB bedürfen zu ihrer Wirksamkeit einer schriftlichen Zusatzvereinbarung, in der ausdrücklich auf die abweichenden Bestimmungen Bezug genommen wird.
Auch eine Änderung dieses Schriftformerfordernisses ist nur wirksam, wenn sie schriftlich vereinbart wird.

Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder eine Regelungslücke bestehen, bleiben die übrigen Bestimmungen davon unberührt. Die Parteien verpflichten sich, eine unwirksame oder fehlende Bestimmung durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt.

16.5 Unzulässige Nutzungen und Missbrauch
Die Nutzung der vom AN bereitgestellten Software oder Dienstleistungen zur Durchführung rechtswidriger, diskriminierender, sicherheitsgefährdender oder ethisch bedenklicher Handlungen ist untersagt.
Der AN ist berechtigt, bei bekannt werdendem Missbrauch den Vertrag außerordentlich zu kündigen und die betroffenen Zugänge zu sperren.

Es ist untersagt, Sicherheitsfunktionen der Software zu umgehen, Rückentwicklungen („Reverse Engineering“) vorzunehmen oder automatisierte Zugriffstools einzusetzen, es sei denn, dies ist nach § 69e UrhG ausdrücklich zulässig.

§ 17 – Änderungen der AGB

17.1 Mitteilung und Wirksamwerden
Der AN ist berechtigt, diese AGB zu ändern oder zu ergänzen, soweit dies zur Anpassung an gesetzliche, technische oder wirtschaftliche Rahmenbedingungen erforderlich ist und den AG nicht unangemessen benachteiligt.

Änderungen der AGB werden dem AG mindestens vier Wochen vor ihrem geplanten Inkrafttreten in Textform (z. B. per E-Mail) mitgeteilt. Widerspricht der AG der Änderung nicht innerhalb von zwei Wochen nach Zugang der Mitteilung, gelten die Änderungen als angenommen.

17.2 Widerspruchsrecht des AG
Im Falle eines fristgerechten Widerspruchs gelten die bisherigen AGB fort. Der AN behält sich in diesem Fall vor, das Vertragsverhältnis zum nächstmöglichen Zeitpunkt ordentlich zu kündigen.

17.3 Kein Änderungsrecht bei wesentlichen Vertragsinhalten
Eine Änderung wesentlicher Vertragsbestandteile, insbesondere zu Art und Umfang der Hauptleistungspflichten, bedarf stets der ausdrücklichen Zustimmung des AG.

§ 18 – Schulungen und Einweisungen

18.1 Umfang und Durchführung
Sofern im Angebot, in der Projektbeschreibung oder einem gesonderten Vertrag Schulungen, Einweisungen oder Trainingsleistungen vereinbart wurden, werden diese durch den AN oder durch dessen Erfüllungsgehilfen erbracht. Art, Umfang und Termine der Schulung richten sich nach der jeweiligen vertraglichen Vereinbarung.

18.2 Mitwirkung des AG
Der AG stellt sicher, dass die für die Schulung vorgesehenen Personen verfügbar sind und dass eine geeignete technische Umgebung bereitgestellt wird (z. B. Präsentationssysteme, Zugang zur Software, stabile Internetverbindung bei Remote-Schulungen).

18.3 Schulungsinhalte und Unterlagen
Die Schulungsinhalte orientieren sich an der vereinbarten Lösung. Etwaige Schulungsunterlagen dürfen ausschließlich intern durch den AG genutzt und ohne vorherige schriftliche Zustimmung des AN nicht an Dritte weitergegeben oder veröffentlicht werden.

18.4 Keine Erfolgsgarantie
Schulungen und Einweisungen vermitteln Wissen und Anwendungshinweise. Ein konkreter Lernerfolg oder das Erreichen bestimmter betrieblicher Ziele ist nicht geschuldet.

§ 19 – Begriffsdefinitionen

Die nachfolgenden Begriffe werden in diesen AGB mit folgender Bedeutung verwendet:

19.1 „Produktive Nutzung“
Die produktive Nutzung bezeichnet den Einsatz der gelieferten oder bereitgestellten Softwarelösung im Echtbetrieb durch den AG oder durch dessen Endnutzer im Rahmen des regulären Geschäftsbetriebs. Dazu zählt insbesondere der Zugriff durch Kunden, Mitarbeiter oder Dritte zu betrieblichen Zwecken. Die produktive Nutzung gilt auch dann als gegeben, wenn Testsysteme dauerhaft mit Echtdaten verwendet oder öffentlich zugänglich gemacht werden.

19.2 „Named User“
Ein „Named User“ ist eine namentlich festgelegte natürliche Person, der ein individuelles Benutzerkonto zur Nutzung der Softwarelösung zugewiesen wurde. Eine parallele Nutzung durch mehrere Personen über ein gemeinsames Konto oder eine Wechselnutzung durch verschiedene Personen ist unzulässig, sofern nicht ausdrücklich schriftlich gestattet.

19.3 „Token“ (bei KI-Funktionalität)
Ein Token bezeichnet eine standardisierte Einheit zur Abrechnung von Zeichen (Wörter, Satzzeichen, Code-Segmente etc.), die durch eine KI-Funktion verarbeitet werden. Die Anzahl der verbrauchten Tokens ergibt sich aus Eingabe- und Ausgabetexten. Ein Token entspricht durchschnittlich ca. vier Zeichen in deutscher Sprache.

19.4 „Ticket“
Ein Ticket ist eine formalisierte Fehlermeldung, Anfrage oder Anforderung, die durch den AG über ein definiertes Supportsystem eingereicht wird. Tickets dienen der Strukturierung und Nachverfolgung von Anfragen und müssen die in der Projektbeschreibung oder im Supportvertrag definierten Mindestangaben enthalten.

19.5 „Testphase“
Eine Testphase bezeichnet einen vertraglich oder im Angebot definierten Zeitraum, in dem die bereitgestellte Lösung vom AG vor dem Produktivbetrieb evaluiert werden kann. Während der Testphase besteht keine Pflicht zur Zahlung, sofern dies im Angebot so vorgesehen ist. Die Nutzung ist auf interne Prüfung und technische Bewertung beschränkt.

Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

zwischen

wirautomatisieren e.U.
(nachfolgend „Auftragsverarbeiter“ oder „AN“)

und

dem jeweiligen Auftraggeber
(nachfolgend „Verantwortlicher“ oder „AG“)

§ 1 – Gegenstand und Dauer der Verarbeitung

1.1 Der Auftragsverarbeiter (AN) verarbeitet im Auftrag des Verantwortlichen (AG) personenbezogene Daten im Rahmen der Leistungen, die Gegenstand des jeweiligen Hauptvertrags sind. Dazu zählen insbesondere die in den zum Zeitpunkt des Vertragsschlusses gültigen Allgemeinen Geschäftsbedingungen (AGB), individuellen Projektbeschreibungen, Leistungsvereinbarungen, Verträge, oder Angeboten konkret beschriebenen Tätigkeiten, wie z. B. Hosting, Softwarebereitstellung, Automatisierungslösungen oder KI-gestützte Dienste.

1.2 Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich auf Grundlage dieser Vereinbarung und nach dokumentierter Weisung des Verantwortlichen. Der Auftragsverarbeiter wird keine darüber hinausgehende oder eigenständige Nutzung oder Verarbeitung der Daten vornehmen.

1.3 Die Laufzeit dieser Vereinbarung richtet sich nach der Dauer des zugrunde liegenden Hauptvertrags zwischen den Parteien. Sie endet automatisch mit dessen Beendigung, sofern in dieser Vereinbarung oder gesetzlich keine abweichenden Aufbewahrungs- oder Löschungspflichten bestehen.

§ 2 – Art und Zweck der Verarbeitung

2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu den Zwecken, die zur Erfüllung der im Hauptvertrag vereinbarten Leistungen erforderlich sind. Dies umfasst insbesondere die technische, digitale und organisatorische Unterstützung bei der Automatisierung, Integration und Digitalisierung von Geschäftsprozessen.

Beispiele hierfür sind:

  • Hosting und Betrieb von Software- und Datenbanklösungen,
  • Bereitstellung und Pflege von SaaS-Produkten (z. B. „IQMail“),
  • Entwicklung, Verwaltung und Monitoring von Schnittstellen (z. B. API-Gateways),
  • Verarbeitung und Analyse von Daten zur Unterstützung automatisierter Workflows,
  • individuelle Prozessentwicklungen zur Verbindung oder Steuerung externer Systeme.

2.2 Die Verarbeitung erfolgt ausschließlich zur vertragsgemäßen Aufgabenerfüllung im Auftrag des Verantwortlichen. Eine Nutzung der Daten zu eigenen Zwecken des Auftragsverarbeiters oder eine Weitergabe an Dritte erfolgt nur, soweit dies zur Vertragserfüllung notwendig, durch diese Vereinbarung gedeckt oder gesetzlich zulässig ist.

2.3 Eine darüber hinausgehende Verarbeitung – insbesondere zu Analyse-, Marketing- oder Profilingzwecken – findet durch den Auftragsverarbeiter nicht statt.

§ 3 – Art der verarbeiteten Daten

3.1 Im Rahmen der vertraglich vereinbarten Leistungen verarbeitet der Auftragsverarbeiter personenbezogene Daten, deren Art sich je nach Nutzungsszenario und Konfiguration durch den Verantwortlichen unterscheiden kann. Es werden nur solche Daten verarbeitet, die der Verantwortliche dem Auftragsverarbeiter im Rahmen der Leistungserbringung zur Verfügung stellt oder deren Verarbeitung ausdrücklich beauftragt wurde.

3.2 Die folgenden Kategorien personenbezogener Daten können – abhängig vom jeweiligen Einsatzbereich – verarbeitet werden:

a) Allgemeine personenbezogene Daten

  • Identifikationsdaten (z. B. Name, Vorname, Adresse, Telefonnummer, E-Mail-Adresse)
  • Personenstammdaten (z. B. Geburtsdatum, Alter, Geschlecht, Staatsangehörigkeit, Familienstand)
  • Kommunikations- und Vertragsdaten
  • Login-, Account- und Gerätedaten (z. B. IP-Adressen, Cookies, Token, Metadaten)
  • Nutzungsdaten (z. B. Seitenaufrufe, Zeitstempel, Systemaktivitäten)
  • Zahlungs- und Bankdaten (z. B. IBAN, BIC, Kreditkartendaten, Zahlungsstatus)
  • berufliche Informationen (z. B. Arbeitgeber, Position, Arbeitszeiten, Gehalt)

b) Besondere Kategorien personenbezogener Daten
Soweit erforderlich und beauftragt, können auch sog. besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO verarbeitet werden, insbesondere:

  • Gesundheitsdaten (z. B. Gewicht, Fitnesszustand, Krankheitsinformationen)
  • biometrische oder genetische Daten (z. B. Fingerabdrücke, Gesichtserkennung)
  • Angaben zur religiösen oder weltanschaulichen Überzeugung (z. B. bei HR-Prozessen)
  • Gewerkschaftszugehörigkeit
  • Daten zur sexuellen Orientierung oder ethnischen Herkunft (nur, sofern ausdrücklich erforderlich)

3.3 Welche konkreten Daten verarbeitet werden, richtet sich nach dem jeweiligen Funktionsumfang der eingesetzten Softwarelösungen (z. B. IQMail, Automatisierungsplattform, API-Gateways), dem Verwendungszweck und den individuellen Einstellungen bzw. Anforderungen des Verantwortlichen.

§ 4 – Kategorien betroffener Personen

4.1 Im Rahmen der Verarbeitung durch den Auftragsverarbeiter können – je nach Einsatzart der vertraglich vereinbarten Lösung – personenbezogene Daten folgender betroffener Personengruppen verarbeitet werden.

4.2 Folgende Kategorien betroffener Personen kommen typischerweise in Betracht:

  • Kunden und Mandanten (z. B. Nutzer von SaaS-Produkten, Teilnehmer von Kursen oder Abonnenten von Dienstleistungen)
  • Mitglieder (z. B. von Vereinen, Organisationen oder Fitnessstudios)
  • Patienten (im Gesundheits- oder Therapiebereich)
  • Mitarbeiter und Beschäftigte (z. B. Angestellte des AG, bei HR- oder Payroll-Systemen)
  • Bewerber (z. B. im Rahmen automatisierter Bewerbungsprozesse oder Screeninglösungen)
  • Website- und Plattformnutzer (z. B. bei Nutzung digitaler Dienste durch externe Nutzergruppen)
  • Geschäftspartner, externe Berater und Dienstleister (z. B. für automatisierte Kommunikation, Verzeichnisse oder Abrechnungsprozesse)
  • Schüler, Studierende oder Teilnehmende an Bildungsangeboten

4.3 Welche konkreten Personengruppen betroffen sind, richtet sich nach dem Einsatzzweck der jeweiligen vertraglich vereinbarten Lösung. Der Verantwortliche ist verpflichtet, den Auftragsverarbeiter vorab zu informieren, wenn weitere oder besonders schutzwürdige Personengruppen betroffen sind (z. B. Minderjährige oder besonders vulnerable Gruppen).

§ 5 – Rechte und Pflichten des Verantwortlichen

5.1 Rechtmäßigkeit der Verarbeitung
Der Verantwortliche ist allein dafür verantwortlich, dass die Verarbeitung der personenbezogenen Daten durch ihn und durch den Auftragsverarbeiter im Rahmen dieses Vertrags auf einer rechtmäßigen Grundlage gemäß Art. 6 Abs. 1 DSGVO beruht.

Verarbeitet der Auftragsverarbeiter besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO, so gewährleistet der Verantwortliche, dass hierfür eine ausdrückliche und zulässige Ausnahme gemäß Art. 9 Abs. 2 DSGVO vorliegt.

Der Verantwortliche hat die Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit der beauftragten Verarbeitung sicherzustellen und auf Anforderung geeignete Nachweise oder Dokumentationen (z. B. Einwilligungen, Interessenabwägungen, Zweckbeschreibungen) zur Verfügung zu stellen. Dies gilt insbesondere bei:

  • Verarbeitung sensibler personenbezogener Daten,
  • Nutzung von KI-gestützten oder automatisierten Entscheidungsverfahren,
  • systematischen, groß angelegten Verarbeitungen oder
  • Verarbeitung minderjähriger oder besonders schutzwürdiger Personengruppen.

5.2 Zweckbindung und Informationspflichten
Der Verantwortliche dokumentiert die Zwecke der Verarbeitung in nachvollziehbarer Form. Er informiert den Auftragsverarbeiter rechtzeitig und schriftlich über alle relevanten Änderungen, insbesondere wenn:

  • neue Kategorien personenbezogener Daten verarbeitet werden sollen,
  • sich die Zwecke oder Umstände der Verarbeitung ändern,
  • technische Anforderungen (z. B. Schnittstellen oder Integrationen) angepasst werden müssen.

5.3 Wahrnehmung von Betroffenenrechten
Der Verantwortliche ist verpflichtet, sämtliche Anfragen betroffener Personen (z. B. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch) eigenständig und fristgerecht zu bearbeiten.

Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei im Rahmen der vertraglich vereinbarten Leistungen, soweit dies technisch und organisatorisch möglich ist, und leitet eingehende Anfragen betroffener Personen unverzüglich an den Verantwortlichen weiter, sofern diese erkennbar dessen Zuständigkeit betreffen.

§ 6 – Pflichten des Auftragsverarbeiters

6.1 Verarbeitung nur auf Weisung
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen im Sinne von Art. 28 Abs. 3 lit. a DSGVO, sofern keine anderweitige gesetzliche Verpflichtung zur Verarbeitung besteht. Eine eigenständige Entscheidung über Zweck oder Mittel der Verarbeitung ist ausgeschlossen.

6.2 Vertraulichkeit der mit der Verarbeitung befassten Personen
Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung befassten Personen – einschließlich Mitarbeiter, freie Mitarbeiter, Subunternehmer oder sonstige Erfüllungsgehilfen – entweder gesetzlich zur Verschwiegenheit verpflichtet oder vertraglich auf Vertraulichkeit und das Datengeheimnis gemäß Art. 28 Abs. 3 lit. b DSGVO verpflichtet wurden. Die Verpflichtungen gelten auch über die Beendigung der Tätigkeit hinaus.

6.3 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter verpflichtet sich zur Umsetzung, Dokumentation und regelmäßigen Überprüfung der technischen und organisatorischen Maßnahmen gemäß § 10 dieses Vertrags und Art. 32 DSGVO. Änderungen der TOMs sind nur zulässig, sofern sie mindestens ein gleichwertiges Schutzniveau gewährleisten und dem Verantwortlichen auf Anforderung dokumentiert werden können.

6.4 Meldepflicht bei Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über alle ihm bekannt gewordenen Verletzungen des Schutzes personenbezogener Daten, einschließlich Sicherheitsvorfällen, unbefugtem Zugriff, Verlust oder Offenlegung personenbezogener Daten (Art. 33 DSGVO).

Die Meldung enthält – soweit möglich – alle nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben zur Art des Vorfalls, zur betroffenen Datenkategorie, zum Umfang, zu den getroffenen oder geplanten Abhilfemaßnahmen sowie zur potenziellen Auswirkung auf die Rechte und Freiheiten der betroffenen Personen.

6.5 Verzeichnis von Verarbeitungstätigkeiten
Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO. Dieses wird dem Verantwortlichen auf Anforderung zur Einsicht oder Dokumentation bereitgestellt.

6.6 Hinweise auf rechtswidrige Weisungen
Erhält der Auftragsverarbeiter eine Weisung des Verantwortlichen, die aus seiner Sicht gegen geltendes Datenschutzrecht verstößt, informiert er den Verantwortlichen unverzüglich. Er ist in diesem Fall berechtigt, die Durchführung der betroffenen Verarbeitung bis zur ausdrücklichen Klärung oder schriftlichen Bestätigung durch den Verantwortlichen auszusetzen. Der Verantwortliche trägt in diesem Fall das Risiko für die rechtlichen Folgen der Durchführung.

§ 7 – Subunternehmer (Unterauftragsverarbeiter)

7.1 Einsatz benannter Subunternehmer
Der Einsatz folgender Subunternehmer durch den Auftragsverarbeiter ist durch den Verantwortlichen genehmigt:

Unternehmen

Dienstleistung

Sitz / Serverstandort

 

 

 

Mistral AI

KI-gestützte Verarbeitung

Frankreich / EU

Hetzner Online GmbH

Hosting und Serverbetrieb

Deutschland

Diese Subunternehmer werden zur Erfüllung einzelner Leistungen im Rahmen der vertraglich vereinbarten Aufgaben herangezogen. Eine eigenständige Verarbeitung zu eigenen Zwecken durch diese Unternehmen erfolgt nicht.

7.2 Datenschutzrechtliche Anforderungen an Subunternehmer
Der Auftragsverarbeiter stellt sicher, dass mit jedem eingesetzten Subunternehmer eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO abgeschlossen wurde.
Soweit erforderlich, insbesondere bei Verarbeitung in Drittländern außerhalb der EU/des EWR, stellt der Auftragsverarbeiter sicher, dass geeignete datenschutzrechtliche Garantien im Sinne von Art. 44 ff. DSGVO vorliegen, z. B. durch den Abschluss der aktuellen EU-Standardvertragsklauseln oder ein vergleichbares, von der EU-Kommission anerkanntes Instrument.

Der Auftragsverarbeiter überprüft regelmäßig die Einhaltung der Datenschutzpflichten durch seine Subunternehmer und dokumentiert diese Prüfungen.

7.3 Änderungen der Subunternehmerliste / Widerspruchsrecht
Beabsichtigt der Auftragsverarbeiter, weitere Subunternehmer hinzuzuziehen oder bestehende zu ersetzen, wird der Verantwortliche mindestens zehn Werktage im Voraus in Textform informiert.

Der Verantwortliche kann innerhalb dieser Frist aus berechtigten datenschutzrechtlichen Gründen der geplanten Änderung widersprechen. Der Widerspruch ist zu begründen. Erfolgt kein fristgerechter Widerspruch, gilt der neue Subunternehmer als genehmigt.

Im Falle eines begründeten Widerspruchs bemühen sich beide Parteien um eine alternative technische oder organisatorische Lösung. Ist eine einvernehmliche Lösung nicht möglich, sind beide Parteien berechtigt, den Vertrag mit einer Frist von vier Wochen zum Monatsende außerordentlich zu kündigen.

§ 8 – Dauer der Verarbeitung / Löschung

8.1 Verarbeitungsdauer
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für die Dauer des jeweiligen Vertragsverhältnisses mit dem Verantwortlichen und nur im Umfang, wie es zur Erfüllung der vertraglich vereinbarten Leistungen erforderlich ist.

8.2 Löschung nach Vertragsende
Nach vollständiger Beendigung der vertraglichen Leistungen wird der Auftragsverarbeiter alle personenbezogenen Daten, die er im Auftrag verarbeitet hat, unverzüglich, spätestens jedoch innerhalb von 30 Kalendertagen, löschen.

Dies gilt nicht, soweit eine längere Speicherung gesetzlich vorgeschrieben ist (z. B. gemäß Handels- oder Steuerrecht) oder ein sonstiger Erlaubnistatbestand nach Art. 6 oder Art. 9 DSGVO vorliegt (z. B. zur Geltendmachung oder Verteidigung rechtlicher Ansprüche).

Während dieser Frist ist jede darüber hinausgehende Verarbeitung oder Nutzung der Daten untersagt.

8.3 Rückgabe vor Löschung
Auf schriftliches Verlangen des Verantwortlichen vor Ablauf der Löschfrist stellt der Auftragsverarbeiter dem Verantwortlichen die im Auftrag verarbeiteten personenbezogenen Daten in einem gängigen maschinenlesbaren Format (z. B. CSV, JSON oder vergleichbar) zur Verfügung.

Die Rückgabe erfolgt unter Wahrung der Vertraulichkeit und ausschließlich über sichere, vorher abgestimmte Übertragungswege. Nach erfolgreicher Übergabe erfolgt die datenschutzkonforme Löschung der Kopien auf Seiten des Auftragsverarbeiters, sofern keine abweichenden gesetzlichen Pflichten entgegenstehen.

§ 9 – Unterstützung bei Betroffenenrechten

9.1 Pflicht zur Mitwirkung
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen gemäß Art. 12 bis 23 DSGVO, soweit dies im Rahmen der beauftragten Leistungen, der verfügbaren technischen und organisatorischen Möglichkeiten und der Zuständigkeit des Auftragsverarbeiters zumutbar ist.

Dazu zählen insbesondere:

  • Auskunft über gespeicherte personenbezogene Daten (Art. 15 DSGVO),
  • Berichtigung unzutreffender personenbezogener Daten (Art. 16 DSGVO),
  • Löschung („Recht auf Vergessenwerden“) nach Art. 17 DSGVO,
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Mitwirkung bei Datenübertragbarkeit (Art. 20 DSGVO),
  • Berücksichtigung von Widersprüchen gegen die Verarbeitung (Art. 21 DSGVO).

9.2 Zuständigkeit des Verantwortlichen
Die Prüfung der Rechtmäßigkeit, Zulässigkeit und inhaltlichen Erfüllung entsprechender Betroffenenanfragen obliegt ausschließlich dem Verantwortlichen. Der Auftragsverarbeiter handelt hierbei nur auf dokumentierte Anweisung des Verantwortlichen und leitet ihm gegebenenfalls eingehende Anfragen unverzüglich weiter.

9.3 Umfang der Unterstützung und Kosten
Soweit die Unterstützung durch den Auftragsverarbeiter über den vertraglich vereinbarten Leistungsumfang hinausgeht oder erhebliche manuelle Aufwände erfordert, ist der Auftragsverarbeiter berechtigt, diese Leistungen nach vorheriger Information und angemessener Vorankündigung gesondert nach Zeitaufwand zu berechnen. Dies gilt insbesondere bei:

  • komplexen oder wiederholten Datenlöschanfragen,
  • Sonderformaten zur Datenübertragung,
  • oder Anforderungen mit hoher Prüftiefe (z. B. bei KI-Verarbeitungen oder sensiblen Daten).

§ 10 – Technische und organisatorische Maßnahmen (TOMs)

10.1 Sicherheit der Verarbeitung
Der Auftragsverarbeiter verpflichtet sich zur Umsetzung aller gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten sicherzustellen.

Dabei werden insbesondere Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für die Rechte und Freiheiten betroffener Personen berücksichtigt.

10.2 Maßnahmenübersicht
Eine detaillierte Beschreibung der umgesetzten technischen und organisatorischen Maßnahmen ist in Anlage 1 zu diesem Vertrag dokumentiert. Die Maßnahmen beinhalten insbesondere:

  • Verschlüsselung von Daten während der Übertragung und Speicherung,
  • Zugriffskontrollmechanismen und Authentifizierungsverfahren,
  • Schutz der IT-Infrastruktur durch Firewalls, IDS/IPS-Systeme und Segmentierung,
  • regelmäßige Datensicherungen, Backup-Management und Wiederherstellungstests,
  • Protokollierung und Überwachung sicherheitsrelevanter Ereignisse,
  • Schulung und Sensibilisierung aller mit der Verarbeitung befassten Personen,
  • Prüfung und vertragliche Bindung eingesetzter Subunternehmer,
  • Notfallkonzepte, Wiederanlaufpläne und Durchführung von Datenschutzfolgeabschätzungen bei risikobehafteten Verarbeitungstätigkeiten.

10.3 Nachweis und Anpassung
Der Auftragsverarbeiter dokumentiert die Wirksamkeit der getroffenen Maßnahmen und stellt diese Dokumentation dem Verantwortlichen auf Anfrage zur Verfügung. Er ist berechtigt, die Maßnahmen weiterzuentwickeln oder anzupassen, sofern dabei das erforderliche Schutzniveau nicht unterschritten, sondern im Zweifel verbessert wird.

§ 11 – Kontrollrechte

11.1 Kontrollbefugnis des Verantwortlichen
Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Anforderungen und der in diesem Vertrag sowie in Art. 28 DSGVO festgelegten Pflichten durch den Auftragsverarbeiter regelmäßig zu überprüfen. Die Prüfung kann sich insbesondere auf die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 10 sowie auf die Einhaltung der Weisungen und der vereinbarten Datenverarbeitung beschränken.

11.2 Häufigkeit und Ankündigung
Sofern kein besonderer Anlass besteht, erfolgt eine solche Überprüfung höchstens einmal jährlich. Anlassbezogene Prüfungen (z. B. nach einem Datenschutzvorfall, bei konkretem Verdacht einer Pflichtverletzung oder auf Anforderung der Aufsichtsbehörde) sind davon unberührt.

Kontrollen sind mindestens 10 Werktage vor dem geplanten Termin schriftlich anzukündigen, es sei denn, eine kurzfristige Prüfung ist wegen besonderer Umstände erforderlich.

11.3 Form und Durchführung der Kontrolle
Die Prüfung kann durch den Verantwortlichen selbst oder durch einen zur Verschwiegenheit verpflichteten, fachkundigen Dritten durchgeführt werden. Sie erfolgt zu den üblichen Geschäftszeiten, unter Wahrung des Betriebs- und Geschäftsgeheimnisses des Auftragsverarbeiters sowie unter angemessener Rücksichtnahme auf dessen Betriebsabläufe.

Die Kontrolle kann auch in Form eines schriftlichen Auskunftsersuchens oder durch Einsichtnahme in vorhandene Auditberichte, Zertifikate oder Nachweisdokumentationen erfolgen.

11.4 Mitwirkungspflicht des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich, im angemessenen Umfang bei der Durchführung der Prüfung mitzuwirken. Er gewährt dem Verantwortlichen Zugang zu den relevanten Informationen, Verarbeitungsverzeichnissen, Nachweisen und technischen Einrichtungen, sofern dies technisch möglich ist und Rechte Dritter nicht beeinträchtigt werden.

§ 12 – Vertragsstrafe bei Datenschutzverstoß durch den Verantwortlichen

12.1 Verstößt der Verantwortliche schuldhaft gegen seine Pflichten aus diesem Vertrag – insbesondere gegen die Pflicht zur Bereitstellung einer rechtmäßigen Rechtsgrundlage für die Datenverarbeitung oder zur rechtzeitigen Weisung bei kritischen Verarbeitungsszenarien – und führt dieser Verstoß zu einer rechtlichen Inanspruchnahme, behördlichen Maßnahme oder einem Schaden beim Auftragsverarbeiter, kann eine Vertragsstrafe fällig werden.

12.2 Die Höhe der Vertragsstrafe beträgt im Einzelfall bis zu 10.000 €, es sei denn, der Auftragsverarbeiter weist einen höheren tatsächlichen Schaden nach. Die Geltendmachung darüber hinausgehender Schadensersatzansprüche bleibt ausdrücklich vorbehalten.

12.3 Die Vertragsstrafe wird auf etwaige Schadensersatzansprüche angerechnet. Der Auftragsverarbeiter ist berechtigt, die Vertragsstrafe neben anderen Rechtsmitteln geltend zu machen, wenn dies zur Durchsetzung der eigenen Rechte erforderlich erscheint.

12.4 Ein Verschulden liegt insbesondere dann vor, wenn der Verantwortliche:

  • personenbezogene Daten ohne gültige Einwilligung oder Rechtsgrundlage übermittelt,
  • unvollständige oder verspätete Weisungen zur Datenverarbeitung erteilt,
  • gesetzliche oder vertraglich vereinbarte Informationspflichten verletzt,
  • trotz Abmahnung wiederholt datenschutzwidrige Anweisungen erteilt.

§ 13 – Schlussbestimmungen

13.1 Vertragsintegration
Dieser Auftragsverarbeitungsvertrag (AVV) ist integraler Bestandteil der jeweils gültigen Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters. Er gilt automatisch mit Abschluss des Hauptvertrags als vereinbart, sofern der Verantwortliche diesen durch Vertragsannahme bestätigt.

13.2 Subsidiarität und ergänzende Geltung
Soweit in diesem Vertrag keine abweichenden oder spezielleren Regelungen getroffen wurden, gelten ergänzend die Bestimmungen des Hauptvertrags sowie die einschlägigen gesetzlichen Datenschutzvorschriften – insbesondere die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) und das Bundesdatenschutzgesetz (BDSG).

13.3 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses Vertrags ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen hiervon unberührt.

Die Parteien verpflichten sich, in einem solchen Fall eine rechtswirksame Ersatzregelung zu vereinbaren, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Gleiches gilt für Regelungslücken.

Technische und Organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO

Der Auftragsverarbeiter verpflichtet sich zur Umsetzung der folgenden technischen und organisatorischen Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus für die verarbeiteten personenbezogenen Daten:

1. Technische Maßnahmen

1.1 Verschlüsselung

  • Einsatz von TLS/SSL zur Verschlüsselung aller Datenübertragungen über Webschnittstellen (z. B. APIs, Webportale).
  • Verschlüsselte Speicherung von Daten in Datenbanken und Backups (z. B. AES-256).
  • Einsatz sicherer Protokolle für Dateiübertragungen (z. B. SFTP, HTTPS).

1.2 Zugriffskontrolle

  • Rollenbasierte Benutzer- und Rechteverwaltung.
  • Nutzung individueller Zugangsdaten und Passwortrichtlinien.
  • Zwei-Faktor-Authentifizierung (2FA) bei administrativen Zugängen.
  • Regelmäßige Überprüfung und Protokollierung von Zugriffsrechten.

1.3 Netzwerksicherheit

  • Verwendung von Firewalls zur Abgrenzung sensibler Systeme.
  • Intrusion Detection/Prevention Systeme (IDS/IPS).
  • IP-Filterung und Netzwerksegmentierung.
  • Schutz vor unautorisierten Zugriffen auf Middleware-, Hosting- und SaaS-Komponenten.

1.4 Datensicherung und Wiederherstellung

  • Regelmäßige Erstellung verschlüsselter Backups.
  • Speicherung an getrennten Standorten.
  • Durchführung und Protokollierung von Wiederherstellungstests.
  • Lösch- und Aufbewahrungskonzepte gemäß DSGVO.

1.5 Pseudonymisierung und Anonymisierung

  • Einsatz von Pseudonymisierungs- oder Anonymisierungstechniken, insbesondere in Test- und Entwicklungsumgebungen.
  • Trennung von Test- und Produktivdaten.

1.6 Monitoring und Protokollierung

  • Überwachung sicherheitsrelevanter Systemprozesse.
  • Protokollierung von Logins, Datenzugriffen und Systemänderungen.
  • Auswertung von Logfiles zur Erkennung potenzieller Vorfälle.

1.7 Schwachstellenmanagement

  • Regelmäßige Aktualisierung eingesetzter Software.
  • Patchmanagement für alle produktiven Komponenten.
  • Überwachung öffentlich bekannter Schwachstellen (CVEs).

2. Organisatorische Maßnahmen

2.1 Schulungen und Sensibilisierung

  • Regelmäßige Schulungen zu Datenschutz, Datensicherheit und IT-Risiken für eingesetzte Subunternehmer.
  • Verpflichtung aller beteiligten Personen auf Vertraulichkeit gemäß Art. 28 Abs. 3 DSGVO.

2.2 Richtlinien und Prozesse

  • Interne Datenschutzrichtlinien zur Verarbeitung, Auskunft, Berichtigung und Löschung personenbezogener Daten.
  • Meldeverfahren für Datenschutzvorfälle nach Art. 33 DSGVO.
  • Prozessvorgaben für Betroffenenanfragen.

2.3 Kontrolle von Subunternehmern

  • Auswahl von Subunternehmern nach dokumentierten Datenschutzkriterien.
  • Abschluss von Unterauftragsverarbeitungsverträgen (inkl. Standardvertragsklauseln bei Drittländern).
  • Dokumentation der Prüfung auf DSGVO-Konformität.

2.4 Notfallmanagement

  • Vorhaltung und regelmäßige Überprüfung eines Wiederherstellungsplans.
  • Verfahren zur Aufrechterhaltung des Betriebs im Katastrophenfall (Business Continuity).
  • Vorab definierte Eskalationswege.

2.5 Physische Sicherheit

  • Zutrittsbeschränkung zu Serverräumen und Büroräumen.
  • Schutz mobiler Endgeräte durch Verschlüsselung und Geräteverwaltung.
  • Sicherheitsvorkehrungen zum Schutz vor Diebstahl oder unbefugtem Zugriff.

2.6 Dokumentation und Nachvollziehbarkeit

Der Auftragsverarbeiter verpflichtet sich zur vollständigen, aktuellen und nachvollziehbaren Dokumentation aller datenschutzrelevanten Prozesse und technischen sowie organisatorischen Maßnahmen.

Dies umfasst insbesondere:

  • die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO mit Beschreibung der jeweiligen Zwecke, Kategorien betroffener Personen und Datenarten, Empfängern, Speicherfristen und eingesetzten Schutzmaßnahmen,
  • die Dokumentation aller relevanten technischen und organisatorischen Maßnahmen (TOMs), inklusive deren interner Revision und Fortschreibung,
  • die Erstellung und Aufbewahrung von Prüfprotokollen, z. B. für Zugriffskontrollen, Berechtigungskonzepte, Backup-Tests, Systemänderungen oder Vorfallbehandlungen,
  • die Archivierung von Anfragen und Weisungen des Verantwortlichen, soweit diese die Verarbeitung personenbezogener Daten betreffen,
  • eine Nachweisführung über Schulungen, Unterweisungen und Verpflichtungen zur Vertraulichkeit der mit der Verarbeitung befassten Personen.

Die Dokumentation ist dem Verantwortlichen auf Anfrage in geeigneter Form zur Einsicht bereitzustellen, soweit dadurch keine Betriebs- oder Geschäftsgeheimnisse gefährdet werden.

2.7 Datenschutz-Folgenabschätzung (DSFA)

  • Prüfung neuer Projekte auf Risiko für Rechte und Freiheiten betroffener Personen.

  • Durchführung einer DSFA bei erheblicher Datenverarbeitung oder sensiblen Daten (z. B. Gesundheitsdaten, biometrische Daten, automatisierte Entscheidungen).

Begriffsdefinitionen

Zur besseren Verständlichkeit der vorliegenden Vereinbarung gelten die folgenden Begriffsbestimmungen:

„Personenbezogene Daten“

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Dazu zählen beispielsweise Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse oder auch Gesundheits- und Beschäftigtendaten.

„Besondere Kategorien personenbezogener Daten“

Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zur sexuellen Orientierung hervorgehen (Art. 9 DSGVO).

„Verarbeitung“

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten, z. B. das Erheben, Erfassen, Speichern, Verändern, Übermitteln, Abfragen, Löschen oder Vernichten.

„Verantwortlicher“

Die natürliche oder juristische Person (z. B. das Unternehmen des AG), die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO).

„Auftragsverarbeiter“

Eine natürliche oder juristische Person (z. B. der AN), die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet – ohne dabei eigenständig über Zweck oder Mittel der Verarbeitung zu entscheiden (Art. 4 Nr. 8 DSGVO).

„Datenpanne / Verletzung des Schutzes personenbezogener Daten“

Ein Sicherheitsvorfall, der zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO).

„Weisung“

Die vom Verantwortlichen erteilte schriftliche oder dokumentierte Anordnung an den Auftragsverarbeiter, wie mit den überlassenen personenbezogenen Daten im Rahmen der vereinbarten Leistungen umzugehen ist.

„Technische und organisatorische Maßnahmen (TOMs)"

Alle Maßnahmen, die der Auftragsverarbeiter umsetzt, um die Sicherheit und Integrität der Datenverarbeitung zu gewährleisten. Dazu zählen z. B. Verschlüsselung, Zugriffskontrolle, Protokollierung und Notfallmanagement (vgl. Art. 32 DSGVO).
Diese Begriffsdefinitionen dienen der Klarheit und stellen keine eigenständigen Regelungen dar, sondern konkretisieren die verwendeten Begriffe im Vertragstext.