AGB – Cloud Services


Unser Systempartner für die Cloud – http://www.cloudiax.com

SAP Business One auf MS SQL oder SAP HANA – sicher und zuverlässig. Cloud Computing mit Cloudiax erhöht Ihre Flexibilität, reduziert Ihre Betriebskosten, verhindert Disaster, verbessert Ihre Produktivität und gewährleistet die Sicherheit Ihrer Geschäftsdaten! Die Cloudiax-Community ist eine Allianz von SAP Business One SSP- und VAR-Partnern. Die meisten SSP-Lösungen sind für Kunden einsatzbereit erhältlich. Eine Vielzahl unausgeschöpfter Potenziale wartet auf Sie!


Vertragsbedingungen für die Überlassung von Cloud-Services

1. Vertragsgegenstand

1.1 Die Beschaffenheit und der Leistungsumfang des Cloud-Service ergeben sich aus der jeweiligen Programmbeschreibung und der Auftragsbestätigung.

1.2 Der Anbieter wird dem Kunden während der Laufzeit die Nutzungsmöglichkeit des Cloud-Service mittels Fernzugriff über das Internet einräumen. Der Cloud-Service, die für die Nutzung erforderliche Rechnerleistung sowie der notwendige Speicherplatz für Daten wird vom Anbieter oder einem von ihm beauftragten Rechenzentrum bereitgehalten. Der dem Kunden zugewiesene Systembereich ist gegen den Zugriff Dritter geschützt.

1.3 Der Anbieter übermittelt dem Kunden die für die Nutzung des Cloud-Service erforderlichen Zugangsdaten zur Identifikation und Authentifikation. Dem Kunden ist es nicht gestattet, diese Zugangsdaten Dritten zu überlassen, sofern es sich nicht um einen dem Anbieter benannten zusätzlichen Nutzer handelt, der bei der Vergütung berücksichtigt wurde. Neue zusätzliche Nutzer wird der Kunde dem Anbieter vor Tätigkeitsbeginn melden, damit eine Anpassung der Vergütung erfolgen kann.

1.4 Alle weiteren Leistungen des Anbieters, die auf Wunsch des Kunden erbracht werden (insbesondere Einsatzvorbereitung, Demonstration, Einweisung, Schulung und Beratung), werden gesondert nach Aufwand vergütet.

2. Nutzungsvoraussetzungen

2.1 Zur Nutzung des Cloud-Service ist ein Zugang des Kunden zum Internet notwendig. Der Zugang des Kunden zum Internet ist nicht Gegenstand dieses Vertragsverhältnisses. Der Kunde trägt die alleinige Verantwortung für die Funktionsfähigkeit seines Internetzugangs einschließlich der Übertragungswege sowie seines eigenen Computers.

2.2 Weitere technische Voraussetzungen für die Nutzung des Cloud-Service werden in der Programmbeschreibung oder den Release-Notes des Cloud-Service veröffentlicht.

3. Service Level

3.1 Der Anbieter wird den Cloud-Service während der Betriebszeit mit einer Verfügbarkeit von 99,5 % zur Verfügung stellen. Die Betriebszeit beginnt jede Woche sonntags um 10 Uhr MEZ und endet am folgenden Sonntag um 4 Uhr MEZ, sodass jeweils zwischen 4 und 10 Uhr MEZ ein Wartungsfenster vereinbart wird, das nicht als Betriebszeit gilt. Ferner werden weitere entschuldigte Ausfallzeiten nicht in die Berechnung der Verfügbarkeit eingerechnet, wenn der Anbieter den Kunden hierüber mindestens eine (1) Woche vorher informiert.

3.2 Die Verfügbarkeit wird auf Basis eines Kalendermonats gemessen und berechnet. Die Verfügbarkeit berechnet sich anhand folgender Formel:

4. Beseitigung von Störungen an dem Cloud-Service

4.1 Der Anbieter gewährleistet, dass der Cloud-Service während der Betriebszeit bei vertragsgemäßem Einsatz den Vereinbarungen gemäß Ziffer 1.1 entspricht. Mängel an dem Cloud-Service (im Folgenden als „Störungen“ bezeichnet) werden vom Anbieter nach entsprechender Mitteilung der Störung durch den Kunden innerhalb der in diesem in Ziffer 4.2 ff. festgelegten Reaktionszeit behoben. Gleiches gilt für sonstige Störungen der Möglichkeit zur Nutzung des Cloud-Service.

4.2 Der Anbieter wird Störungsmeldungen des Kunden entgegennehmen, den vereinbarten Störungskategorien zuordnen und anhand dieser Zuordnung die vereinbarten Maßnahmen zur Analyse und Bereinigung von Störungen durchführen. Das Störungsmanagement umfasst keine Leistungen, die im Zusammenhang mit dem Einsatz von dem Cloud-Service in nicht freigegebenen Einsatzumgebungen oder mit Veränderungen der Cloud-Service durch den Kunden oder Dritten stehen.

4.3 Der Anbieter wird während der Betriebszeit ordnungsgemäße Störungsmeldungen des Kunden entgegennehmen und jeweils mit einer Kennung versehen. Auf Anforderung des Kunden bestätigt ihm der Anbieter den Eingang einer Störungsmeldung unter Mitteilung der vergebenen Kennung.

4.4 Soweit nichts anderes vereinbart ist, wird der Anbieter entgegengenommene Störungsmeldungen nach erster Sichtung einer der folgenden Kategorien zuordnen:

4.4.1 Schwerwiegende Störung: Die Störung beruht auf einem Fehler des Cloud-Service, der die Nutzung des Cloud-Service unmöglich macht oder nur mit schwerwiegenden Einschränkungen erlaubt. Der Kunde kann dieses Problem nicht in zumutbarer Weise umgehen und deswegen unaufschiebbare Aufgaben nicht erledigen.

4.4.2 Sonstige Störung: Die Störung beruht auf einem Fehler des Cloud-Service, der die Nutzung des Cloud-Service durch den Kunden mehr als nur unwesentlich einschränkt, ohne dass eine schwerwiegende Störung vorliegt.

4.4.3 Sonstige Meldung: Störungsmeldungen, die nicht in die Kategorien nach Ziffer 4.4.1 und Ziffer 4.4.2 fallen, werden den sonstigen Meldungen zugeordnet. Sonstige Meldungen werden vom Anbieter nur nach den dafür getroffenen Vereinbarungen behandelt.

4.5 Bei Meldungen über schwerwiegende Störungen und sonstige Störungen wird der Anbieter unverzüglich anhand der vom Kunden mitgeteilten Umstände entsprechende Maßnahmen einleiten, um zunächst die Störungsursache zu lokalisieren. Stellt sich die mitgeteilte Störung nach erster Analyse nicht als Fehler des Cloud-Service dar, teilt der Anbieter dies dem Kunden unverzüglich mit. Sonst wird der Anbieter entsprechende Maßnahmen zur weitergehenden Analyse und zur Bereinigung der mitgeteilten Störung veranlassen oder – bei Komponenten von Dritten – die Störungsmeldung zusammen mit seinen Analyseergebnissen dem Vertreiber oder Hersteller der Komponenten mit der Bitte um Abhilfe übermitteln. Der Anbieter wird dem Kunden ihm vorliegende Maßnahmen zur Umgehung oder Bereinigung eines Fehlers des Cloud-Service, etwa Handlungsanweisungen, in angemessener Frist zur Verfügung stellen. Der Kunde wird solche Maßnahmen zur Umgehung oder Bereinigung von Störungen unverzüglich übernehmen und dem Anbieter bei deren Einsatz etwa verbleibende Störungen unverzüglich erneut melden. Der Kunde hat Mangelansprüche nur, wenn gemeldete Mängel reproduzierbar oder anderweitig durch den Kunden nachweisbar sind.

5. Ansprechstelle (Hotline)

5.1 Der Anbieter richtet eine Ansprechstelle für den Kunden ein (Hotline). Diese Stelle bearbeitet die Anfragen des Kunden im Zusammenhang mit den technischen Einsatzvoraussetzungen und -bedingungen des Cloud-Service sowie einzelnen funktionalen Aspekten. Von der Hotline werden keine Leistungen erbracht, die im Zusammenhang mit dem Einsatz vom Cloud-Service in nicht freigegebenen Einsatzumgebungen oder mit Veränderungen des Cloud-Service durch den Kunden oder Dritten stehen.

5.2 Voraussetzung für die Annahme und Bearbeitung von Anfragen ist, dass der Kunde gegenüber dem Anbieter fachlich und technisch entsprechend qualifiziertes Personal benennt, das intern beim Kunden mit der Bearbeitung von Anfragen der Anwender des Cloud-Service beauftragt ist. Der Kunde ist verpflichtet, nur über dieses, dem Anbieter benannte Personal, Anfragen an die Hotline zu richten und dabei vom Anbieter gestellte Formulare zu verwenden. Die Hotline nimmt solche Anfragen per E-Mail und bei schwerwiegenden Störungen per Telefon entgegen.

5.3 Die Hotline wird ordnungsgemäße Anfragen im üblichen Geschäftsgang bearbeiten und soweit möglich beantworten. Die Hotline kann zur Beantwortung auf dem Kunden vorliegende Dokumentationen und sonstige Ausbildungsmittel für den Cloud-Service verweisen.

5.4 Soweit eine Beantwortung durch die Hotline nicht oder nicht zeitnah möglich ist, wird der Anbieter – soweit dies ausdrücklich vereinbart ist – die Anfrage zur Bearbeitung weiterleiten, insbesondere Anfragen zu nicht von ihm hergestellten Komponenten des Cloud-Service.

5.5 Weitergehende Leistungen der Hotline, etwa andere Ansprechzeiten und -fristen sowie Rufbereitschaften oder Einsätze des Anbieters vor Ort beim Kunden sind vorab ausdrücklich zu vereinbaren.

6. Laufzeit

6.1 Die Laufzeit des Vertrags beginnt mit der Übersendung der Zugangsdaten für den Cloud-Service durch den Anbieter an den Kunden. Die Laufzeit des Vertrages beträgt ein (1) Jahr und verlängert sich automatisch um jeweils ein (1) weiteres Jahr, wenn der Vertrag nicht von einer der Parteien mindestens drei (3) Monate vor dem Ende der Laufzeit gekündigt wird.

6.2 Darüber hinaus kann der Vertrag vom Anbieter und Kunden ohne Einhaltung einer Frist aus wichtigem Grund gekündigt werden.

6.3 Kündigungserklärungen sind nur schriftlich wirksam.

7. Vergütung

7.1 Die Parteien werden die Vergütung für die Nutzungsüberlassung des Cloud-Service in der Auftragsbestätigung des Anbieters regeln.

7.2 Die Vergütung wird für den vereinbarten Zeitraum im Voraus fällig und vom Anbieter an den Kunden in Rechnung gestellt.

7.3 Bei wirtschaftlichem Unvermögen des Kunden, seine Pflichten gegenüber dem Anbieter zu erfüllen, kann der Anbieter bestehende Austauschverträge mit dem Kunden durch Rücktritt, Dauerschuldverhältnisse durch Kündigung fristlos beenden, auch bei einem Insolvenzantrag des Kunden.

8. Nutzungsrechte an dem Cloud-Service und Schutz vor unberechtigter Nutzung

8.1 Für die Dauer der Laufzeit, wird dem Kunden ein nicht-ausschließliches Recht gewährt, der Cloud-Service und die Dokumentation mittels Fernzugriff zu internen Geschäftszwecken des Kunden zu nutzen;

8.2 Eine erweiterte Nutzung ist stets vor ihrem Beginn vertraglich zu vereinbaren. Die Vergütung richtet sich nach dem Umfang des Einsatzrechts.

8.3 Der Anbieter ist berechtigt, angemessene technische Maßnahmen zum Schutz vor einer nicht vertragsgemäßen Nutzung zu treffen.

8.4 Der Anbieter kann das Nutzungsrecht des Kunden widerrufen, wenn dieser nicht unerheblich gegen Einsatzbeschränkungen oder sonstige Regelungen zum Schutz vor unberechtigter Nutzung (siehe auch Ziffer 1.3 und Ziffer 10.4) verstößt. Der Anbieter hat dem Kunden vorher eine Nachfrist zur Abhilfe zu setzen. Im Wiederholungsfall und bei besonderen Umständen, die unter Abwägung der beiderseitigen Interessen den sofortigen Widerruf rechtfertigen, kann der Anbieter den Widerruf ohne Fristsetzung aussprechen. Der Kunde hat dem Anbieter die Einstellung der Nutzung nach dem Widerruf schriftlich zu bestätigen. Der Anbieter wird dem Kunden das Einsatzrecht wieder einräumen, nachdem der Kunde schriftlich dargelegt und versichert hat, dass keinerlei Verstöße gegen das Einsatzrecht mehr vorliegen sowie vorherige Verstöße und deren Folgen beseitigt sind.

9. Einschaltung von Subunternehmern

9.1 Der Anbieter ist frei darin, zur Erfüllung seiner Verpflichtungen Subunternehmer einzusetzen. Der Kunde erklärt bereits jetzt sein Einverständnis hierzu.

10. Pflichten des Kunden

10.1 Der Kunde sorgt dafür, dass während der Laufzeit fachkundiges Personal für die Unterstützung des Anbieters und den Einsatz des Cloud-Service zur Verfügung steht.

10.2 Der Kunde wird den Anbieter soweit erforderlich bei der Beseitigung von Mängeln unterstützen, insbesondere den Mangel, falls vom Anbieter verlangt auch schriftlich, genauest möglich beschreiben, erforderlichen Daten, Unterlagen und Informationen zur Verfügung stellen.

10.3 Der Kunde erkennt an, dass der Cloud-Service samt der Bedienungsanleitung und weiterer Unterlagen – auch in künftigen Versionen – urheberrechtlich geschützt ist.

10.4 Der Kunde darf nichts unternehmen, was einer unberechtigten Nutzung Vorschub leisten könnte. Der Kunde wird den Anbieter unverzüglich unterrichten, wenn er Kenntnis davon hat, dass in seinem Bereich ein unberechtigter Zugriff droht oder erfolgt ist.

11. Mangelansprüche des Kunden

11.1 Für die Mängelansprüche gilt mietvertragliches Mängelrecht. Störungen an des Cloud-Service werden vom Anbieter wie unter Ziffer 4 beschrieben beseitigt. Der Kunde darf eine Entgeltminderung nicht durch Abzug vom vereinbarten Entgelt durchsetzen. Entsprechende Bereicherungs- oder Schadensersatzansprüche bleiben unberührt.

11.2 Das Kündigungsrecht des Kunden wegen Nichtgewährung des Gebrauchs ist ausgeschlossen, sofern nicht die Herstellung des vertragsgemäßen Gebrauchs als fehlgeschlagen anzusehen ist.

11.3 Der Anbieter leistet Gewähr für die vertraglich geschuldete Beschaffenheit der Leistungen. Für eine nur unerhebliche Abweichung der Leistungen des Anbieters von der vertragsgemäßen Beschaffenheit bestehen keine Ansprüche wegen Sachmängeln. Ansprüche wegen Mängeln bestehen auch nicht bei unsachgemäßer Nutzung, nicht reproduzierbaren Fehlern oder bei Schäden, die aufgrund besonderer äußerer Einflüsse entstehen, die nach dem Vertrag nicht vorausgesetzt sind. Dies gilt auch bei nachträglicher Veränderung oder Instandsetzung durch den Kunden oder Dritte, außer diese erschwert die Analyse und die Beseitigung eines Sachmangels nicht. Für Schadensersatz- und Aufwendungsersatzansprüche gilt Ziffer 13 ff. ergänzend.

11.4 Die Verjährungsfrist für Sachmangelansprüche beträgt ein Jahr. Die Bearbeitung einer Sachmangelanzeige des Kunden durch den Anbieter führt nur zur Hemmung der Verjährung, soweit die gesetzlichen Voraussetzungen dafür vorliegen. Ein Neubeginn der Verjährung tritt dadurch nicht ein. Eine Nacherfüllung (Neulieferung oder Nachbesserung) kann ausschließlich auf die Verjährung des die Nacherfüllung auslösenden Mangels Einfluss haben.

11.5 Der Anbieter kann Vergütung seines Aufwands verlangen, soweit (1) er aufgrund einer Meldung tätig wird, ohne dass ein Mangel vorliegt, außer der Kunde konnte mit zumutbarem Aufwand nicht erkennen, dass kein Mangel vorlag, oder (2) eine gemeldete Störung nicht reproduzierbar ist, oder (3) zusätzlicher Aufwand wegen nicht ordnungsgemäßer Erfüllung der Pflichten des Kunden (siehe auch Ziffer 10 ff.) anfällt.

12. Rechtsmängel

12.1 Für Verletzungen von Rechten Dritter durch seine Leistung haftet der Anbieter nur, soweit die Leistung vertragsgemäß und insbesondere in der vertraglich vereinbarten, sonst in der vorgesehenen Einsatzumgebung, unverändert eingesetzt wird. Der Anbieter haftet für Verletzungen von Rechten Dritter nur am Ort der vertragsgemäßen Nutzung der Leistung.

12.2 Macht ein Dritter gegenüber dem Kunden geltend, dass eine Leistung des Anbieters seine Rechte verletzt, benachrichtigt der Kunde unverzüglich den Anbieter. Der Anbieter und ggf. dessen Vorlieferanten sind berechtigt, aber nicht verpflichtet, soweit zulässig die geltend gemachten Ansprüche auf deren Kosten abzuwehren. Der Kunde ist nicht berechtigt, Ansprüche Dritter anzuerkennen, bevor er dem Anbieter angemessen Gelegenheit gegeben hat, die Rechte Dritter auf andere Art und Weise abzuwehren.

12.3 Werden durch eine Leistung des Anbieters Rechte Dritter verletzt, wird der Anbieter nach eigener Wahl und auf eigene Kosten (1) dem Kunden das Recht zur Nutzung der Leistung verschaffen oder (2) die Leistung rechtsverletzungsfrei gestalten oder (3) die Leistung unter Erstattung der dafür vom Kunden geleisteten Vergütung (abzüglich einer angemessenen Nutzungsentschädigung) zurücknehmen, wenn der Anbieter keine andere Abhilfe mit angemessenem Aufwand erzielen kann. Die Interessen des Kunden werden dabei angemessen berücksichtigt.

12.4 Ansprüche des Kunden wegen Rechtsmängeln verjähren entsprechend Ziffer 11.4. Für Schadensersatz- und Aufwendungsersatzansprüche des Kunden gilt Ziffer 13 ff. ergänzend, für zusätzlichen Aufwand des Anbieters gilt Ziffer 11.5 entsprechend.

13. Allgemeine Haftung des Anbieters

13.1 Der Anbieter haftet dem Kunden stets (1) für die von ihm sowie seinen gesetzlichen Vertretern oder Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursachten Schäden und (2) für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die der Anbieter, seine gesetzlichen Vertreter oder Erfüllungsgehilfen zu vertreten haben.

13.2 Der Anbieter haftet bei leichter Fahrlässigkeit nicht, außer soweit er eine wesentliche Vertragspflicht verletzt hat, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Diese Haftung ist bei Sach- und Vermögensschäden auf den vertragstypischen und vorhersehbaren Schaden beschränkt. Dies gilt auch für entgangenen Gewinn und ausgebliebene Einsparungen. Die Haftung für sonstige entfernte Folgeschäden ist ausgeschlossen. Für einen einzelnen Schadensfall ist die Haftung auf den Vertragswert begrenzt, bei laufender Vergütung auf die Höhe der Vergütung pro Vertragsmonat. Für die Verjährung gilt Ziffer 11.4 entsprechend. Die Haftung gemäß Ziffer 13.1 bleibt von diesem Absatz unberührt.

13.3 Aus einer Garantieerklärung haftet der Anbieter nur auf Schadensersatz, wenn dies in der Garantie ausdrücklich übernommen wurde. Diese Haftung unterliegt bei leichter Fahrlässigkeit den Beschränkungen gemäß Ziffer 13.2.

13.4 Bei Verlust von Daten haftet der Anbieter nur für denjenigen Aufwand, der für die Wiederherstellung der Daten bei ordnungsgemäßer Datensicherung durch den Kunden (siehe Ziffer 14.2) erforderlich ist.

14. Datenschutz und Kopien der Daten des Kunden

14.1 Soweit der Anbieter auf Daten und insbesondere auf personenbezogene Daten zugreifen kann, die auf Systemen des Kunden gespeichert sind, wird er ausschließlich als Auftragsdaten-Verarbeiter tätig und diese Daten nur zur Vertragsdurchführung verarbeiten und nutzen. Der Anbieter wird Weisungen des Kunden für den Umgang mit diesen Daten beachten. Der Kunde trägt etwaige nachteilige Folgen solcher Weisungen für die Vertragsdurchführung.

14.2 Der Kunde wird einmal pro Kalendermonat die jeweils vom Anbieter bereitgestellte elektronische Kopie der Daten des Kunden verschlüsselt vom Anbieter herunterladen, speichern und als eigenes Backup des Kunden sicher verwahren.

14.3 Nach Ablauf der vertraglichen Nutzungszeit wird der Anbieter die Datensicherung vom letzten Tag der Vertragslaufzeit innerhalb von 48 Stunden bereitstellen. Der Kunde ist berechtigt diese Datensicherung innerhalb von 10 Tagen wie in Ziffer 14.2 beschrieben, herunterzuladen. Im Anschluss daran wird der Anbieter alle Daten des Kunden endgültig löschen.

14.4 Der Anbieter verarbeitet Daten (Alle üblichen und relevanten Daten, die in ERP- (insbesondere SAP) und zugehörigen Sub-Systemen gespeichert werden. Dies sind insbesondere folgende Daten: Kunden, Lieferanten und Interessenten mit Daten zu Ansprechpartnern. Personaldaten, wie Bewerber, Mitarbeiter, Auszubildende, Praktikanten, Ruheständler, usw.. Daten zur Arbeitszeiterfassung und Zugangskontrolle und Terminverwaltung. Daten zur Kommunikation sowie zur Abwicklung und Kontrolle von Transaktionen sowie technische Systeme; Notfallkontaktdaten; Sonstige Personengruppen) im Auftrag des Kunden. Dies umfasst Tätigkeiten (Betrieb von SAP- und Subsystemen. Beratung zur Optimierung und zum Einsatz von SAP- und Subsystemen. Konfiguration und Bereitstellung von SAP- und Subsystemen. Fehlersuche und Datenkorrektur in SAP- und Subsystemen. Übernahme von Daten und Aufbereitung von Daten zum Einspielen in SAP- und Sub-Systemen. Aufbereitung von Daten zur Weitergabe an Dritte nach Aufforderung durch den Kunden; z.B. Personaldaten an Abrechnungssysteme; Elektronische Überweisungsträger an Banken; Datenbanken an Softwarehersteller (z.B. SAP) zur weiteren Fehleranalyse und Korrektur in SAP- und Subsystemen), die in der Leistungsbeschreibung konkretisiert sind. Der Kunde ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Anbieter sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.

14.5 Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Kunden danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

14.6 Der Anbieter darf Daten von Betroffenen nur im Rahmen des Auftrages und der Weisungen des Kunden verarbeiten.

14.7 Der Anbieter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Kunden treffen, die den Anforderungen des Datenschutzgesetzes genügen. Diese Maßnahmen betreffen: (1) Zutrittskontrolle, (2) Zugangskontrolle, (3) Zugriffskontrolle, (4) Weitergabekontrolle, (5) Eingabekontrolle, (6) Auftragskontrolle, (7) Verfügbarkeitskontrolle und (8) Trennungskontrolle. Die vom Anbieter getroffenen Sicherheitsmaßnahmen werden nachfolgend aufgeführt. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Anbieter vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

14.7.1 Zutrittskontrolle

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle): (1) Einführung und Aufrechterhaltung gestaffelter Zutrittsrechte für Mitarbeiter und Dritte; (2) Regelung und Begrenzung von Zutrittsrechten, Ausgabe von entsprechenden Schlüsseln oder Schlüsselkarten; (3) Regelmäßige Überprüfung und Aktualisierung von Schlüsseln oder Schlüsselkarten; (4) Identifikation und Überprüfung aller Personen mit Zutrittsrechten; (5) Protokollierung von Besuchern, die Zugriff zu Datenverarbeitungsanlagen haben

14.7.2 Zugangskontrolle

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle): (1) Betrieb von zentralen Datenverarbeitungsanlagen (Servern) nur in speziell gesicherten Räumen, zu denen nur ausgewählte Mitarbeiter (Administratoren) und zu Sorgfalt und Verschwiegenheit verpflichtete Dienstleister Zutritt haben; (2) Erstellung und Durchsetzung von Verhaltensregeln für die Nutzung mobiler Endgeräte, die die Mitarbeiter u.a. verpflichten, solche auf Reisen nicht unbeaufsichtigt zu lassen; (3) Logische (z.B. durch Passwörter) und physische (z.B. durch die Verwendung abschließbarer oder anderweitig gesicherter Behältnisse) Sicherung von allen Datenspeichermedien (externe Festplatten, USB-Sticks, CD-ROMs, DVDs etc.).

14.7.3 Zugriffskontrolle

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle): (1) Erstellung und Durchsetzung einer Nutzungsrichtlinie, die die Erfassung, das Lesen, das Ändern und das Löschen von Daten regelt; (2) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (3) Sperrung von Nutzerkonten, soweit diese länger als 30 Tage nicht benutzt wurden; Nutzung von sicheren Passwörtern; (4) Regelmäßige Änderung der Passwörter; (5) Sperrung von Passwörtern nach mehrmaliger Falscheingabe; (6) Beschränkung der Nutzerrechte für Mitarbeiter, die keine Administratoren sind; Trennung von Test- und Produktivsystemen.

14.7.4 Weitergabekontrolle

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle): (1) Erstellung und Durchsetzung einer Nutzungsrichtlinie, die die Weitergabe und den Transport von Daten regelt; (2) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (3) Erstellung von Dokumentationen für alle Programme, die Daten verschlüsseln, senden oder empfangen; (4) Überwachung aller Schnittstellen (Ports) der Datenverarbeitungsanlage zum Internet und Sperre aller nicht für die übliche Tätigkeit benötigter Schnittstellen (z.B. von Ports, die für Filesharing-Programme oder Chat-Programme genutzt werden); (5) Überwachung von dezentralen Unternehmensstandorten, soweit diese Dateien senden oder empfangen.

14.7.5 Eingabekontrolle

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle): (1) Erstellung und Durchsetzung einer Nutzungsrichtlinie, die die Erfassung, das Lesen, das Ändern und das Löschen von Daten regelt; (2) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (3) Protokollierung der relevanten Datenzugriffe.

14.7.6 Auftragskontrolle

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle): (1) Nutzung der Datenverarbeitungsanlagen nur nach Identifizierung und Authentifizierung des Nutzers; (2) Protokollierung der relevanten Datenzugriffe.

14.7.7 Verfügbarkeitskontrolle

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle): (1) Erstellung von Sicherungskopien mindestens einmal alle 24 Stunden mit mindestens zwei unterschiedlichen Systemen; (2) Aufbewahrung der Sicherheitskopien in brandgeschützten Behältnissen oder einem räumlich getrennten Rechenzentrum.

14.7.8 Datentrennung

Der Anbieter wird insbesondere die folgenden Maßnahmen treffen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: (1) Logische Trennung von Daten des Kunden und anderen Daten

14.8 Der Anbieter gewährleistet, dass es den mit der Verarbeitung der Daten des Kunden befassten Mitarbeitern und anderen für den Anbieter tätigen Personen per Verpflichtung untersagt ist, die Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung des Auftrages fort.

14.9 Der Anbieter unterrichtet den Kunden unverzüglich bei schwerwiegenden Verstößen des Anbieters oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz Daten des Kunden oder die im Vertrag getroffenen Festlegungen. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Kunden ab. Der Anbieter unterstützt den Kunden bei der Erfüllung seiner Informationspflichten.

14.10 Der Anbieter nennt dem Kunden den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

14.11 Der Anbieter verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung.

14.12 Der Anbieter berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Kunde dies anweist. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Anbieter aufgrund einer Einzelbeauftragung durch den Kunden, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Kunden zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.

14.13 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Kunden entweder herauszugeben oder zu löschen.

14.14 Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich.

14.15 Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Kunde.

14.16 Der Kunde hat den Anbieter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

14.17 Die Pflicht zur Führung des öffentlichen Verfahrensverzeichnisses liegt beim Kunden.

14.18 Ist der Kunde aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu erteilen, wird der Anbieter den Kunden dabei unterstützen, diese Informationen bereitzustellen. Dies setzt voraus, dass der Kunde den Anbieter hierzu schriftlich oder in Textform aufgefordert hat und der Kunde dem Anbieter die durch diese Unterstützung entstandenen Kosten erstattet. Der Anbieter wird keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Kunden verweisen.

14.19 Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den Anbieter, wird der Anbieter den Betroffenen an den Kunden verweisen.

14.20 Der Kunde überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Anbieters und dokumentiert das Ergebnis. Hierfür kann er z. B. Auskünfte des Anbieters einholen, sich ein ggf. vorhandenes Testat eines Sachverständigen vorlegen lassen, oder nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich prüfen oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Anbieter steht.

14.21 Der Anbieter wird die Kontrollen des Kunden dulden und verpflichtet sich, dem Kunden auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind. Der Kunde wird dem Anbieter die Kosten und Aufwände vergüten, die durch die Kontrollen des Kunden verursacht werden.

14.22 Der Kunde ist damit einverstanden, dass der Anbieter zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Anbieters zur Leistungserfüllung heranzieht bzw. Unternehmen mit den aufgeführten Leistungen unterbeauftragt.

14.23 Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden insbesondere unter Einschaltung eines Subunternehmers durchgeführt, namentlich der SAP SE, Walldorf (Deutschland) für die Bereitstellung und Wartung der SAP Software.

14.24 Erteilt der Anbieter Aufträge an Subunternehmer, so obliegt es dem Anbieter, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. Eine etwaige Prüfung durch den Kunden beim Subunternehmer erfolgt nur in Abstimmung mit dem Anbieter.

14.25 Durch schriftliche Aufforderung ist der Kunde berechtigt, vom Anbieter Auskunft über die datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.

14.26 Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Anbieter Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei externem Personal, Post- und Versanddienstleistungen oder Wartung.

14.27 Der Anbieter wird mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen Datenschutz zu gewährleisten.

14.28 Sollten die Daten des Kunden beim Anbieter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Anbieter den Kunden unverzüglich darüber zu informieren. Der Anbieter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden liegen.

15. Rechte der SAP

15.1 Der Kunde nimmt zur Kenntnis, dass der Anbieter der SAP regelmäßig Berichte über seine Endkunden -– was auch den Kunden umfasst – vorlegen muss. Hierzu stimmt der Kunde zu, dass der Anbieter folgende Angaben an SAP übermitteln: (1) SAP-Auftragsnummer für den Kunden; (2) Name des Kunden; (3) Adresse des Kunden (Straße, Postleitzahl, Ort, Land); (4) DUNS-Nummer des Kunden (Dun & Bradstreet’s Nummer zwecks eindeutiger Identifizierung von Unternehmen); (5) Status des Kunden (Grundlaufzeit des Vertrags/Kündigungstermin, Anzahl und Typ der Nutzer beim Kunden); und (6) weitere Einzelheiten über den Kunden, wie sie von SAP gegenüber dem Anbieter auf deren vertraglicher Grundlage verlangt werden können.

15.2 Der Kunde wird – und wird sicherstellen, dass seine definierten Nutzer dies tun – vertrauliche Informationen von SAP in Übereinstimmung mit Ziffer 16 ff. mindestens so vertraulich behandeln wie die vertraulichen Informationen des Anbieters.

15.3 Der Kunde räumt der SAP das Recht ein (als echtes Recht zugunsten Dritter), im Falle einer Verletzung der Rechte von SAP am geistigen Eigentum durch den Kunden Schadenersatzforderungen geltend zu machen.

15.4 Der Kunde verpflichtet sich ferner, sicherzustellen, dass SAP – in Übereinstimmung mit den anwendbaren Datenschutzgesetzen – Prüfungen durchführen kann, um (1) die Einhaltung der Lizenzbestimmungen für die SAP-Software, (2) die Berechnung der Gebühren zwischen dem Anbieter und SAP, und/oder (3) die Richtigkeit und Vollständigkeit der vom Anbieter gegenüber SAP vorzulegenden Berichte zu überprüfen, und die erforderliche Zustimmung zu solchen Prüfungen von Personen einzuholen, die für den Kunden arbeiten.

15.5 Vorbehaltlich gesetzlicher Beschränkungen, und ohne Inhalte oder andere vertrauliche Informationen zu sammeln und an SAP zu übermitteln, wird es SAP gestattet, (a) die SAP-Software so einzurichten, dass jedes System die für eine Prüfung benötigten Informationen generiert und an SAP überträgt, und (b) remote auf die SAP-Software und die Geräte, auf denen sie installiert ist, zuzugreifen, um ihre Nutzung zu überprüfen.

16. Vertraulichkeit

16.1 Jede Partei behandelt alle vertraulichen Informationen, geschützten Informationen und Geschäftsgeheimnisse der anderen Partei, die sie in Verbindung mit diesem Vertrag erlangt, streng vertraulich. Jede Partei behandelt diesen Vertrag und seine Bedingungen als vertrauliche Informationen. Die Parteien stellen ihren Mitarbeitern oder Dritten vertrauliche Informationen nur insoweit zur Verfügung, als dies zur Erfüllung ihrer Pflichten im Rahmen dieses Vertrags erforderlich ist und nur unter der Voraussetzung, dass diese Personen an eine entsprechende Geheimhaltungspflicht gebunden werden.

16.2 Vertrauliche Informationen umfassen keine Informationen, die: (1) ohne Verschulden der empfangenden Partei allgemein bekannt oder öffentlich zugänglich werden; (2) sich vor dem Erhalt von der offenlegenden Partei ohne Verletzung einer Geheimhaltungspflicht im Besitz der empfangenden Partei befanden, dieser bekannt waren oder in dinglicher Form erworben wurden; (3) von der empfangenden Partei ohne Nutzung der vertraulichen Informationen unabhängig entwickelt wurden; (4) der empfangenden Partei von Dritten, die durch keine Geheimhaltungsverpflichtung in Bezug auf die Informationen gebunden sind, rechtmäßig offengelegt wurden; (5) von der empfangenden Partei nach vorheriger schriftlicher Zustimmung der offenlegenden Partei preisgegeben wurden; (6) gemäß gesetzlichen oder verwaltungsrechtlichen Vorschriften offengelegt werden müssen, wenn die offenlegende Partei ohne unbillige Verzögerung über diese Pflicht informiert wird und der Umfang der Offenlegung so weit wie möglich beschränkt wird, oder Informationen, die aufgrund eines Gerichtsbeschlusses offengelegt werden müssen, wenn die offenlegende Partei ohne unbillige Verzögerung über diesen Beschluss informiert wird und keine Möglichkeit besteht, gegen den Beschluss Berufung einzulegen.

16.3 Die vorgenannten Geheimhaltungspflichten bestehen auch nach Beendigung dieses Vertrags fort.

17. Sonstiges

17.1 Der Kunde wird für die Leistungen anzuwendende Import-und Export-Vorschriften eigenverantwortlich beachten. Bei grenzüberschreitender Leistung trägt der Kunde anfallende Zölle, Gebühren und sonstige Abgaben. Der Kunde wird gesetzliche oder behördliche Verfahren im Zusammenhang mit grenzüberschreitenden Leistungen eigenverantwortlich abwickeln, außer soweit anderes ausdrücklich vereinbart ist.

17.2 Es gilt deutsches Recht. Die Anwendung des UN-Kaufrechts ist ausgeschlossen.

17.3 Die Annahme der Leistungen durch den Kunden gilt als Anerkennung der allgemeinen Vertragsbedingungen des Anbieters. Andere Bedingungen sind nur verbindlich, wenn der Anbieter sie schriftlich anerkannt hat.

17.4 Änderungen und Ergänzungen dieses Vertrages bedürfen in jedem Fall der Schriftform.

17.5 Gerichtsstand ist der Sitz des Anbieters. Der Anbieter kann den Kunden auch an dessen Sitz verklagen.

Ausgabe Oktober 2016