injixo Allgemeine Nutzungsbedingungen

Stand: Juli 2016

1. Das Wesentliche

a. Der Service

injixo ist ein Online-Dienst für Personaleinsatzplanung in Call-Centern bestehend aus den Bereichen Prognose, Planung und Auswertung („Dienst“). Wir arbeiten permanent an Verbesserungen des Dienstes und nehmen entsprechend ständig Veränderungen an dem Dienst vor. Leistungsgegenstand ist daher der Dienst in seiner jeweils aktuellen Ausprägung. Der Dienst wird Ihrem Unternehmen gegenüber durch die injixo AG, Gubelstrasse 12, 6300 Zug, Schweiz erbracht. Mit der Inanspruchnahme des Dienstes stimmen Sie den nachfolgenden Nutzungsbedingungen zu.

b. Verfügbarkeit

Wir unternehmen große Anstrengungen, um den Dienst weitestgehend unterbrechungsfrei zur Verfügung zu stellen. Soweit nicht anders vereinbart, ist die definierte Verfügbarkeitszeit 24 Stunden an 7 Tagen je Woche. Wir gewährleisten dabei eine Verfügbarkeit von mindestens 99,5% bezogen auf ein Kalenderjahr. Die Verfügbarkeit wird folgendermaßen berechnet:

VF = [(VZ-AZ-NV) / (VZ-NV) * 100] ≥ 99.50%

Dabei bedeutet:

  • VZ = definierte Verfügbarkeitszeit in Minuten (Gesamtzeit)
  • AZ = Summe der Ausfallzeiten innerhalb der definierten Verfügbarkeitszeit
  • NV = Summe der geplanten bzw. nicht anrechenbaren Nichtverfügbarkeit. Dazu zählen:

    • Alle Ausfallzeiten von weniger als 15 Minuten
    • Planmäßige Wartungsarbeiten (keine Sorge, wir informieren Sie im Voraus über solche Wartungsarbeiten)
    • Nichtverfügbarkeit aufgrund von höherer Gewalt (siehe unten Ziffer 2c). Hierzu zählen insbesondere Naturkatastrophen, Überschwemmungen, Brände, Erdbeben, terroristische Anschläge, soziale Unruhen, Streiks, staatliche Maßnahmen, Störungen des Internets sowie widerrechtliche Angriffe Dritter auf die Infrastruktur der injixo-Plattform.

Beginnt oder endet die Beauftragung für den Dienst im laufenden Kalenderjahr, so wird die Verfügbarkeit für die Zeiträume des Kalenderjahres außerhalb der Vertragslaufzeit mit 100% angesetzt.

c. Ihre Sorgfaltspflicht als Nutzer

Jeder Nutzer muss im System als Benutzer mit individuellen Zugangsdaten (Login) angelegt werden. Sie können beliebig viele Benutzer im System anlegen. Die jeweiligen Zugangsdaten dürfen nur von der Person benutzt werden, für die sie eingerichtet wurden. Die Weitergabe der Zugangsdaten an Dritte oder die Nutzung der gleichen Zugangsdaten durch mehrere Personen ist nicht erlaubt. Die Wahl eines sicheren Passworts für den Zugang liegt ausschließlich in der Verantwortung des Nutzers, so ist z.B. das Passwort „Passwort“ keine gute Idee. Für einen Missbrauch des Zugangs durch Ihre Mitarbeiter oder Dritte sind Sie verantwortlich, es sei denn, Sie und Ihre Mitarbeiter trifft kein Verschulden am Missbrauch.

d. Beginn und Ende des Vertrages

Der Nutzungsvertrag für den Dienst beginnt mit Ihrer entsprechenden Bestellung und läuft auf unbestimmte Zeit. Der Vertrag kann jederzeit ohne Einhaltung einer Kündigungsfrist von beiden Vertragsparteien per Email zum jeweiligen Monatsende gekündigt werden. Sie können den Dienst über die injixo Webseite, per Email oder telefonisch bei uns bestellen.

e. Abrechnung

Wir rechnen den Dienst am Anfang eines Kalendermonats jeweils für den abgelaufenen Kalendermonat ab. Die Berechnung erfolgt auf Basis der pro Tag höchsten Anzahl aktiver Nutzer im abgelaufenen Monat. Dazu zählt das System jeden Tag die Zahl der für Sie im System angelegten aktiven Nutzer. Dies schließt alle Nutzer ein, die entweder verplant werden können (z.B. Agenten) oder Nutzer, die zwar nicht verplant werden können, aber eigene Zugangsdaten haben (z.B. Planer). Abgerechnet wird der höchste Tageswert an aktiven Nutzern des abgelaufenen Kalendermonats. Im System können Sie eine Übersicht einsehen, in der wir Ihnen die jeweiligen Nutzerzahlen pro Tag anzeigen. So können Sie Überraschungen in der Rechnung vermeiden.

f. Zahlung

f1 Alle vereinbarten Preise verstehen sich zuzüglich der jeweils zum Leistungszeitpunkt gültigen gesetzlichen Umsatzsteuer sowie sonstiger Steuern und Abgaben, die auf unsere Leistungen erhoben werden. Rechnungen übersenden wir ausschließlich per E-Mail an die von Ihnen hierfür angegebene E-Mail-Adresse.

f2 Ihre Zahlungen sind in der Weise auf das in der Rechnung angegebene Konto zu leisten, dass Bankspesen zu Ihren Lasten gehen.

f3 Wenn Sie sich mit der Zahlung von mehr als einer Rechnung ganz oder in wesentlichen Teilen in Verzug befinden, behalten wir uns vor, den Dienst nach entsprechender Ankündigung für Sie zu sperren, bis die Zahlungsrückstände vollständig ausgeglichen sind. Die Sperrung bedeutet keine Kündigung durch uns. Nach Eingang der entsprechenden Zahlung bei uns wird der Dienst für Sie wieder freigegeben.

g. Datenschutz

Die Vertragsparteien halten die gesetzlichen Bestimmungen des Datenschutzes ein. Im Rahmen der Dienste werden von uns u.a. auch personenbezogene Daten im Wege der weisungsgebundenen Auftragsdatenverarbeitung für Sie verarbeitet; die diesbezüglichen Rechte und Pflichten der Vertragsparteien ergeben sich aus der Anlage zur Auftragsdatenverarbeitung (siehe unten Ziffer 3), die integraler Bestandteil dieser Nutzungsbedingungen und damit der vertraglichen Vereinbarungen ist.

h. Mitteilungen

Wir sind berechtigt, Ihnen und/oder Ihren Nutzern über das System oder als E-Mail Nachrichten zu schicken, die den Dienst betreffen. Dabei kann es sich z.B. um Wartungsankündigungen, Tipps zur Nutzung des Dienstes oder Newsletter zu WFM-Themen handeln.

2. Weitere Regelungen

a. Nutzungsrechte

Ihnen steht an dem Dienst während der Laufzeit des Vertrages das nicht ausschließliche Recht zur Nutzung des Dienstes für eigene Geschäftszwecke zu. Sofern injixo-Softwarekomponenten zur Nutzung des Dienstes bei Ihnen installiert werden müssen, umfasst Ihr Nutzungsrecht alle Nutzungsarten, die für die Nutzung des Dienstes erforderlich oder gesetzlich explizit erlaubt sind. Im Übrigen erhalten Sie mit dem Vertrag keinerlei Eigentumsrechte oder dauerhafte bzw. über die Laufzeit des Vertrages und den definierten Einsatzzweck des Dienstes hinausgehende Nutzungsrechte. Alle Rechte an dem Dienst, den zugrunde liegenden Softwareapplikationen oder bei Ihnen installierten injixo-Softwarekomponenten im Original, in Kopie oder modifizierter Form verbleiben insoweit bei uns.

b. Begrenzung der Haftung

b1 Für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, bei einer Haftung nach dem Produkthaftungsgesetz oder aus einer Garantie sowie für Vorsatz und grobe Fahrlässigkeit haften wir nach den gesetzlichen Vorschriften.

b2 Eine verschuldensunabhängige Haftung unsererseits auf Schadensersatz für Mängel, die bereits bei Erteilung des Auftrags vorhanden waren, wird ausgeschlossen.

b3 Außerhalb des Bereiches der Ziffer b1 gilt Folgendes:
Für versicherte Risiken, insbesondere solche, die von der betrieblichen Haftpflichtversicherung abgedeckt sind, haften wir bis zur Höhe von 250.000,- Euro.
Für nicht versicherte Ansprüche haften wir unabhängig von der in Frage kommenden Anspruchsgrundlage auch für eigene Mitarbeiter und im Rahmen des Vertrages eingeschaltete Dritte maximal auf einen Zahlungsanspruch in Höhe der durchschnittlichen monatlichen Servicegebühr der letzten sechs Monate.
Soweit keine vertragswesentliche Pflicht (Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglichen und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf) verletzt wurde, ist unsere Haftung ausgeschlossen. Ebenso ausgeschlossen ist unsere Haftung für indirekte und Mangelfolgeschäden.

c. Höhere Gewalt

c1 Fälle höherer Gewalt (als solche gelten Umstände und Vorkommnisse, die mit der Sorgfalt einer ordentlichen Betriebsführung nicht verhindert werden können) suspendieren die Vertragsverpflichtungen der Vertragsparteien für die Dauer der Störungen und im Umfang ihrer Wirkung. Weitergehende Ansprüche bestehen nicht.

c2 Als höhere Gewalt gelten auch von uns nicht verschuldete Folgen eines Arbeitskampfes bei uns oder einem Dritten, sofern sich dadurch Auswirkungen auf unser Leistung ergeben.

d. Vertraulichkeit

d1 Beide Vertragsparteien sind verpflichtet, die vor oder nach Abschluss des Vertrages erlangten Informationen über vertrauliches Know-how oder Betriebsinterna des jeweils anderen Vertragspartners streng vertraulich zu behandeln. Dies betrifft insbesondere alle nicht öffentlich zugänglichen Informationen über den Dienst sowie Ihre im Rahmen des Dienstes verarbeiteten Daten.

d2 Beide Vertragsparteien werden ihre Mitarbeiter (einschließlich nur zeitweise beschäftigter Mitarbeiter, Praktikanten u.ä.) und gegebenenfalls im Zuge der Durchführung dieses Vertrages eingeschaltete Subunternehmer schriftlich zur Wahrung der Geheimhaltung in dem genannten Umfang verpflichten und dem jeweils anderen Vertragspartner entsprechende Verpflichtungserklärungen auf Verlangen überlassen. Die Geheimhaltungsverpflichtung besteht auch nach Beendigung des Vertrages unbeschränkt fort.

d3 Wir sind berechtigt, den Vertragsschluss im Rahmen unserer Presse- und Öffentlichkeitsarbeit zu kommunizieren.

e. Ihr Verantwortungsbereich

e1 Der Zugriff auf den Dienst am Anschlusspunkt unterliegt Ihrer Verantwortung (z.B. Ihre hardware- und softwaretechnische Ausstattung der Clients und die Bereitstellung eines entsprechenden Internetzugangs) . Übergabepunkt für den Dienst und alle Anwendungsdaten ist der Anschlusspunkt unserer injixo-Plattform an das öffentliche Internet.

e2 Soweit injixo-Softwarekomponenten zur Nutzung des Dienstes bei Ihnen installiert werden müssen, obliegt Ihnen die betriebsbereite Bereitstellung der erforderlichen Systemumgebung sowie die Installation und Konfiguration dieser Softwarekomponenten.

e3 Sie sind für die Einhaltung eventuell bestehender gesetzlicher Aufbewahrungspflichten hinsichtlich der mit dem Dienst verarbeiteten Daten selbst verantwortlich.

e4 Wir behalten uns vor, Bewegungsdaten, die älter als 36 Monate sind, auch bei fortbestehendem Vertragsverhältnis zu löschen. Darüber hinaus können wir sämtliche Daten nach Ablauf von einem Monat nach Vertragsende löschen.

f. Allgemeines

f1 Unsere Leistungen erfolgen ausschließlich auf Basis dieser Nutzungsbedingungen. Abweichende oder ergänzende Geschäftsbedingungen Ihrerseits erlangen nur Geltung, wenn sie von uns ausdrücklich schriftlich akzeptiert werden. Die vorbehaltlose Leistungserbringung durch uns stellt kein Einverständnis mit Ihren Geschäftsbedingungen dar.

f2 Änderungen oder Ergänzungen dieser Nutzungsbedingungen können wir Ihnen per E-Mail mitteilen. Sie können der Änderung innerhalb von sechs Wochen widersprechen (E-Mail genügt). Erfolgt Ihrerseits kein Widerspruch, gilt die Änderung als von Ihnen genehmigt und wird drei Monate nach unserer Mitteilung wirksam. Im Übrigen bedürfen Änderungen und Ergänzungen des Vertrages zu ihrer Wirksamkeit grundsätzlich der Schriftform, wobei von diesem Schriftformerfordernis selbst ebenfalls nur schriftlich abgewichen werden kann. E-Mails genügen der Schriftform.

f3 Es gilt ausschließlich das Recht der Schweiz. Die Regelungen des “UN-Kaufrechts“ (CISG) und Verweisungen in ausländische Rechtsordnungen finden keine Anwendung.

f4. Ausschließlicher Gerichtsstand und Erfüllungsort für alle Verpflichtungen aus diesem Vertrag ist Zug, Schweiz.

3. Auftragsdatenverarbeitung

a. Präambel

a1 Diese Anlage zur Auftragsdatenverarbeitung gem. Art. 17 Para. 3 der Direktive 95/46/EC (nachfolgend „Anlage“ genannt) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus dem Vertrag zur Nutzung des Dienstes durch Sie ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Dienst im Zusammenhang stehen und bei denen unsere Mitarbeiter oder durch uns beauftragte Dritte mit Ihren personenbezogenen Daten in Berührung kommen können.

a2 Die Inhalte dieser Anlage gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

b. Definitionen

b1 Personenbezogene Daten
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

b2 Datenverarbeitung im Auftrag
Datenverarbeitung im Auftrag ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch injixo in Ihrem Auftrag.

b3 Weisung
Weisung ist Ihre auf einen bestimmten datenschutzmäßigen Umgang (z.B. Anonymisierung, Sperrung, Löschung, Herausgabe) durch uns mit personenbezogenen Daten gerichtete schriftliche Anordnung. Die Weisungen werden anfänglich durch den Vertrag, die einbezogenen Nutzungsbedingungen und insbesonder diese Anlage festgelegt und können von Ihnen danach in schriftlicher Form oder per E-Mail (in Textform) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).

c. Konkretisierung des Auftrags

c1 Wir verarbeiten Ihre personenbezogene Daten ausschließlich in Ihrem Auftrag. Dies umfasst alle Tätigkeiten zum Betrieb des Dienstes, insbesondere:

  • die Speicherung Ihrer personenbezogenen Daten und deren Bereitstellung im Rahmen des Dienstes für die Verarbeitung durch Sie,
  • und/oder die Pflege des von Ihnen genutzten Dienstes in Form der Einführung neuer Versionen des Dienstes und gegebenenfalls erforderlicher Migration der Bestandsdaten sowie Analyse von Funktionsstörungen des von Ihnen genutzten Dienstes.

Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind unter anderem folgende Datenarten:

  • Personenstammdaten,
  • Kommunikationsdaten (z.B. Telefon, E-Mail),
  • Vertragsstammdaten (z.B. Tätigkeit, Arbeitszeit),
  • Vertragsabrechnungsdaten,
  • Dienstplandaten und ACD-Daten.

Von folgenden Personengruppen werden personenbezogene Daten im Rahmen dieses Auftrages verarbeitet:

  • Ihre Beschäftigte,
  • Beschäftigte von mit Ihrem Unternehmen verbundenen Unternehmen,
  • Beschäftigte der Kunden des Auftraggebers.

c2 Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf Ihrer vorherigen Zustimmung und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 25, 26 der Direktive 95/46/EC erfüllt sind. Zu einer Verarbeitung in den Vereinigten Staaten von Amerika erteilen Sie hiermit ausdrücklich Ihre Zustimmung unter der Voraussetzung, dass mit dem dortigen Auftragsdatenverarbeiter eine Vereinbarung gemäß der Standardbedingungen der Europäischen Kommission für die Datenübermittlung an Auftragsdatenverarbeiter in Drittstaaten, in denen kein adäquater Datenschutz sichergestellt ist (EU model clauses), geschlossen wurde.

c3 Im Rahmen Ihrer Nutzung des Dienstes bleiben Sie für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an uns sowie für die Rechtmäßigkeit der Datenverarbeitung selbst allein verantwortlich (im Sinne des Art. 2d der Direktive 95/46/EC).

c4 Aufgrund dieser Verantwortlichkeit können Sie auch während der Laufzeit des Vertrages und nach dessen Beendigung die Löschung bzw. im Rahmen der Ziffer 2 e4 die Herausgabe der Daten verlangen.

d. Technisch-organisatorische Maßnahmen

d1 Wir gestalten in unserem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Wir treffen technische und organisatorische Maßnahmen zur angemessenen Sicherung Ihrer Daten vor Missbrauch und Verlust, die den Forderungen des Art. 17 Para. 1 der Direktive 95/46/EC entsprechen. Dies beinhaltet insbesondere

  • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),
  • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  • dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  • dafür Sorge zu tragen, dass personenbezogene Daten innerhalb unseres Verantwortungsbereiches bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  • dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  • dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  • dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  • dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).

d2 Eine Darstellung unserer hiernach konkret getroffenen technischen und organisatorischen Maßnahmen ist in Kapitel 4 dieses Vertrages beschrieben.

e. Unsere Pflichten

e1 Wir dürfen Daten nur im Rahmen des Vertrags und nach Ihren Weisungen erheben, verarbeiten oder nutzen.

e2 Wir stellen Ihnen auf Ihre Anforderung die für die Übersicht/das Verfahrensverzeichnis aus unserem Verantwortungsbereich notwendigen Angaben zur Verfügung.

e3 Wir stellen sicher, dass die mit der Verarbeitung Ihrer Daten befassten Mitarbeiter verpflichtet und in die Schutzbestimmungen der Direktive 95/46/EC eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

e4 Wir teilen Ihnen auf Anfrage die Kontaktdaten unseres betrieblichen Datenschutzbeauftragten mit.

e5 Wir unterrichten Sie unverzüglich bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung Ihrer personenbezogener Daten.

e6 Überlassene Datenträger sowie sämtliche hiervon gefertigten physischen Kopien oder Reproduktionen verbleiben in Ihrem Eigentum. Wir verwahren diese sorgfältig, so dass sie Unbefugten nicht zugänglich sind. Wir sind verpflichtet, Ihnen jederzeit Auskunft zu erteilen, soweit Ihre personenbezogenen Daten betroffen sind. Wir übenehmen die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial. In besonderen, von Ihnen zu bestimmenden Fällen erfolgt eine Aufbewahrung oder Rückgabe.

e7 Die Erfüllung der vorgenannten Pflichten ist von uns zu kontrollieren und in geeigneter Weise nachzuweisen.

f. Ihre Pflichten

f1 Sie sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für Sie einschlägigen Datenschutzgesetze verantwortlich.

f2 Sie haben uns unverzüglich und vollständig zu informieren, wenn Sie bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellen.

f3 Ihnen obliegt die Pflicht zur Führung des öffentlichen Verfahrensverzeichnisses.

f4 Dem Auftraggeber obliegen die Informationspflichten.

f5 Entstehen zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so sind diese von Ihnen zu tragen.

f6 Erteilen Sie Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten von Ihnen zu tragen. Für Verzögerungen bei unserer Leistungserbringung, die durch die Befolgung solcher Einzelweisungen verursacht sind, tragen wir keine Verantwortung.

g. Berichtigung, Sperrung und Löschung von Daten / Anfragen Betroffener

g1 Vorbehaltlich der Ziffer 2 e4 haben wir nur nach Ihrer Weisung die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an uns zwecks Berichtigung oder Löschung seiner Daten wenden sollte, werden wir dieses Ersuchen unverzüglich an Sie weiterleiten.

g2 Sind Sie aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, werden wir Sie dabei unterstützen, diese Informationen bereitzustellen, vorausgesetzt Sie haben uns hierzu schriftlich aufgefordert und Sie erstatten uns die durch diese Unterstützung entstehenden Kosten.

h. Ihre Kontrollrechte

h1 Sie überzeugen sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von unseren technischen und organisatorischen Maßnahmen und dokumentieren das Ergebnis. Hierfür können Sie Selbstauskünfte bei uns einholen oder sich nach Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich überzeugen.

h2 Wir verpflichten uns, Ihnen auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind.

i. Subunternehmer

i1 Die Weitergabe von Aufträgen im Rahmen der in Ziffer c1 der Anlage konkretisierten Tätigkeiten an Subunternehmer durch uns bedarf der Zustimmung des Auftraggebers.

i2 Sie erklären sich bereits jetzt damit einverstanden, dass die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des von Ihnen genutzten Onlinedienstes auf Servern eines Rechenzentrumsbetreibers (RZ-Betreibers) zu dessen Bedingungen erfolgt. Auf Anfrage stellen wir Ihnen jederzeit den Namen des RZ-Betreibers, dessen Vertragsbedingungen sowie die dort getroffenen Maßnahmen zu Datenschutz und Datenspeicherung zur Verfügung. Unabhägig von dieser Zustimmung bleiben wir berechtigt, die Verarbeitung der personenbezogenen Daten auf eigenen oder auf Servern anderer Dienstleister vorzunehmen, sofern wir Sie hierüber vorab unterrichten und Datenschutz und Datensicherung auf diesen Servern im vergleichbaren Maße gewährleistet sind. Ihre Zustimmung gilt als erteilt, sofern Sie nicht innerhalb von vier Wochen ab unserer Mitteilung dem Einsatz des mitgeteilten Subunternehmers widersprechen.

i3 Sie sind weiter ausdrücklich damit einverstanden, dass wir zur Erfüllung unserer vertraglich vereinbarten Leistungen mit uns verbundene Unternehmen, insbesondere die InVision AG, Speditionsstraße 5, 40221 Düsseldorf, Deutschland zur Leistungserbringung heranziehen bzw. mit Leistungen unterbeauftragen.

i4 Erteilen wir mit Ihrer Zustimmung Aufträge an Unterauftragnehmer, so obliegt es uns, unsere Pflichten aus dieser Anlage dem Unterauftragnehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit im Rahmen unseres Vertragsverhältnisses mit Ihnen.

i5 Ihnen sind Kontroll- und Überprüfungsrechte entsprechend lit. h dieser Anlage einzuräumen. Wenn Sie uns schriftlich auffordern, erteilen wir Ihnen Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.

j. Sonstiges

j1 Sollten Ihre Daten bei uns durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so haben wir Sie unverzüglich darüber zu informieren. Wir werden alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei Ihnen als Auftraggeber im Sinne der Direktive 95/46/EC liegen.

j2 Im Übrigen gelten, soweit anwendbar, die oben aufgeführten Nutzungsbedingungen, deren integraler Bestandteil diese Bestimmungen zur Auftragsdatenverarbeitung sind.

4. Festgelegte Maßnahmen gemäß Art. 17 Para. 1 der EU-Direktive 95/46/EC

Erläuterungen und Beschreibungen zu den festgelegten Maßnahmen nach Art. 17 Para. 1 der Direktive 95/46/EC

Die Parteien setzen den Grundsatz der Datenvermeidung und Datensparsamkeit durch die nachfolgend beschriebenen konkreten Schritte um:
Für die vom Auftraggeber übermittelten Daten mit Personenbezug wird nachfolgend dargestellt, welche Maßnahmen der Auftragnehmer im Hinblick auf Art. 17 Para. 1 der Direktive 95/46/EC sicherstellt.

1. Zutrittskontrolle

Die Rechenzentren mit den Serversystemen, auf denen personenbezogene Auftraggeberdaten vorgehalten werden, befinden sich außerhalb der Firmenzentrale in unscheinbaren Gebäuden. Der physische Zugang wird durch professionelles Sicherheitspersonal streng kontrolliert, sowohl am Geländerand als auch an den Gebäudeeingängen. Dabei werden Videoüberwachung, modernste Systeme zur Erkennung von Angriffen und andere elektronische Einrichtungen eingesetzt.
Zutritt zum Rechenzentrum erhalten nur Mitarbeiter und Auftragnehmer, die den Zutritt zur Ausführung ihrer Tätigkeit benötigen. Entfällt bei einem/r Mitarbeiter/in die Notwendigkeit des Zutritts, werden seine bzw. ihre Zutrittsberechtigungen sofort widerrufen. Autorisierte Mitarbeiter müssen mindestens zwei Mal eine Zwei-Faktor-Authentifizierung durchlaufen, bevor sie die Rechenzentrumsetagen betreten dürfen. Alle Besucher und Auftragnehmer müssen sich ausweisen und registrieren und werden stets von autorisierten Mitarbeitern begleitet. Der Zutritt zu den Rechenzentren durch Mitarbeiter wird protokolliert und regelmäßig überprüft.
Der Bereich, in dem sich Arbeitsplätze mit Zugriffsmöglichkeiten auf personenbezogene Daten befinden, ist in der Firmenzentrale durch eine elektronische Zutrittskontrolle gesichert. Hier haben ausschließlich Mitarbeiter, die ihren Arbeitsplatz in der Firmenzentrale haben, Zutritt mittels Zutrittsberechtigungsausweis. Der Zutritt zu den einzelnen Gebäudeteilen der Firmenzentrale des Auftragnehmers ist zusätzlich zur Nachtzeit und am Wochenende durch eine Alarmanlage gesichert und wird durch einen Wachdienst kontrolliert.
Der Besuch durch fremde Dritte, wie z.B. Lieferanten, Servicetechniker und Schulungsteilnehmer, wird durch Mitarbeiter des Auftragnehmers kontrolliert und begleitet. Lediglich Mitarbeiter der Reinigungsfirma haben unbegleiteten Zutritt zu den gesicherten Gebäudeteilen.

2. Zugangskontrolle

Personenbezogene Daten sind besonders schützenswert. Deshalb stellt der Auftragnehmer sicher, dass personenbezogene Daten nur einem sehr begrenzten Mitarbeiterkreis (Systemadministratoren) zugänglich sind.
Der administrative Zugriff auf personenbezogene Daten erfolgt ausschließlich aus dem Firmennetzwerk. Der Zugang zum Firmennetzwerk erfolgt ausschließlich über Firmenlaptops. Das Netzwerk und die Laptops der Mitarbeiter sind mit dem aktuellen Stand der Technik gegen unbefugten Zugriff gesichert.

Der Zugang zu Räumen der Geschäftsstelle wird durch eine elektronische Zutrittskontrolle und durch eine dedizierte Schlüsselverwaltung sichergestellt.
Der Auftragnehmer wird personenbezogene Daten keinem anderen Personenkreis zugänglich machen.
Personenbezogene Daten werden nach Abschluss eines Auftrags gelöscht.
Der Zugriff und der Erhalt von personenbezogenen Daten durch Auftragnehmer-Mitarbeiter sind unter Zugriffskontrolle beschrieben.

3. Zugriffskontrolle

Ein direkter Zugriff auf die RZ-Infrastruktur ist nur für einen sehr engen Kreis von Systemadministratoren möglich und ist durch ein mehrstufiges Anmeldeverfahren und Firewall-Beschränkungen geschützt.
Generell erfolgt ein Zugriff auf personenbezogene Daten eines Auftraggebers nur in Absprache mit dem Auftraggeber. Der Zugriff erfolgt ausschließlich über den Dienst mit einem normalen, vom Auftraggeber anzulegenden, Login.

Der Auftragnehmer kann wie folgt in den Besitz von personenbezogenen Daten kommen:

a. Der Auftraggeber übermittelt Informationen, die personenbezogene Daten enthalten, an den Auftragnehmer.
Für die Inbetriebnahme seines Systems oder auch im Rahmen von Supportanfragen, kann der Auftraggeber dem Auftragnehmer personenbezogene Daten zur Verfügung stellen. Der Auftraggeber sorgt dafür, dass die übermittelten Daten verschlüsselt sind.

b. Auf Aufforderung des Auftraggebers greift der Mitarbeiter des Auftragnehmers auf das System des Auftraggebers zu.
Der Zugriff auf Auftraggeberdaten kann auch über Screen-Sharing oder eine Remote-Maintenance-Anwendung erfolgen. Der Auftragnehmer-Mitarbeiter erfasst hierbei unter Umständen bei einem vorgenommenen Zugriff auf dem Auftraggeber-System Daten als Screenshots oder als Datei, die personenbezogen sein können.

4. Weitergabekontrolle

Personenbezogene Daten, die auf elektronischem Weg durch den Auftraggeber auf die Systeme des Auftragnehmers übertragen werden, unterliegen besonderem Schutz vor unbefugtem Zugriff sowohl während der Übertragung als auch im Anschluss, nachdem die Daten auf den Systemen des Auftragnehmers gespeichert wurden. Erreicht wird dieser Schutz durch den Einsatz eines geeignetes Verschlüsselungsverfahren (HTTPS). Eine Weitergabe personenbezogener Daten durch den Auftragnehmer an Dritte erfolgt nicht.

5. Eingabekontrolle

Änderungen durch den Auftragnehmer erfolgen als Benutzer nach Anmeldung an der Applikation. Eine Einsichtnahme und Bearbeitung von personenbezogenen Daten des Auftraggebers ist grundsätzlich nur durch den Auftraggeber selbst möglich. Der Auftraggeber kann jedoch dem Auftragnehmer einen Zugang einräumen, siehe 3.

6. Auftragskontrolle

Personenbezogene Daten werden, soweit nicht anders vereinbart oder angewiesen, vom Auftragnehmer lediglich zu folgenden Zwecken genutzt:

  • Wartungs- und Gewährleistungsarbeiten, d.h. Nachstellen von Fehlern sowie Prüfung von Fehlerbehebungen
  • Anwenderunterstützung, wenn technischer Support nicht mehr ausreicht.

Im Übrigen erfolgt die Verarbeitung der personenbezogenen Daten des Auftraggebers auf den Servern des Auftragnehmers automatisch nur im Rahmen der Nutzung der vom Auftragnehmer angebotenen Onlinedienste durch den Auftraggeber, d.h. im vom Auftraggeber selbst bestimmten Umfang.

7. Verfügbarkeitskontrolle

Die personenbezogenen Daten des Auftraggebers werden redundant, d.h. in räumlich getrennten Rechenzentren, gespeichert und zusätzlich durch geeignete und regelmäßig durchgeführte Sicherungsmaßnahmen gegen Verlust geschützt. Des Weiteren bietet das Gesamtsystem umfassenden Schutz vor traditionellen Netzwerk-Sicherheitsproblemen.

8. Verwendungszweckkontrolle

Daten des Auftraggebers werden immer nur aufgrund eines konkreten Auftrages (z.B. Import der Auftraggeberstammdaten zur Inbetriebnahme des Systems) verarbeitet. Es erfolgt keine Vermischung mit Daten anderer Auftraggeber. Hierfür werden die Daten des Auftraggebers systemweit logisch getrennt. Generell hat kein Kunde des Auftragnehmers Zugriff auf Daten eines anderen Auftraggebers, die beim Auftragnehmer verarbeitet werden. Somit ist ausgeschlossen, dass Daten anderer Auftraggeber eingesehen werden können. Auch die Daten desselben Auftraggebers werden immer nur bezogen auf die konkrete Anforderung erhoben und sind von anderen erhobenen Daten getrennt.