Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen der KLUGO GmbH für den Nutzer

Präambel

Die KLUGO GmbH, Kolumbastr. 3, 50667 Köln, („KLUGO“) betreibt unter der Domain www.klugo.de ein Online-Portal, das die Kontaktaufnahme zwischen natürlichen oder juristischen Personen und Rechtsanwälten bzw. Juristen zum Zwecke der Rechtsberatung ermöglicht und unterstützt sowie dem Nutzer allgemeine Information über Rechtsthemen zur Verfügung stellt.

Diese Allgemeinen Geschäftsbedingungen („AGB") regeln alle vertraglichen Beziehungen zwischen KLUGO und dem Nutzer im Zusammenhang mit der Nutzung der Plattform und den dazugehörigen Dienstleistungen. Die Rechtsanwältinnen und Rechtsanwälte sowie die Juristinnen und Juristen aus dem Netzwerk von KLUGO haben eine gesonderte Vereinbarung mit KLUGO getroffen.

AGB des Nutzers werden auch dann nicht Vertragsbestandteil, wenn KLUGO deren Einbeziehung nicht ausdrücklich widerspricht.

1. Begriffsbestimmungen

Die folgenden Definitionen beschreiben die Begriffe, die wir in diesen allgemeinen Geschäftsbedingungen und auf unseren Internetseiten verwenden:

• Plattform – Online-Portal auf der Internetseite der Klugo GmbH (www.klugo.de);
• Nutzer – Natürliche oder juristische Personen, welche die Angebote auf der Plattform nutzen;
• Partneranwälte – Rechtsanwältinnen und Rechtsanwälte aus dem Anwaltsnetzwerk von KLUGO;
• Jurist –Volljuristin/Volljurist oder Expertinnen/Experten mit juristischen Fachkenntnissen unter Anleitung von Personen mit Befähigung zum Richteramt aus dem Juristennetzwerk von KLUGO.

2. Leistungsbeschreibung

2.1.
KLUGO stellt die nachfolgend beschriebenen Vermittlungsleistungen dem Nutzer entweder unentgeltlich oder gemäß den zu den Produkten ausgewiesenen Gebühren zur Verfügung. Neben der Verwaltung seiner Rechtsfälle im „User-Login“ (Ziff. 4.) hat der Nutzer die Möglichkeit eine Rechtsberatung durch Vermittlung zu einem Partneranwalt bzw. einem Juristen in Anspruch zu nehmen. HHierbei hat der Nutzer die Wahl zwischen dem kostenfreien Paket „Beratung Basic“ (Ziff.7.) oder dem gebührenpflichtigen Paket „Beratung Plus“ (Ziff. 8.).

2.2.
KLUGO behält sich vor, einzelne oder alle Leistungen ohne Angabe von Gründen für die Zukunft nicht mehr anzubieten. Ein Anspruch des Nutzers auf Erbringung der Leistungen besteht nicht. Geschäftsunfähige und beschränkt geschäftsfähige Personen sind von der Nutzung des Angebots ausgeschlossen. Laufende Verträge sind hiervon nicht betroffen.

2.3.
KLUGO stellt dem Nutzer auf der Plattform allgemeine Informationen rund um die Themen Recht und Rechtsberatung zur Verfügung. Zu diesen allgemeinen Informationen können, nach eigener Auswahl von KLUGO, unter anderem Artikel zu Rechtsgebieten, Urteile und Fallsammlungen, Musterverträge, Rechenprogramme, Rechtstipps, Blogartikel zu aktuellen Themen sowie Graphiken gehören.

2.4.
Im Live-Chat haben Nutzer die Möglichkeit, mit KLUGO Mitarbeitern und Mitarbeiterinnen direkt in Kontakt zu treten und in einem Gespräch in Form eines Echtzeit-Chats Ihre Fragen zur Internetseite und den angebotenen Services zu klären. Der Live-Chat findet zu bestimmten Zeiten und zu bestimmten, wechselnden Themen, statt. Chats, in denen Beleidigungen geäußert werden, werden von den KLUGO Mitarbeitern und Mitarbeiterinnen beendet und bei besonders schweren Verstößen werden die Nutzer blockiert.

3. Nutzungsrechte

3.1.
Soweit nicht in diesen AGB oder auf der Plattform eine weitergehende Nutzung ausdrücklich erlaubt oder auf der Plattform durch eine entsprechende Funktionalität (z.B. Download-Button) ermöglicht wird,

1. dürfen die auf der Plattform verfügbaren Inhalte ausschließlich für persönliche Zwecke online abgerufen und angezeigt werden. Dieses Nutzungsrecht ist auf die Dauer der vertragsgemäßen Nutzung auf der Plattform beschränkt;
2. ist es dem Nutzer untersagt, die auf der Plattform verfügbaren Inhalte ganz oder teilweise zu bearbeiten, zu verändern, zu übersetzen, vorzuzeigen oder vorzuführen, zu veröffentlichen, auszustellen, zu vervielfältigen oder zu verbreiten. Ebenso ist es untersagt, Urhebervermerke, Logos und sonstige Kennzeichen oder Schutzvermerke zu entfernen oder zu verändern.

3.2.
Zum Herunterladen von Inhalten („Download“) sowie zum Ausdrucken von Inhalten ist der Nutzer nur berechtigt, soweit eine Möglichkeit zum Download bzw. zum Ausdrucken auf der Plattform als Funktionalität (z.B. mittels eines Download-Buttons) zur Verfügung steht. An den ordnungsgemäß herunter geladenen bzw. ausgedruckten Inhalten erhält der Nutzer jeweils ein zeitlich unbefristetes und nicht ausschließliches Nutzungsrecht für die Nutzung zu eigenen, nichtkommerziellen Zwecken.

3.3.
Die zwingenden gesetzlichen Rechte (einschließlich der Vervielfältigung zum privaten und sonstigen eigenen Gebrauch nach § 53 UrhG) bleiben unberührt.

4. User-Login

4.1.
Der Nutzer kann sich darüber hinaus für die Portalanwendung „User-Login“ registrieren. Nach erfolgreicher Registrierung kann der Nutzer innerhalb des User-Login seine Rechtsfälle selbst verwalten. Er kann dort Daten zu seinen Rechtsfällen hinterlegen und verarbeiten, Dokumente hochladen, den aktuellen Status der Bearbeitung seiner Rechtsfrage(n) einsehen sowie mit KLUGO in Kontakt treten.

4.2.
Der Nutzer darf keine strafbaren oder sonst absolut oder im Verhältnis zu einzelnen Dritten rechtswidrigen Inhalte und Daten einstellen und keine Viren oder sonstige Schadsoftware enthaltenen Programme im Zusammenhang mit der Nutzung der User-Login-Software einsetzen.

4.3.
Hinsichtlich der personenbezogenen Daten von an einem Rechtsfall beteiligten dritten Personen besteht zwischen dem Nutzer und KLUGO ein Auftragsverarbeitungsverhältnis i.S.v. Art. 28 DSGVO (Annex). Aus datenschutzrechtlichen Gründen ist es dem Nutzer untersagt, über den User-Login personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln zu verarbeiten (Art. 10 DSGVO).

4.4.
Für die Inhalte, die der Nutzer in den User-Login einstellt oder auf diesen hoch lädt, ist er selbst verantwortlich. KLUGO nimmt von diesen Inhalten grundsätzlich keine Kenntnis und prüft die mittels des User-Login genutzten Inhalte grundsätzlich nicht.

5. Vermittlung an einen Partneranwalt oder Jurist

5.1.
KLUGO bietet dem Nutzer außerdem an, den Nutzer zu einem Partneranwalt bzw. im Beratungspaket „Beratung Basic" (Ziff. 7) auch an einen Juristen weiter zu vermitteln. Für den Erstkontakt zu KLUGO besucht der Nutzer dafür ausschließlich die Plattform. Auf der Plattform füllt der Nutzer dazu ein Anfrageformular aus („Rechtsberatung erhalten“) und wählt sein persönliches Beratungspaket (Ziff. 7. und 8.). In der Anfrage gibt der Nutzer verpflichtend seinen Vor- und Nachnamen, seine Postleitzahl, seine E-Mail-Adresse und seine Telefonnummer an. Im Übrigen entscheidet der Nutzer, ob er die weiteren Freitextfelder ausfüllen möchte.

5.2.
Für die Kontaktaufnahme bietet KLUGO drei unterschiedliche Kontaktwege an:

5.2.1. Individuelle Telefonnummer
Dem Nutzer wird eine individuelle Telefonrufnummer angezeigt, die er anruft. Der Anruf verbindet den Nutzer mit der KLUGO Telefonzentrale. Diese verbindet den Nutzer direkt mit einem Partneranwalt. Parallel dazu generiert KLUGO aus der Anfrage die für den Partneranwalt wichtigen Informationen und mögliche Anhänge und leitet diese über die KLUGO-Plattform an den entsprechenden Partneranwalt weiter. Der Nutzer trägt etwaige Kosten für den regulären Festnetzanruf selbst. Verfügbar im Beratungspaket "Beratung Plus".

5.2.2. Rückruf
Der Nutzer wird auf seiner angegebenen Telefonrufnummer von einem Partneranwalt (bzw. Juristen im Beratungspaket "Beratung Basic") zurückgerufen. Die Anfrage wird dafür direkt an einen Partneranwalt weitergeleitet. In diesem Fall generiert KLUGO aus der Anfrage die für den Partneranwalt wichtigen Informationen und mögliche Anhänge und leitet diese über die KLUGO-Plattform an den entsprechenden Partneranwalt weiter. Der Partneranwalt hat daraufhin die Möglichkeit, den Nutzer anzurufen. Verfügbar in den Beratungspaketen "Beratung Basic" und "Beratung Plus".

5.2.3. E-Mail
Der Nutzer wird auf seiner angegebenen E-Mail-Adresse von einem Partneranwalt bzw. Juristen kontaktiert. Die Anfrage wird dafür direkt an einen Partneranwalt bzw. Juristen weitergeleitet. In diesem Fall generiert KLUGO aus der Anfrage die für den Partneranwalt wichtigen Informationen und mögliche Anhänge und leitet diese über die KLUGO-Plattform an den Partneranwalt weiter. Der Partneranwalt hat daraufhin die Möglichkeit, den Nutzer zu kontaktieren. Verfügbar im Beratungspaket "Beratung Basic".

5.3.
Mit der Auswahl des Beratungspakets kommt ein Vertrag auf Vermittlung einer juristischen Erstberatung zwischen dem Nutzer und KLUGO zustande. Der Nutzer verzichtet darauf, dass KLUGO gegenüber diesem die Annahme des Antrags erklärt (§ 151 BGB). Im Anschluss an die Auswahl eines der Kontaktwege wird dem Nutzer eine individuelle Beratungsnummer zugewiesen.

5.4.
KLUGO wählt den Partneranwalt (bzw. Juristen im Beratungspaket "Beratung Basic") für den Nutzer in der Regel danach aus, ob der Partneranwalt das entsprechende Rechtsgebiet betreut bzw. besondere Kenntnis darin hat, soweit KLUGO darüber vom Nutzer Informationen hat.

5.5.
KKLUGO behält sich das Recht vor, Anfragen nicht an einen Partneranwalt (bzw. Juristen im Beratungspaket "Beratung Basic") weiterzuleiten. KLUGO wird insbesondere Anfragen dann nicht weiterleiten, wenn nach Ermessen von KLUGO kein passender Partneranwalt aus dem KLUGO Netzwerk zur sachgemäßen und interessengerechten Bearbeitung der Rechtsfrage in Betracht kommt. KLUGO wird den Nutzer hierüber unverzüglich informieren.

5.6.
KLUGO behält sich vor, Anfragen nicht zu bearbeiten und zu löschen, bei denen anhand objektiver Tatsachen der Verdacht eines Verstoßes gegen Ziff. 12.1. besteht.

5.7.
In den in Ziff. 5.5. und 5.6. genannten Fällen sowie für den Fall, dass eine Vermittlung nach mindestens zwei Vermittlungsversuchen durch KLUGO nicht zustande kommt, wird KLUGO dem Nutzer die für das Paket "Beratung Plus" (Ziff. 8.) entrichteten Vermittlungsgebühren unverzüglich zurückerstatten.

5.8.
Die Kommunikation über die Plattform erfolgt über eine verschlüsselte Internetverbindung.

6. Vertragsbeziehungen, Stellung der Beteiligten

6.1.
KLUGO weist ausdrücklich darauf hin, selbst keinerlei Rechtsberatung durchzuführen, sondern dem Nutzer lediglich einen auf das jeweilige zu bearbeitende Rechtsgebiet spezialisierten Partneranwalt bzw. im Falle des Beratungspaketes "Beratung Basic" (Ziff. 7.) einen Juristen zu vermitteln. Die Partneranwälte bieten dem Nutzer eine kostenfreie Erstberatung bzw. Ersteinschätzung an, deren Umfang sich nach dem gewählten Beratungspaket richtet. KLUGO stellt die Spezialisierung des Partneranwalts durch Berücksichtigung entsprechender Interessen- oder Tätigkeitsschwerpunkte bzw. entsprechender Fachanwaltstitel sicher. Vertragsparteien im Zusammenhang mit der Erbringung der kostenfreien Erstberatung bzw. Ersteinschätzung sind allein der jeweilige Nutzer und der Partneranwalt bzw. Jurist.

6.2.
Die kostenfreie rechtliche Erstberatung/Ersteinschätzung durch einen zugelassenen Rechtsanwalt oder einen Juristen je nach ausgewähltem Beratungspaket (Ziff. 7. u. 8.) erfolgt im Verhältnis zwischen dem Nutzer und dem Partneranwalt bzw. Juristen.

6.3.
Soweit mittels der Nutzung der Plattform ein Vertrag über eine weitere anwaltliche Beratung oder Vertretung geschlossen wird, werden allein der jeweilige Nutzer und der Partneranwalt Vertragspartei („Mandatsverhältnis"). Anwaltliche Beratung oder Vertretung erfolgt ausschließlich im Mandatsverhältnis. Ansprechpartner für Fragen im Zusammenhang mit dem Mandatsverhältnis, z. B. über Vergütung, Terminabsprachen oder Haftungsansprüche, ist der jeweils andere Vertragspartner (also Nutzer oder Partneranwalt). Auch die Erfüllung eines geschlossenen Anwaltsvertrags erfolgt ausschließlich zwischen dem Partneranwalt und dem Nutzer.

6.4.
KLUGO ist nicht verpflichtet, Beschwerden von Nutzern oder von Partneranwälten bzw. Juristen, die sich allein auf die Erstberatung/Ersteinschätzung oder das Mandatsverhältnis beziehen, zu bearbeiten oder zwischen den Parteien zu vermitteln.

7. Paket "Beratung Basic"

7.1.
Im Rahmen einer kostenlosen telefonischen Ersteinschätzung erhält der Nutzer kurze Antworten auf seine ersten rechtlichen Fragen von einem Partneranwalt oder Juristen. Das Paket "Beratung Basic" umfasst die Vermittlung der folgenden Leistungen:

1. Telefonische Ersteinschätzung (kurze Ersteinschätzung der rechtlichen Situation durch einen Partneranwalt oder Jurist)
2. Klärung des Sachverhalts
3. Rechtsauskunft innerhalb von 2 Tagen (Der Kunde kann den Kontakt per Rückruf oder E-Mail auswählen, werktags von 8 bis 19 Uhr)

7.2.
Bitte beachten: Mit dem Klick auf den entsprechenden Button erklärt der Nutzer verbindlich, das Paket "Beratung Basic" in Anspruch nehmen zu wollen. Hierdurch nimmt der Nutzer das Angebot von KLUGO über die Vermittlung der kostenfreien Dienstleistung verbindlich an, und es entsteht ein weiteres Vertragsverhältnis zwischen dem Nutzer und dem vermittelten Partneranwalt bzw. Juristen.

8. Paket "Beratung Plus"

8.1.
Bei dem Rechtsberatungspaket "Beratung Plus" handelt es sich um ein kostenpflichtiges Produkt. Der Nutzer erhält eine telefonische Erstberatung durch einem erfahrenen Partneranwalt. Das Paket "Beratung Plus" umfasst die Vermittlung der folgenden Leistungen:

1. Telefonische Erstberatung (Sofortige Antwort auf erste rechtliche Fragen von einem erfahrenen Anwalt)
2. Beurteilung der Erfolgsaussichten
3. Erste konkrete Handlungsempfehlungen
4. 4. Sofortige Rechtsauskunft (Der Kunde kann den Kontakt per Sofort-Anruf oder Rückruf auswählen, werktags von 8 bis 17:30 Uhr)

8.2.
Bitte beachten: Mit dem Klick auf den entsprechenden Button erklärt der Nutzer verbindlich, das Paket "Beratung Plus" in Anspruch nehmen zu wollen. Hierdurch nimmt der Nutzer das Angebot von KLUGO über die kostenpflichtige Vermittlung der kostenfreien Dienstleistung verbindlich an, und es entsteht ein weiteres Vertragsverhältnis zwischen dem Nutzer und dem vermittelten Partneranwalt.

8.3.
Wenn der Nutzer das kostenpflichtige Paket "Beratung Plus" nicht in Anspruch nehmen möchte, so kann er durch Klick auf den entsprechenden Button oder durch den „Zurück“-Button seines Browsers zur unentgeltlichen Nutzung der Plattform zurückkehren.

9. WIDERRUFSBELEHRUNG

Sofern die Inanspruchnahme des Beratungspakets "Beratung Plus" zu einem Zweck erfolgt, der weder der gewerblichen noch der selbständigen beruflichen Tätigkeit des Nutzers zugerechnet werden kann, so steht dem Nutzer ein gesetzliches Widerrufsrecht wie nachfolgend beschrieben zu.

9.1.
Verbraucher haben bei Abschluss eines Fernabsatzgeschäfts grundsätzlich ein gesetzliches Widerrufsrecht, über das der Anbieter nach Maßgabe des gesetzlichen Musters nachfolgend informiert. Unter Ziff. 10.2. findet sich ein Muster-Widerrufsformular.

(1) Widerrufsrecht


1. Ist der Nutzer ein Verbraucher, so hat er das Recht, binnen vierzehn Tagen ohne Angaben von Gründen diesen Vertrag zu widerrufen.
2. Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsschlusses.
3. Um das Widerrufsrecht auszuüben, muss der Nutzer die KLUGO GmbH Kolumbastraße 3 50667 Köln Email: info@klugo.de Tel.: +49 (0) 221 29947635 mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief oder E-Mail) über seinen Entschluss, diesen Vertrag zu widerrufen, informieren. Er kann dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.
4. Zur Wahrung der Widerrufsfrist reicht es aus, dass der Nutzer die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absendet.

(2) Folgen des Widerrufs


1. Wenn der Nutzer diesen Vertrag widerruft, hat KLUGO dem Nutzer alle Zahlungen, die sie von dem Nutzer erhalten hat, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass der Auftraggeber eine andere Art der Lieferung als die von KLUGO angebotene, günstigste Standardlieferung gewählt hat), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzuzahlen, an dem die Mitteilung über den Widerruf dieses Vertrags bei KLUGO eingegangen ist. Für diese Rückzahlung verwendet KLUGO dasselbe Zahlungsmittel, das der Nutzer bei der ursprünglichen Transaktion eingesetzt hat, es sei denn, zwischen den Vertragsparteien wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden dem Nutzer wegen dieser Rückzahlung Entgelte berechnet.
2. Hat der Nutzer verlangt, dass die Dienstleistungen während der Widerrufsfrist beginnen sollen, so hat er KLUGO einen angemessenen Betrag zu zahlen, der dem Anteil der bis zu dem Zeitpunkt, zu dem er KLUGO von der Ausübung des Widerrufsrechts hinsichtlich dieses Vertrags unterrichtet, bereits erbrachten Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.

9.2.
Über das Muster-Widerrufsformular informiert KLUGO nach der gesetzlichen Regelung wie folgt:

Muster-Widerrufsformular

Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden Sie es zurück.

An die

KLUGO GmbH

Kolumbastraße 3

50667 Köln

Email: info@klugo.de

Tel.: +49 (0) 221 29947635

Hiermit widerrufe(n) ich/wir(*) den von mir/uns(*) abgeschlossenen Vermittlungsvertrag vom [_____________].

Name des Nutzers:

Anschrift des Nutzer(s):

Ort, Datum Unterschrift des/der Nutzer(s) (nur bei Mitteilung auf Papier)

* Unzutreffendes bitte streichen.

10. Entgelte

10.1.
Die Nutzung der Plattform und des User-Login ist für den Nutzer derzeit kostenlos.

10.2.
Das Beratungspaket "Beratung Basic" ist für den Nutzer kostenfrei.

10.3.
Die jeweils geltenden Gebühren für das Beratungspaket "Beratung Plus" kann den Produktbeschreibungen entnommen werden.

10.4.
Im Übrigen wird der Nutzer darauf hingewiesen, dass eine Vergütung des Partneranwalts für über die Erstberatung hinausgehende anwaltliche Dienstleistungen sich grundsätzlich nach dem Rechtsanwaltsvergütungsgesetz („RVG“) bemisst. Die Vergütung einer weiteren Beratung durch einen Partneranwalt richtet sich dabei ausschließlich nach dem Mandatsverhältnis zwischen dem Nutzer und dem Partneranwalt. Den Vertragsparteien des Mandatsverhältnisses bleibt es jedoch im Rahmen der gesetzlichen Bestimmungen frei, eine hiervon abweichende Regelung zu treffen.

10.5.
Der Nutzer trägt etwaige Kosten für seine Internet- oder Telefonverbindung selbst.

11. Weitere Pflichten des Nutzers

11.1.
Der Nutzer ist für die Vollständigkeit und Richtigkeit seiner Angaben allein verantwortlich. Er darf in seinen Anfragen keine Daten und/oder sonstige Inhalte einstellen, die anwendbare Rechtsvorschriften oder Rechte Dritter (insb. Urheber- und Persönlichkeitsrechte) verletzen.

11.2.
Dem Nutzer sind sämtliche Handlungen untersagt, die die Funktionsfähigkeit oder die Integrität der Plattform gefährden können. Insbesondere darf die Plattform nicht für Spamming, unberechtigte Manipulationen von Daten und/oder Cyberattacken genutzt werden.

11.3.
Ebenfalls untersagt ist jede Handlung, die geeignet ist, den reibungslosen Betrieb der Plattform zu beeinträchtigen, insbesondere die Systeme von KLUGO übermäßig zu belasten.

11.4.
Bei Vorliegen eines Verdachts auf rechtswidrige bzw. strafbare Handlungen ist KLUGO berechtigt und ggf. auch verpflichtet, die Aktivitäten der Nutzer zu überprüfen und ggf. geeignete rechtliche Schritte einzuleiten. Hierzu kann auch die Zuleitung eines Sachverhalts an die Staatsanwaltschaft gehören.

11.5.
Der Nutzer stellt KLUGO von allen Schäden, Ansprüchen Dritter, Auslagen und Kosten (einschließlich marktüblicher, nicht auf die gesetzlichen Gebühren beschränkter Anwaltshonorare) frei, die KLUGO wegen eines Verstoßes des Nutzers gegen diese Ziff. 12. entstehen, es sei denn, dass den Nutzer kein Verschulden trifft. Weitere vertragliche und gesetzliche Rechte und Ansprüche von KLUGO bleiben unberührt.

12. Haftung, Freistellung von Ansprüchen Dritter

12.1.
KLUGO ist nicht verantwortlich und haftet nicht für das Zustandekommen eines Anwaltsvertrages (Mandatsverhältnis) zwischen Nutzer und Partneranwalt. Die aus einem Anwaltsvertrag hervorgehenden wechselseitigen Ansprüche betreffen insoweit ausschließlich das Verhältnis von Nutzer und Partneranwalt. Insbesondere haftet KLUGO nicht für Beratungsfehler und Fristsäumnisse des Partneranwalts.

12.2.
Die auf der Plattform dargestellten Informationen nach Ziff. 2.3. werden von KLUGO nach eigener Recherche aufbereitet. Sie dienen dem allgemeinen Informationsinteresse des Nutzers und nicht der Rechtsberatung. Der Nutzer wird darauf hingewiesen, dass die Informationen aus Empfängersicht unvollständig oder ungenau sein können. KLUGO sichert die Richtigkeit der Informationen nicht zu. KLUGO weist den Nutzer darauf hin, dass die rechtliche Beurteilung eines Sachverhalts nur durch die Einzelfallprüfung durch einen Anwalt möglich ist.

12.3.
Für Schäden, die durch KLUGO oder durch deren gesetzliche Vertreter, leitende Angestellte, Mitarbeiter, Beauftragte oder Erfüllungs- und Verrichtungsgehilfen vorsätzlich oder grob fahrlässig verursacht wurde, haftet KLUGO unbeschränkt.

12.4.
In Fällen der leicht fahrlässigen Verletzung von nur unwesentlichen Vertragspflichten haftet KLUGO nicht. Im Übrigen ist die Haftung von KLUGO für leicht fahrlässig verursachte Schäden auf diejenigen Schäden beschränkt, mit deren Entstehung im Rahmen des jeweiligen Vertragsverhältnisses typischerweise gerechnet werden muss (vertragstypisch vorhersehbare Schäden). Dies gilt auch bei leicht fahrlässigen Pflichtverletzungen der gesetzlichen Vertreter, leitenden Angestellten, Mitarbeiter, Beauftragten oder Erfüllungs- und Verrichtungsgehilfen von KLUGO.

12.5.
Die vorstehende Haftungsbeschränkung gilt nicht im Falle von Arglist, im Falle von Körper- bzw. Personenschäden, für die Verletzung von Garantien sowie für Ansprüche aus Produkthaftung.

12.6.
Der Nutzer ist dazu verpflichtet, KLUGO in diesem Zusammenhang von jeder Haftung und jeglichen Kosten, einschließlich möglicher und tatsächlicher Kosten eines gerichtlichen Verfahrens, freizustellen, falls KLUGO von Dritten infolge von Handlungen oder Unterlassungen des Nutzers in Anspruch genommen wird. KLUGO wird den Nutzer über die Inanspruchnahme unterrichten und ihm, soweit dies rechtlich möglich ist, Gelegenheit zur Abwehr des geltend gemachten Anspruchs geben. Der Nutzer ist überdies verpflichtet, KLUGO unverzüglich alle dem Nutzer zur Verfügung stehenden Informationen über den Sachverhalt, der Gegenstand der Inanspruchnahme ist, vollständig mitzuteilen. Darüber hinausgehende Schadenersatzansprüche von KLUGO bleiben unberührt.

13. Verfügbarkeit der Plattform

13.1.
Der Nutzer erkennt an, dass KLUGO eine permanente Verfügbarkeit der Plattform nicht gewährleisten kann. Es besteht kein Anspruch auf eine permanente Verfügbarkeit.

13.2.
KLUGO bemüht sich unter Berücksichtigung der technischen Möglichkeiten, eine möglichst reibungslose und durchgehende Verfügbarkeit der Plattform zu realisieren. Werden Wartungsarbeiten erforderlich und steht die Plattform deshalb nicht zur Verfügung, wird KLUGO den Nutzer hierüber nach Möglichkeit rechtzeitig informieren. KLUGO ist nicht für internet-/netzbedingte Ausfallzeiten und insbesondere nicht für Ausfallzeiten verantwortlich, in denen die Plattform aufgrund von technischen oder sonstigen Problemen, die nicht im Einflussbereich von KLUGO liegen (z. B. höhere Gewalt, Verschulden Dritter, u. a.), über das Internet nicht zu erreichen ist.

14. Datenschutz

KLUGO verarbeitet personenbezogene Daten unter Beachtung der Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG). Für sämtliche Informationen im Zusammenhang mit dem Umgang mit den Daten der Nutzer verweist KLUGO auf seine gesonderte Datenschutzerklärung.

15. Vertragslaufzeiten

15.1.
Der Vertrag zwischen KLUGO und dem Nutzer endet mit der Weitergabe der Nutzerangaben an den Partneranwalt/Juristen bzw. mit der direkten Kontaktherstellung des Nutzers zum Partneranwalt.

15.2.
Der Vertrag über die Bereitstellung und Nutzung des User-Login kann von dem Nutzer jederzeit ohne Einhaltung einer Kündigungsfrist und von KLUGO jederzeit unter Einhaltung einer Kündigungsfrist von 2 Wochen gekündigt werden. Die Kündigung bedarf der Textform (z.B. E-Mail). Nach jeder Beendigung des Vertragsverhältnisses über den User-Login ist KLUGO berechtigt, die Bereitstellung der Dienstleistung nach Ziff. 4. dieser Vereinbarung einzustellen. Insbesondere ist KLUGO berechtigt, in diesen Fällen den Zugang des Nutzers zum User-Login zu sperren und die dort gespeicherten Daten zu löschen.

15.3.
Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn der Nutzer gegen seine Verpflichtungen aus den Ziff. 4.2., 12.1. bis 12.5. verstößt.

16. Online-Streitbeilegung

Für die außergerichtliche Beilegung von Streitigkeiten im Hinblick auf Online-Marktplätze mit Bezug zu Online-Dienstleistungsverträgen zwischen in der Europäischen Union ansässigen Verbrauchern und Unternehmen steht eine Online-Streitbeilegungs-Plattform der Europäischen Union zur Verfügung. Diese finden Sie unter http://ec.europa.eu/consumers/odr/. Um dort eine Beschwerde einzureichen, müssen Verbraucher ein elektronisches Beschwerdeformular ausfüllen. Die hierfür erforderlichen Angaben entsprechen jenen des Anhangs der Verordnung (EU) Nr. 524/2013.

17. Streitschlichtung nach dem Verbraucherstreitbeilegungsgesetz (VSBG)

KLUGO ist nicht bereit und nicht verpflichtet, an der außergerichtlichen Streitbeilegung teilzunehmen.

18. Schutz der Inhalte, Verantwortlichkeit für Inhalte Dritter

18.1.
Die auf der Plattform verfügbaren Inhalte sind überwiegend geschützt durch das Urheberrecht oder durch sonstige Schutzrechte und stehen jeweils im Eigentum von KLUGO, der anderen Nutzer oder sonstiger Dritter, welche die jeweiligen Inhalte zur Verfügung gestellt haben. Die Zusammenstellung der Inhalte als Solche ist ggf. geschützt als Datenbank oder Datenbankwerk i.S.d. §§ 4 Abs. 2, 87a Abs. 1 UrhG. Die Nutzer dürfen diese Inhalte lediglich gemäß diesen AGB sowie im auf der Plattform vorgegebenen Rahmen nutzen.

18.2.
Die auf der Plattform verfügbaren Inhalte stammen von KLUGO und ggf. von anderen Nutzern bzw. sonstigen Dritten. Inhalte der Nutzer sowie sonstiger Dritter werden nachfolgend zusammenfassend „Drittinhalte“ genannt. KLUGO führt bei Drittinhalten keine Prüfung auf Vollständigkeit, Richtigkeit und Rechtmäßigkeit durch und übernimmt daher keinerlei Verantwortung oder Gewährleistung für die Vollständigkeit, Richtigkeit, Rechtmäßigkeit und Aktualität der Drittinhalte. Dies gilt auch im Hinblick auf die Qualität der Drittinhalte und deren Eignung für einen bestimmten Zweck, und auch, soweit es sich um Drittinhalte auf verlinkten externen Webseiten handelt.

18.3.
Sämtliche Inhalte auf der Plattform sind Inhalte von KLUGO, ausgenommen Drittinhalte, die mit einem entsprechenden Urheberrechtsvermerk versehen sind.

19. Allgemeine Regelungen

19.1.
Alle Änderungen oder Ergänzungen dieser AGB bedürfen der Schriftform. Mündliche Abreden werden nicht getroffen. Eine Änderung oder Ergänzung dieser Klausel bedarf ebenfalls der Schriftform.

19.2.
KLUGO behält sich vor, diese AGB mit Wirkung für die Zukunft zu ändern. Die geänderten AGB werden dem Nutzer per E-Mail spätestens vier Wochen vor ihrem geplanten Inkrafttreten zugesandt. Widerspricht der Nutzer der Geltung der neuen AGB nicht innerhalb von vier Wochen nach dem Erhalt der E-Mail, gelten die geänderten AGB als angenommen. KLUGO wird den Nutzern in der E-Mail, welche die geänderten AGB enthält, auf die Bedeutung dieser Frist, das Widerspruchsrecht und die Rechtsfolgen des Schweigens gesondert hinweisen. Dieser Änderungsmechanismus gilt nicht für Änderungen der vertraglichen Hauptleistungspflichten.

19.3.
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

19.4.
Sofern der Nutzer keinen allgemeinen Gerichtsstand in Deutschland hat oder es sich bei dem Nutzer um einen Kaufmann im Sinne des Handelsgesetzbuches (HGB) handelt, ist Gerichtsstand für alle Rechtsstreitigkeiten der Sitz von KLUGO. KLUGO ist daneben berechtigt, auch am allgemeinen Gerichtsstand des Nutzers zu klagen.

19.5.
Die Nutzung der Plattform und des User-Login ist für den Nutzer derzeit kostenlos.

19.6.
Sollten eine oder mehrere Bestimmungen dieser AGB unwirksam sein oder werden, wird dadurch die Wirksamkeit der anderen Bestimmungen im Übrigen nicht berührt.

Stand der AGB: 14.07.2021

ANNEX

Für die in Ziff. 4.3. beschriebenen Datenverarbeitungstätigkeiten, für die KLUGO als Auftragsverarbeiter des Nutzers fungiert, vereinbaren die Parteien bis auf Weiteres die folgenden Regelungen zur Auftragsverarbeitung, die die AGB ergänzen („AVV“).

Auftragsverarbeitungsvertrag

zwischen

dem Nutzer der KLUGO-Website Anwendung „User-Login“ - nachstehend auch „Auftraggeber“ oder „Verantwortlicher“ genannt -

und

der KLUGO GmbH, vertreten durch die Geschäftsführer Tarja Radler, Carsten Molderings, Lothar Diehl Kolumbastraße 3, 50667 Köln - nachstehend auch „Auftragnehmer“ genannt -

Präambel

Der Auftraggeber möchte den Auftragnehmer mit den in § 3 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

§ 1 Begriffsbestimmungen

1. Verantwortlicher ist gem. Art. 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
2. Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
3. Personenbezogene Daten sind gem. Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
4. Besonders schutzbedürftige personenbezogene Daten sind personenbezogenen Daten gem. Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DSGVO, biometrischen Daten gem. Art. 4 Abs. 14 DSGVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DSGVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
5. Verarbeitung ist gem. Art. 4 Abs. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
6. Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DSGVO eine von einem Mitgliedstaat gem. Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.

§ 2 Angabe der zuständigen Datenschutz-Aufsichtsbehörde

1. Zuständige Aufsichtsbehörde für den Auftraggeber ist die Aufsichtsbehörde in dessen Mitgliedsstaat der Auftraggeber seinen Wohn- bzw. Unternehmenssitz hat. Hat der Auftraggeber seinen Wohn- oder Unternehmenssitz in der Bundesrepublik Deutschland, ist die Aufsichtsbehörde des Bundeslandes zuständig, in welchem der Auftraggeber seinen Wohn- bzw. Unternehmenssitz hat.
2. Zuständige Aufsichtsbehörde für den Auftragnehmer ist die/der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf.
3. Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

§ 3 Vertragsgegenstand

1. Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich Cloud-Dienste auf Grundlage des Vertrags über die Nutzung der Anwendung „User-Login“ auf dem Webportal des Auftragnehmers gemäß den Nutzungsbedingungen („Hauptvertrag“). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten. Der Auftragnehmer verarbeitet diese personenbezogenen Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag bzw. der Leistungsbeschreibung. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
2. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
3. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
4. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

§ 4 Weisungsrecht

1. Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers verarbeiten.
2. Die Weisungen des Auftraggebers können in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen erteilt, geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, können vom Auftragnehmer zurückgewiesen werden oder aber die Parteien werden die Leistungsänderung und deren kommerzielle Auswirkungen abstimmen und in einer entsprechenden schriftlichen Änderungsvereinbarung festlegen. In diesem Fall wird der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Umsetzung der Weisungen setzen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
3. Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren.
4. Es besteht keine materiell-rechtliche Prüfpflicht seitens des Auftragnehmers im Hinblick auf vom Auftraggeber erteilte Weisungen. Ist der Auftragnehmer jedoch der Auffassung, dass eine Weisung des Auftraggebers gegen anwendbare Gesetze verstößt, informiert er den Auftraggeber unverzüglich. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Etwaig hierdurch entstehende Mehraufwände des Auftragnehmers trägt der Auftraggeber. Der Auftraggeber trägt die alleinige Verantwortung für die von ihm getroffene Entscheidung.

§ 5 Ort der Verarbeitung

Die Datenverarbeitung findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland oder innerhalb der Europäischen Union bzw. der Staaten des Europäischen Wirtschaftsraumes statt. Eine Verarbeitung in anderen Staaten ist zulässig, soweit ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO vorliegt oder durch andere geeignete Garantien i. S. v. Art. 46 Abs. 2 DSGVO ein angemessenes Datenschutzniveau sichergestellt ist (z.B. hat die EU-Kommission mit Durchführungsbeschluss (EU) 2016/1250 vom 12.07.2016 festgestellt, dass die USA aufgrund der Abreden zum EU-US Privacy Shield ein angemessenes Datenschutzniveau gewährleisten, sofern das US-Unternehmen, an welches personenbezogene Daten übermittelt werden, eine Privacy-Shield-Zertifizierung besitzt). Der Auftragnehmer führt auf Wunsch des Auftraggebers den Nachweis für das Bestehen eines Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO und/oder der Garantien und eines angemessenen Schutzniveaus. Der Nachweis kann – bei einer Datenverarbeitung in den USA durch Benennung des US-Unternehmens und dem Nachweis einer Privacy-Shield-Zertifizierung und ansonsten – durch Vorlage eines entsprechenden Zertifikates einer akkreditierten Zertifizierungsstelle nach Art. 43 DSGVO geführt werden. Der Auftragnehmer verpflichtet sich, die Einhaltung der Garantien und eines angemessenen Schutzniveaus sicherzustellen. Der Auftraggeber behält sich vor, das Vorliegen des Angemessenheitsbeschlusses der EU-Kommission sowie, der Privacy-Shield-Zertifizierung, der Garantien und die Einhaltung eines angemessenen Schutzniveaus im Rahmen seiner Audit- und Kontrollrechte jederzeit zu überprüfen.

§ 6 Art der verarbeiteten Daten

(1) Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die folgenden personenbezogenen Daten:

Gegenstand der Verarbeitung personenbezogener Daten sind alle Datenarten/-kategorien, welche die an dem über den User-Login verwalteten Rechtsfall beteiligten dritten natürlichen Personen betreffen. Dazu gehören unter Umständen, aber nicht zwingend die folgenden Datenarten/-kategorien:

1. Personenstammdaten (z.B. Name, Titel, Adresse, Geburtstag, Geschlecht)
2. Kommunikationsdaten (z.B. Telefon, E-Mail)
3. Vertragsdaten (z.B. Art des Vertrages, Vertragsbeziehung)
4. Kundenhistorie/Bestelldaten
5. Vertragsabrechnungs- und Zahlungsdaten (z.B. Bankverbindung, Steuernummer, Daten des Zahlungsverkehrs)
6. Bonitätsdaten

Ebenso können einzelne oder alle besonderen Kategorien personenbezogener Daten Gegenstand Verarbeitung personenbezogener Daten durch den Auftragnehmer sein.

Dies sind:

1. Rassische und ethnische Herkunft
2. Politische Meinungen
3. Religiöse oder weltanschauliche Überzeugungen
4. Gewerkschaftszugehörigkeit
5. Genetische Daten
6. Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
7. Gesundheitsdaten
8. Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

§ 7 Kreis der Betroffenen

Der Kreis der Betroffenen sind alle an dem über den User-Login verwalteten Rechtsfall beteiligten dritten natürlichen Personen. Dies können zum Beispiel sein:

1. Kunden, Mandanten, Patienten
2. Lieferanten, Dienstleister, Werkunternehme, sonstige Dritte
3. Familienangehörige
4. Opfer von Straftaten
5. Beschäftigte und Personen in beschäftigungsähnlichen Verhältnissen (z.B. freie Mitarbeiter), Arbeitgeber

§ 8 Schutzmaßnahmen des Auftragnehmers

1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen der
1. Zutrittskontrolle
2. Zugangskontrolle
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungskontrolle

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

3. Der Auftragnehmer gewährleistet die Einhaltung der Vorgaben zur Benennung eines Datenschutzbeauftragten und teilt dem Auftraggeber auf Anfrage dessen Kontaktdaten mit oder veröffentlicht diese auf seiner Internetseite. Sollte der Auftragnehmer gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sein, nennt er dem Auftraggeber auf Anfrage den Ansprechpartner für im Rahmen dieser Vereinbarung anfallende Datenschutzfragen. Der Auftragnehmer hat derzeit einen betrieblichen Datenschutzbeauftragten benannt. Dieser ist erreichbar per E-Mail: datenschutz@mail.klugo.de. Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite.

§ 9 Wahrung der Vertraulichkeit und sonstiger Geheimnisse

1. Personenbezogene und sonstige Daten oder Informationen, die dem Auftragnehmer im Rahmen der Erfüllung dieses Vertrags bekannt werden, darf der Auftragnehmer nur für Zwecke der beauftragten Leistung verwenden. Der Auftragnehmer verpflichtet sich, die Vertraulichkeit und Integrität der personenbezogenen Daten zu wahren und alle ihm im Zusammenhang mit der Übernahme und Abwicklung des Auftrages bekannt werdenden personenbezogenen Daten und sonstige unternehmensinterne Umstände, Daten und Informationen (Betriebsgeheimnisse) vertraulich zu behandeln sowie die im Rahmen dieses Vertrages tätig werdenden Mitarbeiter auch über die Beendigung des Beschäftigungsverhältnisses hinaus auf die Wahrung der Vertraulichkeit schriftlich zu verpflichten und über die Datenschutzpflichten aus diesem Vertrag, die Weisungsgebundenheit der Verarbeitung der Daten und deren Zweckbindung zu belehren, sofern diese keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Geheimhaltungspflicht gilt auch über die Beendigung des Vertragsverhältnisses hinaus.
2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er für die Durchführung der Arbeiten nur eigenes Personal, bzw. sorgfältig nach deren Eignung und Zuverlässigkeit ausgewählte Subunternehmer (s. § 13) einsetzt und die mit der Auftragsdurchführung beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht.
3. Der Auftragnehmer verpflichtet sich zur Beachtung aller sonstigen Geheimnisse, soweit diese für die Verarbeitung einschlägig sind, wie des Sozialgeheimnisses, des Fernmeldegeheimnisses und sonstiger Berufsgeheimnisse gem. § 203 StGB sowie zur Verpflichtung und Belehrung der Beschäftigten zur Sicherstellung der Wahrung dieser Geheimnisse.
4. Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über administrative Zugangsdaten und Datensicherheitsmaßnahmen des Auftraggebers geheim zu halten und in keinem Fall Dritten zur Kenntnis zu bringen. Von den ihm eingeräumten Zugriffsrechten darf der Auftragnehmer nur in dem Umfang Gebrauch machen, der für die Durchführung der Datenverarbeitung erforderlich ist. Die Verpflichtung zur Wahrung der Vertraulichkeit und der sonstigen Geheimnisse gilt auch über die Beendigung dieses Vertrages hinaus.

§ 10 Weitere Pflichten des Auftragnehmers

1. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
2. Auskünfte an Dritte oder den Betroffenen erteilt der Auftragnehmer nicht oder nur nach Weisung des Auftraggebers. Auskünfte an Mitarbeiter des Auftraggebers darf der Auftragnehmer nur gegenüber den autorisierten Personen erteilen.
3. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.
4. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der Daten des Auftraggebers bekannt werden. Der Auftragnehmer kann in diesem Fall einstweilig und nach eigenem Ermessen in seinem Verantwortungsbereich angemessene Maßnahmen zum Schutze der Daten des Auftraggebers und zur Minderung möglicher nachteiliger Folgen treffen. Der Auftragnehmer informiert den Auftraggeber über etwaige von ihm getroffene Maßnahmen möglichst zeitnah.
5. Auf Anfrage des Auftraggebers unterstützt der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren bei
• der Einhaltung der in den Art. 32 bis 36 DSGVO geregelten Pflichten des Auftraggebers;
• der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO.
6. Der Auftragnehmer kann für diese Unterstützung eine angemessene Vergütung und die Erstattung von Aufwendungen verlangen, soweit diese nicht auf einer schuldhaften Verletzung dieser Vereinbarung oder des anwendbaren Datenschutzrechts durch den Auftragnehmer beruht.
7. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
8. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.

§ 11 Pflichten des Auftraggebers

1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
2. Der Auftraggeber ist für die Erfüllung der in den Art. 33 bis 36 DSGVO geregelten Pflichten verantwortlich.
3. Der Auftraggeber wird dem Auftragnehmer alle Informationen Verfügung stellen, die der Auftragnehmer zum Führen des Verzeichnisses nach Art. 30 Abs. 2 DSGVO benötigt.
4. Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftraggeber den Auftragnehmer bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
5. Auf Anforderung nennt der Auftraggeber dem Auftragnehmer den Ansprechpartner für im Rahmen dieser Vereinbarung anfallende Datenschutzfragen.
6. Über die Aufbewahrung, Herausgabe oder Löschung der Daten des Auftraggebers nach Beendigung dieser Vereinbarung muss der Auftraggeber innerhalb einer vom Auftragnehmer gesetzten angemessenen Frist entscheiden. Geht dem Auftragnehmer innerhalb dieser Frist keine Entscheidung zu, ist der Auftragnehmer zur Löschung dieser Daten berechtigt, soweit keine rechtlichen Verpflichtungen des Auftragnehmers zur Aufbewahrung dieser Daten bestehen.

§ 12 Kontroll- und Auditrechte des Auftraggebers

1. Für die Beurteilung der Zulässigkeit der Verarbeitung der personenbezogenen Daten sowie für die Ausführung der Rechte der Betroffenen (Art. 12 - 22 DSGVO) ist allein der Auftraggeber verantwortlich. Bei einer Datenverarbeitung im Auftrag arbeitet der Auftraggeber gem. Art. 28 Abs. 1 Satz 1 DSGVO nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen zur Erfüllung der Anforderungen der DSGVO eingerichtet sind.
2. Der Nachweis angemessener technischer und organisatorischer Maßnahmen kann dabei durch Vorlage von Testaten oder Zertifikaten oder durch eine Zertifizierung bzw. ein Datenschutzaudit einer unabhängigen Einrichtung bzw. eines autorisierten Sachverständigen geführt werden.
3. Sollten im Einzelfall datenschutzrechtlich gebotene Kontrollen oder Überprüfungen durch den Auftraggeber oder einen von diesem beauftragten unabhängigen externen Prüfer, dessen Namen dem Auftragnehmer rechtzeitig im Voraus mitgeteilt wird, erforderlich sein, werden diese im Beisein eines Mitarbeiters des Auftragnehmers zu den üblichen Geschäftszeiten sowie ohne Störung des Betriebsablaufs in der Betriebsstätte des Auftragnehmers nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf die Prüfer von der Unterzeichnung einer angemessenen Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen.
4. Der Auftragnehmer wird dem Auftraggeber auf Anforderung innerhalb einer angemessenen Frist alle Auskünfte geben, die zur Durchführung einer umfassenden Kontrolle erforderlich sind.
5. Sollte der Auftraggeber den Nachweis angemessener technischer und organisatorischer Maßnahmen durch Vorlage eines Testats oder Zertifikats oder durch eine Zertifizierung bzw. ein Datenschutzaudit einer unabhängigen Einrichtung bzw. eines autorisierten Sachverständigen erbringen, sind die Kosten zusätzlicher Kontrollen und Überprüfungen gemäß Abs. 3 vom Auftraggeber zu tragen, es sei denn, der vom Auftraggeber bereitgestellte Nachweis gibt begründeten Anlass zu Zweifeln an der Einhaltung angemessener technischer und organisatorischer Maßnahmen.
6. Der Auftraggeber stellt dem Auftragnehmer eine Kopie des vollständigen Auditberichts in elektronischer Form zur Verfügung. Der Auftragnehmer darf den Auditbericht insbesondere auch seinen Subunternehmern überlassen.

§ 13 Einsatz von Subunternehmern

1. Der Auftragnehmer hat Unterauftragsverhältnisse mit Subunternehmern („Subunternehmerverhältnis“) begründet. Eine Liste der Subunternehmen ist auf Anfrage erhältlich. Der Auftraggeber hat die Liste der Subunternehmer als vertrauliches Geschäftsgeheimnis zu behandeln und darf sie nicht an Dritte weitergeben.
2. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Subunternehmerverhältnissen befugt. Er setzt den Auftraggeber hiervon unverzüglich, spätestens jedoch 15 Tage vor Beginn des Subunternehmerverhältnisses in Kenntnis. Der Auftraggeber hat das Recht, unter Darlegung von nachvollziehbaren Gründen, der Einschaltung des Subunternehmers zu widersprechen. Kann keine Lösung erzielt werden, ist der Auftraggeber berechtigt, diesen Auftragsverarbeitungsvertrag mit einer Frist von 2 Wochen zu kündigen.
3. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen
4. Die Subunternehmer sind vom Auftragnehmer insbesondere zu verpflichten, keine weiteren oder anderen Unterauftragnehmer ohne Einhaltung des Verfahrens nach § 13 Abs. 2 und 3 zu betrauen.
5. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.

§ 14 Haftung

1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
2. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

§ 15 Außerordentliches Kündigungsrecht

Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.

§ 16 Mitteilungen des Auftragnehmers an den Auftraggeber

Der Auftragnehmer ist berechtigt, Mitteilungen an den Auftragnehmer über den User-Login zu übermitteln.

§ 17 Beendigung des Hauptvertrags

1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.
2. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
3. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 18 Schlussbestimmungen

1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
3. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
4. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Köln.

Anlage 1

Technische und organisatorische Maßnahmen KLUGO GmbH
Stand: 27.05.2020

Die Klugo GmbH trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Die Gebäude/ Räumlichkeiten, in welchen die Daten verarbeitet werden, sind folgendermaßen vor unberechtigtem Zutritt geschützt:

Maßnahmen im Rechenzentrum

1. Elektronisches Zutrittskontrollsystem mit Protokollierung.
2. Hochsicherheitszaun um den gesamten Datacenter-Park.
3. dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für seinen Colocation Rack).
4. Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude.
5. 24/7 personelle Besetzung der Rechenzentren.
6. Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen.
7. Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Hetzner Online GmbH Mitarbeiters.

Maßnahmen in den Büroräumen der Grapes GmbH (Subunternehmer)

Das Bürogebäude und die Büroräume sind mit Sicherheitsschlössern ausgestattet. Die Türen haben außen Knäufe und sind nur mit speziellen Sicherheitsschlüsseln zu öffnen. Es gibt eine Schlüsselregelung, in welcher alle vorhandenen Schlüssel aufgeführt sind. Jeder Schlüssel hat eine individuelle Codenummer und in der Schlüsselregelung ist vermerkt, welcher Schlüssel wem ausgehändigt wurde. Alle Mitarbeiter haben einen eigenen Schlüssel.

Maßnahmen im Bürogebäude von KLUGO GmbH

Das Bürogebäude und die Büroräume sind mit Sicherheitsschlössern ausgestattet. Die Türen haben außen Knäufe und sind nur mit speziellen Sicherheitsschlüsseln zu öffnen. Es gibt eine Schlüsselregelung, in welcher alle vorhandenen Schlüssel aufgeführt sind. Jeder Schlüssel hat eine individuelle Codenummer und in der Schlüsselregelung ist vermerkt, welcher Schlüssel wem ausgehändigt wurde. Alle Mitarbeiter haben einen eigenen Schlüssel.

Zugangskontrolle

Maßnahmen im Rechenzentrum

für Dedicated Server, Colocation Server, Cloud Server und Storage Box

1. Server-Passwörter, welche nur vom Auftraggeber nach erstmaliger Inbetriebnahme von ihm selbst geändert werden und dem Auftragnehmer nicht bekannt sind.
2. Das Passwort zur Administrationsoberfläche wird vom Auftraggeber selbst vergeben - die Passwörter müssen vordefinierte Richtlinien erfüllen. Zusätzlich steht dem Auftraggeber dort eine Zwei-Faktor-Authentifizierung zur weiteren Absicherung seines Accounts zur Verfügung.

für Managed Server, Webhosting und Nextcloud

1. Zugang ist passwortgeschützt, Zugriff besteht nur für berechtigte Mitarbeiter vom Auftragnehmer; verwendete Passwörter müssen Mindestlänge haben.

Maßnahmen der Grapes GmbH (Subunternehmer)

Zugänge zu Servern erfolgt durch ein SSH Authentifizierungsverfahren. Zugänge und Berechtigungen zu Datenbanken werden über ein internes verschlüsseltes Passwortverwaltungssystem verteilt. Es erfolgt keine Protokollierung der Berechtigungen.

Die Festplatten der IT Arbeitsrechner sind verschlüsselt. Die Festplatten der mobilen IT Arbeitsrechner sind verschlüsselt. Externe mobile Datenträger werden im Rahmen des Projektes von der IT nicht verwendet.

Alle Rechner werden über die zum Betriebssystem gehörenden Schutzprogramme geschützt. Zugriffe von Dritten werden durch verschlüsselte Festplatten und Passwortschutz zum Betriebssystem unterbunden. Außerdem werden alle weiteren IT relevanten Passwörter über ein internes verschlüsseltes Passwortverwaltungssystem verwaltet und geschützt.

Maßnahmen von KLUGO GmbH

Die Festplatten der IT Arbeitsrechner sind verschlüsselt. Die Festplatten der mobilen IT Arbeitsrechner sind verschlüsselt. Externe mobile Datenträger werden im Rahmen des Projektes von der IT nicht verwendet.

Alle Rechner werden über die zum Betriebssystem gehörenden Schutzprogramme geschützt. Zugriffe von Dritten werden durch verschlüsselte Festplatten und Passwortschutz zum Betriebssystem unterbunden. Außerdem werden alle weiteren IT relevanten Passwörter über ein internes verschlüsseltes Passwortverwaltungssystem verwaltet und geschützt.

Zugriffskontrolle

Maßnahmen im Rechenzentrum

bei internen Verwaltungssystemen von KLUGO

1. Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
2. Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.

für Managed Server, Webhosting und Nextcloud

1. Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
2. Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.

Maßnahmen der Grapes GmbH (Subunternehmer)

1. Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
2. Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.
3. Nur Nutzer mit der Administratorrolle können neue Nutzer anlegen und Berechtigungen verteilen.
4. Die gespeicherten Informationen auf bereits benutzten, aber nicht mehr verwendeten Datenträgern werden mit geeigneten Geräten, Werkzeugen und/oder Verfahren gelöscht oder vernichtet.
5. Personenbezogene Daten werden in keiner Form zu Papier gebracht.
6. In der Applikationslogik wird ein Framework verwendet, welche Zugriffsrechte auf einzelne Datenfelder benutzerbezogen definiert und sicherstellt.
7. Test und Produktivsystem laufen auf unterschiedlichen Servern.

Maßnahmen des Auftragnehmers

1. durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden.
2. Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.

Pseudonymisierung & Verschlüsselung

Die Verarbeitung der Passwortdaten findet ausschließlich verschlüsselt statt. Die Verschlüsselung erfolgt mittels geeigneter Verfahren.

2. Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Maßnahmen im Rechenzentrum

Alle Mitarbeiter sind i.S.d. Art. 32 Abs. 4 DSGVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

1. Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.
2. Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des Hauptauftrages zur Verfügung gestellt.

Maßnahmen der Grapes GmbH (Subunternehmer)

Alle Mitarbeiter sind i.S.d. Art. 32 Abs. 4 DSGVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

1. Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.
2. Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des Hauptauftrages zur Verfügung gestellt.

Maßnahmen des Auftragnehmers

1. Verschlüsselung der Daten bei Datenübermittlung, Virtual Private Networks (VPN), verschlossene Transportbehälter bei Weitergabe von Daten auf analogen Datenträgern.
2. Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des Hauptauftrages zur Verfügung gestellt..

Eingabekontrolle

Maßnahmen im Rechenzentrum

bei internen Verwaltungssystemen

1. Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
2. Änderungen der Daten werden protokolliert.

für Managed Server, Webhosting und Nextcloud

1. Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
2. Änderungen der Daten werden protokolliert.

Maßnahmen der Grapes GmbH (Unterauftragnehmer)

1. Personenbezogenen Daten können nur vom Endnutzer selbst bei Erstellung eines Falles eingegeben werden. Eine Änderung dieser Daten ist danach nur von der Seite des Auftraggebers möglich.
2. Änderungen der Daten werden protokolliert.

Maßnahmen des Auftragnehmers

1. Personenbezogenen Daten können nur vom Endnutzer selbst bei Erstellung eines Falles eingegeben werden.
2. Änderungen der Daten werden protokolliert.

3. Verfügbarkeit, Belastbarkeit und rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Maßnahmen im Rechenzentrum

bei internen Verwaltungssystemen des Auftragnehmers

1. Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten.
2. Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
3. Einsatz von Festplattenspiegelung bei allen relevanten Servern.
4. Monitoring aller relevanten Server.
5. Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage..
6. Dauerhaft aktiver DDoS-Schutz.

für Managed Server, Webhosting und Nextcloud

1. Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen.
2. Einsatz von Festplattenspiegelung.
3. Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.
4. Einsatz von Softwarefirewall und Portreglementierungen..
5. Dauerhaft aktiver DDoS-Schutz.
6. Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.

Maßnahmen der Grapes GmbH (Subunternehmer)

1. Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen.
2. Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
3. Einsatz von Festplattenspiegelung.
4. Einsatz von Softwarefirewall.
5. Dauerhaft aktiver DDoS-Schutz.
6. Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt, wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.

Maßnahmen des Auftragnehmers

1. Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen.
2. Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
3. Einsatz von Festplattenspiegelung.
4. Einsatz von Softwarefirewall.
5. Dauerhaft aktiver DDoS-Schutz.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

Maßnahmen im Rechenzentrum

1. Das Datenschutz-Managementsystem und das Informationssicherheitsmanagement-system wurden zu einem DIMS (Datenschutz-Informationssicherheits-Management-System) vereint.
2. Incident-Response-Management ist vorhanden.
3. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

Auftragskontrolle

1. Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers.
2. Die AGB enthalten detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers.
3. Die Hetzner Online GmbH hat einen betrieblichen Datenschutzbeauftragten sowie einen Informationssicherheitsbeauftragten bestellt. Beide sind durch die Datenschutzorganisation und das Informationssicherheitsmanagementsystem in die relevanten betrieblichen Prozesse eingebunden.

Maßnahmen der Grapes GmbH (Subunternehmer)

1. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

Auftragskontrolle

1. Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers.
2. Mitarbeiter, die aufgrund eines Wechsels der Tätigkeit oder Projekts mit anderen personenbezogenen Daten in Kontakt kommen, erhalten eine entsprechende zusätzliche Unterweisung im Datenschutz.
3. Die Vertraulichkeit der Daten wird im jeweiligen Arbeitsvertrag zwischen dem Auftragnehmer und seinen Mitarbeitern sichergestellt. In individuellen Arbeitsanordnungen wird der sorgsame Umgang mit personenbezogenen Daten zusätzlich festgelegt.
4. Bei Verletzung von Datenschutzrichtlinien erfolgt ein definierter Eskalationsprozess nach ISO 9001. Hierbei ist wird umgehend an die Geschäftsleitung des Auftragnehmers berichtet, welche dann angemessene Schritte einleitet. Anfragen von Betroffenen werden mit Priorität verarbeitet.
5. Verarbeitungstätigkeiten werden i.S.d. Art. 30 Abs. 3 DSGVO elektronisch erfasst und verwaltet.
6. Die technischen und organisatorischen Maßnahmen werden regelmäßig an die sich verändernden Bedingungen angepasst.

Maßnahmen des Auftragnehmers

1. Datenschutzfreundliche Voreinstellungen werden bei Softwareentwicklungen berücksichtigt (Art. 25 Abs. 2 DS-GVO).

Auftragskontrolle

1. Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers.
2. Die Mitarbeiter werden vertraglich zum vertraulichen Umgang mit personenbezogenen Daten verpflichtet. Diese Verpflichtung wird bereits bei Beschäftigungsaufnahme vorgenommen.
3. Der Auftragnehmer hat als Datenschutzbeauftragten Ulf Haumann (Telefonnummer: 0231-10877895, E-Mail: datenschutz@mail.klugo.de, Adresse: Kolumbastraße 3, 50667 Köln) eingesetzt.
4. Betroffene können sich per E-Mail an datenschutz@mail.klugo.de wenden.
5. Es existiert ein Konzept zum Umgang mit Betroffenenrechten, durch das die frist- und sachgerechte Bearbeitung gem. Art 12 Abs. 3 DSGVO sichergestellt wird.
6. Der Auftragnehmer hat ein Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 und 2 DSGVO erstellt.
7. Der Auftragnehmer lässt sich regelmäßig zu Datenschutzthemen von einem externen Datenschutzexperten beraten.