Allgemeine Geschäftsbedingungen als PDF speichern und drucken
Acrobat Reader kostenlos herunterladen
Allgemeine Geschäftsbedingungen der KLUGO GmbH für den Nutzer
Präambel
Die KLUGO GmbH, Kolumbastr. 3, 50667 Köln, („KLUGO“) betreibt unter der Domain www.klugo.de ein Online-Portal, das
die Kontaktaufnahme zwischen natürlichen oder juristischen Personen und Rechtsanwälten bzw. Juristen zum Zwecke der
Rechtsberatung ermöglicht und unterstützt sowie dem Nutzer allgemeine Information über Rechtsthemen zur Verfügung
stellt.
Diese Allgemeinen Geschäftsbedingungen („AGB") regeln alle vertraglichen Beziehungen zwischen KLUGO
und dem Nutzer im
Zusammenhang mit der Nutzung der Plattform und den dazugehörigen Dienstleistungen. Die Rechtsanwältinnen und
Rechtsanwälte sowie die Juristinnen und Juristen aus dem Netzwerk von KLUGO haben eine gesonderte Vereinbarung mit
KLUGO getroffen.
AGB des Nutzers werden auch dann nicht Vertragsbestandteil, wenn KLUGO deren Einbeziehung nicht ausdrücklich
widerspricht.
1. Begriffsbestimmungen
Die folgenden Definitionen beschreiben die Begriffe, die wir in diesen allgemeinen Geschäftsbedingungen und auf
unseren Internetseiten verwenden:
- Plattform – Online-Portal auf der Internetseite der Klugo GmbH (www.klugo.de);
- Nutzer – Natürliche oder juristische Personen, welche die Angebote auf der Plattform nutzen;
- Partneranwälte – Rechtsanwältinnen und Rechtsanwälte aus dem Anwaltsnetzwerk von KLUGO;
- Jurist –Volljuristin/Volljurist oder Expertinnen/Experten mit juristischen Fachkenntnissen
unter Anleitung von
Personen mit Befähigung zum Richteramt aus dem Juristennetzwerk von KLUGO.
2. Leistungsbeschreibung
2.1.
KLUGO stellt die nachfolgend beschriebenen Vermittlungsleistungen dem Nutzer entweder unentgeltlich oder
gemäß den zu den Produkten ausgewiesenen Gebühren zur Verfügung. Neben der Verwaltung
seiner Rechtsfälle im
„User-Login“ (Ziff. 4.) hat der Nutzer die Möglichkeit eine Rechtsberatung durch Vermittlung zu einem
Partneranwalt bzw. einem Juristen in Anspruch zu nehmen. Hierbei hat der Nutzer die Wahl zwischen dem
kostenfreien Paket „Beratung Basic“ (Ziff.7.) oder dem gebührenpflichtigen Paket „Beratung Plus“ (Ziff. 8.).
Daneben kann KLUGO auf ihrer Plattform weitere Dienste anbieten, die ausschließlich von Drittanbietern erbracht werden (Ziff. 6.5).
2.2.
KLUGO behält sich vor, einzelne oder alle Leistungen ohne Angabe von Gründen für die Zukunft nicht mehr
anzubieten. Ein Anspruch des Nutzers auf Erbringung der Leistungen besteht nicht. Geschäftsunfähige und
beschränkt geschäftsfähige Personen sind von der Nutzung des Angebots ausgeschlossen. Laufende Verträge sind
hiervon nicht betroffen.
2.3.
KLUGO stellt dem Nutzer auf der Plattform allgemeine Informationen rund um die Themen Recht und
Rechtsberatung zur Verfügung. Zu diesen allgemeinen Informationen können, nach eigener Auswahl von KLUGO, unter
anderem Artikel zu Rechtsgebieten, Urteile und Fallsammlungen, Musterverträge, Rechenprogramme, Rechtstipps,
Blogartikel zu aktuellen Themen sowie Graphiken gehören.
2.4.
Im Live-Chat haben Nutzer die Möglichkeit, mit KLUGO Mitarbeitern und Mitarbeiterinnen direkt in Kontakt zu
treten und in einem Gespräch in Form eines Echtzeit-Chats Ihre Fragen zur Internetseite und den angebotenen
Services zu klären. Der Live-Chat findet zu bestimmten Zeiten und zu bestimmten, wechselnden Themen, statt.
Chats, in denen Beleidigungen geäußert werden, werden von den KLUGO Mitarbeitern und Mitarbeiterinnen beendet
und bei besonders schweren Verstößen werden die Nutzer blockiert.
3. Nutzungsrechte
3.1.
Soweit nicht in diesen AGB oder auf der Plattform eine weitergehende Nutzung ausdrücklich erlaubt oder auf
der Plattform durch eine entsprechende Funktionalität (z.B. Download-Button) ermöglicht wird,
- dürfen die auf der Plattform verfügbaren Inhalte ausschließlich für persönliche Zwecke online abgerufen
und angezeigt werden. Dieses Nutzungsrecht ist auf die Dauer der vertragsgemäßen Nutzung auf der Plattform
beschränkt;
- ist es dem Nutzer untersagt, die auf der Plattform verfügbaren Inhalte ganz oder teilweise zu bearbeiten,
zu verändern, zu übersetzen, vorzuzeigen oder vorzuführen, zu veröffentlichen, auszustellen, zu
vervielfältigen oder zu verbreiten. Ebenso ist es untersagt, Urhebervermerke, Logos und sonstige Kennzeichen
oder Schutzvermerke zu entfernen oder zu verändern.
3.2.
Zum Herunterladen von Inhalten („Download“) sowie zum Ausdrucken von Inhalten ist der Nutzer nur
berechtigt, soweit eine Möglichkeit zum Download bzw. zum Ausdrucken auf der Plattform als Funktionalität (z.B.
mittels eines Download-Buttons) zur Verfügung steht.
An den ordnungsgemäß herunter geladenen bzw. ausgedruckten Inhalten erhält der Nutzer jeweils ein zeitlich
unbefristetes und nicht ausschließliches Nutzungsrecht für die Nutzung zu eigenen, nichtkommerziellen Zwecken.
3.3.
Die zwingenden gesetzlichen Rechte (einschließlich der Vervielfältigung zum privaten und sonstigen eigenen
Gebrauch nach § 53 UrhG) bleiben unberührt.
4. User-Login
4.1.
Der Nutzer kann sich darüber hinaus für die Portalanwendung „User-Login“ registrieren. Nach erfolgreicher
Registrierung kann der Nutzer innerhalb des User-Login seine Rechtsfälle selbst verwalten. Er kann dort Daten zu
seinen Rechtsfällen hinterlegen und verarbeiten, Dokumente hochladen, den aktuellen Status der Bearbeitung
seiner Rechtsfrage(n) einsehen sowie mit KLUGO in Kontakt treten.
4.2.
Der Nutzer darf keine strafbaren oder sonst absolut oder im Verhältnis zu einzelnen Dritten rechtswidrigen
Inhalte und Daten einstellen und keine Viren oder sonstige Schadsoftware enthaltenen Programme im Zusammenhang
mit der Nutzung der User-Login-Software einsetzen.
4.3.
Hinsichtlich der personenbezogenen Daten von an einem Rechtsfall beteiligten dritten Personen besteht
zwischen dem Nutzer und KLUGO ein Auftragsverarbeitungsverhältnis i.S.v. Art. 28 DSGVO (Annex). Aus
datenschutzrechtlichen Gründen ist es dem Nutzer untersagt, über den User-Login personenbezogene Daten über
strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln zu verarbeiten
(Art. 10 DSGVO).
4.4.
Für die Inhalte, die der Nutzer in den User-Login einstellt oder auf diesen hoch lädt, ist er selbst
verantwortlich. KLUGO nimmt von diesen Inhalten grundsätzlich keine Kenntnis und prüft die mittels des
User-Login genutzten Inhalte grundsätzlich nicht.
5. Vermittlung an einen Partneranwalt oder Jurist
5.1.
KLUGO bietet dem Nutzer außerdem an, den Nutzer zu einem Partneranwalt bzw. im Beratungspaket „Beratung Basic"
(Ziff. 7) auch an einen Juristen weiter zu vermitteln. Für den Erstkontakt zu KLUGO besucht der Nutzer dafür
ausschließlich die Plattform. Auf der Plattform füllt der Nutzer dazu ein Anfrageformular aus („Rechtsberatung
erhalten“) und wählt sein persönliches Beratungspaket (Ziff. 7. und 8.). In der Anfrage gibt der Nutzer
verpflichtend seinen Vor- und Nachnamen, seine Postleitzahl, seine E-Mail-Adresse und seine Telefonnummer an. Im
Übrigen entscheidet der Nutzer, ob er die weiteren Freitextfelder ausfüllen möchte.
5.2.
Für die Kontaktaufnahme bietet KLUGO drei unterschiedliche Kontaktwege an:
5.2.1. Individuelle Telefonnummer
Dem Nutzer wird eine individuelle Telefonrufnummer angezeigt, die er anruft. Der Anruf verbindet den Nutzer
mit der KLUGO Telefonzentrale. Diese verbindet den Nutzer direkt mit einem Partneranwalt. Parallel dazu
generiert KLUGO aus der Anfrage die für den Partneranwalt wichtigen Informationen und mögliche Anhänge und
leitet diese über die KLUGO-Plattform an den entsprechenden Partneranwalt weiter. Der Nutzer trägt etwaige
Kosten für den regulären Festnetzanruf selbst.
Verfügbar im Beratungspaket "Beratung Plus".
5.2.2. Rückruf
Der Nutzer wird auf seiner angegebenen Telefonrufnummer von einem Partneranwalt (bzw. Juristen im
Beratungspaket "Beratung Basic") zurückgerufen. Die Anfrage wird dafür direkt an einen Partneranwalt
weitergeleitet. In diesem Fall generiert KLUGO aus der Anfrage die für den Partneranwalt wichtigen
Informationen und mögliche Anhänge und leitet diese über die KLUGO-Plattform an den entsprechenden
Partneranwalt weiter. Der Partneranwalt hat daraufhin die Möglichkeit, den Nutzer anzurufen. Verfügbar in
den Beratungspaketen "Beratung Basic" und "Beratung Plus".
5.2.3. E-Mail
Der Nutzer wird auf seiner angegebenen E-Mail-Adresse von einem Partneranwalt bzw. Juristen kontaktiert. Die
Anfrage wird dafür direkt an einen Partneranwalt bzw. Juristen weitergeleitet. In diesem Fall generiert
KLUGO aus der Anfrage die für den Partneranwalt wichtigen Informationen und mögliche Anhänge und leitet
diese über die KLUGO-Plattform an den Partneranwalt weiter. Der Partneranwalt hat daraufhin die Möglichkeit,
den Nutzer zu kontaktieren. Verfügbar im Beratungspaket "Beratung Basic".
5.3.
Mit der Auswahl des Beratungspakets kommt ein Vertrag auf Vermittlung einer juristischen Erstberatung
zwischen dem Nutzer und KLUGO zustande. Der Nutzer verzichtet darauf, dass KLUGO gegenüber diesem die Annahme
des Antrags erklärt (§ 151 BGB). Im Anschluss an die Auswahl eines der Kontaktwege wird dem Nutzer eine
individuelle Beratungsnummer zugewiesen.
5.3.1. Vertragsprachen
Die Vertragssprachen sind: Deutsch
5.4.
KLUGO wählt den Partneranwalt (bzw. Juristen im Beratungspaket "Beratung Basic") für den Nutzer in der Regel
danach aus, ob der Partneranwalt das entsprechende Rechtsgebiet betreut bzw. besondere Kenntnis darin hat,
soweit KLUGO darüber vom Nutzer Informationen hat.
5.5.
KKLUGO behält sich das Recht vor, Anfragen nicht an einen Partneranwalt (bzw. Juristen im Beratungspaket
"Beratung Basic") weiterzuleiten. KLUGO wird insbesondere Anfragen dann nicht weiterleiten, wenn nach Ermessen
von KLUGO
kein passender Partneranwalt aus dem KLUGO Netzwerk zur sachgemäßen und interessengerechten Bearbeitung der
Rechtsfrage in Betracht kommt. KLUGO wird den Nutzer hierüber unverzüglich informieren.
5.6.
KLUGO behält sich vor, Anfragen nicht zu bearbeiten und zu löschen, bei denen anhand objektiver Tatsachen
der Verdacht eines Verstoßes gegen Ziff. 12.1. besteht.
5.7.
In den in Ziff. 5.5. und 5.6. genannten Fällen sowie für den Fall, dass eine Vermittlung nach mindestens zwei
Vermittlungsversuchen durch KLUGO nicht zustande kommt, wird KLUGO dem Nutzer die für das Paket "Beratung Plus"
(Ziff. 8.) entrichteten Vermittlungsgebühren unverzüglich zurückerstatten.
5.8.
Die Kommunikation über die Plattform erfolgt über eine verschlüsselte Internetverbindung.
6. Vertragsbeziehungen, Stellung der Beteiligten
6.1.
KLUGO weist ausdrücklich darauf hin, selbst keinerlei Rechtsberatung durchzuführen, sondern dem Nutzer lediglich
einen auf das jeweilige zu bearbeitende Rechtsgebiet spezialisierten Partneranwalt bzw. im Falle des
Beratungspaketes "Beratung Basic" (Ziff. 7.) einen Juristen zu vermitteln. Die
Partneranwälte bieten dem Nutzer eine kostenfreie Erstberatung bzw. Ersteinschätzung an, deren Umfang sich nach
dem gewählten Beratungspaket richtet. KLUGO stellt die Spezialisierung des Partneranwalts durch Berücksichtigung
entsprechender Interessen- oder Tätigkeitsschwerpunkte bzw. entsprechender Fachanwaltstitel sicher.
Vertragsparteien im Zusammenhang mit der Erbringung der kostenfreien Erstberatung bzw. Ersteinschätzung sind
allein der jeweilige Nutzer und der Partneranwalt bzw. Jurist.
6.2.
Die kostenfreie rechtliche Erstberatung/Ersteinschätzung durch einen zugelassenen Rechtsanwalt oder einen
Juristen je nach ausgewähltem Beratungspaket (Ziff. 7. u. 8.) erfolgt im Verhältnis zwischen dem Nutzer und
dem Partneranwalt bzw. Juristen.
6.3.
Soweit mittels der Nutzung der Plattform ein Vertrag über eine weitere anwaltliche Beratung oder Vertretung
geschlossen wird, werden allein der jeweilige Nutzer und der Partneranwalt Vertragspartei („Mandatsverhältnis").
Anwaltliche Beratung oder Vertretung erfolgt ausschließlich im Mandatsverhältnis. Ansprechpartner für Fragen im
Zusammenhang mit dem Mandatsverhältnis, z. B. über Vergütung, Terminabsprachen oder Haftungsansprüche, ist der
jeweils andere Vertragspartner (also Nutzer oder Partneranwalt). Auch die Erfüllung eines geschlossenen
Anwaltsvertrags erfolgt ausschließlich zwischen dem Partneranwalt und dem Nutzer.
6.4.
KLUGO ist nicht verpflichtet, Beschwerden von Nutzern oder von Partneranwälten bzw. Juristen, die sich
allein auf die Erstberatung/Ersteinschätzung oder das Mandatsverhältnis beziehen, zu bearbeiten oder zwischen
den Parteien zu vermitteln.
6.5.
Soweit KLUGO auf Ihren Webseiten Dienste von Drittanbietern zur Verfügung stellt, vermittelt KLUGO lediglich den Zugang zu diesen Diensten. Für die Inanspruchnahme derartiger Dienste – die jeweils als Dienste Dritter kenntlich gemacht sind ¬– können von unseren AGB abweichende oder zusätzliche Regelungen gelten, z.B. die allgemeinen Geschäftsbedingungen des Drittanbieters.
Verträge mit Drittanbietern, die dem Nutzer im Rahmen des Angebots von KLUGO bekannt oder durch diese vermittelt werden, kommen ausschließlich zwischen dem Nutzer und dem Dritten zustande.
KLUGO haftet weder für die Verfügbarkeit, noch für die inhaltliche Richtigkeit, Vollständigkeit oder Aktualität sowie die Freiheit von Rechten Dritter der vermittelten Dienste.
7. Paket "Beratung Basic"
7.1.
Im Rahmen einer kostenlosen telefonischen Ersteinschätzung erhält der Nutzer kurze Antworten auf seine
ersten rechtlichen Fragen von einem Partneranwalt oder Juristen. Das Paket "Beratung Basic" umfasst die
Vermittlung der folgenden Leistungen:
- Telefonische Ersteinschätzung (kurze Ersteinschätzung der rechtlichen Situation durch einen Partneranwalt
oder Jurist)
- Klärung des Sachverhalts
- Rechtsauskunft innerhalb von 2 Tagen (Der Kunde kann den Kontakt per Rückruf oder E-Mail auswählen, werktags
von 8 bis 19 Uhr)
7.2.
Bitte beachten: Mit dem Klick auf den entsprechenden Button erklärt der Nutzer verbindlich, das
Paket "Beratung Basic"
in Anspruch nehmen zu wollen. Hierdurch nimmt der Nutzer das Angebot von KLUGO über die Vermittlung der
kostenfreien Dienstleistung verbindlich an, und es entsteht ein weiteres Vertragsverhältnis zwischen dem Nutzer
und dem vermittelten Partneranwalt bzw. Juristen.
8. Paket "Beratung Plus"
8.1.
Bei dem Rechtsberatungspaket "Beratung Plus" handelt es sich um ein kostenpflichtiges Produkt. Der Nutzer
erhält
eine telefonische Erstberatung durch einem erfahrenen Partneranwalt. Das Paket "Beratung Plus" umfasst die
Vermittlung der
folgenden Leistungen:
- Telefonische Erstberatung (Sofortige Antwort auf erste rechtliche Fragen von einem erfahrenen Anwalt)
- Beurteilung der Erfolgsaussichten
- Erste konkrete Handlungsempfehlungen
- Sofortige Rechtsauskunft (Der Kunde kann den Kontakt per Sofort-Anruf oder Rückruf auswählen, werktags
von 8 bis 17:30 Uhr)
8.2.
Bitte beachten: Mit dem Klick auf den entsprechenden Button erklärt der Nutzer verbindlich, das
Paket "Beratung Plus"
in Anspruch nehmen zu wollen. Hierdurch nimmt der Nutzer das Angebot von KLUGO über die kostenpflichtige
Vermittlung der kostenfreien Dienstleistung verbindlich an, und es entsteht ein weiteres Vertragsverhältnis
zwischen dem Nutzer und dem vermittelten Partneranwalt.
8.3.
Wenn der Nutzer das kostenpflichtige Paket "Beratung Plus" nicht in Anspruch nehmen möchte, so kann er durch
Klick
auf den entsprechenden Button oder durch den „Zurück“-Button seines Browsers zur unentgeltlichen Nutzung der
Plattform zurückkehren.
9. WIDERRUFSBELEHRUNG
Sofern die Inanspruchnahme des Beratungspakets "Beratung Plus" zu einem Zweck erfolgt, der weder der
gewerblichen noch der selbständigen beruflichen Tätigkeit des Nutzers zugerechnet werden kann, so steht dem
Nutzer ein gesetzliches Widerrufsrecht wie nachfolgend beschrieben zu.
9.1.
Verbraucher haben bei Abschluss eines Fernabsatzgeschäfts grundsätzlich ein gesetzliches Widerrufsrecht,
über das der Anbieter nach Maßgabe des gesetzlichen Musters nachfolgend informiert. Unter Ziff. 10.2. findet
sich ein Muster-Widerrufsformular.
(1) Widerrufsrecht
- Ist der Nutzer ein Verbraucher, so hat er das Recht, binnen vierzehn Tagen ohne Angaben von Gründen
diesen Vertrag zu widerrufen.
- Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsschlusses.
- Um das Widerrufsrecht auszuüben, muss der Nutzer die
KLUGO GmbH
Kolumbastraße 3
50667 Köln
Email: info@klugo.de
Tel.: +49 (0) 221 29947635
mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief oder E-Mail) über seinen
Entschluss, diesen Vertrag zu widerrufen, informieren. Er kann dafür das beigefügte
Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.
- Zur Wahrung der Widerrufsfrist reicht es aus, dass der Nutzer die Mitteilung über die Ausübung des
Widerrufsrechts vor Ablauf der Widerrufsfrist absendet.
(2) Folgen des Widerrufs
- Wenn der Nutzer diesen Vertrag widerruft, hat KLUGO dem Nutzer alle Zahlungen, die sie von dem Nutzer
erhalten hat, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus
ergeben, dass der Auftraggeber eine andere Art der Lieferung als die von KLUGO angebotene, günstigste
Standardlieferung gewählt hat), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag
zurückzuzahlen, an dem die Mitteilung über den Widerruf dieses Vertrags bei KLUGO eingegangen ist. Für
diese Rückzahlung verwendet KLUGO dasselbe Zahlungsmittel, das der Nutzer bei der ursprünglichen
Transaktion eingesetzt hat, es sei denn, zwischen den Vertragsparteien wurde ausdrücklich etwas anderes
vereinbart; in keinem Fall werden dem Nutzer wegen dieser Rückzahlung Entgelte berechnet.
- Hat der Nutzer verlangt, dass die Dienstleistungen während der Widerrufsfrist beginnen sollen, so hat
er KLUGO einen angemessenen Betrag zu zahlen, der dem Anteil der bis zu dem Zeitpunkt, zu dem er KLUGO
von der Ausübung des Widerrufsrechts hinsichtlich dieses Vertrags unterrichtet, bereits erbrachten
Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.
9.2.
Über das Muster-Widerrufsformular informiert KLUGO nach der gesetzlichen Regelung wie folgt:
Muster-Widerrufsformular
Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden Sie es zurück.
An die
KLUGO GmbH
Kolumbastraße 3
50667 Köln
Email: info@klugo.de
Tel.: +49 (0) 221 29947635
Hiermit widerrufe(n) ich/wir(*) den von mir/uns(*) abgeschlossenen Vermittlungsvertrag vom [_____________].
Name des Nutzers:
Anschrift des Nutzer(s):
Ort, Datum Unterschrift des/der Nutzer(s)
(nur bei Mitteilung auf Papier)
* Unzutreffendes bitte streichen.
10. Entgelte
10.1.
Die Nutzung der Plattform und des User-Login ist für den Nutzer derzeit kostenlos.
10.2.
Das Beratungspaket "Beratung Basic" ist für den Nutzer kostenfrei.
10.3.
Die jeweils geltenden Gebühren für das Beratungspaket "Beratung Plus" kann den Produktbeschreibungen
entnommen werden.
10.4.
Im Übrigen wird der Nutzer darauf hingewiesen, dass eine Vergütung des Partneranwalts für über die
Erstberatung hinausgehende anwaltliche Dienstleistungen sich grundsätzlich nach dem
Rechtsanwaltsvergütungsgesetz („RVG“) bemisst. Die Vergütung einer weiteren Beratung durch einen
Partneranwalt
richtet sich dabei ausschließlich nach dem Mandatsverhältnis zwischen dem Nutzer und dem Partneranwalt. Den
Vertragsparteien des Mandatsverhältnisses bleibt es jedoch im Rahmen der gesetzlichen Bestimmungen frei,
eine
hiervon abweichende Regelung zu treffen.
10.5.
Der Nutzer trägt etwaige Kosten für seine Internet- oder Telefonverbindung selbst.
11. Weitere Pflichten des Nutzers
11.1.
Der Nutzer ist für die Vollständigkeit und Richtigkeit seiner Angaben allein verantwortlich. Er darf in
seinen Anfragen keine Daten und/oder sonstige Inhalte einstellen, die anwendbare Rechtsvorschriften oder
Rechte
Dritter (insb. Urheber- und Persönlichkeitsrechte) verletzen.
11.2.
Dem Nutzer sind sämtliche Handlungen untersagt, die die Funktionsfähigkeit oder die Integrität der
Plattform gefährden können. Insbesondere darf die Plattform nicht für Spamming, unberechtigte Manipulationen
von
Daten und/oder Cyberattacken genutzt werden.
11.3.
Ebenfalls untersagt ist jede Handlung, die geeignet ist, den reibungslosen Betrieb der Plattform zu
beeinträchtigen, insbesondere die Systeme von KLUGO übermäßig zu belasten.
11.4.
Bei Vorliegen eines Verdachts auf rechtswidrige bzw. strafbare Handlungen ist KLUGO berechtigt und ggf.
auch verpflichtet, die Aktivitäten der Nutzer zu überprüfen und ggf. geeignete rechtliche Schritte
einzuleiten.
Hierzu kann auch die Zuleitung eines Sachverhalts an die Staatsanwaltschaft gehören.
11.5.
Der Nutzer stellt KLUGO von allen Schäden, Ansprüchen Dritter, Auslagen und Kosten (einschließlich
marktüblicher, nicht auf die gesetzlichen Gebühren beschränkter Anwaltshonorare) frei, die KLUGO wegen eines
Verstoßes des Nutzers gegen diese Ziff. 12. entstehen, es sei denn, dass den Nutzer kein Verschulden trifft.
Weitere vertragliche und gesetzliche Rechte und Ansprüche von KLUGO bleiben unberührt.
12. Haftung, Freistellung von Ansprüchen Dritter
12.1.
KLUGO ist nicht verantwortlich und haftet nicht für das Zustandekommen eines Anwaltsvertrages
(Mandatsverhältnis) zwischen Nutzer und Partneranwalt. Die aus einem Anwaltsvertrag hervorgehenden
wechselseitigen Ansprüche betreffen insoweit ausschließlich das Verhältnis von Nutzer und Partneranwalt.
Insbesondere haftet KLUGO nicht für Beratungsfehler und Fristsäumnisse des Partneranwalts.
12.2.
Die auf der Plattform dargestellten Informationen nach Ziff. 2.3. werden von KLUGO nach eigener Recherche
aufbereitet. Sie dienen dem allgemeinen Informationsinteresse des Nutzers und nicht der Rechtsberatung. Der
Nutzer wird darauf hingewiesen, dass die Informationen aus Empfängersicht unvollständig oder ungenau sein
können. KLUGO sichert die Richtigkeit der Informationen nicht zu. KLUGO weist den Nutzer darauf hin, dass
die
rechtliche Beurteilung eines Sachverhalts nur durch die Einzelfallprüfung durch einen Anwalt möglich ist.
12.3.
Für Schäden, die durch KLUGO oder durch deren gesetzliche Vertreter, leitende Angestellte, Mitarbeiter,
Beauftragte oder Erfüllungs- und Verrichtungsgehilfen vorsätzlich oder grob fahrlässig verursacht wurde,
haftet
KLUGO unbeschränkt.
12.4.
In Fällen der leicht fahrlässigen Verletzung von nur unwesentlichen Vertragspflichten haftet KLUGO nicht.
Im Übrigen ist die Haftung von KLUGO für leicht fahrlässig verursachte Schäden auf diejenigen Schäden
beschränkt, mit deren Entstehung im Rahmen des jeweiligen Vertragsverhältnisses typischerweise gerechnet
werden
muss (vertragstypisch vorhersehbare Schäden). Dies gilt auch bei leicht fahrlässigen Pflichtverletzungen der
gesetzlichen Vertreter, leitenden Angestellten, Mitarbeiter, Beauftragten oder Erfüllungs- und
Verrichtungsgehilfen von KLUGO.
12.5.
Die vorstehende Haftungsbeschränkung gilt nicht im Falle von Arglist, im Falle von Körper- bzw.
Personenschäden, für die Verletzung von Garantien sowie für Ansprüche aus Produkthaftung.
12.6.
Der Nutzer ist dazu verpflichtet, KLUGO in diesem Zusammenhang von jeder Haftung und jeglichen Kosten,
einschließlich möglicher und tatsächlicher Kosten eines gerichtlichen Verfahrens, freizustellen, falls KLUGO
von
Dritten infolge von Handlungen oder Unterlassungen des Nutzers in Anspruch genommen wird. KLUGO wird den
Nutzer
über die Inanspruchnahme unterrichten und ihm, soweit dies rechtlich möglich ist, Gelegenheit zur Abwehr des
geltend gemachten Anspruchs geben. Der Nutzer ist überdies verpflichtet, KLUGO unverzüglich alle dem Nutzer
zur
Verfügung stehenden Informationen über den Sachverhalt, der Gegenstand der Inanspruchnahme ist, vollständig
mitzuteilen. Darüber hinausgehende Schadenersatzansprüche von KLUGO bleiben unberührt.
13. Verfügbarkeit der Plattform
13.1.
Der Nutzer erkennt an, dass KLUGO eine permanente Verfügbarkeit der Plattform nicht gewährleisten kann. Es
besteht kein Anspruch auf eine permanente Verfügbarkeit.
13.2.
KLUGO bemüht sich unter Berücksichtigung der technischen Möglichkeiten, eine möglichst reibungslose und
durchgehende Verfügbarkeit der Plattform zu realisieren. Werden Wartungsarbeiten erforderlich und steht die
Plattform deshalb nicht zur Verfügung, wird KLUGO den Nutzer hierüber nach Möglichkeit rechtzeitig
informieren.
KLUGO ist nicht für internet-/netzbedingte Ausfallzeiten und insbesondere nicht für Ausfallzeiten
verantwortlich, in denen die Plattform aufgrund von technischen oder sonstigen Problemen, die nicht im
Einflussbereich von KLUGO liegen (z. B. höhere Gewalt, Verschulden Dritter, u. a.), über das Internet nicht
zu
erreichen ist.
14. Datenschutz
KLUGO verarbeitet personenbezogene Daten unter Beachtung der Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO)
und
des Bundesdatenschutzgesetzes (BDSG). Für sämtliche Informationen im Zusammenhang mit dem Umgang mit den Daten
der
Nutzer verweist KLUGO auf seine gesonderte Datenschutzerklärung.
15. Vertragslaufzeiten
15.1.
Der Vertrag zwischen KLUGO und dem Nutzer endet mit der Weitergabe der Nutzerangaben an den
Partneranwalt/Juristen bzw. mit der direkten Kontaktherstellung des Nutzers zum Partneranwalt.
15.2.
Der Vertrag über die Bereitstellung und Nutzung des User-Login kann von dem Nutzer jederzeit ohne
Einhaltung einer Kündigungsfrist und von KLUGO jederzeit unter Einhaltung einer Kündigungsfrist von 2 Wochen
gekündigt werden. Die Kündigung bedarf der Textform (z.B. E-Mail). Nach jeder Beendigung des
Vertragsverhältnisses über den User-Login ist KLUGO berechtigt, die Bereitstellung der Dienstleistung nach
Ziff.
4. dieser Vereinbarung einzustellen. Insbesondere ist KLUGO berechtigt, in diesen Fällen den Zugang des
Nutzers
zum User-Login zu sperren und die dort gespeicherten Daten zu löschen.
15.3.
Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt
insbesondere vor, wenn der Nutzer gegen seine Verpflichtungen aus den Ziff. 4.2., 12.1. bis 12.5. verstößt.
16. Information über Vertragsschluss
Ihre Bestellungen werden bei uns nach Vertragsschluss nicht gespeichert und können nach Abschluss des Bestellvorgangs nicht mehr abgerufen werden. Sie können die Bestelldaten aber unmittelbar nach dem Abschicken ausdrucken. Bitte bewahren Sie daher alle Dokumente und Nachrichten, die Sie von uns erhalten, sorgfältig auf.
17. Online-Streitbeilegung
Für die außergerichtliche Beilegung von Streitigkeiten im Hinblick auf Online-Marktplätze mit Bezug zu
Online-Dienstleistungsverträgen zwischen in der Europäischen Union ansässigen Verbrauchern und Unternehmen steht
eine Online-Streitbeilegungs-Plattform der Europäischen Union zur Verfügung. Diese finden Sie unter
http://ec.europa.eu/consumers/odr/. Um dort eine Beschwerde einzureichen,
müssen
Verbraucher ein elektronisches
Beschwerdeformular ausfüllen. Die hierfür erforderlichen Angaben entsprechen jenen des Anhangs der Verordnung
(EU)
Nr. 524/2013.
18. Streitschlichtung nach dem Verbraucherstreitbeilegungsgesetz (VSBG)
KLUGO ist nicht bereit und nicht verpflichtet, an der außergerichtlichen Streitbeilegung teilzunehmen.
19. Schutz der Inhalte, Verantwortlichkeit für Inhalte Dritter
19.1.
Die auf der Plattform verfügbaren Inhalte sind überwiegend geschützt durch das Urheberrecht oder durch
sonstige Schutzrechte und stehen jeweils im Eigentum von KLUGO, der anderen Nutzer oder sonstiger Dritter,
welche die jeweiligen Inhalte zur Verfügung gestellt haben. Die Zusammenstellung der Inhalte als Solche ist
ggf.
geschützt als Datenbank oder Datenbankwerk i.S.d. §§ 4 Abs. 2, 87a Abs. 1 UrhG. Die Nutzer dürfen diese
Inhalte
lediglich gemäß diesen AGB sowie im auf der Plattform vorgegebenen Rahmen nutzen.
19.2.
Die auf der Plattform verfügbaren Inhalte stammen von KLUGO und ggf. von anderen Nutzern bzw. sonstigen
Dritten. Inhalte der Nutzer sowie sonstiger Dritter werden nachfolgend zusammenfassend „Drittinhalte“
genannt.
KLUGO führt bei Drittinhalten keine Prüfung auf Vollständigkeit, Richtigkeit und Rechtmäßigkeit durch und
übernimmt daher keinerlei Verantwortung oder Gewährleistung für die Vollständigkeit, Richtigkeit,
Rechtmäßigkeit
und Aktualität der Drittinhalte. Dies gilt auch im Hinblick auf die Qualität der Drittinhalte und deren
Eignung
für einen bestimmten Zweck, und auch, soweit es sich um Drittinhalte auf verlinkten externen Webseiten
handelt.
19.3.
Sämtliche Inhalte auf der Plattform sind Inhalte von KLUGO, ausgenommen Drittinhalte, die mit einem
entsprechenden Urheberrechtsvermerk versehen sind.
20. Zahlungsbedingungen
Die zur Verfügung stehenden Zahlungsarten und weitere Informationen dazu können Sie folgender Seite entnehmen: KLUGO Zahlungsarten
21. EHI-Verhaltenskodex
Unser Shop klugo.de trägt das Gütesiegel EHI Geprüfte Shopping-Mall. Um dieses Siegel zu erhalten, werden wir regelmäßig von der EHI Retail Institute GmbH auf die Einhaltung der Kriterien des EHI-Verhaltenskodex überprüft. Sie können Den Verhaltenskodex unter diesem Link einsehen: https://ehi-siegel.de/shopbetreiber/ehi-siegel/pruef-kriterien-bedingungen/pruef-kriterien/
22. Allgemeine Regelungen
22.1.
Alle Änderungen oder Ergänzungen dieser AGB bedürfen der Schriftform. Mündliche Abreden werden nicht
getroffen. Eine Änderung oder Ergänzung dieser Klausel bedarf ebenfalls der Schriftform.
22.2.
KLUGO behält sich vor, diese AGB mit Wirkung für die Zukunft zu ändern. Die geänderten AGB werden dem
Nutzer per E-Mail spätestens vier Wochen vor ihrem geplanten Inkrafttreten zugesandt. Widerspricht der
Nutzer
der Geltung der neuen AGB nicht innerhalb von vier Wochen nach dem Erhalt der E-Mail, gelten die geänderten
AGB
als angenommen. KLUGO wird den Nutzern in der E-Mail, welche die geänderten AGB enthält, auf die Bedeutung
dieser Frist, das Widerspruchsrecht und die Rechtsfolgen des Schweigens gesondert hinweisen. Dieser
Änderungsmechanismus gilt nicht für Änderungen der vertraglichen Hauptleistungspflichten.
22.3.
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
22.4.
Sofern der Nutzer keinen allgemeinen Gerichtsstand in Deutschland hat oder es sich bei dem Nutzer um einen
Kaufmann im Sinne des Handelsgesetzbuches (HGB) handelt, ist Gerichtsstand für alle Rechtsstreitigkeiten der
Sitz von KLUGO. KLUGO ist daneben berechtigt, auch am allgemeinen Gerichtsstand des Nutzers zu klagen.
22.5.
Die Nutzung der Plattform und des User-Login ist für den Nutzer derzeit kostenlos.
22.6.
Sollten eine oder mehrere Bestimmungen dieser AGB unwirksam sein oder werden, wird dadurch die Wirksamkeit
der anderen Bestimmungen im Übrigen nicht berührt.
Stand der AGB: 17.05.2022
ANNEX
Für die in Ziff. 4.3. beschriebenen Datenverarbeitungstätigkeiten, für die KLUGO als Auftragsverarbeiter des
Nutzers fungiert, vereinbaren die Parteien bis auf Weiteres die folgenden Regelungen zur Auftragsverarbeitung,
die die AGB ergänzen („AVV“).
Auftragsverarbeitungsvertrag
zwischen
dem Nutzer der KLUGO-Website Anwendung „User-Login“
- nachstehend auch „Auftraggeber“ oder „Verantwortlicher“ genannt -
und
der KLUGO GmbH, vertreten durch die Geschäftsführer Dr. Nabila Abaza-Uhrberg, Elmar Kaube, Carsten Molderings, Olaf Nohren Kolumbastraße
3, 50667 Köln
- nachstehend auch „Auftragnehmer“ genannt -
Präambel
Der Auftraggeber möchte den Auftragnehmer mit den in § 3 genannten Leistungen beauftragen. Teil der
Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt
bestimmte
Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die
nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich
vereinbart
ist.
§ 1 Begriffsbestimmungen
- Verantwortlicher ist gem. Art. 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen
Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DSGVO eine natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Personenbezogene Daten sind gem. Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte
oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar
wird
eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung
wie
einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren
besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen,
kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
- Besonders schutzbedürftige personenbezogene Daten sind personenbezogenen Daten gem. Art. 9 DSGVO, aus denen
die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen
oder
die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DSGVO über
strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie
genetische
Daten gem. Art. 4 Abs. 13 DSGVO, biometrischen Daten gem. Art. 4 Abs. 14 DSGVO, Gesundheitsdaten gem. Art. 4
Abs. 15 DSGVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
- Verarbeitung ist gem. Art. 4 Abs. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das
Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das
Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der
Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
- Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DSGVO eine von einem Mitgliedstaat gem. Art. 51 DSGVO eingerichtete
unabhängige staatliche Stelle.
§ 2 Angabe der zuständigen Datenschutz-Aufsichtsbehörde
- Zuständige Aufsichtsbehörde für den Auftraggeber ist die Aufsichtsbehörde in dessen Mitgliedsstaat der
Auftraggeber seinen Wohn- bzw. Unternehmenssitz hat. Hat der Auftraggeber seinen Wohn- oder Unternehmenssitz
in
der Bundesrepublik Deutschland, ist die Aufsichtsbehörde des Bundeslandes zuständig, in welchem der
Auftraggeber
seinen Wohn- bzw. Unternehmenssitz hat.
- Zuständige Aufsichtsbehörde für den Auftragnehmer ist die/der Landesbeauftragte für Datenschutz und
Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf.
- Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der
Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
§ 3 Vertragsgegenstand
- Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich Cloud-Dienste auf Grundlage des
Vertrags über die Nutzung der Anwendung „User-Login“ auf dem Webportal des Auftragnehmers gemäß den
Nutzungsbedingungen („Hauptvertrag“). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten. Der
Auftragnehmer verarbeitet diese personenbezogenen Daten ausschließlich im Auftrag und nach Weisung des
Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem
Hauptvertrag
bzw. der Leistungsbeschreibung. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der
Datenverarbeitung.
- Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien
die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen
des
Hauptvertrags vor.
- Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in
Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer
Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den
Auftraggeber erhoben wurden.
- Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den
nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
§ 4 Weisungsrecht
- Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers
verarbeiten.
- Die Weisungen des Auftraggebers können in schriftlicher Form oder in einem elektronischen Format (Textform)
an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen erteilt, geändert, ergänzt oder ersetzt
werden (Einzelweisung). Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, können
vom
Auftragnehmer zurückgewiesen werden oder aber die Parteien werden die Leistungsänderung und deren
kommerzielle
Auswirkungen abstimmen und in einer entsprechenden schriftlichen Änderungsvereinbarung festlegen. In diesem
Fall
wird der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Umsetzung der Weisungen setzen. Mündliche
Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
- Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren.
- Es besteht keine materiell-rechtliche Prüfpflicht seitens des Auftragnehmers im Hinblick auf vom
Auftraggeber erteilte Weisungen. Ist der Auftragnehmer jedoch der Auffassung, dass eine Weisung des
Auftraggebers gegen anwendbare Gesetze verstößt, informiert er den Auftraggeber unverzüglich. Der
Auftragnehmer
darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
Etwaig hierdurch entstehende Mehraufwände des Auftragnehmers trägt der Auftraggeber. Der Auftraggeber trägt
die
alleinige Verantwortung für die von ihm getroffene Entscheidung.
§ 5 Ort der Verarbeitung
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verarbeitung in anderen Staaten ist zulässig, soweit ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO vorliegt oder durch andere geeignete Garantien i. S. v. Art. 46 Abs. 2 DSGVO ein angemessenes Datenschutzniveau sichergestellt ist. Der Auftragnehmer führt auf Wunsch des Auftraggebers den Nachweis für das Bestehen eines Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO und/oder der Garantien und eines angemessenen Schutzniveaus. Der Nachweis kann durch Vorlage eines entsprechenden Zertifikates einer akkreditierten Zertifizierungsstelle nach Art. 43 DSGVO geführt werden. Der Auftragnehmer verpflichtet sich, bei einer Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation die Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO zu beachten. Der Auftraggeber behält sich vor, das Vorliegen des Angemessenheitsbeschlusses der EU-Kommission sowie der Garantien und die Einhaltung eines angemessenen Schutzniveaus im Rahmen seiner Audit- und Kontrollrechte jederzeit zu überprüfen.
§ 6 Art der verarbeiteten Daten
(1) Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die folgenden
personenbezogenen
Daten:
Gegenstand der Verarbeitung personenbezogener Daten sind alle Datenarten/-kategorien, welche die an dem über den
User-Login verwalteten Rechtsfall beteiligten dritten natürlichen Personen betreffen. Dazu gehören unter
Umständen,
aber nicht zwingend die folgenden Datenarten/-kategorien:
- Personenstammdaten (z.B. Name, Titel, Adresse, Geburtstag, Geschlecht)
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsdaten (z.B. Art des Vertrages, Vertragsbeziehung)
- Kundenhistorie/Bestelldaten
- Vertragsabrechnungs- und Zahlungsdaten (z.B. Bankverbindung, Steuernummer, Daten des Zahlungsverkehrs)
- Bonitätsdaten
Ebenso können einzelne oder alle besonderen Kategorien personenbezogener Daten Gegenstand Verarbeitung
personenbezogener Daten durch den Auftragnehmer sein.
Dies sind:
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
§ 7 Kreis der Betroffenen
Der Kreis der Betroffenen sind alle an dem über den User-Login verwalteten Rechtsfall beteiligten dritten
natürlichen
Personen. Dies können zum Beispiel sein:
- Kunden, Mandanten, Patienten
- Lieferanten, Dienstleister, Werkunternehme, sonstige Dritte
- Familienangehörige
- Opfer von Straftaten
- Beschäftigte und Personen in beschäftigungsähnlichen Verhältnissen (z.B. freie Mitarbeiter), Arbeitgeber
§ 8 Schutzmaßnahmen des Auftragnehmers
- Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die
aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff
auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des
Stands
der Technik zu sichern.
- Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass
sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen
und
organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO,
insbesondere
mindestens die in Anlage 1 aufgeführten Maßnahmen der
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennungskontrolle
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er
sicherstellt,
dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
- Der Auftragnehmer gewährleistet die Einhaltung der Vorgaben zur Benennung eines Datenschutzbeauftragten und
teilt dem Auftraggeber auf Anfrage dessen Kontaktdaten mit oder veröffentlicht diese auf seiner
Internetseite.
Sollte der Auftragnehmer gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sein,
nennt
er dem Auftraggeber auf Anfrage den Ansprechpartner für im Rahmen dieser Vereinbarung anfallende
Datenschutzfragen. Der Auftragnehmer hat derzeit einen betrieblichen Datenschutzbeauftragten benannt. Dieser
ist
erreichbar per E-Mail: datenschutz@mail.klugo.de. Der Auftragnehmer veröffentlicht die Kontaktdaten des
Datenschutzbeauftragten auf seiner Internetseite.
§ 9 Wahrung der Vertraulichkeit und sonstiger Geheimnisse
- Personenbezogene und sonstige Daten oder Informationen, die dem Auftragnehmer im Rahmen der Erfüllung dieses
Vertrags bekannt werden, darf der Auftragnehmer nur für Zwecke der beauftragten Leistung verwenden. Der
Auftragnehmer verpflichtet sich, die Vertraulichkeit und Integrität der personenbezogenen Daten zu wahren
und
alle ihm im Zusammenhang mit der Übernahme und Abwicklung des Auftrages bekannt werdenden personenbezogenen
Daten und sonstige unternehmensinterne Umstände, Daten und Informationen (Betriebsgeheimnisse) vertraulich
zu
behandeln sowie die im Rahmen dieses Vertrages tätig werdenden Mitarbeiter auch über die Beendigung des
Beschäftigungsverhältnisses hinaus auf die Wahrung der Vertraulichkeit schriftlich zu verpflichten und über
die
Datenschutzpflichten aus diesem Vertrag, die Weisungsgebundenheit der Verarbeitung der Daten und deren
Zweckbindung zu belehren, sofern diese keiner angemessenen gesetzlichen Verschwiegenheitspflicht
unterliegen.
Diese Geheimhaltungspflicht gilt auch über die Beendigung des Vertragsverhältnisses hinaus.
- Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind.
Der Auftragnehmer sichert zu, dass er für die Durchführung der Arbeiten nur eigenes Personal, bzw.
sorgfältig
nach deren Eignung und Zuverlässigkeit ausgewählte Subunternehmer (s. § 13) einsetzt und die mit der
Auftragsdurchführung beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes
vertraut macht.
- Der Auftragnehmer verpflichtet sich zur Beachtung aller sonstigen Geheimnisse, soweit diese für die
Verarbeitung einschlägig sind, wie des Sozialgeheimnisses, des Fernmeldegeheimnisses und sonstiger
Berufsgeheimnisse gem. § 203 StGB sowie zur Verpflichtung und Belehrung der Beschäftigten zur Sicherstellung
der
Wahrung dieser Geheimnisse.
- Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über
administrative Zugangsdaten und Datensicherheitsmaßnahmen des Auftraggebers geheim zu halten und in keinem
Fall
Dritten zur Kenntnis zu bringen. Von den ihm eingeräumten Zugriffsrechten darf der Auftragnehmer nur in dem
Umfang Gebrauch machen, der für die Durchführung der Datenverarbeitung erforderlich ist. Die Verpflichtung
zur
Wahrung der Vertraulichkeit und der sonstigen Geheimnisse gilt auch über die Beendigung dieses Vertrages
hinaus.
§ 10 Weitere Pflichten des Auftragnehmers
- Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass
sie den besonderen Anforderungen des Datenschutzes gerecht wird.
- Auskünfte an Dritte oder den Betroffenen erteilt der Auftragnehmer nicht oder nur nach Weisung des
Auftraggebers. Auskünfte an Mitarbeiter des Auftraggebers darf der Auftragnehmer nur gegenüber den
autorisierten
Personen erteilen.
- Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten
Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der
Weisung
zu verarbeiten.
- Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes der Daten
des Auftraggebers bekannt werden. Der Auftragnehmer kann in diesem Fall einstweilig und nach eigenem
Ermessen in
seinem Verantwortungsbereich angemessene Maßnahmen zum Schutze der Daten des Auftraggebers und zur Minderung
möglicher nachteiliger Folgen treffen. Der Auftragnehmer informiert den Auftraggeber über etwaige von ihm
getroffene Maßnahmen möglichst zeitnah.
- Auf Anfrage des Auftraggebers unterstützt der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren bei
- der Einhaltung der in den Art. 32 bis 36 DSGVO geregelten Pflichten des Auftraggebers;
- der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO.
- Der Auftragnehmer kann für diese Unterstützung eine angemessene Vergütung und die Erstattung von
Aufwendungen verlangen, soweit diese nicht auf einer schuldhaften Verletzung dieser Vereinbarung oder des
anwendbaren Datenschutzrechts durch den Auftragnehmer beruht.
- Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger
Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des
Anspruches
im Rahmen seiner Möglichkeiten zu unterstützen.
- Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein
Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden,
so
hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch
gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle
zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten
ausschließlich
beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.
§ 11 Pflichten des Auftraggebers
- Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den
Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
- Der Auftraggeber ist für die Erfüllung der in den Art. 33 bis 36 DSGVO geregelten Pflichten verantwortlich.
- Der Auftraggeber wird dem Auftragnehmer alle Informationen Verfügung stellen, die der Auftragnehmer zum
Führen des Verzeichnisses nach Art. 30 Abs. 2 DSGVO benötigt.
- Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger
Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftraggeber den Auftragnehmer bei der Abwehr des
Anspruches
im Rahmen seiner Möglichkeiten zu unterstützen.
- Auf Anforderung nennt der Auftraggeber dem Auftragnehmer den Ansprechpartner für im Rahmen dieser
Vereinbarung anfallende Datenschutzfragen.
- Über die Aufbewahrung, Herausgabe oder Löschung der Daten des Auftraggebers nach Beendigung dieser
Vereinbarung muss der Auftraggeber innerhalb einer vom Auftragnehmer gesetzten angemessenen Frist
entscheiden.
Geht dem Auftragnehmer innerhalb dieser Frist keine Entscheidung zu, ist der Auftragnehmer zur Löschung
dieser
Daten berechtigt, soweit keine rechtlichen Verpflichtungen des Auftragnehmers zur Aufbewahrung dieser Daten
bestehen.
§ 12 Kontroll- und Auditrechte des Auftraggebers
- Für die Beurteilung der Zulässigkeit der Verarbeitung der personenbezogenen Daten sowie für die Ausführung
der Rechte der Betroffenen (Art. 12 - 22 DSGVO) ist allein der Auftraggeber verantwortlich. Bei einer
Datenverarbeitung im Auftrag arbeitet der Auftraggeber gem. Art. 28 Abs. 1 Satz 1 DSGVO nur mit
Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und
organisatorische Maßnahmen zur Erfüllung der Anforderungen der DSGVO eingerichtet sind.
- Der Nachweis angemessener technischer und organisatorischer Maßnahmen kann dabei durch Vorlage von Testaten
oder Zertifikaten oder durch eine Zertifizierung bzw. ein Datenschutzaudit einer unabhängigen Einrichtung
bzw.
eines autorisierten Sachverständigen geführt werden.
- Sollten im Einzelfall datenschutzrechtlich gebotene Kontrollen oder Überprüfungen durch den Auftraggeber
oder einen von diesem beauftragten unabhängigen externen Prüfer, dessen Namen dem Auftragnehmer rechtzeitig
im
Voraus mitgeteilt wird, erforderlich sein, werden diese im Beisein eines Mitarbeiters des Auftragnehmers zu
den
üblichen Geschäftszeiten sowie ohne Störung des Betriebsablaufs in der Betriebsstätte des Auftragnehmers
nach
Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf die
Prüfer
von der Unterzeichnung einer angemessenen Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden
und
der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen.
- Der Auftragnehmer wird dem Auftraggeber auf Anforderung innerhalb einer angemessenen Frist alle Auskünfte
geben, die zur Durchführung einer umfassenden Kontrolle erforderlich sind.
- Sollte der Auftraggeber den Nachweis angemessener technischer und organisatorischer Maßnahmen durch Vorlage
eines Testats oder Zertifikats oder durch eine Zertifizierung bzw. ein Datenschutzaudit einer unabhängigen
Einrichtung bzw. eines autorisierten Sachverständigen erbringen, sind die Kosten zusätzlicher Kontrollen und
Überprüfungen gemäß Abs. 3 vom Auftraggeber zu tragen, es sei denn, der vom Auftraggeber bereitgestellte
Nachweis gibt begründeten Anlass zu Zweifeln an der Einhaltung angemessener technischer und
organisatorischer
Maßnahmen.
- Der Auftraggeber stellt dem Auftragnehmer eine Kopie des vollständigen Auditberichts in elektronischer Form
zur Verfügung. Der Auftragnehmer darf den Auditbericht insbesondere auch seinen Subunternehmern überlassen.
§ 13 Einsatz von Subunternehmern
- Der Auftragnehmer hat Unterauftragsverhältnisse mit Subunternehmern („Subunternehmerverhältnis“) begründet.
Eine Liste der Subunternehmen ist auf Anfrage erhältlich. Der Auftraggeber hat die Liste der Subunternehmer
als
vertrauliches Geschäftsgeheimnis zu behandeln und darf sie nicht an Dritte weitergeben.
- Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren
Subunternehmerverhältnissen befugt. Er setzt den Auftraggeber hiervon unverzüglich, spätestens jedoch 15
Tage
vor Beginn des Subunternehmerverhältnisses in Kenntnis. Der Auftraggeber hat das Recht, unter Darlegung von
nachvollziehbaren Gründen, der Einschaltung des Subunternehmers zu widersprechen. Kann keine Lösung erzielt
werden, ist der Auftraggeber berechtigt, diesen Auftragsverarbeitungsvertrag mit einer Frist von 2 Wochen zu
kündigen.
- Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit
auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den
Regelungen
dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser
Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern
wahrnehmen
kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer
sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist
(z. B.
durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem
Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern
nachweisen
- Die Subunternehmer sind vom Auftragnehmer insbesondere zu verpflichten, keine weiteren oder anderen
Unterauftragnehmer ohne Einhaltung des Verfahrens nach § 13 Abs. 2 und 3 zu betrauen.
- Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit
Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-,
Transport-
und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu
Leistungen,
die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen
stellen
zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch
im
Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
§ 14 Haftung
- Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder
unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im
Innenverhältnis
zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
- Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei
Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
§ 15 Außerordentliches Kündigungsrecht
Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen
Pflichten
aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine
Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob
fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der
Auftragnehmer den Verstoß abstellen kann.
§ 16 Mitteilungen des Auftragnehmers an den Auftraggeber
Der Auftragnehmer ist berechtigt, Mitteilungen an den Auftragnehmer über den User-Login zu übermitteln.
§ 17 Beendigung des Hauptvertrags
- Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen
Anforderung
alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers,
sofern
nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung
der
personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer.
Der
Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.
Zu
entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende
Datenträger
sind nach DIN 66399 zu vernichten.
- Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim
Auftragnehmer in geeigneter Weise zu kontrollieren.
- Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit
dem
Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das
Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die
ihm
vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
§ 18 Schlussbestimmungen
- Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer
i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen
ist.
- Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf
dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
- Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht
durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht
berührt.
- Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Köln.
Anlage 1
Technische und organisatorische Maßnahmen KLUGO GmbH
Stand: 27.05.2020
Die Klugo GmbH trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32
DSGVO.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Die Gebäude/ Räumlichkeiten, in welchen die Daten verarbeitet werden, sind folgendermaßen vor unberechtigtem
Zutritt geschützt:
Maßnahmen im Rechenzentrum
- Elektronisches Zutrittskontrollsystem mit Protokollierung.
- Hochsicherheitszaun um den gesamten Datacenter-Park.
- dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder
Auftraggeber ausschließlich für seinen Colocation Rack).
- Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude.
- 24/7 personelle Besetzung der Rechenzentren.
- Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen.
- Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt
beschränkt: nur in Begleitung eines Hetzner Online GmbH Mitarbeiters.
Maßnahmen in den Büroräumen der Grapes GmbH (Subunternehmer)
Das Bürogebäude und die Büroräume sind mit Sicherheitsschlössern ausgestattet. Die Türen haben außen Knäufe und
sind nur mit speziellen Sicherheitsschlüsseln zu öffnen. Es gibt eine Schlüsselregelung, in welcher alle
vorhandenen Schlüssel aufgeführt sind. Jeder Schlüssel hat eine individuelle Codenummer und in der
Schlüsselregelung ist vermerkt, welcher Schlüssel wem ausgehändigt wurde. Alle Mitarbeiter haben einen eigenen
Schlüssel.
Maßnahmen im Bürogebäude von KLUGO GmbH
Das Bürogebäude und die Büroräume sind mit Sicherheitsschlössern ausgestattet. Die Türen haben außen Knäufe und
sind nur mit speziellen Sicherheitsschlüsseln zu öffnen. Es gibt eine Schlüsselregelung, in welcher alle
vorhandenen Schlüssel aufgeführt sind. Jeder Schlüssel hat eine individuelle Codenummer und in der
Schlüsselregelung ist vermerkt, welcher Schlüssel wem ausgehändigt wurde. Alle Mitarbeiter haben einen eigenen
Schlüssel.
Zugangskontrolle
Maßnahmen im Rechenzentrum
für Dedicated Server, Colocation Server, Cloud Server und Storage Box
- Server-Passwörter, welche nur vom Auftraggeber nach erstmaliger Inbetriebnahme von ihm selbst geändert
werden und dem Auftragnehmer nicht bekannt sind.
- Das Passwort zur Administrationsoberfläche wird vom Auftraggeber selbst vergeben - die Passwörter müssen
vordefinierte Richtlinien erfüllen. Zusätzlich steht dem Auftraggeber dort eine
Zwei-Faktor-Authentifizierung zur weiteren Absicherung seines Accounts zur Verfügung.
für Managed Server, Webhosting und Nextcloud
- Zugang ist passwortgeschützt, Zugriff besteht nur für berechtigte Mitarbeiter vom Auftragnehmer;
verwendete Passwörter müssen Mindestlänge haben.
Maßnahmen der Grapes GmbH (Subunternehmer)
Zugänge zu Servern erfolgt durch ein SSH Authentifizierungsverfahren. Zugänge und Berechtigungen zu Datenbanken
werden über ein internes verschlüsseltes Passwortverwaltungssystem verteilt. Es erfolgt keine Protokollierung
der Berechtigungen.
Die Festplatten der IT Arbeitsrechner sind verschlüsselt. Die Festplatten der mobilen IT Arbeitsrechner sind
verschlüsselt. Externe mobile Datenträger werden im Rahmen des Projektes von der IT nicht verwendet.
Alle Rechner werden über die zum Betriebssystem gehörenden Schutzprogramme geschützt.
Zugriffe von Dritten werden durch verschlüsselte Festplatten und Passwortschutz zum Betriebssystem unterbunden.
Außerdem werden alle weiteren IT relevanten Passwörter über ein internes verschlüsseltes
Passwortverwaltungssystem verwaltet und geschützt.
Maßnahmen von KLUGO GmbH
Die Festplatten der IT Arbeitsrechner sind verschlüsselt. Die Festplatten der mobilen IT Arbeitsrechner sind
verschlüsselt. Externe mobile Datenträger werden im Rahmen des Projektes von der IT nicht verwendet.
Alle Rechner werden über die zum Betriebssystem gehörenden Schutzprogramme geschützt.
Zugriffe von Dritten werden durch verschlüsselte Festplatten und Passwortschutz zum Betriebssystem unterbunden.
Außerdem werden alle weiteren IT relevanten Passwörter über ein internes verschlüsseltes
Passwortverwaltungssystem verwaltet und geschützt.
Zugriffskontrolle
Maßnahmen im Rechenzentrum
bei internen Verwaltungssystemen von KLUGO
- Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer
sicher, dass unberechtigte Zugriffe verhindert werden.
- Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.
für Managed Server, Webhosting und Nextcloud
- Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer
sicher, dass unberechtigte Zugriffe verhindert werden.
- Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.
Maßnahmen der Grapes GmbH (Subunternehmer)
- Durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer
sicher, dass unberechtigte Zugriffe verhindert werden.
- Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.
- Nur Nutzer mit der Administratorrolle können neue Nutzer anlegen und Berechtigungen verteilen.
- Die gespeicherten Informationen auf bereits benutzten, aber nicht mehr verwendeten Datenträgern werden mit
geeigneten Geräten, Werkzeugen und/oder Verfahren gelöscht oder vernichtet.
- Personenbezogene Daten werden in keiner Form zu Papier gebracht.
- In der Applikationslogik wird ein Framework verwendet, welche Zugriffsrechte auf einzelne Datenfelder
benutzerbezogen definiert und sicherstellt.
- Test und Produktivsystem laufen auf unterschiedlichen Servern.
Maßnahmen des Auftragnehmers
- durch regelmäßige Sicherheitsupdates (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer
sicher, dass unberechtigte Zugriffe verhindert werden.
- Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter des Auftragnehmers.
Pseudonymisierung & Verschlüsselung
Die Verarbeitung der Passwortdaten findet ausschließlich verschlüsselt statt. Die Verschlüsselung erfolgt mittels
geeigneter Verfahren.
2. Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Maßnahmen im Rechenzentrum
Alle Mitarbeiter sind i.S.d. Art. 32 Abs. 4 DSGVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang
mit personenbezogenen Daten sicherzustellen.
- Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.
- Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des
Hauptauftrages zur Verfügung gestellt.
Maßnahmen der Grapes GmbH (Subunternehmer)
Alle Mitarbeiter sind i.S.d. Art. 32 Abs. 4 DSGVO unterwiesen und verpflichtet, den datenschutzkonformen Umgang
mit personenbezogenen Daten sicherzustellen.
- Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.
- Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des
Hauptauftrages zur Verfügung gestellt.
Maßnahmen des Auftragnehmers
- Verschlüsselung der Daten bei Datenübermittlung, Virtual Private Networks (VPN), verschlossene
Transportbehälter bei Weitergabe von Daten auf analogen Datenträgern.
- Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des
Hauptauftrages zur Verfügung gestellt..
Eingabekontrolle
Maßnahmen im Rechenzentrum
bei internen Verwaltungssystemen
- Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
- Änderungen der Daten werden protokolliert.
für Managed Server, Webhosting und Nextcloud
- Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
- Änderungen der Daten werden protokolliert.
Maßnahmen der Grapes GmbH (Unterauftragnehmer)
- Personenbezogenen Daten können nur vom Endnutzer selbst bei Erstellung eines Falles eingegeben werden.
Eine Änderung dieser Daten ist danach nur von der Seite des Auftraggebers möglich.
- Änderungen der Daten werden protokolliert.
Maßnahmen des Auftragnehmers
- Personenbezogenen Daten können nur vom Endnutzer selbst bei Erstellung eines Falles eingegeben werden.
- Änderungen der Daten werden protokolliert.
3. Verfügbarkeit, Belastbarkeit und rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. b und c
DSGVO)
Maßnahmen im Rechenzentrum
bei internen Verwaltungssystemen des Auftragnehmers
- Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten.
- Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme,
SPAM-Filter).
- Einsatz von Festplattenspiegelung bei allen relevanten Servern.
- Monitoring aller relevanten Server.
- Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage..
- Dauerhaft aktiver DDoS-Schutz.
für Managed Server, Webhosting und Nextcloud
- Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen.
- Einsatz von Festplattenspiegelung.
- Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.
- Einsatz von Softwarefirewall und Portreglementierungen..
- Dauerhaft aktiver DDoS-Schutz.
- Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt wer im Fehlerfall zu
informieren ist, um das System schnellstmöglich wiederherzustellen.
Maßnahmen der Grapes GmbH (Subunternehmer)
- Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen.
- Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme,
SPAM-Filter).
- Einsatz von Festplattenspiegelung.
- Einsatz von Softwarefirewall.
- Dauerhaft aktiver DDoS-Schutz.
- Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt, wer im Fehlerfall zu
informieren ist, um das System schnellstmöglich wiederherzustellen.
Maßnahmen des Auftragnehmers
- Backup- und Recovery-Konzept mit täglicher Sicherung der Daten je nach gebuchten Leistungen.
- Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
- Einsatz von Festplattenspiegelung.
- Einsatz von Softwarefirewall.
- Dauerhaft aktiver DDoS-Schutz.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d
DSGVO)
Maßnahmen im Rechenzentrum
- Das Datenschutz-Managementsystem und das Informationssicherheitsmanagement-system wurden zu einem DIMS
(Datenschutz-Informationssicherheits-Management-System) vereint.
- Incident-Response-Management ist vorhanden.
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).
Auftragskontrolle
- Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit
den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf
das Weisungsrecht des Auftraggebers.
- Die AGB enthalten detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung
personenbezogener Daten des Auftraggebers.
- Die Hetzner Online GmbH hat einen betrieblichen Datenschutzbeauftragten sowie einen
Informationssicherheitsbeauftragten bestellt. Beide sind durch die Datenschutzorganisation und das
Informationssicherheitsmanagementsystem in die relevanten betrieblichen Prozesse eingebunden.
Maßnahmen der Grapes GmbH (Subunternehmer)
- Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).
Auftragskontrolle
- Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit
den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf
das Weisungsrecht des Auftraggebers.
- Mitarbeiter, die aufgrund eines Wechsels der Tätigkeit oder Projekts mit anderen personenbezogenen Daten
in Kontakt kommen, erhalten eine entsprechende zusätzliche Unterweisung im Datenschutz.
- Die Vertraulichkeit der Daten wird im jeweiligen Arbeitsvertrag zwischen dem Auftragnehmer und seinen
Mitarbeitern sichergestellt. In individuellen Arbeitsanordnungen wird der sorgsame Umgang mit
personenbezogenen Daten zusätzlich festgelegt.
- Bei Verletzung von Datenschutzrichtlinien erfolgt ein definierter Eskalationsprozess nach ISO 9001.
Hierbei ist wird umgehend an die Geschäftsleitung des Auftragnehmers berichtet, welche dann angemessene
Schritte einleitet. Anfragen von Betroffenen werden mit Priorität verarbeitet.
- Verarbeitungstätigkeiten werden i.S.d. Art. 30 Abs. 3 DSGVO elektronisch erfasst und verwaltet.
- Die technischen und organisatorischen Maßnahmen werden regelmäßig an die sich verändernden Bedingungen
angepasst.
Maßnahmen des Auftragnehmers
- Datenschutzfreundliche Voreinstellungen werden bei Softwareentwicklungen berücksichtigt (Art. 25 Abs. 2
DS-GVO).
Auftragskontrolle
- Die Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit
den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf
das Weisungsrecht des Auftraggebers.
- Die Mitarbeiter werden vertraglich zum vertraulichen Umgang mit personenbezogenen Daten verpflichtet.
Diese Verpflichtung wird bereits bei Beschäftigungsaufnahme vorgenommen.
- Der Auftragnehmer hat als Datenschutzbeauftragten Ulf Haumann (Telefonnummer: 0231-10877895, E-Mail:
datenschutz@mail.klugo.de, Adresse: Kolumbastraße 3, 50667 Köln) eingesetzt.
- Betroffene können sich per E-Mail an datenschutz@mail.klugo.de wenden.
- Es existiert ein Konzept zum Umgang mit Betroffenenrechten, durch das die frist- und sachgerechte
Bearbeitung gem. Art 12 Abs. 3 DSGVO sichergestellt wird.
- Der Auftragnehmer hat ein Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 und 2 DSGVO
erstellt.
- Der Auftragnehmer lässt sich regelmäßig zu Datenschutzthemen von einem externen Datenschutzexperten
beraten.