Terms CONFDNT


  1. Pr├Ąambel
    Die Compliance.One GmbH (nachfolgend ÔÇ×AuftragnehmerÔÇť) hat ein webbasiertes Whistleblowing Management System entwickelt (ÔÇ×SoftwareÔÇť) und stellt dieses dem Auftraggeber als SaaS zur Verf├╝gung. F├╝r die Nutzung der Software und die Erbringung erg├Ąnzender Dienstleistungen (ÔÇ×ServicesÔÇť) gelten diese Allgemeinen Gesch├Ąftsbedingungen (ÔÇ×AGBÔÇť).
    Unsere Angebote richten sich nur an Unternehmer im Sinne des ┬ž 14 BGB, also an nat├╝rliche oder juristische Personen oder rechtsf├Ąhige Personengesellschaften, die bei Abschluss eines Rechtsgesch├Ąfts in Aus├╝bung ihrer gewerblichen oder selbst├Ąndigen beruflichen T├Ątigkeit handeln. Wir schlie├čen keine Vertr├Ąge mit Verbrauchern im Sinne des ┬ž 13 BGB.

  2. Nutzungsrechte
  3. 2.1 Der Auftragnehmer gew├Ąhrt dem Auftraggeber f├╝r die Laufzeit des Vertrages unter der aufschiebenden Bedingung der vollst├Ąndigen Zahlung der vereinbarten Verg├╝tung das entgeltliche, weltweite, nicht ausschlie├čliche und nicht ├╝bertragbare Recht, die Software bestimmungsgem├Ą├č zu nutzen. Der Auftraggeber darf die Software nur im Rahmen der vertraglichen Bestimmungen nutzen. Der Auftraggeber erh├Ąlt kein Recht am Quellcode der Software. Der Auftraggeber darf die Software nur f├╝r eigene Zwecke nutzen. Die Nutzung f├╝r eigene Zwecke umfasst dabei die bestimmungsgem├Ą├če Nutzung der Produkte f├╝r allgemeine Gesch├Ąftszwecke des Auftraggebers und die Verarbeitung der Daten des Auftraggebers. Nicht umfasst ist die Nutzung der Produkte f├╝r Dritte, beispielsweise als Dienstleister oder eine sonstige ├ťberlassung oder Nutzungsvermittlung an Dritte. Verbundene Unternehmen im Sinne des ┬ž 15 AktG werden dabei nicht als Dritte angesehen.
    2.2 Der Auftraggeber ist berechtigt, die Software durch eigene Mitarbeiter oder durch Dritte f├╝r seine eigenen Zwecke nutzen zu lassen. Die Software darf entsprechend der im jeweiligen Auftrag vereinbarten Anzahl von Usern genutzt werden Eine gemeinsame Nutzung der Software durch verschiedene Nutzer unter einem gemeinsamen User-Account ist ausgeschlossen. Der Auftraggeber ist verantwortlich f├╝r die Nutzung der Software durch seine User und s├Ąmtliche Sch├Ąden, die durch fahrl├Ąssige oder vors├Ątzliche Pflichtverletzungen seiner User verursacht wurden.
    2.3 Soweit nicht anders vereinbart, stehen s├Ąmtliche Rechte an Software und Services, welche durch den Auftragnehmer bereitgestellt oder unter diesem Vertrag entwickelt werden, einzig dem Auftragnehmer zu. S├Ąmtliche Rechte an jeder Art von Ver├Ąnderung, Entwicklung oder Verbesserung der Produkte oder Dienstleistungen, welche durch den Auftraggeber vorgenommen werden, stehen ebenfalls ausschlie├člich dem Auftragnehmer zu.
    2.4 Die Software kann Open Source Software-Komponenten enthalten. Die Nutzung dieser Komponenten unterliegt ausschlie├člich den entsprechenden Nutzungsbedingungen der Open Source Software-Komponenten. Keine Vorschrift dieses Vertrages beeinflusst dabei die Rechte oder Pflichten des Auftraggebers aus den entsprechenden Nutzungsbedingungen der Open Source Software-Komponenten. Im Falle von Widerspr├╝chen oder entgegenstehenden Vorschriften von Lizenzbestimmungen der Open Source Software und den Bestimmungen dieses Vertrages genie├čen die Lizenzbestimmungen der Open Source Software Vorrang.
    2.5 Das Nutzungsrecht an der Software erstreckt sich auch auf Fixes, Patches, Entwicklungen und Updates, welche der Auftragnehmer dem Auftraggeber zur Verf├╝gung stellt. Das Recht auf Updates beinhaltet nicht das Recht auf ein Nutzungsrecht an neuen/zus├Ątzlichen Produkten und Funktionalit├Ąten, die als separates Produkt/Modul zur Verf├╝gung gestellt werden.
    2.6 Soweit nicht anders vereinbart oder aufgrund zwingenden Rechts oder anwendbarer Open Source Software-Nutzungsbedingungen vorgeschrieben, ist der Auftraggeber nicht berechtigt,
    • die Software ├╝ber das f├╝r die vertragsgem├Ą├če Nutzung erforderliche hinausgehende Ma├č zu kopieren, weder im Ganzen noch teilweise;
    • die Software zu modifizieren, zu korrigieren, anzupassen, zu ├╝bersetzen, zu verbessern oder sonst abgeleitete Entwicklungen an der Software vorzunehmen;
    • die Software zu vermieten, zu verleihen, zu verkaufen, zu lizenzieren, zu ├╝bertragen oder sonst Dritten zug├Ąnglich zu machen;
    • die Software zur├╝ckzuentwickeln, zu dekompillieren, zu disassemblieren oder auf andere Weise zu versuchen, den Quellcode der Software zu entschl├╝sseln, weder im Ganzen noch teilweise;
    • Sicherheitseinrichtungen oder Schutzmechanismen, welche in der Software enthalten oder f├╝r sie genutzt werden, zu umgehen oder zu verletzen;
    • Ma├čnahmen zu ergreifen, die geeignet sind, Schaden an der Software oder den Servern des Auftragnehmers hervorzurufen;
    • Marken, Dokumentation, Garantien, Haftungsausschl├╝sse oder sonstige Rechte, wie etwa geistiges Eigentum, Zeichen, Mitteilungen, Markierungen oder Seriennummern, welche in Verbindung zur Software oder Dokumentation stehen, zu entfernen, zu l├Âschen, zu tilgen, zu ver├Ąndern, zu verdecken, zu ├╝bersetzen, zu kombinieren, zu erg├Ąnzen oder auf andere Weise abzu├Ąndern;
    • die Software in einer Art und Weise zu nutzen, durch die geltendes Recht und/oder die Rechte Dritter verletzt werden; und/oder
    • die Software f├╝r Zwecke des Benchmarkings bzw. der Wettbewerbsanalyse der Software, f├╝r die Entwicklung, Verwendung oder die Bereitstellung eines konkurrierenden Software-Produkts bzw. konkurrierender Services oder zu sonst einem Zweck zu nutzen, welcher dem Auftragnehmer zum Nachteil gereicht.

  4. Verpflichtungen des Auftraggebers
  5. 3.1 Der Auftraggeber wird den Auftragnehmer bei der Erbringung der vertragsgegenst├Ąndlichen Leistungen in angemessenem Umfang unterst├╝tzen. Der Auftraggeber hat unaufgefordert s├Ąmtliche Mitwirkungsleistungen, Informationen, Daten, Dateien, Materialien, welche f├╝r die Erf├╝llung der Vertragspflichten durch den Auftragnehmer erforderlich sind, im Voraus zur Verf├╝gung zu stellen. Sollte der Auftraggeber nicht ausreichend kooperieren und/oder Verz├Âgerung verursachen, ist der Auftragnehmer nicht verpflichtet, die vertraglichen Verpflichtungen zu erf├╝llen, so lange und so weit, wie der Auftragnehmer an der Erf├╝llung der vertraglichen Verpflichtungen aufgrund unzureichender und/oder versp├Ąteter Mitwirkung des Auftraggebers gehindert ist. Der Auftragnehmer hat den Auftraggeber ├╝ber seine nicht ausreichende oder rechtzeitige Zusammenarbeit zu informieren und eine angemessene Frist zur Nacherf├╝llung zu setzen. Erf├╝llt der Auftraggeber dennoch seine Mitwirkungspflichten nicht, so gehen etwaige f├╝r den Auftragnehmer nicht vermeidbare sich daraus ergebenden Verg├╝tungserh├Âhungen, zus├Ątzliche Aufw├Ąnde (z.B. Mehrarbeit, Stornokosten, Reisekosten) und Terminverschiebungen zu seinen Lasten. Nach fruchtlosem Ablauf der Nachfrist gelten die betroffene Software bzw. der betroffene Service als zur Verf├╝gung gestellt bzw. erbracht.
    3.2 Der Auftraggeber ist verantwortlich f├╝r (i) angemessene Sicherheitsprozesse, Tools und Steuerungen f├╝r Systeme und Netzwerke, welche mit der Software interagieren, (ii) das Vorhalten alternativer Prozesse im Falle einer mangelnden Verf├╝gbarkeit der Software, (iii) die Feststellung, ob die vom Auftragnehmer zur Verf├╝gung gestellten technischen und organisatorischen Ma├čnahmen des Datenschutzes und der Datensicherheit den spezifischen Anforderungen des Auftraggebers gen├╝gen; (iv) das angemessene interne Training der User und die Bereitstellung von internem technischen Support; und (v) die ordnungsgem├Ą├če Sicherung s├Ąmtlicher auf seiner Systemumgebung befindlichen Programme und Daten und s├Ąmtlicher in die Software ├╝bertragener bzw. mit der Software erstellter Daten und Arbeitsergebnisse mit Beginn der Nutzung der Software und anschlie├čend in angemessenen regelm├Ą├čigen Abst├Ąnden.

  6. Services
  7. 4.1 Individuelle Services (insb. Konfiguration, Anpassung und Entwicklung) werden wie im jeweiligen Auftrag definiert verg├╝tet und werden am Ende des Kalendermonats ihrer Erbringung in Rechnung gestellt. Soweit nicht anders vereinbart, werden angemessene Reisekosten nach Aufwand und gegen Beleg vom Auftraggeber getragen und monatlich in Rechnung gestellt.
    4.2 Soweit sich Mitarbeiter des Auftragnehmers in den R├Ąumen des Auftraggebers aufhalten, werden sie sich an Sicherheitsanweisungen des Auftraggebers halten. Der Auftraggeber hat hierzu diese Anweisungen in schriftlicher Form vorab an den Auftragnehmer zu ├╝bermitteln.
    4.3 Der Auftragnehmer beh├Ąlt sich alle Rechte an Arbeitsergebnissen vor, die bei der Erbringung von Services erstellt werden. Dies umfasst insbesondere Software/Code, Schnittstellen, Methoden, Prozesse und Templates, die vom Auftragnehmer genutzt, geschaffen oder ver├Ąndert werden. Der Auftragnehmer gew├Ąhrt dem Auftraggeber an solchen Arbeitsergebnissen ein nicht-ausschlie├čliches, nicht-├╝bertragbares Nutzungsrecht f├╝r eigene Zwecke gem├Ą├č Ziffer 2.1 dieser AGB.
    4.4 Arbeitsergebnisse, die durch den Auftragnehmer im Rahmen der Erbringung von Services f├╝r den Auftraggeber erstellt werden, insbesondere Customising/Modifikation der Software, sind nicht vom Standard-Support des Auftragnehmers gedeckt, sofern diese Arbeitsergebnisse nicht in die Standard-Software ├╝bernommen werden. Solche Arbeitsergebnisse k├Ânnen grunds├Ątzlich auch nur mit der jeweils zum Erstellungszeitpunkt aktuellen Version/Release der Software eingesetzt werden. Jedes Upgrade oder Update kann zus├Ątzliche kostenpflichtige Migrationsleistungen notwendig machen.

  8. Gew├Ąhrleistung
  9. 5.1 Software und Services werden vom Auftragnehmer mangelfrei zur Verf├╝gung gestellt bzw. erbracht und entsprechen bei bestimmungsgem├Ą├čer Nutzung im Wesentlichen den in der Dokumentation genannten Spezifikationen. Die Services des Auftragnehmers werden sachkundig und fachgerecht nach Industriestandards durch angeleitetes und erfahrenes Personal ausgef├╝hrt. Der Einr├Ąumung der vereinbarten Nutzungsrechte an den Auftraggeber stehen keine Rechte Dritter entgegen. Technische Daten, Spezifikationen und Leistungsangaben in ├Âffentlichen ├äu├čerungen, insbesondere in Werbemitteln, sind keine Beschaffenheitsangaben.
    5.2 Im Fall der Mangelhaftigkeit sind die M├Ąngelanspr├╝che des Auftraggebers zun├Ąchst auf Nacherf├╝llung beschr├Ąnkt. Der Auftraggeber wird dem Auftragnehmer auftretende M├Ąngel schriftlich mit Beschreibung des Mangels mitteilen und zur M├Ąngelbeseitigung auffordern. Der Auftragnehmer leistet bei nachgewiesenen M├Ąngeln Gew├Ąhr durch Nacherf├╝llung in der Weise, dass der Auftragnehmer die Software bzw. den Service erneut in mangelfreiem Zustand zur Verf├╝gung stellt bzw. erbringt oder den Mangel beseitigt.
    5.3 Falls die Nacherf├╝llung nach zwei Nacherf├╝llungsversuchen endg├╝ltig fehlschl├Ągt, kann der Auftraggeber vom jeweiligen Einzelvertrag zur├╝cktreten oder die Verg├╝tung angemessen mindern. Schadensersatz oder Ersatz vergeblicher Aufwendungen wegen eines Mangels leistet der Auftragnehmer im Rahmen der in diesen AGB festgelegten Grenzen der Haftung.

  10. Leistungserbringung
  11. 6.1 Die Software wird entsprechend des Service Level Agreement (SLA) des Auftragnehmers zur Verf├╝gung gestellt, das als Anlage 2A zu diesen AGB Teil dieser AGB ist und ausdr├╝cklich in den Vertrag einbezogen wird.
    6.2 F├╝r die Nutzung der Software ben├Âtigt der Auftraggeber einen aktuellen Standardwebbrowser (Google Chrome oder Mozilla Firefox). Der Auftraggeber ist f├╝r die Bereitstellung und den Betrieb s├Ąmtlicher Hardware und Betriebssoftware sowie f├╝r die Zurverf├╝gungstellung der erforderlichen Internetverbindung verantwortlich.
    6.3 Software und sonstige Arbeitsergebnisse gelten als ├╝bergeben, sobald sie dem Auftraggeber zur Verf├╝gung gestellt wurden. Services gelten als erbracht, sobald der jeweilige Service abgeschlossen wurde. Support/Pflege werden gegebenenfalls mit Zeitablauf als monatlich anteilig erbracht angesehen.
    6.4 Sofern nicht anders vereinbart, unterliegen Software und Services keiner gesonderten Abnahme durch den Auftraggeber, sondern gelten mit ├ťbergabe als abgenommen. Sollte eine Abnahme vertraglich vereinbart sein und hat der Auftraggeber nicht den Zeit- oder Testplan der Abnahme eingehalten oder sollte ein solcher Testplan oder eine zeitliche Begrenzung f├╝r Tests und Abnahme nicht vorliegen, so gelten Software und Services zehn Werktage nach ├ťbergabe als abgenommen.
    6.5 Der Auftragnehmer ist berechtigt, Subunternehmer oder sonstige Erf├╝llungsgehilfen (insgesamt als ÔÇ×SubunternehmerÔÇť bezeichnet) einzusetzen, um die vertraglichen Verpflichtungen zu erf├╝llen. Der Auftragnehmer wird daf├╝r sorgen, dass Subunternehmer entsprechend dieses AGB an Verpflichtungen hinsichtlich Geheimhaltung und Datenschutz gebunden sind. Die Beauftragung von Subunternehmern l├Ąsst die vertraglichen Verpflichtungen des Auftragnehmers dem Auftraggeber gegen├╝ber unber├╝hrt. Der Auftragnehmer haftet f├╝r eventuelle Schlechtleistungen eines Subunternehmers wie f├╝r eigenes Verschulden.

  12. Kostenloser Test
  13. Unter Umst├Ąnden bieten wir die M├Âglichkeit, die Software f├╝r einen bestimmten Zeitraum kostenlos zu testen. Diese M├Âglichkeit wird auf der Internetseite kommuniziert. Wenn Sie die Software kostenlos testen wollen, geht der Test nach Ablauf des angegebenen Testzeitraums in ein kostenpflichtiges Abonnement ├╝ber, sofern Sie nicht vor Ende des Testzeitraums per E-Mail an info@confdnt.com gek├╝ndigt haben. Bei der Buchung eines kostenlosen Tests m├╝ssen Sie Ihre Kreditkartendaten angeben. Ihre Kreditkarte wird zu Beginn des Testzeitraums Test nicht belastet, sondern erst, wenn der Testzeitraum in ein kostenpflichtiges Abonnement ├╝bergeht. Durch Angabe Ihrer Kreditkartendaten stellen Sie sicher, dass Sie die Software nach Ablauf des Testzeitraums ohne Unterbrechung weiterhin nutzen k├Ânnen. Die regul├Ąre Laufzeit beginnt erst mit Ende des Testzeitraums.

  14. Zahlungsbedingungen
  15. Soweit nicht anders vereinbart wird Software mit ├ťbergabe j├Ąhrlich vorab in Rechnung gestellt. Der Auftraggeber hat Rechnungen binnen 14 Tage nach Rechnungsdatum ohne Skonto oder sonstige Abz├╝ge zu zahlen. Soweit nicht anders vereinbart ist die Angabe einer Auftragsnummer bzw. Purchase Order Nummer auf der Rechnung keine Voraussetzung f├╝r die Zahlungsverpflichtung. Bei Zahlungsverzug werden Verzugszinsen in gesetzlicher H├Âhe f├Ąllig. Der Auftragnehmer ist berechtigt, den Zugang des Auftraggebers zur Software bei einem Zahlungsverzug von mehr als 30 Tagen vor├╝bergehend zu deaktivieren, bis die ├╝berf├Ąllige Rechnung bezahlt wurde. Die angegebenen Preise enthalten keine Umsatzsteuer oder sonstige Steuern. Diese werden dem Auftraggeber gegebenenfalls gesondert in Rechnung gestellt.

  16. Haftungsbegrenzung
  17. 9.1 F├╝r einfache Fahrl├Ąssigkeit haftet der Auftragnehmer, sowohl f├╝r eigenes sowie f├╝r zugerechnetes Verhalten, nur, sofern wesentliche Vertragspflichten (Kardinalpflichten) verletzt sind. In diesem Fall ist die Haftung begrenzt auf den vertragstypischen und vorhersehbaren Schaden. Wesentliche Vertragspflichten sind solche Pflichten, deren Verletzung die Erreichung des Vertragszwecks gef├Ąhrdet, deren Erf├╝llung die ordnungsgem├Ą├če Durchf├╝hrung des Vertrages ├╝berhaupt erst erm├Âglicht und auf deren Einhaltung der Auftraggeber regelm├Ą├čig vertraut.
    9.2 F├╝r die vorgenannten F├Ąlle begrenzter Haftung wird diese zus├Ątzlich der H├Âhe nach pro Vertragsjahr auf 50.000 Euro beschr├Ąnkt.
    9.3 F├╝r mittelbare und Folgesch├Ąden sowie f├╝r entgangenen Gewinn, Personalmehrkosten, nutzlose Aufwendungen und unterbliebene Einsparungen etc. haftet der Auftragnehmer nur bei Vorsatz und grober Fahrl├Ąssigkeit.
    9.4 Die Haftungsbeschr├Ąnkungen gelten nicht f├╝r Anspr├╝che wegen Vorsatz und grober Fahrl├Ąssigkeit, bei Personensch├Ąden, bei Arglist, soweit das Produkthaftungsgesetz zur Anwendung kommt, sowie f├╝r Sch├Ąden, die in den Schutzbereich einer vom Auftragnehmer gegebenen eigenst├Ąndigen Garantie, Beschaffenheits- oder Haltbarkeitsgarantie fallen, sofern sich aus der jeweiligen Garantievereinbarung nicht etwas anderes ergibt.
    9.5 Verletzt der Auftraggeber die ihm obliegende Pflicht zur ordnungsgem├Ą├čen Datensicherung, haftet der Auftragnehmer im Rahmen der vorstehenden Bestimmungen bei Verlust von Daten der H├Âhe nach begrenzt auf diejenigen Sch├Ąden, die auch bei ordnungsgem├Ą├čer und regelm├Ą├čiger Datensicherung durch den Auftraggeber aufgetreten w├Ąren.

  18. Vertraulichkeit
  19. 10.1 Jede der Parteien verpflichtet sich, alle im Rahmen der vertraglichen Zusammenarbeit erhaltenen Informationen, die (a) als ÔÇ×vertraulichÔÇť oder ÔÇ×geheimÔÇť oder mit einem gleichbedeutenden Hinweis gekennzeichnet sind oder m├╝ndlich als vertraulich bezeichnet werden; (b) aufgrund ihres Inhalts als vertraulich anzusehen sind; oder (c) von vertraulichen Informationen, welche zur Verf├╝gung gestellt worden sind, abgeleitet wurden; ausschlie├člich f├╝r die Zwecke der vertraglichen Zusammenarbeit zu verwenden, vertraulich zu behandeln und vor der Kenntnisnahme durch unberechtigte Dritte zu sch├╝tzen. Diese Vertraulichkeitsverpflichtung ist allen Personen aufzuerlegen, die mit der Durchf├╝hrung dieses Vertrages betraut werden.
    10.2 Von der Vertraulichkeitsverpflichtung ausgenommen sind Informationen, die (a) ├Âffentlich zug├Ąnglich sind oder nachtr├Ąglich ├Âffentlich zug├Ąnglich wurden oder der anderen Partei bei Vertragsschluss bereits bekannt waren; (b) unabh├Ąngig und selbstst├Ąndig von der anderen Partei entwickelt wurden; (c) der anderen Partei von einem Dritten offenbart wurden, der keiner Vertraulichkeitsverpflichtung unterliegt, oder (d) aufgrund gesetzlicher Bestimmungen oder beh├Ârdlicher oder gerichtlicher Anordnung offengelegt werden m├╝ssen (in diesem Falle ist die betroffene Partei hier├╝ber unverz├╝glich zu unterrichten).

  20. Kundendaten und Freistellung von Anspr├╝chen Dritter
  21. 11.1 Der Auftragnehmer speichert als technischer Dienstleister Inhalte und Daten f├╝r den Auftraggeber. Der Auftraggeber verpflichtet sich gegen├╝ber dem Auftragnehmer, keine rechtswidrigen Inhalte und Daten und/oder Inhalte und Daten, die die Rechte Dritter verletzen, mit der Software zu verarbeiten und keine Viren oder sonstige Schadsoftware enthaltenden Programme im Zusammenhang mit der Software zu nutzen. Insbesondere verpflichtet er sich, die Software nicht zum Angebot von oder im Zusammenhang mit rechtswidrigen Dienstleistungen oder Waren zu nutzen.
    11.2 Der Auftraggeber ist f├╝r s├Ąmtliche von ihm oder seinen Nutzern verwendeten Inhalte und verarbeiteten Daten sowie die hierf├╝r gegebenenfalls erforderlichen Rechtspositionen allein verantwortlich. Der Auftragnehmer nimmt von Inhalten des Auftraggebers oder seiner Nutzer keine Kenntnis und pr├╝ft die mit der Software genutzten Inhalte nicht.
    11.3 Der Auftraggeber verpflichtet sich in diesem Zusammenhang, den Auftragnehmer von jeder Haftung und jeglichen Kosten, einschlie├člich m├Âglicher und tats├Ąchlicher Kosten eines gerichtlichen Verfahrens, freizustellen, falls der Auftragnehmer von Dritten, auch von Mitarbeitern des Auftraggebers pers├Ânlich, infolge von behaupteten Handlungen oder Unterlassungen des Auftraggebers in Anspruch genommen wird. Der Auftragnehmer wird den Auftraggeber ├╝ber die Inanspruchnahme unterrichten und ihm, soweit dies rechtlich m├Âglich ist, Gelegenheit zur Abwehr des geltend gemachten Anspruchs geben. Gleichzeitig wird der Auftraggeber dem Auftragnehmer unverz├╝glich alle ihm verf├╝gbaren Informationen ├╝ber den Sachverhalt, der Gegenstand der Inanspruchnahme ist, vollst├Ąndig mitteilen. Dar├╝ber hinausgehende Schadensersatzanspru╠łche des Auftragnehmers bleiben unber├╝hrt.

  22. Datenschutz
  23. 12.1 Der Auftragnehmer verarbeitet personenbezogene Daten der Ansprechpartner im Unternehmen, die im Zusammenhang mit der Einrichtung eines Kontos in Bezug auf die Benutzer der Software zur Verf├╝gung gestellt werden (Name, Vorname, E-Mail-Adresse, Telefonnummer, Passwort) und pers├Ânliche Daten, die sich auf die Nutzung der Software beziehen (Log-Dateien). Diese personenbezogenen Daten werden vom Auftragnehmer als Verantwortlichem verarbeitet, um den Benutzern die Nutzung der Software zu erm├Âglichen. Diese personenbezogenen Daten werden f├╝r die Erf├╝llung des Vertrags zwischen dem Auftraggeber und dem Auftragnehmer verarbeitet, Rechtsgrundlage ist dementsprechend Art. 6 Abs. 1 lit. b) DSGVO. Hinsichtlich der diesbez├╝glichen Betroffenenrechte und sonstiger Informationspflichten wird auf die Datenschutzerkl├Ąrung auf der Internetseite des Auftragnehmers verwiesen.
    12.2 Der Auftragnehmer ist berechtigt, anonymisierte Daten im Zusammenhang mit der Nutzung der Software f├╝r interne Gesch├Ąfts- und/oder Betriebszwecke zu verwenden, insbesondere zur Analyse der Nutzung der Software und zur Verbesserung der Software. Der Auftraggeber erteilt eine entsprechende Weisung zur Anonymisierung der hierf├╝r erforderlichen Daten.
    12.3 Der Auftragnehmer verarbeitet personenbezogene Daten von Betroffenen, die die Software nutzen, um Missst├Ąnde im Unternehmen des Auftraggebers zu melden, als Auftragsverarbeiter auf Weisung des Auftraggebers. Diese Auftragsverarbeitung ist in der Vereinbarung Auftragsverarbeitung zwischen den Parteien geregelt, die als Anlage 4 ausdr├╝cklich in diese AGB und den Vertrag zwischen den Parteien einbezogen wird.

  24. Laufzeit
  25. Die Laufzeit des jeweiligen Auftrags wird im jeweiligen Auftrag vereinbart. Auftr├Ąge sind von jeder Partei jederzeit k├╝ndbar im Falle einer wesentlichen Vertragsverletzung der jeweils anderen Partei, wenn die Vertragsverletzung nicht innerhalb von 30 Tagen geheilt wird. Diese Frist beginnt ab dem Zeitpunkt der Zustellung der schriftlichen Anzeige der wesentlichen Vertragsverletzung. Jede Partei kann Auftr├Ąge jederzeit fristlos k├╝ndigen, wenn die andere Partei aufgel├Âst oder liquidiert wird oder Schritte hierzu einleitet und/oder zahlungsunf├Ąhig oder insolvent wird.

  26. Allgemeines
  27. 14.1 Dieser Vertrag unterliegt deutschem Recht. Im Falle von Meinungsverschiedenheiten aufgrund dieses Vertrages verpflichten sich die Parteien, zun├Ąchst eine g├╝tliche Einigung zu finden. Sollte dies nicht m├Âglich sein, so einigen sich die Parteien bereits jetzt auf M├╝nchen als allgemeinen Gerichtsstand.
    14.2 Der Auftragnehmer hat das Recht, die Tatsache, dass der Auftraggeber seine Software nutzt bzw. sein Kunde ist, ├Âffentlich zu ├Ąu├čern und den Namen und das Logo des Auftraggebers f├╝r diesen Zweck in seinen Marketingmaterialien, auch im Internet auf seiner Webseite und/oder auf seinen Seiten in den sozialen Medien, zu nutzen. Jeder andere Gebrauch des Namens oder Logos des Auftraggebers bedarf der vorherigen Zustimmung des Auftraggebers.
    14.3 Alle Mitteilungen unter diesem Vertrag bed├╝rfen der Schriftform und werden mit erster Zustellung wirksam.
    14.4 Der Auftragnehmer kann ├änderungen an diesen Verlagsbedingungen vornehmen, wenn diese aufgrund ge├Ąnderter Umst├Ąnde, beispielsweise bei wesentlichen ├änderungen der Gesetzgebung oder der Rechtsprechung, des relevanten Markt- und Gesch├Ąftsumfelds oder aufgrund technischer Entwicklungen notwendig werden, f├╝r den Auftraggeber zumutbar sind. Der Auftragnehmer wird den Auftraggeber in einem angemessenen Zeitraum, mindestens einen Monat, vor Inkrafttreten der ├änderungen, ├╝ber die ├änderungen in elektronischer Form informieren. Der Auftraggeber ist berechtigt, solchen ├änderungen innerhalb von 14 Tagen nach Erhalt der ├änderungsmitteilung zu widersprechen. Im Falle eines Widerspruchs des Auftraggebers hat der Auftragnehmer das Recht, das Vertragsverh├Ąltnis au├čerordentlich ohne Einhaltung einer K├╝ndigungsfrist zu k├╝ndigen. Widerspricht der Auftraggeber nicht, gilt seine Zustimmung nach Ablauf der oben genannten Fristen als erteilt. Auf die Dauer der Frist und auf die Bedeutung ihres ergebnislosen Ablaufs wird der Auftragnehmer bei der Ank├╝ndigung der ├änderungen der AGB ausdr├╝cklich hinweisen.

ANLAGE 2A:


SERVICE LEVEL AGREEMENT



Dieses Service Level Agreement (SLA) definiert Verf├╝gbarkeit und Support des CONFDNT Whistleblowing Management Systems.

  1. Support
  2. 1.1 Der Support umfasst Unterst├╝tzung und Beratung des Auftraggebers bei der Behebung von Problemen bei der Nutzung des CONFDNT Whistleblowing Management Systems (nachfolgend ÔÇ×SoftwareÔÇť), einschlie├člich der ├ťberpr├╝fung, Diagnose und Korrektur von erheblichen M├Ąngeln und Fehlern der Software und der Bereitstellung von Bugfixes, Korrekturen, Modifikationen, ├änderungen, Erweiterungen, Upgrades und neuer Versionen der Software (Updates), um die Funktionsf├Ąhigkeit der Software zu gew├Ąhrleisten.
    1.2 Der Support erstreckt sich nicht auf Probleme mit oder Sch├Ąden an der Software, soweit diese verursacht wurden durch (i) Fahrl├Ąssigkeit, Missbrauch oder unsachgem├Ą├če Bedienung seitens des Auftraggebers, (ii) Bedienung, Nutzung der Software nicht im Einklang mit den Vorgaben der Dokumentation oder Nichtbeachtung der von CONFDNT vorgegebenen Spezifikationen oder Einschr├Ąnkungen; (iii) Modifikationen an der Software, die nicht von CONFDNT durchgef├╝hrt oder genehmigt wurden; (iv) Handlungen Dritter; (v) Produkte von Drittanbietern; und/oder (vi) h├Âhere Gewalt.
    1.3 Bei jeder Anfrage/St├Ârungsmeldung wird CONFDNT nach pflichtgem├Ą├čem Ermessen eine Priorit├Ąt entsprechend den unten definierten Kriterien angeben. CONFDNT kann redundante St├Ârungsmeldungen durch den Auftraggeber, die sich auf dieselbe St├Ârung beziehen, zu einer St├Ârungsmeldung zusammenf├╝hren.
    1.4 CONFDNT gew├Ąhrleistet f├╝r den Support die unten angegebenen Erreichbarkeits- und Reaktionszeiten. Die Reaktionszeit stellt hierbei die Zeit dar zwischen der ersten Anfrage/St├Ârungsmeldung durch den Auftraggeber (telefonisch oder elektronisch) und der ersten R├╝ckmeldung (telefonisch oder elektronisch) von CONFDNT. F├╝r die Reaktionszeit sind dabei nur Zeitintervalle w├Ąhrend der Erreichbarkeitszeiten ma├čgeblich.

    Erreichbarkeit Werktags (au├čer samstags) 9:00 ÔÇô 17:00 Uhr (CET)
    Telefon +49 (89) 58804323-0
    E-Mail support@support.confdnt.com
    Sprachen Deutsch, Englisch

    Priorit├Ąt Beschreibung Reaktionszeit
    1 ÔÇô Show Stopper Software funktioniert vollst├Ąndig oder zu ganz wesentlichen Teilen nicht 3 Stunden
    2 - Critical Funktionalit├Ąten der Software teilweise nicht gegeben oder nicht wie beschrieben und dadurch wesentliche Beeintr├Ąchtigung der Funktionalit├Ąt bzw. Nutzbarkeit der gesamten Software 8 Stunden
    3 - Major Funktionalit├Ąten der Software teilweise nicht gegeben oder nicht wie beschrieben und dadurch nur nicht wesentliche Beeintr├Ąchtigung der Funktionalit├Ąt bzw. Nutzbarkeit der Software 48 Stunden
    4 - Minor Funktionalit├Ąt der Software nicht beeintr├Ąchtigt, allgemeine Frage 1 Woche

    1.5 Die Fehlerbehebung erfolgt grunds├Ątzlich durch Zugriff auf die Software. Zur Erm├Âglichung von Support und Softwarepflege gew├Ąhrt der Auftraggeber CONFDNT umfassenden und unbeschr├Ąnkten Zugriff auf die Software und die mit der Software verarbeiteten Daten.

    1.6 Der Auftraggeber definiert einen Supportkoordinator. Ausschlie├člich der Supportkoordinator wird CONFDNT hinsichtlich des Supportes kontaktieren bzw. St├Ârungen melden.

  3. Verf├╝gbarkeit

  4. 2.1 CONFDNT wird die Software f├╝r den Auftraggeber in einem logisch separierten Account zur Verf├╝gung stellen. CONFDNT stellt dem Auftraggeber die Software zum Fernzugriff in einer sicheren Systemumgebung zur Verf├╝gung. Eine ├ťberlassung der Software an den Auftraggeber findet nicht statt.

    2.2 Die Software wird dem Auftraggeber in ihrer jeweils aktuellen Version/Release zur Verf├╝gung gestellt.

    2.3 CONFDNT wird dem Auftraggeber die Software mit einer Verf├╝gbarkeit von mindestens 99,5 % des jeweiligen Kalendermonats zur Verf├╝gung stellen (nachfolgend ÔÇ×Mindestverf├╝gbarkeitÔÇť). Verf├╝gbar ist die Software in diesem Zusammenhang, wenn zwischen den Servern, auf denen die Software gehostet wird, und dem ├ťbergabepunkt zum Internet eine ununterbrochene Verbindung besteht und der Auftraggeber in der Lage ist, sich anzumelden und Zugriff auf die Software hat. Die Mindestverf├╝gbarkeit bezieht sich nicht auf Test- und Entwicklungsserver.

    2.4 CONFDNT ist berechtigt, auf die Software zuzugreifen, um die Einhaltung der Nutzungsbedingungen der Software, inklusive der Verg├╝tung, durch den Auftraggeber zu verifizieren; um Diagnosen und Analysen zu erstellen und um die Einstellungen der Software anzupassen und zu optimieren, um die Leistung und/oder Sicherheit der Software zu verbessern, vorausgesetzt dass diese Anpassungen keine negativen Auswirkungen auf die Nutzung der Software durch den Auftraggeber haben. CONFDNT ist des Weiteren berechtigt, System-/Metadaten ├╝ber die Nutzung der Software zu erheben, um diese im Rahmen der Identifikation und Behebung potentieller M├Ąngel und Fehler der Software zu nutzen, um statistische Analysen zu erstellen und um die Entwicklung der Software zu unterst├╝tzen und zu optimieren.

VEREINBARUNG AUFTRAGSVERARBEITUNG (AVV) CONFDNT


  1. CONFDNT Whistleblowing System

  2. 1.1 Die Compliance.One GmbH (nachfolgend ÔÇ×AuftragnehmerÔÇť) stellt dem Auftraggeber das CONFDNT Whistleblowing System (nachfolgend ÔÇ×CONFDNTÔÇť) als SaaS zur Verf├╝gung.
    Der Auftraggeber nutzt CONFDNT, um Mitarbeitern und evtl. sonstigen Dritten die anonyme oder vertrauliche Meldung von Missst├Ąnden im Unternehmen zu erm├Âglichen.
    CONFDNT verarbeitet die Daten der Whistleblower dabei im Auftrag des Auftraggebers. Diese Vereinbarung Auftragsverarbeitung konkretisiert, als Teil des Hauptvertrages zwischen den Parteien, die Verpflichtungen beider Parteien zur Einhaltung des anwendbaren Datenschutzrechts, insbesondere der Anforderungen der Datenschutz-Grundverordnung (ÔÇ×DSGVOÔÇť).

    1.2 Bei einer anonymen Meldung erhebt und verarbeitet der Auftragnehmer keinerlei personenbezogene Daten des jeweiligen Whistleblowers. Der Auftraggeber erteilt dem Auftragnehmer die Weisung, jegliche Daten, die eine Identifizierung des Whistleblowers erm├Âglichen k├Ânnten, insbesondere dessen IP-Adresse, unverz├╝glich zu l├Âschen. Ein Zugriff des Auftraggebers auf solche Daten ist ausgeschlossen.

    1.3 Bei einer vertraulichen Meldung liegen nur CONFDNT die Kontaktdaten des Whistleblowers vor, diese werden dem Unternehmen gegen├╝ber jedoch nicht offengelegt.

    Der Auftraggeber weist CONFDNT unwiderruflich an, bei einer vertraulichen Meldung personenbezogen Daten, die eine Identifikation des Whistleblowers erm├Âglichen, weder ihm gegen├╝ber noch einem Dritten gegen├╝ber offenzulegen.

    1.4 Bei einer transparenten Meldung erh├Ąlt der im Unternehmen f├╝r die Bearbeitung von Meldungen zust├Ąndige Ansprechpartner Zugriff auf die Daten zur Identit├Ąt des Whistleblowers und kann unmittelbar mit dem Whistleblower kommunizieren.

    Der Auftraggeber ist dabei gem├Ą├č der EU-Whistleblower-Richtlinie verpflichtet, die Identit├Ąt des Whistleblowers zu wahren, d.h. nur der bzw. die Mitarbeiter, die den jeweiligen Hinweis bearbeiten, d├╝rfen die Identit├Ąt des Whistleblowers kennen, sonst niemand im Unternehmen.

    CONFDNT wird in diesem Kontext ganz ÔÇ×normalÔÇť als Auftragsverarbeiter f├╝r den Auftraggeber t├Ątig, ohne dass eine spezifische Weisung zur Geheimhaltung bzw. Nicht-Offenlegung vom Auftraggeber erteilt wird.

  3. Anwendungsbereich

  4. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in der Leistungsvereinbarung und in Anlage 4A zu dieser Vereinbarung Auftragsverarbeitung festgelegt.

  5. Weisungsgebundenheit

  6. 3.1 Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Die Weisungen werden anf├Ąnglich durch den Hauptvertrag festgelegt und k├Ânnen vom Auftraggeber danach in Textform ge├Ąndert, erg├Ąnzt oder ersetzt werden, sofern sie nicht unwiderruflich erteilt wurden. M├╝ndliche Weisungen sind vom Auftraggeber unverz├╝glich in Textform zu best├Ątigen.

    3.2 Falls der Auftragnehmer verpflichtet ist, personenbezogene Daten nach dem Recht der Union oder des Mitgliedstaates, dem der Auftragnehmer unterliegt, zu verarbeiten, wird der Auftragnehmer den Auftraggeber hier├╝ber vor der jeweiligen Verarbeitung schriftlich informieren, es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gr├╝nden des ├Âffentlichen Interesses. Im letztgenannten Fall wird der Auftragnehmer den Auftraggeber unverz├╝glich informieren, sobald ihm dies rechtlich m├Âglich ist.

    3.3 Der Auftragnehmer informiert den Auftraggeber unverz├╝glich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verst├Â├čt. Der Auftragnehmer darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber best├Ątigt oder abge├Ąndert wurde.

  7. Technische und organisatorische Ma├čnahmen

  8. 4.1 Der Auftragnehmer verpflichtet sich gegen├╝ber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Ma├čnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

    4.2 Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Ma├čnahmen ist in Anlage 4B zu dieser Vereinbarung Auftragsverarbeitung und erg├Ąnzend in der technischen ├ťbersicht in Anlage 1 dokumentiert. Die Parteien sind sich dar├╝ber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten ├änderungen der technischen und organisatorischen Ma├čnahmen erforderlich werden k├Ânnen. Eine ├änderung der getroffenen Sicherheitsma├čnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftraggeber kann jederzeit eine aktuelle ├ťbersicht der vom Auftragnehmer getroffenen technischen und organisatorischen Ma├čnahmen anfordern.

  9. Betroffenenrechte

  10. 5.1 Der Auftragnehmer unterst├╝tzt den Auftraggeber im Rahmen seiner M├Âglichkeiten bei der Erf├╝llung der Anfragen und Anspr├╝che betroffenen Personen gem. Kapitel III der DSGVO (insb. Auskunft, Berichtigung, Sperrung oder L├Âschung). Soweit eine Mitwirkung des Auftragnehmers f├╝r die Wahrung von Betroffenenrechten durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Ma├čnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach M├Âglichkeit mit geeigneten technischen und organisatorischen Ma├čnahmen dabei unterst├╝tzen, seiner Pflicht zur Beantwortung von Antr├Ągen auf Wahrnehmung von Betroffenenrechten nachzukommen.

    5.2 Ausk├╝nfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird der Auftragnehmer unverz├╝glich an den Auftraggeber weiterleiten.

    5.3 Bei vertraulichen Meldungen erteilt der Auftraggeber dem Auftragnehmer die Weisung, dem jeweiligen Whistleblower gegen├╝ber die Betroffenenrechte unmittelbar direkt zu erf├╝llen.

  11. Sonstige Pflichten des Auftragnehmers

  12. 6.1 Der Auftragnehmer unterrichtet den Auftraggeber unverz├╝glich, sp├Ątestens innerhalb von 24 Stunden, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.

    6.2 Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungst├Ątigkeiten sowie erforderlichenfalls bei Durchf├╝hrung einer Datenschutzfolgenabsch├Ątzung zu unterst├╝tzen. Alle erforderlichen Angaben und Dokumentationen sind dem Auftraggeber auf Anforderung unverz├╝glich zur Verf├╝gung zu stellen.

    6.3 Wird der Auftraggeber durch Aufsichtsbeh├Ârden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegen├╝ber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterst├╝tzen, soweit die Verarbeitung im Auftrag betroffen ist.

    6.4 Die beim Auftragnehmer zur Verarbeitung eingesetzten Personen haben sich schriftlich zur Vertraulichkeit verpflichtet, wurden mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht und werden hinsichtlich der Erf├╝llung der Datenschutzanforderungen laufend angemessen angeleitet und ├╝berwacht.

    6.5 Der Auftragnehmer wird den Auftraggeber unter Ber├╝cksichtigung der Art der Verarbeitung und der ihm zur Verf├╝gung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterst├╝tzen.

    6.6 Der Auftraggeber kann sich bei Fragen zum Datenschutz beim Auftragnehmer jederzeit an den Datenschutzbeauftragten des Auftragnehmers wenden. Datenschutzbeauftragter des Auftragnehmers ist Rechtsanwalt Conrad Graf, E-Mail privacy@confdnt.com.


  13. Rechte und Pflichten des Auftraggebers

  14. 7.1 F├╝r die Beurteilung der Zul├Ąssigkeit der beauftragten Verarbeitung sowie f├╝r die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

    7.2 Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften ├╝ber den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer, soweit erforderlich und m├Âglich, Zutritt und Einblick zu erm├Âglichen. Der Auftragnehmer ist verpflichtet, erforderliche Ausk├╝nfte zu erteilen, Abl├Ąufe zu demonstrieren und Nachweise zu f├╝hren, die zur Durchf├╝hrung einer Kontrolle erforderlich sind. Kontrollen beim Auftragnehmer haben ohne vermeidbare St├Ârungen des Gesch├Ąftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gr├╝nden anders angezeigt, finden Kontrollen nach angemessener Vorank├╝ndigung und zu Gesch├Ąftszeiten des Auftragnehmers sowie nicht h├Ąufiger als alle 12 Monate statt.


  15. Unterauftragnehmer

  16. 8.1 Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers zul├Ąssig.

    8.2 Der Auftraggeber stimmt der Beauftragung von Unterauftragnehmern gem├Ą├č der ├ťbersicht Unterauftragsverarbeiter, anbei als Anlage 4C, zu. In der ├ťbersicht Unterauftragsverarbeiter ist auch der Prozess f├╝r zuk├╝nftige ├änderungen der Unterauftragsverarbeiter definiert.

    8.3 Der Auftragnehmer hat die Unterauftragnehmer sorgf├Ąltig auszuw├Ąhlen und vor der Beauftragung zu pr├╝fen, dass diese die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten k├Ânnen. Der Auftragnehmer hat insbesondere zu kontrollieren, dass s├Ąmtliche Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Ma├čnahmen zum Schutz personenbezogener Daten getroffen haben.

    8.4 Nicht als Unterauftragsverh├Ąltnisse im Sinne dieser Vereinbarung Auftragsverarbeitung sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die gesch├Ąftliche T├Ątigkeit auszu├╝ben. Dazu geh├Âren beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer f├╝r den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen und Bewachungsdienste.

    8.5 Die Beauftragung von Unterauftragsverarbeitern l├Ąsst die vertraglichen und datenschutzrechtlichen Verpflichtungen des Auftragnehmers gegen├╝ber dem Auftraggeber unber├╝hrt. Der Auftragnehmer haftet f├╝r eventuelle Schlechtleistungen eines Unterauftragsverarbeiters wie f├╝r eigenes Verschulden.


  17. Daten├╝bermittlung in Drittl├Ąnder

  18. Die Auftragsverarbeitung erfolgt ausschlie├člich innerhalb der Europ├Ąischen Union bzw. des EWR. Eine Verlagerung der Auftragsverarbeitung in ein Drittland au├čerhalb der Europ├Ąischen Union bzw. des EWR bedarf der ausdr├╝cklichen Genehmigung des Auftraggebers.

  19. L├Âschung und R├╝ckgabe von personenbezogenen Daten

  20. 10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gew├Ąhrleistung einer ordnungsgem├Ą├čen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

    10.2 Nach Beendigung der Leistungsvereinbarung oder fr├╝her nach Aufforderung durch den Auftraggeber hat der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten dem Auftraggeber auszuh├Ąndigen oder datenschutzgerecht zu l├Âschen.

    Von der Aush├Ąndigung ausgenommen sind vertrauliche Meldungen. Diese werden dem Auftraggeber anonymisiert zur Verf├╝gung gestellt oder gel├Âscht.

    10.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgem├Ą├čen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen ├╝ber das Vertragsende hinaus aufzubewahren.

ANLAGE 4A (ZUR AVV):
BESCHREIBUNG DER AUFTRAGSVERARBEITUNG


Verantwortlicher und Auftragsverarbeiter
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und nutzt das CONFDNT Whistleblowing System des Auftragnehmers, um seinen Mitarbeitern und sonstigen Dritten die Meldung von Missst├Ąnden im Unternehmen zu erm├Âglichen.
Der Auftragnehmer stellt als Auftragsverarbeiter dem Auftraggeber das CONFDNT Whistleblowing System als SaaS zur Verf├╝gung.

Betroffene
Die im Auftrag verarbeiteten personenbezogenen Daten betreffen Whistleblower, die das CONFDNT Whistleblowing System nutzen, um vertraulich Missst├Ąnde im Unternehmen des Auftraggebers zu melden. Der Auftraggeber entscheidet dabei, ob er das CONFDNT Whistleblowing System nur seinen Mitarbeitern oder auch sonstigen Dritten (Kunden, Lieferanten etc.) zur Verf├╝gung stellt.
Des Weiteren verarbeitet der Auftragnehmer personenbezogene Daten zu den im Rahmen einer Meldung eines Fehlverhaltens Beschuldigten.

Kategorien von Daten
Der Auftragnehmer verarbeitet dabei die personenbezogenen Daten im Auftrag, die der Whistleblower im Rahmen seiner Meldung mitteilt. Dies k├Ânnen sein:
  • Name;
  • Adresse;
  • E-Mail-Adresse; Telefon-/Mobilfunknummer;
  • Funktion im Unternehmen bzw. Beziehung zum Auftraggeber;
  • Daten der eines Fehlverhaltens Beschuldigten;
  • Inhalte der Meldungen;
  • sonstige Daten, die dem Auftragnehmer vom Auftraggeber f├╝r die Durchf├╝hrung seiner Leistungen zur Verf├╝gung gestellt werden bzw. die im Rahmen der Durchf├╝hrung der Leistungen des Auftragnehmers vom Auftragnehmer f├╝r den Auftraggeber erhoben werden.

Besondere Kategorien personenbezogener Daten
Die im Auftrag verarbeiteten personenbezogenen Daten k├Ânnen besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten) enthalten, wenn solche Daten in der Meldung eines Whistleblowers enthalten sind.

Gegenstand und Dauer der Verarbeitung
Die im Auftrag verarbeiteten personenbezogenen Daten werden verarbeitet zur Durchf├╝hrung der im Hauptvertrag bzw. der Vereinbarung Auftragsverarbeitung vereinbarten Leistungen des Auftragnehmers. Die Daten werden auf Weisung des Auftraggebers verarbeitet wie in der Vereinbarung Auftragsverarbeitung definiert, insbesondere hinsichtlich der vertraulichen Verarbeitung vertraulicher Hinweise. Die Daten werden, wie oben definiert, jederzeit auf Weisung des Auftraggebers gel├Âscht. Der Auftraggeber kann zudem spezifische Aufbewahrungs- und L├Âschfristen definieren. Die Daten werden bei Vertragsbeendigung gel├Âscht.
Der Auftraggeber kann die Daten jederzeit exportieren (mit Ausnahme vertraulicher Meldungen, die gem├Ą├č der spezifischen Weisung bez├╝glich vertraulicher Meldungen verarbeitet werden).
Die Laufzeit dieser Vereinbarung Auftragsverarbeitung richtet sich nach der Laufzeit der Leistungsvereinbarung.


ANLAGE 4B (ZUR AVV):
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN


Wir haben die nachfolgenden technischen und organisatorischen Ma├čnahmen getroffen, um Datenschutz und Informationssicherheit im Rahmen des CONFDNT Whistleblowing Systems zu wahren:

  1. VERTRAULICHKEIT

  2. 1.1 Zutrittskontrolle
    Das Hosting der Software erfolgt in Rechenzentren der Hetzner Online GmbH in Deutschland.
    Die in den Rechenzentren des Unterauftragsverarbeiters Hetztner Online GmbH getroffenen technischen und organisatorischen Ma├čnahmen sind ausf├╝hrlich hier beschrieben: https://www.hetzner.com/AV/TOM.pdf

    1.2 Zugangskontrolle

    F├╝r die Zugangskontrolle sind nachfolgende Ma├čnahmen von Compliance.One GmbH getroffen worden:
    Um Zugang zu IT-Systemen zu erhalten, m├╝ssen Nutzer ├╝ber eine entsprechende Zugangsberechtigung verf├╝gen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch ├╝ber die Personalabteilung gestellt werden.
    Der Benutzer erh├Ąlt dann einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung ge├Ąndert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortl├Ąnge von 8 Zeichen, wobei das Passwort auf Gro├č-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
    Passw├Ârter werden alle 90 Tage gewechselt. Ausgenommen hiervon sind Passw├Ârter, die ├╝ber eine Mindestl├Ąnge von 32 Zeichen verf├╝gen. Hier ist ein automatischer Passwortwechsel nicht indiziert.
    Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 10 Passw├Ârter nicht noch einmal verwendet werden k├Ânnen. Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Benutzer-Accounts.
    Remote-Zugriffe auf IT-Systeme der Compliance.One GmbH erfolgen stets ├╝ber verschl├╝sselte Verbindungen.
    Auf den Servern der Compliance.One GmbH ist ein Intrusion-Prevention-System im Einsatz. Alle Server- und Client-Systeme verf├╝gen ├╝ber Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gew├Ąhrleistet ist. Alle Server sind durch Firewalls gesch├╝tzt, die stets gewartet und mit Updates und Patches versorgt werden.
    Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme ├╝ber das Internet ist ebenfalls durch Firewalls gesichert. So ist auch gew├Ąhrleistet, dass nur die f├╝r die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.
    Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen. Passw├Ârter werden grunds├Ątzlich verschl├╝sselt gespeichert.

    1.3 Zugriffskontrolle

    Berechtigungen f├╝r IT-Systeme und Applikationen der Compliance.One GmbH werden ausschlie├člich von Administratoren eingerichtet.
    Berechtigungen werden grunds├Ątzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung t├Ątig sind.
    Voraussetzung ist eine entsprechende Anforderung der Berechtigung f├╝r einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden.
    Es gibt ein rollenbasiertes Berechtigungskonzept mit der M├Âglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Besch├Ąftigte abh├Ąngig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.
    Alle Mitarbeiter bei Compliance.One GmbH sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen ├╝ber Projekte in die hierf├╝r ausgewiesenen Vernichtungsbeh├Ąltnisse einzuwerfen.
    Besch├Ąftigten ist es grunds├Ątzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.
    Alle Server- und Client-Systeme werden regelm├Ą├čig mit Sicherheits-Updates aktualisiert.

    1.4 Trennung

    Alle von Compliance.One GmbH f├╝r Kunden eingesetzten IT-Systeme sind mandantenf├Ąhig. Die Trennung von Daten von verschiedenen Kunden ist stets gew├Ąhrleistet.

    1.5 Pseudonymisierung & Verschl├╝sselung

    Ein administrativer Zugriff auf Serversysteme erfolgt grunds├Ątzlich ├╝ber verschl├╝sselte Verbindungen.
    Dar├╝ber hinaus werden Daten auf Server- und Clientsystemen auf verschl├╝sselten Datentr├Ągern gespeichert. Es befinden sich entsprechende Festplattenverschl├╝sselungssysteme im Einsatz.

  3. INTEGRITÄT

  4. 2.1 Eingabekontrolle

    Die Eingabe, ├änderung und L├Âschung von personenbezogenen Daten, die von Compliance.One GmbH im Auftrag verarbeitet werden, wird grunds├Ątzlich protokolliert.
    Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts d├╝rfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.

    2.2 Weitergabekontrolle

    Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden von Compliance.One GmbH erfolgt, darf jeweils nur in dem Umfang, wie erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen f├╝r den Kunden erforderlich ist.
    Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zul├Ąssige Nutzung von Daten und die Modalit├Ąten einer Weitergabe von Daten instruiert.
    Soweit m├Âglich werden Daten verschl├╝sselt an Empf├Ąnger ├╝bertragen.
    Die Nutzung von privaten Datentr├Ągern ist den Besch├Ąftigten bei Compliance.One GmbH im Zusammenhang mit Kundenprojekten untersagt.
    Mitarbeiter bei Compliance.One GmbH werden regelm├Ą├čig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.

  5. VERF├ťGBARKEIT UND BELASTBARKEIT

  6. Daten auf Serversystemen von Compliance.One GmbH werden mindestens t├Ąglich inkrementell und w├Âchentlich ÔÇ×vollÔÇť gesichert. Die Sicherungsmedien werden verschl├╝sselt an einen physisch getrennten Ort verbracht.
    Das Einspielen von Backups wird regelm├Ą├čig getestet.
    Die IT-Systeme verf├╝gen ├╝ber eine unterbrechungsfreie Stromversorgung. Im Serverraum befindet sich eine Brandmeldeanlage sowie eine CO2-L├Âschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle von St├Ârungen unverz├╝glich Meldungen an einen Administrator ausl├Âst.
    Es gibt bei Compliance.One GmbH einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.

  7. AUFTRAGSKONTROLLE

  8. Die Verarbeitung der Datenhaltung erfolgt ausschlie├člich in der Europ├Ąischen Union.
    Bei der Compliance.One GmbH ist ein betrieblicher Datenschutzbeauftragter benannt.
    Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgef├╝hrtem Audit durch den Datenschutzbeauftragten von Compliance.One GmbH abgeschlossen. Auftragnehmer werden auch w├Ąhrend des Vertragsverh├Ąltnisses regelm├Ą├čig kontrolliert.

  9. PRIVACY BY DESIGN UND PRIVACY BY DEFAULT

  10. Bei der Compliance.One GmbH wird schon bei der Entwicklung der Software Sorge daf├╝r getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So k├Ânnen Pflichtfelder vorgesehen oder Felder deaktiviert werden.
    Die Software der Compliance.One GmbH unterst├╝tzt sowohl die Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine unver├Ąnderliche Speicherung von ├änderungen an Daten und Nutzerberechtigungen erm├Âglicht. Berechtigungen auf Daten oder Applikationen k├Ânnen flexibel und granular gesetzt werden.

  11. VERFAHREN ZUR REGELM├äSSIGEN ├ťBERPR├ťFUNG, BEWERTUNG UND EVALUIERUNG

  12. Bei der Compliance.One GmbH ist ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gew├Ąhrleistet wird.
    Es ist Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Ma├čnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.
    Die Richtlinien werden regelm├Ą├čig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
    Es ist insbesondere sichergestellt, dass Datenschutzvorf├Ąlle von allen Mitarbeitern erkannt und unverz├╝glich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge daf├╝r getragen, dass diese unverz├╝glich ├╝ber Art und Umfang des Vorfalls informiert werden.

ANLAGE 4C (ZUR AVV):
├ťBERSICHT UNTERAUFTRAGSVERARBEITER


CONFDNT setzt bei der Erbringung der Leistungen aus dem Hauptvertrag folgende Unterauftragsverarbeiter ein:

Unterauftragsverarbeiter Leistungen des Unterauftragsverarbeiters Ort der DV
Hetzner Online GmbH Hosting des CONFDNT Whistleblowing Management Systems (IaaS) Deutschland
Sendinblue GmbH Versand von Transaktionsmails Deutschland
FriendlyCaptcha GmbH Bot Detection / Fraud Prevention Deutschland

Der Auftragnehmer kann die Beauftragung einzelner Unterauftragsverarbeiter beenden oder zus├Ątzliche Unterauftragsverarbeiter beauftragen. Der Auftragnehmer wird den Auftraggeber bei der Beauftragung zus├Ątzlicher Unterauftragsverarbeiter auf elektronischem Wege mindestens 30 Tage vor Einsatz des zus├Ątzlichen Unterauftragsverarbeiters ├╝ber dessen geplanten Einsatz informieren. Sollte der Auftraggeber einen wesentlichen Grund haben, dem Einsatz eines Unterauftragsverarbeiters zu widersprechen, wird der Auftraggeber dies dem Auftragnehmer sp├Ątestens 15 Tage nach der Information ├╝ber den geplanten Einsatz des Unterauftragsverarbeiters schriftlich und unter Nennung des wesentlichen Grundes mitteilen. Sollte der Auftraggeber innerhalb dieser Zeitspanne nicht widersprechen, so wird der Einsatz des zus├Ątzlichen Unterauftragsverarbeiters als vom Auftraggeber genehmigt angesehen.
Sollte der Auftraggeber widersprechen, kann der Auftragnehmer den Widerspruch wie folgt heilen: (1.) Der Auftragnehmer wird den zus├Ątzlichen Unterauftragsverarbeiter f├╝r die Verarbeitung personenbezogener Daten des Auftraggebers nicht einsetzen, oder (2.) der Auftragnehmer wird Ma├čnahmen ergreifen, um den wesentlichen Grund f├╝r den Widerspruch des Auftraggebers auszur├Ąumen, oder (3.) der Auftragnehmer kann die Erbringung des von dem Einsatz des zus├Ątzlichen Unterauftragsverarbeiters betroffenen Aspekts der Leistung gegen├╝ber dem Auftraggeber vor├╝bergehend oder dauerhaft einstellen und dem Auftraggeber die f├╝r die Erbringung des Aspekts der Leistung eventuell bereits vorab gezahlte Verg├╝tung zur├╝ckerstatten. Sollte keine dieser drei Optionen machbar sein und wurde dem Widerspruch nicht innerhalb von 15 Tagen nach Zugang des Widerspruchs abgeholfen, kann jede Partei den Vertrag mit angemessener Frist au├čerordentlich k├╝ndigen.