AGB CONFDNT


  1. Präambel
    Die Compliance.One GmbH (nachfolgend „Auftragnehmer“) hat ein webbasiertes Whistleblowing Management System entwickelt („Software“) und stellt dieses dem Auftraggeber als SaaS zur Verfügung. Für die Nutzung der Software und die Erbringung ergänzender Dienstleistungen („Services“) gelten diese Allgemeinen Geschäftsbedingungen („AGB“).
    Unsere Angebote richten sich nur an Unternehmer im Sinne des § 14 BGB, also an natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln. Wir schließen keine Verträge mit Verbrauchern im Sinne des § 13 BGB.

  2. Nutzungsrechte
  3. 2.1 Der Auftragnehmer gewährt dem Auftraggeber für die Laufzeit des Vertrages unter der aufschiebenden Bedingung der vollständigen Zahlung der vereinbarten Vergütung das entgeltliche, weltweite, nicht ausschließliche und nicht übertragbare Recht, die Software bestimmungsgemäß zu nutzen. Der Auftraggeber darf die Software nur im Rahmen der vertraglichen Bestimmungen nutzen. Der Auftraggeber erhält kein Recht am Quellcode der Software. Der Auftraggeber darf die Software nur für eigene Zwecke nutzen. Die Nutzung für eigene Zwecke umfasst dabei die bestimmungsgemäße Nutzung der Produkte für allgemeine Geschäftszwecke des Auftraggebers und die Verarbeitung der Daten des Auftraggebers. Nicht umfasst ist die Nutzung der Produkte für Dritte, beispielsweise als Dienstleister oder eine sonstige Überlassung oder Nutzungsvermittlung an Dritte. Verbundene Unternehmen im Sinne des § 15 AktG werden dabei nicht als Dritte angesehen.
    2.2 Der Auftraggeber ist berechtigt, die Software durch eigene Mitarbeiter oder durch Dritte für seine eigenen Zwecke nutzen zu lassen. Die Software darf entsprechend der im jeweiligen Auftrag vereinbarten Anzahl von Usern genutzt werden Eine gemeinsame Nutzung der Software durch verschiedene Nutzer unter einem gemeinsamen User-Account ist ausgeschlossen. Der Auftraggeber ist verantwortlich für die Nutzung der Software durch seine User und sämtliche Schäden, die durch fahrlässige oder vorsätzliche Pflichtverletzungen seiner User verursacht wurden.
    2.3 Soweit nicht anders vereinbart, stehen sämtliche Rechte an Software und Services, welche durch den Auftragnehmer bereitgestellt oder unter diesem Vertrag entwickelt werden, einzig dem Auftragnehmer zu. Sämtliche Rechte an jeder Art von Veränderung, Entwicklung oder Verbesserung der Produkte oder Dienstleistungen, welche durch den Auftraggeber vorgenommen werden, stehen ebenfalls ausschließlich dem Auftragnehmer zu.
    2.4 Die Software kann Open Source Software-Komponenten enthalten. Die Nutzung dieser Komponenten unterliegt ausschließlich den entsprechenden Nutzungsbedingungen der Open Source Software-Komponenten. Keine Vorschrift dieses Vertrages beeinflusst dabei die Rechte oder Pflichten des Auftraggebers aus den entsprechenden Nutzungsbedingungen der Open Source Software-Komponenten. Im Falle von Widersprüchen oder entgegenstehenden Vorschriften von Lizenzbestimmungen der Open Source Software und den Bestimmungen dieses Vertrages genießen die Lizenzbestimmungen der Open Source Software Vorrang.
    2.5 Das Nutzungsrecht an der Software erstreckt sich auch auf Fixes, Patches, Entwicklungen und Updates, welche der Auftragnehmer dem Auftraggeber zur Verfügung stellt. Das Recht auf Updates beinhaltet nicht das Recht auf ein Nutzungsrecht an neuen/zusätzlichen Produkten und Funktionalitäten, die als separates Produkt/Modul zur Verfügung gestellt werden.
    2.6 Soweit nicht anders vereinbart oder aufgrund zwingenden Rechts oder anwendbarer Open Source Software-Nutzungsbedingungen vorgeschrieben, ist der Auftraggeber nicht berechtigt,
    • die Software über das für die vertragsgemäße Nutzung erforderliche hinausgehende Maß zu kopieren, weder im Ganzen noch teilweise;
    • die Software zu modifizieren, zu korrigieren, anzupassen, zu übersetzen, zu verbessern oder sonst abgeleitete Entwicklungen an der Software vorzunehmen;
    • die Software zu vermieten, zu verleihen, zu verkaufen, zu lizenzieren, zu übertragen oder sonst Dritten zugänglich zu machen;
    • die Software zurückzuentwickeln, zu dekompillieren, zu disassemblieren oder auf andere Weise zu versuchen, den Quellcode der Software zu entschlüsseln, weder im Ganzen noch teilweise;
    • Sicherheitseinrichtungen oder Schutzmechanismen, welche in der Software enthalten oder für sie genutzt werden, zu umgehen oder zu verletzen;
    • Maßnahmen zu ergreifen, die geeignet sind, Schaden an der Software oder den Servern des Auftragnehmers hervorzurufen;
    • Marken, Dokumentation, Garantien, Haftungsausschlüsse oder sonstige Rechte, wie etwa geistiges Eigentum, Zeichen, Mitteilungen, Markierungen oder Seriennummern, welche in Verbindung zur Software oder Dokumentation stehen, zu entfernen, zu löschen, zu tilgen, zu verändern, zu verdecken, zu übersetzen, zu kombinieren, zu ergänzen oder auf andere Weise abzuändern;
    • die Software in einer Art und Weise zu nutzen, durch die geltendes Recht und/oder die Rechte Dritter verletzt werden; und/oder
    • die Software für Zwecke des Benchmarkings bzw. der Wettbewerbsanalyse der Software, für die Entwicklung, Verwendung oder die Bereitstellung eines konkurrierenden Software-Produkts bzw. konkurrierender Services oder zu sonst einem Zweck zu nutzen, welcher dem Auftragnehmer zum Nachteil gereicht.

  4. Verpflichtungen des Auftraggebers
  5. 3.1 Der Auftraggeber wird den Auftragnehmer bei der Erbringung der vertragsgegenständlichen Leistungen in angemessenem Umfang unterstützen. Der Auftraggeber hat unaufgefordert sämtliche Mitwirkungsleistungen, Informationen, Daten, Dateien, Materialien, welche für die Erfüllung der Vertragspflichten durch den Auftragnehmer erforderlich sind, im Voraus zur Verfügung zu stellen. Sollte der Auftraggeber nicht ausreichend kooperieren und/oder Verzögerung verursachen, ist der Auftragnehmer nicht verpflichtet, die vertraglichen Verpflichtungen zu erfüllen, so lange und so weit, wie der Auftragnehmer an der Erfüllung der vertraglichen Verpflichtungen aufgrund unzureichender und/oder verspäteter Mitwirkung des Auftraggebers gehindert ist. Der Auftragnehmer hat den Auftraggeber über seine nicht ausreichende oder rechtzeitige Zusammenarbeit zu informieren und eine angemessene Frist zur Nacherfüllung zu setzen. Erfüllt der Auftraggeber dennoch seine Mitwirkungspflichten nicht, so gehen etwaige für den Auftragnehmer nicht vermeidbare sich daraus ergebenden Vergütungserhöhungen, zusätzliche Aufwände (z.B. Mehrarbeit, Stornokosten, Reisekosten) und Terminverschiebungen zu seinen Lasten. Nach fruchtlosem Ablauf der Nachfrist gelten die betroffene Software bzw. der betroffene Service als zur Verfügung gestellt bzw. erbracht.
    3.2 Der Auftraggeber ist verantwortlich für (i) angemessene Sicherheitsprozesse, Tools und Steuerungen für Systeme und Netzwerke, welche mit der Software interagieren, (ii) das Vorhalten alternativer Prozesse im Falle einer mangelnden Verfügbarkeit der Software, (iii) die Feststellung, ob die vom Auftragnehmer zur Verfügung gestellten technischen und organisatorischen Maßnahmen des Datenschutzes und der Datensicherheit den spezifischen Anforderungen des Auftraggebers genügen; (iv) das angemessene interne Training der User und die Bereitstellung von internem technischen Support; und (v) die ordnungsgemäße Sicherung sämtlicher auf seiner Systemumgebung befindlichen Programme und Daten und sämtlicher in die Software übertragener bzw. mit der Software erstellter Daten und Arbeitsergebnisse mit Beginn der Nutzung der Software und anschließend in angemessenen regelmäßigen Abständen.

  6. Services
  7. 4.1 Individuelle Services (insb. Konfiguration, Anpassung und Entwicklung) werden wie im jeweiligen Auftrag definiert vergütet und werden am Ende des Kalendermonats ihrer Erbringung in Rechnung gestellt. Soweit nicht anders vereinbart, werden angemessene Reisekosten nach Aufwand und gegen Beleg vom Auftraggeber getragen und monatlich in Rechnung gestellt.
    4.2 Soweit sich Mitarbeiter des Auftragnehmers in den Räumen des Auftraggebers aufhalten, werden sie sich an Sicherheitsanweisungen des Auftraggebers halten. Der Auftraggeber hat hierzu diese Anweisungen in schriftlicher Form vorab an den Auftragnehmer zu übermitteln.
    4.3 Der Auftragnehmer behält sich alle Rechte an Arbeitsergebnissen vor, die bei der Erbringung von Services erstellt werden. Dies umfasst insbesondere Software/Code, Schnittstellen, Methoden, Prozesse und Templates, die vom Auftragnehmer genutzt, geschaffen oder verändert werden. Der Auftragnehmer gewährt dem Auftraggeber an solchen Arbeitsergebnissen ein nicht-ausschließliches, nicht-übertragbares Nutzungsrecht für eigene Zwecke gemäß Ziffer 2.1 dieser AGB.
    4.4 Arbeitsergebnisse, die durch den Auftragnehmer im Rahmen der Erbringung von Services für den Auftraggeber erstellt werden, insbesondere Customising/Modifikation der Software, sind nicht vom Standard-Support des Auftragnehmers gedeckt, sofern diese Arbeitsergebnisse nicht in die Standard-Software übernommen werden. Solche Arbeitsergebnisse können grundsätzlich auch nur mit der jeweils zum Erstellungszeitpunkt aktuellen Version/Release der Software eingesetzt werden. Jedes Upgrade oder Update kann zusätzliche kostenpflichtige Migrationsleistungen notwendig machen.

  8. Gewährleistung
  9. 5.1 Software und Services werden vom Auftragnehmer mangelfrei zur Verfügung gestellt bzw. erbracht und entsprechen bei bestimmungsgemäßer Nutzung im Wesentlichen den in der Dokumentation genannten Spezifikationen. Die Services des Auftragnehmers werden sachkundig und fachgerecht nach Industriestandards durch angeleitetes und erfahrenes Personal ausgeführt. Der Einräumung der vereinbarten Nutzungsrechte an den Auftraggeber stehen keine Rechte Dritter entgegen. Technische Daten, Spezifikationen und Leistungsangaben in öffentlichen Äußerungen, insbesondere in Werbemitteln, sind keine Beschaffenheitsangaben.
    5.2 Im Fall der Mangelhaftigkeit sind die Mängelansprüche des Auftraggebers zunächst auf Nacherfüllung beschränkt. Der Auftraggeber wird dem Auftragnehmer auftretende Mängel schriftlich mit Beschreibung des Mangels mitteilen und zur Mängelbeseitigung auffordern. Der Auftragnehmer leistet bei nachgewiesenen Mängeln Gewähr durch Nacherfüllung in der Weise, dass der Auftragnehmer die Software bzw. den Service erneut in mangelfreiem Zustand zur Verfügung stellt bzw. erbringt oder den Mangel beseitigt.
    5.3 Falls die Nacherfüllung nach zwei Nacherfüllungsversuchen endgültig fehlschlägt, kann der Auftraggeber vom jeweiligen Einzelvertrag zurücktreten oder die Vergütung angemessen mindern. Schadensersatz oder Ersatz vergeblicher Aufwendungen wegen eines Mangels leistet der Auftragnehmer im Rahmen der in diesen AGB festgelegten Grenzen der Haftung.

  10. Leistungserbringung
  11. 6.1 Die Software wird entsprechend des Service Level Agreement (SLA) des Auftragnehmers zur Verfügung gestellt, das als Anlage 2A zu diesen AGB Teil dieser AGB ist und ausdrücklich in den Vertrag einbezogen wird.
    6.2 Für die Nutzung der Software benötigt der Auftraggeber einen aktuellen Standardwebbrowser (Google Chrome oder Mozilla Firefox). Der Auftraggeber ist für die Bereitstellung und den Betrieb sämtlicher Hardware und Betriebssoftware sowie für die Zurverfügungstellung der erforderlichen Internetverbindung verantwortlich.
    6.3 Software und sonstige Arbeitsergebnisse gelten als übergeben, sobald sie dem Auftraggeber zur Verfügung gestellt wurden. Services gelten als erbracht, sobald der jeweilige Service abgeschlossen wurde. Support/Pflege werden gegebenenfalls mit Zeitablauf als monatlich anteilig erbracht angesehen.
    6.4 Sofern nicht anders vereinbart, unterliegen Software und Services keiner gesonderten Abnahme durch den Auftraggeber, sondern gelten mit Übergabe als abgenommen. Sollte eine Abnahme vertraglich vereinbart sein und hat der Auftraggeber nicht den Zeit- oder Testplan der Abnahme eingehalten oder sollte ein solcher Testplan oder eine zeitliche Begrenzung für Tests und Abnahme nicht vorliegen, so gelten Software und Services zehn Werktage nach Übergabe als abgenommen.
    6.5 Der Auftragnehmer ist berechtigt, Subunternehmer oder sonstige Erfüllungsgehilfen (insgesamt als „Subunternehmer“ bezeichnet) einzusetzen, um die vertraglichen Verpflichtungen zu erfüllen. Der Auftragnehmer wird dafür sorgen, dass Subunternehmer entsprechend dieses AGB an Verpflichtungen hinsichtlich Geheimhaltung und Datenschutz gebunden sind. Die Beauftragung von Subunternehmern lässt die vertraglichen Verpflichtungen des Auftragnehmers dem Auftraggeber gegenüber unberührt. Der Auftragnehmer haftet für eventuelle Schlechtleistungen eines Subunternehmers wie für eigenes Verschulden.

  12. Kostenloser Test
  13. Unter Umständen bieten wir die Möglichkeit, die Software für einen bestimmten Zeitraum kostenlos zu testen. Diese Möglichkeit wird auf der Internetseite kommuniziert. Wenn Sie die Software kostenlos testen wollen, geht der Test nach Ablauf des angegebenen Testzeitraums in ein kostenpflichtiges Abonnement über, sofern Sie nicht vor Ende des Testzeitraums per E-Mail an info@confdnt.com gekündigt haben. Bei der Buchung eines kostenlosen Tests müssen Sie Ihre Kreditkartendaten angeben. Ihre Kreditkarte wird zu Beginn des Testzeitraums Test nicht belastet, sondern erst, wenn der Testzeitraum in ein kostenpflichtiges Abonnement übergeht. Durch Angabe Ihrer Kreditkartendaten stellen Sie sicher, dass Sie die Software nach Ablauf des Testzeitraums ohne Unterbrechung weiterhin nutzen können. Die reguläre Laufzeit beginnt erst mit Ende des Testzeitraums.

  14. Zahlungsbedingungen
  15. Soweit nicht anders vereinbart wird Software mit Übergabe jährlich vorab in Rechnung gestellt. Der Auftraggeber hat Rechnungen binnen 14 Tage nach Rechnungsdatum ohne Skonto oder sonstige Abzüge zu zahlen. Soweit nicht anders vereinbart ist die Angabe einer Auftragsnummer bzw. Purchase Order Nummer auf der Rechnung keine Voraussetzung für die Zahlungsverpflichtung. Bei Zahlungsverzug werden Verzugszinsen in gesetzlicher Höhe fällig. Der Auftragnehmer ist berechtigt, den Zugang des Auftraggebers zur Software bei einem Zahlungsverzug von mehr als 30 Tagen vorübergehend zu deaktivieren, bis die überfällige Rechnung bezahlt wurde. Die angegebenen Preise enthalten keine Umsatzsteuer oder sonstige Steuern. Diese werden dem Auftraggeber gegebenenfalls gesondert in Rechnung gestellt.

  16. Haftungsbegrenzung
  17. 9.1 Für einfache Fahrlässigkeit haftet der Auftragnehmer, sowohl für eigenes sowie für zugerechnetes Verhalten, nur, sofern wesentliche Vertragspflichten (Kardinalpflichten) verletzt sind. In diesem Fall ist die Haftung begrenzt auf den vertragstypischen und vorhersehbaren Schaden. Wesentliche Vertragspflichten sind solche Pflichten, deren Verletzung die Erreichung des Vertragszwecks gefährdet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertraut.
    9.2 Für die vorgenannten Fälle begrenzter Haftung wird diese zusätzlich der Höhe nach pro Vertragsjahr auf 50.000 Euro beschränkt.
    9.3 Für mittelbare und Folgeschäden sowie für entgangenen Gewinn, Personalmehrkosten, nutzlose Aufwendungen und unterbliebene Einsparungen etc. haftet der Auftragnehmer nur bei Vorsatz und grober Fahrlässigkeit.
    9.4 Die Haftungsbeschränkungen gelten nicht für Ansprüche wegen Vorsatz und grober Fahrlässigkeit, bei Personenschäden, bei Arglist, soweit das Produkthaftungsgesetz zur Anwendung kommt, sowie für Schäden, die in den Schutzbereich einer vom Auftragnehmer gegebenen eigenständigen Garantie, Beschaffenheits- oder Haltbarkeitsgarantie fallen, sofern sich aus der jeweiligen Garantievereinbarung nicht etwas anderes ergibt.
    9.5 Verletzt der Auftraggeber die ihm obliegende Pflicht zur ordnungsgemäßen Datensicherung, haftet der Auftragnehmer im Rahmen der vorstehenden Bestimmungen bei Verlust von Daten der Höhe nach begrenzt auf diejenigen Schäden, die auch bei ordnungsgemäßer und regelmäßiger Datensicherung durch den Auftraggeber aufgetreten wären.

  18. Vertraulichkeit
  19. 10.1 Jede der Parteien verpflichtet sich, alle im Rahmen der vertraglichen Zusammenarbeit erhaltenen Informationen, die (a) als „vertraulich“ oder „geheim“ oder mit einem gleichbedeutenden Hinweis gekennzeichnet sind oder mündlich als vertraulich bezeichnet werden; (b) aufgrund ihres Inhalts als vertraulich anzusehen sind; oder (c) von vertraulichen Informationen, welche zur Verfügung gestellt worden sind, abgeleitet wurden; ausschließlich für die Zwecke der vertraglichen Zusammenarbeit zu verwenden, vertraulich zu behandeln und vor der Kenntnisnahme durch unberechtigte Dritte zu schützen. Diese Vertraulichkeitsverpflichtung ist allen Personen aufzuerlegen, die mit der Durchführung dieses Vertrages betraut werden.
    10.2 Von der Vertraulichkeitsverpflichtung ausgenommen sind Informationen, die (a) öffentlich zugänglich sind oder nachträglich öffentlich zugänglich wurden oder der anderen Partei bei Vertragsschluss bereits bekannt waren; (b) unabhängig und selbstständig von der anderen Partei entwickelt wurden; (c) der anderen Partei von einem Dritten offenbart wurden, der keiner Vertraulichkeitsverpflichtung unterliegt, oder (d) aufgrund gesetzlicher Bestimmungen oder behördlicher oder gerichtlicher Anordnung offengelegt werden müssen (in diesem Falle ist die betroffene Partei hierüber unverzüglich zu unterrichten).

  20. Kundendaten und Freistellung von Ansprüchen Dritter
  21. 11.1 Der Auftragnehmer speichert als technischer Dienstleister Inhalte und Daten für den Auftraggeber. Der Auftraggeber verpflichtet sich gegenüber dem Auftragnehmer, keine rechtswidrigen Inhalte und Daten und/oder Inhalte und Daten, die die Rechte Dritter verletzen, mit der Software zu verarbeiten und keine Viren oder sonstige Schadsoftware enthaltenden Programme im Zusammenhang mit der Software zu nutzen. Insbesondere verpflichtet er sich, die Software nicht zum Angebot von oder im Zusammenhang mit rechtswidrigen Dienstleistungen oder Waren zu nutzen.
    11.2 Der Auftraggeber ist für sämtliche von ihm oder seinen Nutzern verwendeten Inhalte und verarbeiteten Daten sowie die hierfür gegebenenfalls erforderlichen Rechtspositionen allein verantwortlich. Der Auftragnehmer nimmt von Inhalten des Auftraggebers oder seiner Nutzer keine Kenntnis und prüft die mit der Software genutzten Inhalte nicht.
    11.3 Der Auftraggeber verpflichtet sich in diesem Zusammenhang, den Auftragnehmer von jeder Haftung und jeglichen Kosten, einschließlich möglicher und tatsächlicher Kosten eines gerichtlichen Verfahrens, freizustellen, falls der Auftragnehmer von Dritten, auch von Mitarbeitern des Auftraggebers persönlich, infolge von behaupteten Handlungen oder Unterlassungen des Auftraggebers in Anspruch genommen wird. Der Auftragnehmer wird den Auftraggeber über die Inanspruchnahme unterrichten und ihm, soweit dies rechtlich möglich ist, Gelegenheit zur Abwehr des geltend gemachten Anspruchs geben. Gleichzeitig wird der Auftraggeber dem Auftragnehmer unverzüglich alle ihm verfügbaren Informationen über den Sachverhalt, der Gegenstand der Inanspruchnahme ist, vollständig mitteilen. Darüber hinausgehende Schadensersatzansprüche des Auftragnehmers bleiben unberührt.

  22. Datenschutz
  23. 12.1 Der Auftragnehmer verarbeitet personenbezogene Daten der Ansprechpartner im Unternehmen, die im Zusammenhang mit der Einrichtung eines Kontos in Bezug auf die Benutzer der Software zur Verfügung gestellt werden (Name, Vorname, E-Mail-Adresse, Telefonnummer, Passwort) und persönliche Daten, die sich auf die Nutzung der Software beziehen (Log-Dateien). Diese personenbezogenen Daten werden vom Auftragnehmer als Verantwortlichem verarbeitet, um den Benutzern die Nutzung der Software zu ermöglichen. Diese personenbezogenen Daten werden für die Erfüllung des Vertrags zwischen dem Auftraggeber und dem Auftragnehmer verarbeitet, Rechtsgrundlage ist dementsprechend Art. 6 Abs. 1 lit. b) DSGVO. Hinsichtlich der diesbezüglichen Betroffenenrechte und sonstiger Informationspflichten wird auf die Datenschutzerklärung auf der Internetseite des Auftragnehmers verwiesen.
    12.2 Der Auftragnehmer ist berechtigt, anonymisierte Daten im Zusammenhang mit der Nutzung der Software für interne Geschäfts- und/oder Betriebszwecke zu verwenden, insbesondere zur Analyse der Nutzung der Software und zur Verbesserung der Software. Der Auftraggeber erteilt eine entsprechende Weisung zur Anonymisierung der hierfür erforderlichen Daten.
    12.3 Der Auftragnehmer verarbeitet personenbezogene Daten von Betroffenen, die die Software nutzen, um Missstände im Unternehmen des Auftraggebers zu melden, als Auftragsverarbeiter auf Weisung des Auftraggebers. Diese Auftragsverarbeitung ist in der Vereinbarung Auftragsverarbeitung zwischen den Parteien geregelt, die als Anlage 4 ausdrücklich in diese AGB und den Vertrag zwischen den Parteien einbezogen wird.

  24. Laufzeit
  25. Die Laufzeit des jeweiligen Auftrags wird im jeweiligen Auftrag vereinbart. Aufträge sind von jeder Partei jederzeit kündbar im Falle einer wesentlichen Vertragsverletzung der jeweils anderen Partei, wenn die Vertragsverletzung nicht innerhalb von 30 Tagen geheilt wird. Diese Frist beginnt ab dem Zeitpunkt der Zustellung der schriftlichen Anzeige der wesentlichen Vertragsverletzung. Jede Partei kann Aufträge jederzeit fristlos kündigen, wenn die andere Partei aufgelöst oder liquidiert wird oder Schritte hierzu einleitet und/oder zahlungsunfähig oder insolvent wird.

  26. Allgemeines
  27. 14.1 Dieser Vertrag unterliegt deutschem Recht. Im Falle von Meinungsverschiedenheiten aufgrund dieses Vertrages verpflichten sich die Parteien, zunächst eine gütliche Einigung zu finden. Sollte dies nicht möglich sein, so einigen sich die Parteien bereits jetzt auf München als allgemeinen Gerichtsstand.
    14.2 Der Auftragnehmer hat das Recht, die Tatsache, dass der Auftraggeber seine Software nutzt bzw. sein Kunde ist, öffentlich zu äußern und den Namen und das Logo des Auftraggebers für diesen Zweck in seinen Marketingmaterialien, auch im Internet auf seiner Webseite und/oder auf seinen Seiten in den sozialen Medien, zu nutzen. Jeder andere Gebrauch des Namens oder Logos des Auftraggebers bedarf der vorherigen Zustimmung des Auftraggebers.
    14.3 Alle Mitteilungen unter diesem Vertrag bedürfen der Schriftform und werden mit erster Zustellung wirksam.
    14.4 Der Auftragnehmer kann Änderungen an diesen Verlagsbedingungen vornehmen, wenn diese aufgrund geänderter Umstände, beispielsweise bei wesentlichen Änderungen der Gesetzgebung oder der Rechtsprechung, des relevanten Markt- und Geschäftsumfelds oder aufgrund technischer Entwicklungen notwendig werden, für den Auftraggeber zumutbar sind. Der Auftragnehmer wird den Auftraggeber in einem angemessenen Zeitraum, mindestens einen Monat, vor Inkrafttreten der Änderungen, über die Änderungen in elektronischer Form informieren. Der Auftraggeber ist berechtigt, solchen Änderungen innerhalb von 14 Tagen nach Erhalt der Änderungsmitteilung zu widersprechen. Im Falle eines Widerspruchs des Auftraggebers hat der Auftragnehmer das Recht, das Vertragsverhältnis außerordentlich ohne Einhaltung einer Kündigungsfrist zu kündigen. Widerspricht der Auftraggeber nicht, gilt seine Zustimmung nach Ablauf der oben genannten Fristen als erteilt. Auf die Dauer der Frist und auf die Bedeutung ihres ergebnislosen Ablaufs wird der Auftragnehmer bei der Ankündigung der Änderungen der AGB ausdrücklich hinweisen.

ANLAGE 2A:


SERVICE LEVEL AGREEMENT



Dieses Service Level Agreement (SLA) definiert Verfügbarkeit und Support des CONFDNT Whistleblowing Management Systems.

  1. Support
  2. 1.1 Der Support umfasst Unterstützung und Beratung des Auftraggebers bei der Behebung von Problemen bei der Nutzung des CONFDNT Whistleblowing Management Systems (nachfolgend „Software“), einschließlich der Überprüfung, Diagnose und Korrektur von erheblichen Mängeln und Fehlern der Software und der Bereitstellung von Bugfixes, Korrekturen, Modifikationen, Änderungen, Erweiterungen, Upgrades und neuer Versionen der Software (Updates), um die Funktionsfähigkeit der Software zu gewährleisten.
    1.2 Der Support erstreckt sich nicht auf Probleme mit oder Schäden an der Software, soweit diese verursacht wurden durch (i) Fahrlässigkeit, Missbrauch oder unsachgemäße Bedienung seitens des Auftraggebers, (ii) Bedienung, Nutzung der Software nicht im Einklang mit den Vorgaben der Dokumentation oder Nichtbeachtung der von CONFDNT vorgegebenen Spezifikationen oder Einschränkungen; (iii) Modifikationen an der Software, die nicht von CONFDNT durchgeführt oder genehmigt wurden; (iv) Handlungen Dritter; (v) Produkte von Drittanbietern; und/oder (vi) höhere Gewalt.
    1.3 Bei jeder Anfrage/Störungsmeldung wird CONFDNT nach pflichtgemäßem Ermessen eine Priorität entsprechend den unten definierten Kriterien angeben. CONFDNT kann redundante Störungsmeldungen durch den Auftraggeber, die sich auf dieselbe Störung beziehen, zu einer Störungsmeldung zusammenführen.
    1.4 CONFDNT gewährleistet für den Support die unten angegebenen Erreichbarkeits- und Reaktionszeiten. Die Reaktionszeit stellt hierbei die Zeit dar zwischen der ersten Anfrage/Störungsmeldung durch den Auftraggeber (telefonisch oder elektronisch) und der ersten Rückmeldung (telefonisch oder elektronisch) von CONFDNT. Für die Reaktionszeit sind dabei nur Zeitintervalle während der Erreichbarkeitszeiten maßgeblich.

    Erreichbarkeit Werktags (außer samstags) 9:00 – 17:00 Uhr (CET)
    Telefon +49 (89) 58804323-0
    E-Mail support@support.confdnt.com
    Sprachen Deutsch, Englisch

    Priorität Beschreibung Reaktionszeit
    1 – Show Stopper Software funktioniert vollständig oder zu ganz wesentlichen Teilen nicht 3 Stunden
    2 - Critical Funktionalitäten der Software teilweise nicht gegeben oder nicht wie beschrieben und dadurch wesentliche Beeinträchtigung der Funktionalität bzw. Nutzbarkeit der gesamten Software 8 Stunden
    3 - Major Funktionalitäten der Software teilweise nicht gegeben oder nicht wie beschrieben und dadurch nur nicht wesentliche Beeinträchtigung der Funktionalität bzw. Nutzbarkeit der Software 48 Stunden
    4 - Minor Funktionalität der Software nicht beeinträchtigt, allgemeine Frage 1 Woche

    1.5 Die Fehlerbehebung erfolgt grundsätzlich durch Zugriff auf die Software. Zur Ermöglichung von Support und Softwarepflege gewährt der Auftraggeber CONFDNT umfassenden und unbeschränkten Zugriff auf die Software und die mit der Software verarbeiteten Daten.

    1.6 Der Auftraggeber definiert einen Supportkoordinator. Ausschließlich der Supportkoordinator wird CONFDNT hinsichtlich des Supportes kontaktieren bzw. Störungen melden.

  3. Verfügbarkeit

  4. 2.1 CONFDNT wird die Software für den Auftraggeber in einem logisch separierten Account zur Verfügung stellen. CONFDNT stellt dem Auftraggeber die Software zum Fernzugriff in einer sicheren Systemumgebung zur Verfügung. Eine Überlassung der Software an den Auftraggeber findet nicht statt.

    2.2 Die Software wird dem Auftraggeber in ihrer jeweils aktuellen Version/Release zur Verfügung gestellt.

    2.3 CONFDNT wird dem Auftraggeber die Software mit einer Verfügbarkeit von mindestens 99,5 % des jeweiligen Kalendermonats zur Verfügung stellen (nachfolgend „Mindestverfügbarkeit“). Verfügbar ist die Software in diesem Zusammenhang, wenn zwischen den Servern, auf denen die Software gehostet wird, und dem Übergabepunkt zum Internet eine ununterbrochene Verbindung besteht und der Auftraggeber in der Lage ist, sich anzumelden und Zugriff auf die Software hat. Die Mindestverfügbarkeit bezieht sich nicht auf Test- und Entwicklungsserver.

    2.4 CONFDNT ist berechtigt, auf die Software zuzugreifen, um die Einhaltung der Nutzungsbedingungen der Software, inklusive der Vergütung, durch den Auftraggeber zu verifizieren; um Diagnosen und Analysen zu erstellen und um die Einstellungen der Software anzupassen und zu optimieren, um die Leistung und/oder Sicherheit der Software zu verbessern, vorausgesetzt dass diese Anpassungen keine negativen Auswirkungen auf die Nutzung der Software durch den Auftraggeber haben. CONFDNT ist des Weiteren berechtigt, System-/Metadaten über die Nutzung der Software zu erheben, um diese im Rahmen der Identifikation und Behebung potentieller Mängel und Fehler der Software zu nutzen, um statistische Analysen zu erstellen und um die Entwicklung der Software zu unterstützen und zu optimieren.

VEREINBARUNG AUFTRAGSVERARBEITUNG (AVV) CONFDNT


  1. CONFDNT Whistleblowing System

  2. 1.1 Die Compliance.One GmbH (nachfolgend „Auftragnehmer“) stellt dem Auftraggeber das CONFDNT Whistleblowing System (nachfolgend „CONFDNT“) als SaaS zur Verfügung.
    Der Auftraggeber nutzt CONFDNT, um Mitarbeitern und evtl. sonstigen Dritten die anonyme oder vertrauliche Meldung von Missständen im Unternehmen zu ermöglichen.
    CONFDNT verarbeitet die Daten der Whistleblower dabei im Auftrag des Auftraggebers. Diese Vereinbarung Auftragsverarbeitung konkretisiert, als Teil des Hauptvertrages zwischen den Parteien, die Verpflichtungen beider Parteien zur Einhaltung des anwendbaren Datenschutzrechts, insbesondere der Anforderungen der Datenschutz-Grundverordnung („DSGVO“).

    1.2 Bei einer anonymen Meldung erhebt und verarbeitet der Auftragnehmer keinerlei personenbezogene Daten des jeweiligen Whistleblowers. Der Auftraggeber erteilt dem Auftragnehmer die Weisung, jegliche Daten, die eine Identifizierung des Whistleblowers ermöglichen könnten, insbesondere dessen IP-Adresse, unverzüglich zu löschen. Ein Zugriff des Auftraggebers auf solche Daten ist ausgeschlossen.

    1.3 Bei einer vertraulichen Meldung liegen nur CONFDNT die Kontaktdaten des Whistleblowers vor, diese werden dem Unternehmen gegenüber jedoch nicht offengelegt.

    Der Auftraggeber weist CONFDNT unwiderruflich an, bei einer vertraulichen Meldung personenbezogen Daten, die eine Identifikation des Whistleblowers ermöglichen, weder ihm gegenüber noch einem Dritten gegenüber offenzulegen.

    1.4 Bei einer transparenten Meldung erhält der im Unternehmen für die Bearbeitung von Meldungen zuständige Ansprechpartner Zugriff auf die Daten zur Identität des Whistleblowers und kann unmittelbar mit dem Whistleblower kommunizieren.

    Der Auftraggeber ist dabei gemäß der EU-Whistleblower-Richtlinie verpflichtet, die Identität des Whistleblowers zu wahren, d.h. nur der bzw. die Mitarbeiter, die den jeweiligen Hinweis bearbeiten, dürfen die Identität des Whistleblowers kennen, sonst niemand im Unternehmen.

    CONFDNT wird in diesem Kontext ganz „normal“ als Auftragsverarbeiter für den Auftraggeber tätig, ohne dass eine spezifische Weisung zur Geheimhaltung bzw. Nicht-Offenlegung vom Auftraggeber erteilt wird.

  3. Anwendungsbereich

  4. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in der Leistungsvereinbarung und in Anlage 4A zu dieser Vereinbarung Auftragsverarbeitung festgelegt.

  5. Weisungsgebundenheit

  6. 3.1 Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in Textform geändert, ergänzt oder ersetzt werden, sofern sie nicht unwiderruflich erteilt wurden. Mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform zu bestätigen.

    3.2 Falls der Auftragnehmer verpflichtet ist, personenbezogene Daten nach dem Recht der Union oder des Mitgliedstaates, dem der Auftragnehmer unterliegt, zu verarbeiten, wird der Auftragnehmer den Auftraggeber hierüber vor der jeweiligen Verarbeitung schriftlich informieren, es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses. Im letztgenannten Fall wird der Auftragnehmer den Auftraggeber unverzüglich informieren, sobald ihm dies rechtlich möglich ist.

    3.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

  7. Technische und organisatorische Maßnahmen

  8. 4.1 Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

    4.2 Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist in Anlage 4B zu dieser Vereinbarung Auftragsverarbeitung und ergänzend in der technischen Übersicht in Anlage 1 dokumentiert. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftraggeber kann jederzeit eine aktuelle Übersicht der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.

  9. Betroffenenrechte

  10. 5.1 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO (insb. Auskunft, Berichtigung, Sperrung oder Löschung). Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.

    5.2 Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird der Auftragnehmer unverzüglich an den Auftraggeber weiterleiten.

    5.3 Bei vertraulichen Meldungen erteilt der Auftraggeber dem Auftragnehmer die Weisung, dem jeweiligen Whistleblower gegenüber die Betroffenenrechte unmittelbar direkt zu erfüllen.

  11. Sonstige Pflichten des Auftragnehmers

  12. 6.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.

    6.2 Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie erforderlichenfalls bei Durchführung einer Datenschutzfolgenabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind dem Auftraggeber auf Anforderung unverzüglich zur Verfügung zu stellen.

    6.3 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

    6.4 Die beim Auftragnehmer zur Verarbeitung eingesetzten Personen haben sich schriftlich zur Vertraulichkeit verpflichtet, wurden mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht und werden hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht.

    6.5 Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützen.

    6.6 Der Auftraggeber kann sich bei Fragen zum Datenschutz beim Auftragnehmer jederzeit an den Datenschutzbeauftragten des Auftragnehmers wenden. Datenschutzbeauftragter des Auftragnehmers ist Rechtsanwalt Conrad Graf, E-Mail privacy@confdnt.com.


  13. Rechte und Pflichten des Auftraggebers

  14. 7.1 Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

    7.2 Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer, soweit erforderlich und möglich, Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen des Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers sowie nicht häufiger als alle 12 Monate statt.


  15. Unterauftragnehmer

  16. 8.1 Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers zulässig.

    8.2 Der Auftraggeber stimmt der Beauftragung von Unterauftragnehmern gemäß der Übersicht Unterauftragsverarbeiter, anbei als Anlage 4C, zu. In der Übersicht Unterauftragsverarbeiter ist auch der Prozess für zukünftige Änderungen der Unterauftragsverarbeiter definiert.

    8.3 Der Auftragnehmer hat die Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass diese die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten können. Der Auftragnehmer hat insbesondere zu kontrollieren, dass sämtliche Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen haben.

    8.4 Nicht als Unterauftragsverhältnisse im Sinne dieser Vereinbarung Auftragsverarbeitung sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen und Bewachungsdienste.

    8.5 Die Beauftragung von Unterauftragsverarbeitern lässt die vertraglichen und datenschutzrechtlichen Verpflichtungen des Auftragnehmers gegenüber dem Auftraggeber unberührt. Der Auftragnehmer haftet für eventuelle Schlechtleistungen eines Unterauftragsverarbeiters wie für eigenes Verschulden.


  17. Datenübermittlung in Drittländer

  18. Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des EWR. Eine Verlagerung der Auftragsverarbeitung in ein Drittland außerhalb der Europäischen Union bzw. des EWR bedarf der ausdrücklichen Genehmigung des Auftraggebers.

  19. Löschung und Rückgabe von personenbezogenen Daten

  20. 10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

    10.2 Nach Beendigung der Leistungsvereinbarung oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten dem Auftraggeber auszuhändigen oder datenschutzgerecht zu löschen.

    Von der Aushändigung ausgenommen sind vertrauliche Meldungen. Diese werden dem Auftraggeber anonymisiert zur Verfügung gestellt oder gelöscht.

    10.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

ANLAGE 4A (ZUR AVV):
BESCHREIBUNG DER AUFTRAGSVERARBEITUNG


Verantwortlicher und Auftragsverarbeiter
Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und nutzt das CONFDNT Whistleblowing System des Auftragnehmers, um seinen Mitarbeitern und sonstigen Dritten die Meldung von Missständen im Unternehmen zu ermöglichen.
Der Auftragnehmer stellt als Auftragsverarbeiter dem Auftraggeber das CONFDNT Whistleblowing System als SaaS zur Verfügung.

Betroffene
Die im Auftrag verarbeiteten personenbezogenen Daten betreffen Whistleblower, die das CONFDNT Whistleblowing System nutzen, um vertraulich Missstände im Unternehmen des Auftraggebers zu melden. Der Auftraggeber entscheidet dabei, ob er das CONFDNT Whistleblowing System nur seinen Mitarbeitern oder auch sonstigen Dritten (Kunden, Lieferanten etc.) zur Verfügung stellt.
Des Weiteren verarbeitet der Auftragnehmer personenbezogene Daten zu den im Rahmen einer Meldung eines Fehlverhaltens Beschuldigten.

Kategorien von Daten
Der Auftragnehmer verarbeitet dabei die personenbezogenen Daten im Auftrag, die der Whistleblower im Rahmen seiner Meldung mitteilt. Dies können sein:
  • Name;
  • Adresse;
  • E-Mail-Adresse; Telefon-/Mobilfunknummer;
  • Funktion im Unternehmen bzw. Beziehung zum Auftraggeber;
  • Daten der eines Fehlverhaltens Beschuldigten;
  • Inhalte der Meldungen;
  • sonstige Daten, die dem Auftragnehmer vom Auftraggeber für die Durchführung seiner Leistungen zur Verfügung gestellt werden bzw. die im Rahmen der Durchführung der Leistungen des Auftragnehmers vom Auftragnehmer für den Auftraggeber erhoben werden.

Besondere Kategorien personenbezogener Daten
Die im Auftrag verarbeiteten personenbezogenen Daten können besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten) enthalten, wenn solche Daten in der Meldung eines Whistleblowers enthalten sind.

Gegenstand und Dauer der Verarbeitung
Die im Auftrag verarbeiteten personenbezogenen Daten werden verarbeitet zur Durchführung der im Hauptvertrag bzw. der Vereinbarung Auftragsverarbeitung vereinbarten Leistungen des Auftragnehmers. Die Daten werden auf Weisung des Auftraggebers verarbeitet wie in der Vereinbarung Auftragsverarbeitung definiert, insbesondere hinsichtlich der vertraulichen Verarbeitung vertraulicher Hinweise. Die Daten werden, wie oben definiert, jederzeit auf Weisung des Auftraggebers gelöscht. Der Auftraggeber kann zudem spezifische Aufbewahrungs- und Löschfristen definieren. Die Daten werden bei Vertragsbeendigung gelöscht.
Der Auftraggeber kann die Daten jederzeit exportieren (mit Ausnahme vertraulicher Meldungen, die gemäß der spezifischen Weisung bezüglich vertraulicher Meldungen verarbeitet werden).
Die Laufzeit dieser Vereinbarung Auftragsverarbeitung richtet sich nach der Laufzeit der Leistungsvereinbarung.


ANLAGE 4B (ZUR AVV):
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN


Wir haben die nachfolgenden technischen und organisatorischen Maßnahmen getroffen, um Datenschutz und Informationssicherheit im Rahmen des CONFDNT Whistleblowing Systems zu wahren:

  1. VERTRAULICHKEIT

  2. 1.1 Zutrittskontrolle
    Das Hosting der Software erfolgt in Rechenzentren der Hetzner Online GmbH in Deutschland.
    Die in den Rechenzentren des Unterauftragsverarbeiters Hetztner Online GmbH getroffenen technischen und organisatorischen Maßnahmen sind ausführlich hier beschrieben: https://www.hetzner.com/AV/TOM.pdf

    1.2 Zugangskontrolle

    Für die Zugangskontrolle sind nachfolgende Maßnahmen von Compliance.One GmbH getroffen worden:
    Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch über die Personalabteilung gestellt werden.
    Der Benutzer erhält dann einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 8 Zeichen, wobei das Passwort auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
    Passwörter werden alle 90 Tage gewechselt. Ausgenommen hiervon sind Passwörter, die über eine Mindestlänge von 32 Zeichen verfügen. Hier ist ein automatischer Passwortwechsel nicht indiziert.
    Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 10 Passwörter nicht noch einmal verwendet werden können. Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Benutzer-Accounts.
    Remote-Zugriffe auf IT-Systeme der Compliance.One GmbH erfolgen stets über verschlüsselte Verbindungen.
    Auf den Servern der Compliance.One GmbH ist ein Intrusion-Prevention-System im Einsatz. Alle Server- und Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist. Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.
    Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet ist ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.
    Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen. Passwörter werden grundsätzlich verschlüsselt gespeichert.

    1.3 Zugriffskontrolle

    Berechtigungen für IT-Systeme und Applikationen der Compliance.One GmbH werden ausschließlich von Administratoren eingerichtet.
    Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.
    Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden.
    Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.
    Alle Mitarbeiter bei Compliance.One GmbH sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hierfür ausgewiesenen Vernichtungsbehältnisse einzuwerfen.
    Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.
    Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.

    1.4 Trennung

    Alle von Compliance.One GmbH für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet.

    1.5 Pseudonymisierung & Verschlüsselung

    Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.
    Darüber hinaus werden Daten auf Server- und Clientsystemen auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.

  3. INTEGRITÄT

  4. 2.1 Eingabekontrolle

    Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von Compliance.One GmbH im Auftrag verarbeitet werden, wird grundsätzlich protokolliert.
    Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.

    2.2 Weitergabekontrolle

    Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden von Compliance.One GmbH erfolgt, darf jeweils nur in dem Umfang, wie erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.
    Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.
    Soweit möglich werden Daten verschlüsselt an Empfänger übertragen.
    Die Nutzung von privaten Datenträgern ist den Beschäftigten bei Compliance.One GmbH im Zusammenhang mit Kundenprojekten untersagt.
    Mitarbeiter bei Compliance.One GmbH werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind auf zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.

  5. VERFÜGBARKEIT UND BELASTBARKEIT

  6. Daten auf Serversystemen von Compliance.One GmbH werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort verbracht.
    Das Einspielen von Backups wird regelmäßig getestet.
    Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. Im Serverraum befindet sich eine Brandmeldeanlage sowie eine CO2-Löschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.
    Es gibt bei Compliance.One GmbH einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.

  7. AUFTRAGSKONTROLLE

  8. Die Verarbeitung der Datenhaltung erfolgt ausschließlich in der Europäischen Union.
    Bei der Compliance.One GmbH ist ein betrieblicher Datenschutzbeauftragter benannt.
    Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführtem Audit durch den Datenschutzbeauftragten von Compliance.One GmbH abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

  9. PRIVACY BY DESIGN UND PRIVACY BY DEFAULT

  10. Bei der Compliance.One GmbH wird schon bei der Entwicklung der Software Sorge dafür getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. So können Pflichtfelder vorgesehen oder Felder deaktiviert werden.
    Die Software der Compliance.One GmbH unterstützt sowohl die Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht. Berechtigungen auf Daten oder Applikationen können flexibel und granular gesetzt werden.

  11. VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG

  12. Bei der Compliance.One GmbH ist ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.
    Es ist Datenschutz- und Informationssicherheits-Team (DST) eingerichtet, das Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.
    Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.
    Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.

ANLAGE 4C (ZUR AVV):
ÜBERSICHT UNTERAUFTRAGSVERARBEITER


CONFDNT setzt bei der Erbringung der Leistungen aus dem Hauptvertrag folgende Unterauftragsverarbeiter ein:

Unterauftragsverarbeiter Leistungen des Unterauftragsverarbeiters Ort der DV
Hetzner Online GmbH Hosting des CONFDNT Whistleblowing Management Systems (IaaS) Deutschland
Sendinblue GmbH Versand von Transaktionsmails Deutschland
FriendlyCaptcha GmbH Bot Detection / Fraud Prevention Deutschland

Der Auftragnehmer kann die Beauftragung einzelner Unterauftragsverarbeiter beenden oder zusätzliche Unterauftragsverarbeiter beauftragen. Der Auftragnehmer wird den Auftraggeber bei der Beauftragung zusätzlicher Unterauftragsverarbeiter auf elektronischem Wege mindestens 30 Tage vor Einsatz des zusätzlichen Unterauftragsverarbeiters über dessen geplanten Einsatz informieren. Sollte der Auftraggeber einen wesentlichen Grund haben, dem Einsatz eines Unterauftragsverarbeiters zu widersprechen, wird der Auftraggeber dies dem Auftragnehmer spätestens 15 Tage nach der Information über den geplanten Einsatz des Unterauftragsverarbeiters schriftlich und unter Nennung des wesentlichen Grundes mitteilen. Sollte der Auftraggeber innerhalb dieser Zeitspanne nicht widersprechen, so wird der Einsatz des zusätzlichen Unterauftragsverarbeiters als vom Auftraggeber genehmigt angesehen.
Sollte der Auftraggeber widersprechen, kann der Auftragnehmer den Widerspruch wie folgt heilen: (1.) Der Auftragnehmer wird den zusätzlichen Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten des Auftraggebers nicht einsetzen, oder (2.) der Auftragnehmer wird Maßnahmen ergreifen, um den wesentlichen Grund für den Widerspruch des Auftraggebers auszuräumen, oder (3.) der Auftragnehmer kann die Erbringung des von dem Einsatz des zusätzlichen Unterauftragsverarbeiters betroffenen Aspekts der Leistung gegenüber dem Auftraggeber vorübergehend oder dauerhaft einstellen und dem Auftraggeber die für die Erbringung des Aspekts der Leistung eventuell bereits vorab gezahlte Vergütung zurückerstatten. Sollte keine dieser drei Optionen machbar sein und wurde dem Widerspruch nicht innerhalb von 15 Tagen nach Zugang des Widerspruchs abgeholfen, kann jede Partei den Vertrag mit angemessener Frist außerordentlich kündigen.