Nutzungsbedingungen

Systemvoraussetzungen

Bei browserbasierten Workflows

– Chrome Version 90.0.4430.212
– Mac ab Version 11 oder Windows 10
– Internetanschluss

Bei Workflows für lokale Anwendungen (Ausführung erfolgt lokal)
– Mac ab Version 11 oder Windows 10
– Internetanschluss

Bei Enterprise-Edition mit Ausführung auf dem dedizierten Server
– Dedizierter (virtueller) Windows Server (mindestens 2016) mit 64-bit-Prozessor
– Internetanschluss
– Windows 10 mit 4 GB RAM und 8 GB Disk Space
– Anmerkung: Der Benutzername des Windows-Users darf keine Sonderzeichen beinhalten (_,.!?“&%$§)

Allgemeine Geschäftsbedingungen (Software-Lizenz)

1 Geltungsbereich / Leistungen 

1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB (Software-Lizenz)”) gelten bei der Erstellung, Konfiguration, Inbetriebnahme und Nutzung von Software von ZkSystems GmbH, Kutschstallhof am Neuen Markt 9e, 14467 Potsdam (nachfolgend “Anbieter”) gegenüber Ihnen als Kunden (nachfolgend “Kunde”).

1.2 Zusätzliche, entgegensätzliche oder abweichende Bedingungen des Kunden werden nur Vertragsinhalt, wenn der Anbieter diesen ausdrücklich in Schriftform zugestimmt hat.

2 Leistungen der Parteien

2.1 Inhalt, Umfang sowie die genaue Spezifikation der von dem Anbieter zu erbringenden Leistungen und Funktionalitäten der Software ergeben sich aus dem Angebot oder aus der Bestellformular (nachfolgend sowohl das Angebot als auch Bestellformular jeweils gemeinsam “Angebot”).

2.2 Für die Nutzung der Software müssen die im Angebot genannten Systemvoraussetzungen beim Kunden erfüllt sein. Für die Nutzung on-premise kann dies unter anderem Installation der Software auf einem dedizierten Server sein.

2.3 Der Anbieter ist berechtigt, aber nicht verpflichtet, die Software zu erweitern und weiterzuentwickeln. Dabei bleibt dem Anbieter vorbehalten, nicht zwingend notwendige Erweiterungen und Weiterentwicklungen nur gegen Zahlung eines zusätzlichen Entgeltes anzubieten. Dabei gilt für solche Erweiterung oder Weiterentwicklung die Regelungen dieses Vertrags entsprechend.

2.4 Der Anbieter kann den Funktionsumfang der Software in zumutbarem Maße ändern, z.B. wenn ein wichtiger Grund vorliegt – zum Beispiel aus sicherheitstechnischen Gründen – und die im Angebot definierten Leistungsmerkmale im Wesentlichen erhalten bleiben. 

2.5 Der Kunde räumt dem Anbieter an sämtlichen Inhalten, die er auf die Server von dem Anbieter im Rahmen der Nutzung der Software überträgt, ein einfaches, räumlich und zeitlich unbeschränktes Nutzungsrecht ein, die Inhalte insoweit zu nutzen, wie dies zur Erfüllung des Vertrages mit dem Kunden erforderlich ist, insbesondere die Inhalte zu vervielfältigen und sie entsprechend der Einstellungen des Kunden Dritten zugänglich zu machen. Der Anbieter ist berechtigt, an seine Erfüllungsgehilfen Unterlizenzen zu erteilen, soweit dies für die Vertragserfüllung erforderlich ist. Im Übrigen ist das Nutzungsrecht nicht übertragbar. Der Anbieter ist berechtigt, über die Dauer des Vertrages hinaus Inhalte des Kunden vorzuhalten, soweit dies technisch oder rechtlich erforderlich ist. Insbesondere ist der Anbieter befugt, Sicherungskopien der vom Kunden bereitgestellten Inhalte aufzubewahren und solche Informationen vorübergehend oder dauerhaft zu speichern, die für Buchhaltungs-, Dokumentations- und Abrechnungszwecke benötigt werden.

2.6 Der Kunde garantiert, dass er bei der Verwendung der Software sämtliche anwendbaren rechtlichen Vorschriften beachten wird. Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die diese wegen der Verwendung der Software durch den Kunden gegenüber dem Anbieter geltend machen. Der Anbieter wird den Kunden unverzüglich über von Dritten geltend gemachte Ansprüche informieren und die zur Verteidigung erforderlichen Informationen und Unterlagen auf Anfrage zur Verfügung stellen. Zudem wird der Anbieter die Verteidigung entweder dem Kunden überlassen oder in Absprache mit diesem vornehmen. Insbesondere wird der Anbieter von Dritten geltend gemachte Ansprüche ohne Rücksprache mit dem Kunden weder anerkennen noch unstreitig stellen. Die Regelungen dieser Ziffer gelten entsprechend für Vertragsstrafen sowie behördliche oder gerichtliche Buß- und Ordnungsgelder, soweit der Kunde sie zu vertreten hat.

2.7 Der Kunde sollte – im Rahmen des technisch zumutbaren und möglichen – sicherstellen, dass der normale Geschäftsbetrieb des Kunden weiterhin ordnungsgemäß funktioniert, auch wenn die Software nicht verfügbar ist, unabhängig davon, ob dies auf ein Verschulden des Anbieters oder des Kunden zurückzuführen ist. 

3 Laufzeit 

3.1 Dieser Vertrag wird für die Dauer von 24 Monaten geschlossen. Der Vertrag beginnt mit dem im Angebot genannten Datum (nachfolgend „Vertragsbeginn“), sofern nichts Anderes im Angebot vereinbart wurde.

3.2 Die eingekauften Lizenzen verlängern sich jedes Jahr automatisch nach Ablauf der in § 3 Abs.1 definierten Laufzeit um ein weiteres Jahr. Die Parteien haben beidseitig eine dreimonatige Frist vor dem Ablauf der Vertragsdauer, um der anderen Partei schriftlich mitzuteilen, dass der Vertrag nicht verlängert wird.  

4 Vergütung

4.1 Die Vergütung ergibt sich aus dem Angebot. Im Angebot wird definiert, ob die Abrechnung jährlich oder monatlich erfolgt. Die monatlichen Lizenz- und Wartungsgebühren werden monatlich bzw. jährlich in Rechnung gestellt. Die erste monatliche bzw. jährliche Zahlung (zzgl. Einrichtungskosten gemäß §4.4, falls vorhanden) wird mit Vertragsbeginn mit einem Zahlungsziel von 14 Tagen fällig. Weitere Rechnungen werden jährlich ausgestellt, anfangend mit dem Datum des Vertragsbeginns plus 12 Monate.

4.2 Lizenzen für über die im Angebot genannten Nutzer, Roboter, Workflows oder Schnittstellen können jederzeit gekauft werden. Dabei gilt der Preis pro Lizenz aus dem Angebot. Wenn neue Lizenzen mitten in einem Monat oder Jahr gekauft werden, werden die Kosten für den ersten Monat bzw. das erste Jahr proratarisch auf Tagesbasis berechnet. Ab darauffolgenden Monat bzw. Jahr, werden sämtliche Lizenzen mit einer Rechnung abgerechnet.

4.3 Auf Wunsch des Kunden führt der Anbieter Schulungen/ Onboardings durch, soweit hierfür seitens des Anbieters Kapazitäten bestehen, etwaige Kosten werden vorab kommuniziert.

4.4 Der Anbieter bietet an gegen eine angemessene Vergütung Entwicklungsleistungen zu erbringen, einschließlich (a) der Änderung bestehender Softwarefunktionen gemäß den Spezifikationen des Kunden und (b) der Erstellung neuer Softwarefunktionen auf der Grundlage von Kundenspezifikationen (gemeinsam oder einzeln nachfolgend „Liefergegenstände“), sofern dies mit dem Kunden vereinbart ist und vorbehaltlich der Bedingungen dieser Vereinbarung. Nach Fertigstellung eines neuen Liefergegenstandes entsprechend der Vereinbarung mit dem Kunden wird der Anbieter (i) dieses dem Kunden zur Verfügung stellen; und (ii) seine Funktionalität in Übereinstimmung mit dem jeweiligen Auftrag demonstrieren. Jeder Liefergegenstand gilt als abgenommen, wenn der Kunde die Abnahme nicht innerhalb von 2 Wochen bestätigt oder den Liefergegenstand einsetzt. Die von Anbieter gemäß Ziffer 4.1 gewährte Lizenz gilt entsprechend für alle von Anbieter gelieferten Liefergegenstände, sofern in der jeweiligen Bestellung nichts anderes vereinbart ist. Alle IP Rechte an den Liefergegenständen stehen im Eigentum des Anbieters und verbleiben bei Anbieter. Sofern nicht ausdrücklich anderweitig vereinbart, versteht sich die mit dem Kunden vereinbarte Vergütung ausschließlich Reisekosten und anderer anfallender Fremdkosten.

5 Verfügbarkeit  

5.1 Es wird keine spezifische Verfügbarkeit der Software zugesichert, jedoch wird der Anbieter eine überwiegend unterbrechungsfreie Verfügbarkeit der Software ab Inbetriebnahme gewährleisten. Als Verfügbarkeit gilt die Möglichkeit des Kunden sämtliche Hauptfunktionen der Software zu nutzen. Ausgenommen davon sind erforderliche geplante Wartungsarbeiten, Durchführungen von Software-Updates – der Kunde wird spätestens zwei Wochen vor dem Zeitpunkt des Updates informiert und die Aktualisierung der Software erfolgt nur im Zeitraum zwischen 22:00 und 5:00 Uhr (CET) und nur, wenn sie dem Kunden zumutbar ist – sowie Störungen, die nicht im Einflussbereich des Anbieters liegen; insbesondere höhere Gewalt (siehe nachfolgend). Der Anbieter wird den Kunden nach Möglichkeit über geplante Wartungsarbeiten rechtzeitig in Textform in Kenntnis setzen. Allerdings bleibt es dem Anbieter ausdrücklich vorbehalten, falls erforderlich, auch unangekündigte Wartungsarbeiten durchzuführen, insbesondere, wenn dies für die Daten- und Betriebssicherheit erforderlich ist.

5.2 Ausgeschlossen aus der vorbezeichneten Verfügbarkeit sind Verfügbarkeitsverluste, die durch den Ausfall der Software von Drittanbietern, Ausfall der zur Verfügung gestellten on-premise Server, Ausfall der zu integrierenden IT-Systeme, Verbindungsprobleme der VPN-Verbindung verursacht wurden oder sonstige kundenseitige Ausfälle der IT-Systeme in der Ausführungsumgebung sowie aufgrund von Betriebsstörungen, die durch ein Ereignis höherer Gewalt oder andere unvermeidbare Ereignisse außerhalb des Einflussbereiches des Anbieters verursacht wurden und mit vertretbarem Aufwand nicht abgewendet werden konnten und auch bei sorgfältiger Anwendung nicht vorhersehbar waren, welche die Verpflichtungen des Anbieters aus dem Angebot erheblich erschweren oder ganz oder teilweise unmöglich machen, wie z.B. Streiks, Aussperrungen, außergewöhnliche Wetterbedingungen, Stromausfälle, Betriebs- oder Verkehrsstörungen und Transportbehinderungen, und die den Anbieter für die Dauer eines solchen Ereignisses von seinen Verpflichtungen befreien.

5.3 Die Software wird auf der Cloud betrieben. Falls die Ausführung des Roboters on-premise bzw. lokal erfolgt, findet Steuerung und Überwachung teilweise weiterhin auf der Cloud. Die vorgegebene Mindestverfügbarkeit kann sich ohne dies hindernde Einwirkungsmöglichkeiten des Anbieters von Herstellerseite aus ändern und die vertragliche vereinbarte Mindestverfügbarkeit unterschreiten. Der Anbieter ist objektiv-technisch daran gehindert, dem Kunden höhere Verfügbarkeiten der Software zu gewährleisten als der Hersteller (Cloud Provider). Der Kunde erkennt diesen Umstand an und verzichtet darauf, Ansprüche und Rechte infolge unzureichender Mindestverfügbarkeit gegenüber dem Anbieter geltend zu machen. 

5.4 Der Kunde hat dem Anbieter jede Beeinträchtigung der Verfügbarkeit der Software umgehend zu melden. Solange keine Beeinträchtigung der Verfügbarkeit gemeldet wurde, ist davon auszugehen, dass die Software ständig verfügbar war. Sollte es zur Nichteinhaltung der vereinbarten Verfügbarkeit kommen, wird der Kunde durch kostenfreie Verlängerung der vereinbarten Laufzeit der Lizenz kompensiert. Die Lizenz verlängert sich um die kumulierte Zeit der einzelnen Unterbrechungen. Sollte die kumulierte Zeit aller Unterbrechungen weniger als 24 Stunden sein, verlängert sich die Lizenz um 1 Tag.

6 Technischer Support 

6.1 Für kostenlose Leistungen leistet der Anbieter Gewährleistung nach den gesetzlichen Bestimmungen. Im Übrigen leistet der Anbieter für Mängel bei der Bereitstellung der Software Gewährleistung ausschließlich nach Maßgabe der nachfolgenden Bestimmungen.

6.2 Ein Supportfall liegt vor, wenn die Software die vertragsgemäßen Funktionen in wesentlicher Weise nicht erfüllt (nachfolgend „Störung“). Der Kunde hat den Anbieter unverzüglich über alle Störungen per Email oder Telefonanruf zu informieren.

6.3 Meldet der Kunde einen Supportfall, so hat er eine möglichst detaillierte Beschreibung der jeweiligen Funktionsstörung zu liefern, um eine möglichst effiziente Fehlerbeseitigung zu ermöglichen. 

6.4 Sobald der Kunde dem Anbieter alle erforderlichen Informationen zur Verfügung gestellt hat, beginnt der Lösungsprozess. Der Anbieter wird die Leistungen nach seiner Wahl nachbessern oder erneut erbringen. Beim Einsatz von Software Dritter, die der Anbieter zur Nutzung durch den Kunden lizenziert hat, besteht die Mängelbeseitigung in der Beschaffung und Einspielung von allgemein verfügbaren Upgrades, Updates oder Patches. Als Nachbesserung gilt auch die Bereitstellung von Nutzungsanweisungen, mit denen der Kunde aufgetretene Mängel zumutbar umgehen kann, um die Software vertragsgemäß zu nutzen. Schlägt die mangelfreie Erbringung der Leistungen aus Gründen, die der Anbieter zu vertreten hat, auch innerhalb einer vom Kunden schriftlich (E-Mail genügt) gesetzten angemessenen Frist fehl, kann der Kunde die vereinbarte Vergütung um einen angemessenen Betrag mindern. Das Recht zur Minderung ist auf die Höhe des den mangelhaften Leistungsteil betreffenden jährlichen Festpreises beschränkt.

6.5 Erreicht die Minderung nach Ziffer 5.4 in zwei aufeinander folgenden Monaten oder in zwei Monaten eines Quartals den in Ziffer 5.4 genannten Höchstbetrag, kann der Kunde den Vertrag ohne Einhaltung einer Frist kündigen. 

6.6 Der Anbieter wird den Kunden über die Beseitigung der Störung informieren. 

6.7 Bei Update der IT-Systeme des Kunden kann eine Neukonfiguration der Software notwendig sein. Unter diesen Umständen muss der Kunde die eingesetzten Workflows bzw. Roboter neu konfigurieren. Bei einem solchen Update kann der Anbieter gleichwohl nicht die vertragsgemäße Funktionalität der Software zusichern.

7 Geistiges Eigentum und Lizenz

7.1 Der Anbieter behält sich die uneingeschränkten Nutzungs- und Verwertungsrechte seiner Software und all ihrer Komponenten vor.

7.2 An dem Vertragsbeginn räumt der Anbieter dem Kunden das zeitlich auf die Vertragslaufzeit beschränkte, nicht ausschließliche, weltweite, nicht übertragbare und nicht unterlizenzierbare Recht ein, die Software vertragsgemäß zu nutzen. Unbeschadet etwaig unter §§ 69 d oder 69 e UrhG fallender und damit gesetzlich gestatteter Handlungen stehen dem Kunden an der Software keine anderen bzw. weitergehenden Nutzungsrechte zu.

7.3 Von der Rechteeinräumung ausgenommen sind Bestandteile der Software, die für den Kunden erkennbar Rechten Dritter und insbesondere Open Source Lizenzen unterliegen. Als erkennbar gelten insbesondere solche Bestandteile, die von dem Anbieter innerhalb der Software oder in mitgelieferten Textdateien als Inhalte Dritter auf Aufforderung offengelegt werden. Ein Zugang zu dem der überlassenen Software zugrundeliegenden Quellcodes besteht nicht.

7.4 Die Software von ZkSystems wird dem Kunden allein zwecks Optimierung interner Prozesse zur Verfügung gestellt (vertragsgemäße Nutzung). Die kommerzielle Nutzung der Software und all ihrer Komponenten ist dem Kunden nicht gestattet, d.h. der Weiterverkauf oder jede andere Form der Zugänglichmachung für Dritte der Software ist nicht gestattet.

7.5 Der Anbieter behält sich das Eigentum und/ oder sämtliche urheberrechtlichen Nutzungsrechte an allen abgegebenen Angeboten sowie dem Kunden zur Verfügung gestellten Berechnungen, Abbildungen, Mockups, Katalogen und anderen Unterlagen und Hilfsmitteln vor. Der Kunde darf diese Gegenstände ohne eine ausdrückliche Einwilligung seitens Anbieter weder als solche noch inhaltlich Dritten zugänglich machen, sie nutzen, nutzen lassen, veröffentlichen oder vervielfältigen.

8 Außerordentliche Kündigung

8.1 Während der Laufzeit gemäß Ziffer 3 ist eine ordentliche Kündigung ausgeschlossen. 

8.2 Der Vertrag kann mit sofortiger Wirkung aus wichtigem Grund außerordentlich gekündigt werden. Die Kündigung bedarf der Schriftform.

9 Haftung

9.1 Für kostenlose Leistungen haftet der Anbieter nach den gesetzlichen Bestimmungen.

9.2 Im Übrigen haftet der Anbieter für Vorsatz und grobe Fahrlässigkeit sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

9.3 In Fällen einfacher Fahrlässigkeit haftet der Anbieter bei Verletzung einer wesentlichen Vertragspflicht. Eine wesentliche Vertragspflicht im Sinne dieser Ziffer ist eine Pflicht deren Erfüllung die Durchführung des Vertrages erst ermöglicht und auf deren Erfüllung sich der Kunde deswegen regelmäßig verlassen darf.

9.4 Der Anbieter haftet im Fall von Ziffer 9.3 nicht für mangelnden wirtschaftlichen Erfolg, entgangenen Gewinn und mittelbare Schäden. Die Haftung gemäß der vorstehenden Ziffer 9.3 ist auf den im Zeitpunkt des Vertragsschlusses typischen, vorhersehbaren Schaden begrenzt.

9.5 Die Haftung für Schäden aufgrund von Datenverlust sind im Fall von 9.3 auf den Betrag der Wiederherstellung der Daten beschränkt, der auch bei regelmäßiger und gefahrentsprechender Sicherung der Daten durch den Kunden angefallen wäre.

9.6 Die Haftungsbeschränkungen gelten zugunsten der Mitarbeiter, Beauftragten und Erfüllungsgehilfen von Anbieter entsprechend.

9.7 Eine etwaige Haftung des Anbieters für gegebene Garantien (die ausdrücklich als solche bezeichnet sein müssen) und für Ansprüche auf Grund des Produkthaftungsgesetzes bleibt unberührt.

9.8 Eine weitergehende Haftung von Anbieter ist ausgeschlossen.

10 Datensicherheit, Datenschutz, Auftragsdatenverarbeitung

10.1 Dem Dem Kunden ist bewusst, dass der Anbieter verschiedene kundenbezogene, aber nicht personenbezogene, Daten zwecks Entwicklung, Optimierung, Bereitstellung und kontinuierliche Verbesserung eines funktionsfähigen Software-Produkts erhebt und verwendet. Mit Annahme des Angebots wird eine Zustimmung zur Datenbearbeitung erteilt.

10.2 Die Parteien werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen, datenschutzrechtlichen Bestimmungen beachten. Der Kunde ist als Auftraggeber für die Einhaltung datenschutzrechtlicher Vorschriften von seinen Mitarbeitern verantwortlich. 

10.3 Der Kunde erteilt dem Anbieter einen separaten schriftlichen Auftrag zur Auftragsdatenverarbeitung, der unter https://zksystems.io/nutzungsbedingungen-und-AVV/ (siehe „Anlage – Vereinbarung zur Auftragsverarbeitung) zu finden ist. Im Fall von Widersprüchen zwischen diesem Vertrag und der Vereinbarung über die Auftragsdatenverarbeitung geht Letztere vor.

11 Vertraulichkeit

11.1 Die Parteien sind verpflichtet, alle ihnen im Zusammenhang mit diesem Vertrag bekannt gewordenen oder bekannt werdenden Informationen über die jeweils andere Partei, die als vertraulich gekennzeichnet werden oder anhand sonstiger Umstände als Geschäfts- und Betriebsgeheimnisse (im Folgenden: „vertrauliche Informationen“) erkennbar sind, dauerhaft geheim zu halten und nicht an Dritte weiterzugeben, sofern die jeweils andere Partei der Offenlegung oder Verwendung nicht ausdrücklich und schriftlich zugestimmt hat oder die Informationen aufgrund eines Gesetzes, einer Gerichtsentscheidung oder einer Verwaltungsentscheidung offengelegt werden müssen. 

11.2 Die Informationen sind dann keine vertraulichen Informationen, wenn sie der anderen Partei zuvor bekannt waren, ohne dass diese Informationen einer Vertraulichkeitsverpflichtung unterlegen hätten, allgemein bekannt sind oder ohne Verletzung der übernommenen Vertraulichkeitsverpflichtungen bekannt werden, der anderen Partei ohne Verletzung einer Vertraulichkeitsverpflichtung von einem Dritten offenbart werden.

12 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, so wird dadurch die Wirksamkeit des Vertrages im Übrigen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der wirtschaftlichen Zielsetzung möglichst nahe kommen, die die Vertragsparteien mit der unwirksamen beziehungsweise undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.

13 Nebenabreden, Schriftform

13.1 Der Anbieter ist berechtigt, berechtigt, bei der Erbringung der Leistungen Dritte (beispielsweise freiberufliche Softwareprogrammierer) als Unterauftragnehmer heranzuziehen.

13.2 Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist der Sitz des Anbieters.

13.3 Die Aufhebung, Änderung oder Ergänzung des Vertrages bedarf zu ihrer Wirksamkeit der Schriftform.

Anlage – Vereinbarung zur Auftragsverarbeitung

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der von der ZkSystems GmbH, Kutschstallhof am Neuen Markt 9e, 14467 Potsdam (nachfolgend „Auftragnehmer“) für den Kunden (nachfolgend „Auftraggeber“) verarbeiteten personenbezogenen Daten unter dem zwischen den Parteien geschlossenen Vertrages über die Nutzung der ZkSystems-Software (nachfolgend „Hauptvertrag“).

1 Anwendungsbereich

Bei der Erbringung der Leistungen gemäß dem Hauptvertrag verarbeitet der Auftragnehmer personenbezogene Daten, die der Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Im Falle von Widersprüchen zwischen dieser AVV und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser AVV vor.

2 Gegenstand und Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers

2.1 Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht aus dem Recht der Europäischen Union oder eines Mitgliedsstaates gesetzlich dazu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.2 Soweit nicht im Hauptvertrag abweichend vereinbart, erfolgt die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser AVV spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. 

2.3 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. 

2.4 Die Verarbeitung der personenbezogenen Daten findet grundsätzlich in Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Es ist dem Auftragnehmer gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieser AVV auch außerhalb des EWR zu verarbeiten oder durch weitere Auftragnehmer nach Maßgabe von Ziffer 5 dieser AVV verarbeiten zu lassen, wenn die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt. Ist hierzu der Abschluss von Standardvertragsklauseln erforderlich, bevollmächtigt der Auftraggeber den Auftragnehmer hiermit, diese in seinem Namen mit einem etwaigen weiteren Auftragsverarbeiter abzuschließen. Soweit dies nicht möglich ist, wird der Auftragnehmer auf Weisung des Auftraggebers den weiteren Auftragsverarbeitern gegenüber unverzüglich alle Weisungen und Rechte durchsetzen, die dem Datenexporteur unter den EU-Standardvertragsklauseln zustehen und diese dem Auftraggeber auf Anforderung abtreten.

2.5 Die Weisungen ergeben sich aus dem Hauptvertrag. Der Auftraggeber ist darüber hinaus zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten berechtigt. Diese Weisungen bedürfen der Schrift- oder Textform. Mündliche Weisungen wird der Auftraggeber schriftlich oder per E-Mail bestätigen. Sämtliche Weisungen sind durch die Parteien zu dokumentieren.

2.6 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diese AVV, die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten verstößt, wird er den Auftraggeber hierüber unverzüglich in Schrift- oder Textform informieren. Der Auftragnehmer ist berechtigt, die Ausführung einer solchen Weisung solange auszusetzen, bis der Auftraggeber sie in Schrift- oder Textform bestätigt. Besteht der Auftraggeber trotz der vom Auftragnehmer vorgebrachten Bedenken auf die Durchführung einer Weisung, stellt der Auftraggeber den Auftragnehmer von sämtlichen Schäden und Kosten frei, die dem Auftragnehmer durch die Ausführung der Weisung des Auftraggebers entstehen. Der Auftragnehmer wird den Auftraggeber über gegen ihn geltend gemachte Schäden und ihm entstehende Kosten hinweisen und Ansprüche Dritter nicht ohne Zustimmung des Auftraggebers anerkennen und die Verteidigung nach Wahl des Auftragnehmers in Abstimmung mit dem Auftraggeber vornehmen oder diesem überlassen.

3 Anforderungen an Personal

3.1 Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, zur Vertraulichkeit zu verpflichten soweit diese nicht einer angemessenen gesetzlichen Verschwiegenheit unterliegen. 

3.2 Der Auftragnehmer stellt sicher, dass ihm unterstellte Personen, die Zugang zu Auftraggeber-Daten haben, diese nur nach Maßgabe dieser AVV sowie nach Weisungen des Auftraggebers verarbeiten; es sei denn, sie sind nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

4 Sicherheit der Verarbeitung

4.1 Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und – soweit dem Auftragnehmer bekannt – der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. 

4.2 Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 3 zu dieser AVV spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während der Dauer des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.

4.3 Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist der Auftragnehmer berechtigt und verpflichtet, alternative, adäquate Maßnahmen umzusetzen, um das Sicherheitsniveau der in Anhang 3 festgelegten Maßnahmen nicht zu unterschreiten. Nimmt der Auftragnehmer wesentliche Änderungen an den in Anhang 3 festgelegten Maßnahmen vor, wird er den Auftraggeber hierüber vorab informieren. 

4.4 Es obliegt dem Auftraggeber, die von dem Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen zu überprüfen, insbesondere ob diese auch im Hinblick auf Umstände der Datenverarbeitung ausreichend sind, die dem Auftragnehmer nicht bekannt sind.

5 Inanspruchnahme weiterer Auftragsverarbeiter

5.1 Der Auftragnehmer setzt bei der Verarbeitung der Auftraggeber-Daten die in Anhang 2 aufgelisteten weiteren Auftragsverarbeiter ein. Diese gelten mit Abschluss des AVV als genehmigt.

5.2 Der Auftragnehmer darf zur Verarbeitung von Auftraggeber-Daten weitere Auftragsverarbeiter unter folgender Maßgabe in Anspruch nehmen: Der Auftragnehmer informiert den Auftraggeber mindestens 15 Werktage vor der Inanspruchnahme des weiteren Auftragsverarbeiters in Text- oder Schriftform. Soweit der Auftraggeber nicht innerhalb von 5 Werktagen Einspruch erhebt, gilt die Inanspruchnahme als genehmigt.

5.3 Widerspricht der Auftraggeber dem Einsatz eines weiteren Auftragsverarbeiters, ist der Auftragnehmer berechtigt, nach seiner Wahl die Leistungen weiter ohne den entsprechenden Auftragsverarbeiter zu erbringen oder den Hauptvertrag sowie diese AVV zum Zeitpunkt des geplanten Einsatzes des Auftragsverarbeiters zu kündigen.

5.4 Der Auftragnehmer hat jeden weiteren Auftragsverarbeiter im Wege eines schriftlichen Vertrags ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieser Vereinbarung gegenüber dem Auftraggeber verpflichtet ist. 

5.5 Der Auftragnehmer ist verpflichtet, nur solche weiteren Auftragsverarbeiter auszuwählen und in Anspruch zu nehmen, die hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung der Auftraggeber-Daten entsprechend den Anforderungen der DSGVO und dieser AVV erfolgt. 

6 Rechte der betroffenen Personen

6.1 Der Auftragnehmer wird alle zumutbaren technischen und organisatorischen Maßnahmen treffen, um den Auftraggeber dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen zustehenden Rechte nachzukommen. 

6.2 Der Auftragnehmer wird insbesondere: 

  • den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;
  • dem Auftraggeber unverzüglich alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt;
  • Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich berichtigen, löschen oder in der Verarbeitung einschränken; 
  • sicherstellen, dass der Auftraggeber die im Verantwortungsbereich des Auftragnehmers verarbeiteten Auftraggeber-Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann und erhält, soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten besitzt.

7 Sonstige Unterstützungspflichten des Auftragnehmers

7.1 Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen. 

7.2 Der Auftragnehmer ist verpflichtet, bei allen Verletzungen des Schutzes von Auftraggeber-Daten unverzüglich sämtliche erforderlichen und zumutbaren Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen zu ergreifen.

7.3 Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

7.4 Der Auftragnehmer wird unter Berücksichtigung der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten unterstützen.

7.5 Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder betroffene Personen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten. Der Auftragnehmer ist insbesondere verpflichtet, sämtliche potentiellen Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten ermöglicht.

7.6 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

8 Datenlöschung und -zurückgabe

8.1 Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrags alle Auftraggeber-Daten entweder vollständig löschen oder an den Auftraggeber zurückgeben und etwaig vorhandene Kopien löschen, sofern nicht nach dem Recht der Europäischen Union oder eines Mitgliedsstaates eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht. 

8.2 Der Auftragnehmer ist jedoch berechtigt, für einen Zeitraum von 30 Tagen Sicherungskopien der Auftraggeber-Daten aufzubewahren, soweit eine Löschung der Auftraggeber-Daten aus diesen Sicherungskopien technisch oder im Hinblick auf Art. 32 DSGVO unmöglich ist. Für diesen Zeitraum gelten die Rechte und Pflichten der Parteien aus dieser AVV in Bezug auf die Sicherungskopien abweichend von Ziffer 2.3 fort.

8.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeber-Daten dienen, sind durch den Auftragnehmer entsprechend der gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

9 Nachweise und Überprüfungen

9.1 Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser AVV einschließlich des in Anhang 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten sowie den Weisungen des Auftraggebers in Einklang steht. 

9.2 Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser AVV in geeigneter Weise dokumentieren und dem Auftraggeber alle erforderlichen Nachweise über die Einhaltung der Pflichten des Auftragnehmers nach der DSGVO und dieser AVV auf dessen Anfrage vorlegen. 

9.3 Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung der Regelungen dieser AVV, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anhang 3, selbst oder durch einen qualifizierten und zur Verschwiegenheit verpflichteten Prüfer zu überprüfen; einschließlich durch Inspektionen. Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei; unter anderem durch die Gewährung der notwendigen Zugangs- und Zugriffsrechte und die Bereitstellung aller notwendigen Informationen. 

9.4 Die Überprüfungen und Inspektionen sollen den Auftragnehmer in seinem normalen Geschäftsbetrieb nach Möglichkeit nicht behindern und diesen nicht über Gebühr belasten. Insbesondere sollen Inspektionen bei dem Auftragnehmer ohne konkreten Anlass nicht mehr als einmal im Kalenderjahr und nur während der üblichen Geschäftszeiten des Auftragnehmers stattfinden. Der Auftraggeber hat dem Auftragnehmer Inspektionen rechtzeitig vorab in Schrift- oder Textform anzukündigen.

9.5 Gemäß den Bestimmungen der DSGVO unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Anforderung durch den Auftraggeber wird der Auftragnehmer die gewünschten Informationen an die Aufsichtsbehörde liefern und dieser die Möglichkeit zur Prüfung einräumen; davon umfasst sind Inspektionen beim Auftragnehmer durch die Aufsichtsbehörde oder die von ihr benannten Personen. Der Auftragnehmer gewährt der zuständigen Aufsichtsbehörde in diesem Rahmen die erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.

10 Haftung

Die Parteien haften im Rahmen dieser AVV nach den gesetzlichen Bestimmungen. 

Anhang 1 – Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der betroffenen Personen

Zweck der Datenverarbeitung

Betrieb einer KI- und RPA- Konfigurationssoftware für Prozessautomatisierung mit dem Ziel, das der Nutzer Workflows konfiguriert, um Daten aus einem Softwaresystem, Excel oder Dokumenten automatisch zu erfassen, zu extrahieren, zu verarbeiten und an ein vom Nutzer definiertes Zielsystem weiterzuleiten sowie Training des AI-Algorithmus. Die Datenübertragung erfolgt über APIs, Datenbanken und robotergesteuerte Bedienung der Benutzeroberfläche.

Art und Umfang der Datenverarbeitung

– Konvertierung
– Verknüpfung, Organisation und Ordnen
– Auslesen und Abgleich

Art der betriebenen Anwendungen: Selbstbetriebene webbasierte Software-Lösung („Software-as-a-Service“) sowie Anwendungen von Auftragsverarbeitern laut Anhang 2. 

Ort der Datenverarbeitung: Deutschland bzw. EWR (laut Anhang 2) sowie lokale Ausführung on-premise beim Kunden

Art der Daten

– Namen und Vornamen
– Firmenzugehörigkeit
– Kontaktdaten (Adresse, Telefonnummer, E-Mail)
– Weitere Daten, die der Auftraggeber beim Konfigurieren seiner Workflows eingibt

Kreis der betroffenen Personen

– Endkunden und sonstige Kontakte (z.B. Interessenten) des Auftraggebers
– Mitarbeiter von Endkunden und sonstigen Kontakten des Auftraggebers
– Mitarbeiter des Auftraggebers

Weisungsberechtigte Personen und Kontaktpersonen des Auftraggebers

Gemäß Bestellformular/Angebot

Weisungsempfänger des Auftragnehmers

Diana Rees, geschäftsführende Gesellschafterin, ZkSystems GmbH, Kutschstallhof am Neuen Markt 9e, 14467 Potsdam

Anhang 2 – Weitere Auftragsverarbeiter

Amazon Web Services
Inc P.O. Box 81226 Seattle, WA 98108- 1226, United States of America

Bereitstellung und technische Wartung der AWS Services zum Betrieb der ZkSystems Software. Folgende AVV wurde als Teil der Service Vereinbarung mit der AWS Inc. vereinbart:
https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pd
https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf 

Es werden von dem Unterauftragsdatenverarbeiter Amazon Webservices (AWS) folgende Services (Anwendungen) verwendet: RDS, elastic beanstalk, lambda, ec2.

Die Services werden auf Serverstandorten in Deutschland (Frankfurt) ausgeführt.

Anhang 3 – Technische und organisatorische Maßnahmen

1 Vertraulichkeit

Vertraulichkeitsschutz

AWS Inc. erfüllt folgende Zertifizierungen (SOC 1/SSAE 16/ISAE 3402 (vormals SAS 70), SOC2, SOC3, FISMA, DoD SRG, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MCTS Tier3) sowie implementiert AWS Inc. den Anforderungskatalog Cloud Computing (C5) des Bundesamts für Sicherheit in der Informationstechnik. 

Zutritt

  • Unbefugten ist der räumliche Zutritt zu Datenverarbeitungsanlagen zu verwehren.

    Büroebene
    – Alarmanlage
    – Sicherheitsschlösser
    – Schlüsselregelung

    Applikationsebene (inklusive AWS)
    – Videoüberwachung der Gebäude
    – Elektronische Eindringungserkennungssystem (Intrusion Detection System)
    – Chipkarten-/Transponder-Schließsystem
    – Mitarbeiter- und Besucherausweise
    – Tragepflicht von Ausweisen im Rechenzentrum
    – Empfang mit Protokollierung der Besucher
    – Ständige Begleitung der Besucher durch Mitarbeiter
  • Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

    Büroebene
    – Passwortregeln
    – Schlüsselregelung
    – Verschlüsselung von Datenträgern
    – Authentifikation mit Benutzer + Passwort

    Applikationsebene (inklusive AWS)
    – AWS Netzwerk: Firewalls
    – AWS Netzwerk: Authentifikation
    – Passwortregeln
    – Authentifikation mit Benutzer + Passwort
  • Es ist zu gewährleisten, dass systemische Datenzugriffsmöglichkeiten nur im Umfang von Befugnissen und Erforderlichkeiten bestehen, z.B. durch Verschlüsselung.

    – Verschlüsselung von Datenträgern
    – Berechtigungskonzept
    – Passwortregeln
    – Anzahl der Administratoren auf die „Notwendigsten“ reduzieren
    – Verwaltung der Benutzerrechte nur durch Systemadministratorenrechte
    – Datenübertragung erfolgt ausschließlich per HTTPS

Weitergabe

  • Es ist zu gewährleisten, dass auf personenbezogene Daten bei Übertragung, Transport oder auf Datenträgern nicht unbefugt zugegriffen und dass festgestellt werden kann, welchen Stellen die Daten offengelegt wurden, z.B. durch Verschlüsselung.

    – Datenübertragung erfolgt ausschließlich per HTTPS

2. Integrität

Datentrennung

  • Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

    – Speicherung der Daten von unterschiedlichen Systemen auf durch Virtualisierung getrennte Datenträgern
    – Festlegung von Datenbankenrechten
    – Logische Mandantentrennung (softwareseitig)
    – Erstellung eines Berechtigungskonzepts

3. Verfügbarkeit

  • Es ist zu gewährleisten, dass personenbezogene Daten gegen Verlust geschützt sind.

Applikationsebene
– Replikation der Datenhaltung
– Tägliche Erstellung von verschlüsselten Back-Ups der Daten