Allgemeine
Geschäfts-bedingungen.

 

ZREALITY GmbH

 

SaaS Agreement

 

1. Geltungsbereich

1.1 Diese AGB gelten für sämtliche Verträge (jeweils ein „Vertrag“) über Softwarelösungen zur Unterstützung von Geschäftsprozessen zur Nutzung über das Internet als Webapplikation („SaaS-Lösung“) der ZREALITY GmbH, Zollamtstraße 11, 67663 Kaiserslautern (“ZREALITY”).

1.2 Kunden von ZREALITY können ausschließlich Unternehmen sein, d.h. natürliche oder juristische Personen, die im Zusammenhang mit ihrer geschäftlichen oder selbständigen Tätigkeit handeln (jeweils ein „Kunde“; ZREALITY und Kunden sind jeweils eine „Partei“ und gemeinsam die „Parteien“).

1.3 ZREALITY erkennt abweichende Geschäftsbedingungen oder andere Vertragsbedingungen des Kunden nicht an, es sei denn, ZREALITY hat ihrer Geltung zuvor ausdrücklich schriftlich zugestimmt. ZREALITY widerspricht bereits jetzt ausdrücklich der Geltung von Geschäftsbedingungen des Kunden.

 

2. Vertragsschluss

2.1 Die ZREALITY erstellt auf Anfrage des Kunden ein unverbindliches Angebot („Angebot“) über die vom Kunden gewünschte Nutzung der SaaS-Lösung. Ein Angebot gilt erst als vereinbart im Sinne eines Vertragsschlusses, wenn es durch einen bevollmächtigten Vertreter der jeweiligen Vertragspartei unterzeichnet wurde.

2.2 Der Vertragsbeginn wird in dem Angebot durch die Parteien festgelegt („Vertragsbeginn“). Ist kein konkretes Datum als Vertragsbeginn festgelegt, beginnt der Vertrag mit Datum der letzten Unterschrift eines bevollmächtigten Vertreters im Rahmen des Vertragsschlusses.

 

3. Vertragsgegenstand

3.1 Der konkrete Funktionsumfang der SaaS-Lösung sowie die Anforderungen an die Hardware- und Softwareumgebung, die auf Kundenseite erfüllt sein müssen, ergeben sich aus dem jeweiligen Angebot und der Dokumentation, die ZREALITY Kunden zusammen mit der SaaS-Lösung zugänglich macht oder zur Verfügung stellt („Anwenderdokumentation“). Die Überlassung der SaaS-Lösung zur lokalen Installation beim Kunden ist nicht möglich.

3.2 Als Bestandteil der SaaS-Lösung wird Speicherplatz auf zentralen Servern durch ZREALITY zur Verfügung gestellt, auf den die für den Kunden mit der SaaS-Lösung erzeugten und verarbeiteten Daten und Informationen (z.B. 3D-Darstellungen) sowie vom Kunden hochgeladene Informationen (z.B. Teilnehmerlisten) („Kundeninhalte“) für die Dauer des Vertragsverhältnisses gespeichert werden.

3.3 Leistungsübergabepunkt ist der ZREALITY Router-Ausgang zum Internet. Auf Kundenseite muss der Kunde selbst Sorge tragen für die Anbindung an das Internet, das Bereitstellen oder das Aufrechterhalten der Netzverbindung zum Leistungsübergabepunkt sowie das Beschaffen und Bereitstellen von Netzzugangskomponenten für das Internet.

3.4 Der Zugang des Kunden zur SaaS-Lösung erfolgt gesichert über das Internet. ZREALITY stellt dem Kunden nach Vertragsschluss Zugangsdaten für den Zugang zu seinem Konto („Kundenkonto“) in der SaaS-Lösung und zur Nutzung der SaaS-Lösung zur Verfügung. Der Kunde ist verpflichtet, seine Zugangsdaten inkl. Passwort geheim zu halten und vor Missbrauch durch Dritte zu schützen. In diesem Zusammenhang weist ZREALITY darauf hin, dass Mitarbeiter von ZREALITY nicht berechtigt sind, telefonisch oder schriftlich Passwörter oder Zugangsdaten abzufragen. Der Kunde wird das von ZREALITY für den erstmaligen Log-in zur Verfügung gestellte Passwort ändern. Bei der Wahl des Passwortes sollten die allgemein bekannten Regeln beachtet werden (Länge, Komplexität des Passwortes). Der Kunde hat ZREALITY bei Verlust der Zugangsdaten inkl. des Passwortes oder bei Verdacht der missbräuchlichen Nutzung dieser Daten unverzüglich zu unterrichten. Im Übrigen ist ZREALITY berechtigt, bei Missbrauch den Zugang zum Kundenkonto zur SaaS-Lösung zu sperren. Der Kunde haftet bei von ihm zu vertretendem Missbrauch.

 

4. Servicelevel Regelungen

4.1 Für die SaaS-Lösung gelten die folgenden Servicelevel:

• Betriebszeit: 24 Stunden pro Tag an allen sieben (7) Tagen der Woche („Betriebszeiten“);
• Wartungszeiten: Wartungsarbeiten, die vorab geplant durchgeführt werden und die eine Unterbrechung des der Verfügbarkeit der SaaS-Lösung erfordern, führt ZREALITY, soweit dies technisch möglich ist, an Werktagen zwischen 20:00 und 08:30 Uhr durch („Geplante Wartungsarbeiten“);
• Verfügbarkeit während der Betriebszeiten: 99% im Mittel eines Kalendermonats („Verfügbarkeit“), wobei Geplante Wartungsarbeiten und Ausfallzeiten, die außerhalb der Kontrolle von ZREALITY liegen, von der Berechnung der Verfügbarkeit ausgenommen sind.

4.2 Soweit aus dringenden, unaufschiebbaren technischen Gründen ausnahmsweise Wartungsarbeiten während der Betriebszeiten erforderlich werden, die keine Geplanten Wartungsarbeiten darstellen, mit der Folge, dass die SaaS-Lösung in dieser Zeit nicht zur Verfügung steht, wird ZREALITY den Kunden nach Möglichkeit rechtzeitig mittels E-Mail an die vom Kunden genannte Adresse informieren.

4.3 ZREALITY führt die Analyse und Behebung dokumentierter, reproduzierbarer Fehler der SaaS-Lösung (nachfolgend „Supportleistungen”) gemäß anerkannten Industriestandards durch. ZREALITY übernimmt keine Garantie für den Erfolg bei der Beseitigung von Fehlern. „Fehler” im Sinne dieser AGB ist jede vom Kunden gemeldete Störung, die zur Folge hat, dass die Beschaffenheit und Funktionsfähigkeit der SaaS-Lösung von Angebot und Anwenderdokumentation abweicht und
• sich dies auf deren Gebrauchstauglichkeit mehr als unwesentlich auswirkt, oder
• Korruption von Daten oder Verlust von Daten eintritt, die mit der SaaS-Lösung bearbeitet oder von ihr erzeugt werden.
Falls eine aufgetretene Störung nicht reproduziert werden kann, gilt diese nicht als Fehler. Die Parteien werden in diesem Fall das weitere Vorgehen gemeinsam abstimmen.

4.4 Der Kunde muss auftretende Fehler unverzüglich mit genauer Beschreibung des Problems melden. Die Meldung kann zunächst mündlich erfolgen, ist jedoch spätestens am nächsten Werktag in Textform (E-Mail) zu wiederholen. ZREALITY ist zur Entgegennahme von Fehlermeldungen per E-Mail montags – freitags von 09:00 Uhr bis 17:00 Uhr unter der folgenden E-Mail Adresse erreichbar: support@zreality.com

4.5 Die Art und Dauer der Prüfung und Bearbeitung von Fehlern ist abhängig von der Fehlerklasse und den entsprechenden Reaktionszeiten:

4.5.1 Fehlerklassen
• Fehlerklasse 1: Ein produktiver Einsatz der SaaS-Lösung ist nicht oder nur erheblich eingeschränkt möglich oder wesentliche Leistungsmerkmale werden verfehlt.
• Fehlerklasse 2: Die Kernfunktionalität ist gewährleistet, es liegt jedoch ein wesentlicher Fehler in einem Teilmodul vor, der das Arbeiten mit diesem Modul verhindert oder erheblich einschränkt.
• Fehlerklasse 3: Alle übrigen Fehler

4.5.2 Die Reaktionszeiten hängen von den zwischen ZREALITY und dem Kunden vereinbarten Support Leistungen ab:
Standard Support

• Fehlerklasse 1: Bis zum nächsten Werktag
• Fehlerklasse 2: Nach Ermessen von ZREALITY
• Fehlerklasse 3: Nach Ermessen von ZREALITY

Enterprise Support
• Fehlerklasse 1: Eine (1) Stunde
• Fehlerklasse 2: Zwei (2) Werktage
• Fehlerklasse 3: Fünf (5) Werktage

Innerhalb der Reaktionszeiten legt ZREALITY einen Vorschlag für die Behebung des Fehlers vor. Der Vorschlag umfasst Folgendes:
• Durchführung einer Fehleranalyse und Darstellung der Ergebnisse der durchgeführten Analyse;
• Darstellung der Auswirkungen des Fehlers auf andere Funktionalitäten (Kritikalität);
• Vorschlag einer Vorgehensweise, um den Fehler zu beheben.

4.6 ZREALITY ist nicht verpflichtet, Supportleistungen (weder Standard noch Enterprise Support) zu erbringen:
Verfügbarkeit Service-Gutschrift (% der monatlichen Gebühr für den Service)

<99,0% 5,0%
<98,0% 7,5%
<97,0% 10%
<96,0% 15%
<95,0% 20%

• bei Fehlern, die auf unzulässigen Änderungen oder Anpassungen der SaaS-Lösung durch den Kunden oder im Auftrag des Kunden beruhen;
• für andere Software als die SaaS-Lösung (insbesondere Fremdsoftware, die auf Kundensystemen eingesetzt wird);
• bei Fehlern, die auf unsachgemäßer oder nicht autorisierter Nutzung der SaaS-Lösung oder auf Bedienungsfehlern des Kunden beruhen, sofern die Bedienung nicht in Übereinstimmung mit der Anwenderdokumentation vorgenommen wird;
• bei jeglichen Hardwaredefekten;
• bei Nutzung der SaaS-Lösung durch den Kunden auf anderen als den in der Anwenderdokumentation angegebenen zulässigen Hardware- und Betriebssystemumgebungen; oder
• in Form von Vor-Ort-Einsätzen von Mitarbeitern von ZREALITY.

4.7 Sofern ZREALITY und der Kunde im Einzelfall die Erbringung von Supportleistungen entsprechend dieser Ziffer 4.6 außerhalb der allgemeinen Pflichten von ZREALITY vereinbaren, ist ZREALITY berechtigt, entsprechende Leistungen als gesonderte Beauftragung zu behandeln und zu den Nutzungsgebühren für die SaaS-Lösung entsprechend den jeweils gültigen Dienstleistungssätzen dem Kunden in Rechnung zu stellen. Bei Ungeplanten Ausfallzeiten unternimmt ZREALITY innerhalb angemessener Frist wirtschaftlich zumutbare Anstrengung zur Behebung der Ungeplanten Ausfallzeiten.
Falls ZREALITY den unter Ziffer 4.1 dieser AGB dargestellten Service Level für den Service nicht erfüllt („Nicht-Verfügbarkeit“), hat der Kunde Anspruch auf die nachfolgend aufgeführten Service-Gutschriften („Service-Gutschriften“), wobei die Service-Gutschriften maximal 10% der gesamten Entgelte, die vom Kunden an ZREALITY für alle in dem jeweiligen Servicemonat bereitgestellte Services gezahlt worden sind, beträgt.

Um eine Service-Gutschrift zu erhalten, muss der Kunde diese Gutschrift bei ZREALITY innerhalb von fünf (5) Arbeitstagen nach Erhalt des Service Level-Berichts für den Zeitraum, für den der Kunde die Service-Gutschrift beansprucht, geltend machen. Diese Geltendmachung des Kunden muss genaue Angaben zu Tagen, Zeiten und Dauer jeder vom Kunden geltend gemachten Nicht-Verfügbarkeit enthalten. Wenn ZREALITY nach einer Prüfung die schriftliche Beanspruchung des Kunden für eine Service-Gutschrift akzeptiert, teilt ZREALITY dem Kunden mit, dass die relevante Service-Gutschrift mit dem vom Kunden gezahlten Entgelt für Services in der nächsten Monatsrechnung für die Services verrechnet wird. Service-Gutschriften können nicht rückwirkend gutgeschrieben werden. Beansprucht der Kunde eine Service-Gutschrift nicht rechtzeitig, erlischt sein Anspruch auf eine Service-Gutschrift für den betreffenden Monat. Service-Gutschriften, die der Kunde zu zahlen hat, werden mit etwaigen Schadenersatzansprüchen des Vertragspartners aufgrund der Nichteinhaltung des Service Level verrechnet.

4.8 ZREALITY sorgt für eine fortlaufende Überwachung der Service Levels. Alle Messungen der Service Levels erfolgen auf monatlicher Basis für jeden Kalendermonat während der Laufzeit des Vertrages.Auf Anforderung des Kunden liefert ZREALITY monatliche Berichte über die Messungen Ungeplanter Ausfallzeiten und die Berechnung der Systemverfügbarkeit für den relevanten Vormonat. Hat der Kunde Beanstandungen bezüglich einer Messung oder anderer in diesem Bericht aufgeführten Informationen, muss er diese Beanstandungen ZREALITY schriftlich innerhalb von fünf (5) Kalendertagen nach Erhalt des Berichts mitteilen, wobei die Genauigkeit des Berichts als ausreichend gilt, falls keine solche Mitteilung durch den Kunden erfolgt. Jede solche Mitteilung muss die beanstandeten Messungen angeben und die Art der Beanstandung detailliert beschreiben. ZREALITY und der Kunde verpflichten sich, solche Meinungsverschiedenheiten bezüglich der Service Levels und/oder zugehöriger Messungen soweit möglich und zeitnah in beiderseitigem Einvernehmen beizulegen.

4.9 Die Rechte des Kunden bei Nicht-Verfügbarkeit sind ausschließlich in dieser Ziffer 4 geregelt. Weitergehende Rechte sind ausgeschlossen. Hiervon unberührt ist das Recht des Kunden auf Kündigung und Schadensersatz nach Maßgabe dieser AGB.

 

5. Backups und Datenspeicherung

Der Kunde ist verpflichtet, Kundeninhalte ausreichend zu sichern. ZREALITY führt zudem tägliche Backups des Services und der Daten des Kunden durch. Backups werden bis zu zwölf (12) Monate gespeichert. Nach Kündigung (ordentlich oder außerordentlich) des Vertrags durch eine Partei werden die über die SaaS-Lösung verarbeiteten Daten des Kunden weitere drei (3) Monate gespeichert, bevor sie endgültig durch ZREALITY vorbehaltlich etwaiger gesetzlicher Aufbewahrungsfristen von ZREALITY gelöscht werden.

 

6. Nutzungsrechte SaaS-Lösung und Kundeninhalte

6.1 ZREALITY gewährt dem Kunden, vorbehaltlich der Bestimmungen dieses Vertrages, das einfache, weltweite, entgeltliche ausschließlich an die gemäß Angebot vereinbarte Anzahl an Nutzer des Kundenkontos unterlizenzierbare Recht, die SaaS-Lösung während der Laufzeit des Vertrages für interne vertragsgemäße Zwecke zu nutzen. Der Kunde darf die SaaS-Lösung nur im Rahmen der im Angebot vereinbarten Kapazität nutzen.

6.2 Vorbehaltlich der nach diesen AGB eingeräumten Rechte, behält sich ZREALITY alle Rechte und Rechtsansprüche an der SaaS-Lösung, darauf basierten Entwicklungen oder Programmierungen sowie dem damit verbundenen geistigen Eigentum und Know-how vor. Der Kunde erkennt an, dass er keine weiteren Rechte als die ausdrücklich nach diesen AGB gewährten Rechte erhält und erwirbt.

6.3 Der Kunde gewährt ZREALITY hiermit das nicht ausschließliche Recht, (a) Kundeninhalte in dem Umfang, in dem sie für die Erbringung der Services an den Kunden gemäß dieses Vertrags notwendig sind, zu kopieren, zu nutzen, zu ändern, zu verteilen, anzuzeigen und offenzulegen, (b) Kundeninhalte in Verbindung mit internen Abläufen und Funktionen zu kopieren, zu ändern und zu nutzen, einschließlich, aber nicht beschränkt auf, zum Zwecke operativer Analyse und Reporting, interner Finanzberichterstattung und -analysen, Auditfunktionen und Archivierung und (c) aggregierte und anonymisierte Kundeninhalte für Zwecke des Marketing oder der Produktoptimierung zu nutzen, wobei die aggregierten Daten keine Informationen enthalten, die den Kunden oder Nutzer, Marken oder Nutzer als die Quelle dieser Daten identifizieren oder identifizierbar machen.

 

7. Testversion

Sofern ZREALITY und der Kunde die Zurverfügungstellung einer Version der SaaS-Lösung zu Testzwecken vereinbart haben „Testversion“), gelten diese AGB entsprechend im auf die Testversion anwendbaren Umfang. Der konkrete Leistungsumfang für die Testversion ergibt sich aus dem entsprechenden Angebot
.

8. Mitwirkungspflichten

Die für die Durchführung der vertragsgegenständlichen Leistungen durch ZREALITY erforderlichen Mitwirkungsleistungen des Kunden sind vollständig und rechtzeitig zu erbringen. Vorbehaltlich weiterer Spezifikationen im Angebot für den Kunden und der Anwenderdokumentation umfassen die Mitwirkungspflichten des Kunden insbesondere Folgendes:
• bei der Nutzung der SaaS-Lösung sind alle anwendbaren Gesetze und sonstigen Rechtsvorschriften zu beachten. Der Kunde darf keine Daten oder Inhalte auf Server von ZREALITY übertragen, die gegen Rechtsvorschriften verstoßen oder fremde Schutz- oder Urheberrechte oder sonstige Rechte Dritter verletzen;
• bei einer Fehlermeldung ist ZREALITY unverzüglich alle Dokumentationen, Protokolle und andere für die Fehlerbehebung relevanten Informationen vom Kunden zur Verfügung zu stellen;
• der Kunde ist verpflichtet, regelmäßig an den von ZREALITY angebotenen Produktschulungen teilzunehmen oder sich auf andere Weise das notwendige Wissen zur Nutzung der SaaS-Lösung anzueignen;
• der Kunde darf nur solche Daten über die Saas-Lösung übermitteln, die frei von Computerviren oder anderem schädlichen Code / anderen schädlichen Technologien sind;
• der Kunde darf weder Software noch andere Techniken oder Verfahren im Zusammenhang mit der Nutzung der SaaS-Lösung verwenden, die geeignet sind, den Betrieb, die Sicherheit und die Verfügbarkeit der Saas-Lösung zu beeinträchtigen.

 

9. Anpassung der Vergütung

ZREALITY ist berechtigt, die vom Kunden für die Nutzung der Saas-Lösung zu zahlende Vergütung während der Laufzeit des Vertrages anzupassen. Eine solche Preisänderung ist jedoch nur einmal im Jahr zulässig. Preiserhöhungen sind spätestens sechs (6) Wochen vor ihrem Wirksamwerden per E-Mail von ZREALITY an die vom Kunden genannte E-Mail Adresse anzukündigen („Preiserhöhungsankündigung“). Für den Fall, dass die Preiserhöhung mehr als 10% der bisherigen Vergütung ausmacht hat der Kunde ein Sonderkündigungsrecht, das er mit einer Frist von einem (1) Monat zum Ende des Kalendermonats nach Zugang der Preiserhöhungsankündigung schriftlich ausüben kann.

 

10. Sperrung von Daten

Macht ein Dritter ZREALITY gegenüber eine Rechtsverletzung durch Daten oder Inhalte geltend, die vom Kunden auf die von ZREALITY bereitgestellten Datenspeicher übermittelt wurden („Gemeldete Inhalte“), ist ZREALITY berechtigt, die entsprechenden Gemeldeten Inhalte vorläufig zu sperren, wenn der Dritte die Rechtsverletzung schlüssig dargetan hat. ZREALITY wird den Kunden in diesem Falle auffordern, innerhalb einer angemessenen Frist die Rechtsverletzung einzustellen oder die Rechtmäßigkeit der Gemeldeten Inhalte nachzuweisen. Wird dieser Aufforderung nicht oder nicht genügend nachgekommen, ist ZREALITY unbeschadet weiterer Rechte und Ansprüche berechtigt, den Vertrag aus wichtigem Grund ohne Einhaltung einer Frist zu kündigen. Soweit die Rechtsverletzung vom Kunden zu vertreten ist, ist er auch zum Ersatz des daraus entstehenden Schadens verpflichtet und hat ZREALITY insoweit von etwaigen Ansprüchen Dritter auf erstes Anfordern freizustellen. Weitergehende Rechte bleiben vorbehalten.

 

11. Leistungsänderungen

ZREALITY ist jederzeit berechtigt, die SaaS-Lösung teilweise oder insgesamt weiterzuentwickeln, zu ändern oder zu ergänzen. ZREALITY wird vertragsrelevante, erhebliche Änderungen spätestens sechs (6) Wochen vor ihrem Wirksamwerden per E-Mail an die vom Kunden genannte E-Mail Adresse ankündigen („Leistungsänderungsmitteilung“). Der Kunde kann den Änderungen mit einer Frist von einem (1) Monat ab Zugang der Leistungsänderungsmitteilung schriftlich oder per E-Mail widersprechen. Unwidersprochen werden die Änderungen Bestandteil des Vertrages zwischen ZREALITY und dem Kunden. In der Leistungsänderungsmitteilung wird auf die Folgen des Widerspruchs hingewiesen. Im Falle des fristgerechten Widerspruchs ist ZREALITY berechtigt, den Vertrag mit einer Frist von einem (1) Monat zum Ende des Kalendermonats schriftlich zu kündigen.

 

12. Schutzrechte Dritter

12.1 Werden durch die vertragsgemäße Nutzung der SaaS-Lösung gewerbliche Schutzrechte und Urheberrechte Dritter durch ZREALITY verletzt und erheben Dritte wegen solcher Rechtsverletzung Ansprüche gegen den Kunden, so wird ZREALITY nach Wahl auf eigene Kosten entweder
• die für die SaaS-Lösung erforderlichen Nutzungsrechte verschaffen; oder
• die SaaS-Lösung so umarbeiten, dass sie nicht mehr gegen Rechte Dritter verstößt und mindestens die vertraglich mit dem Kunden vereinbarten Eigenschaften aufweist.

12.2 ZREALITY verteidigt den Kunden gegen oder stellt ihn nach eigener Wahl im Rahmen der Haftungsbeschränkungen aus Ziffer 13 frei von Schäden, die sich unmittelbar aus einer Geltendmachung von entsprechenden Ansprüchen aus Rechtsverletzungen Dritter ergeben und gegen den Kunden gerichtlich geltend gemacht werden, soweit diese Ansprüche des Dritten nicht auf Folgendem beruhen:
• Änderungen der SaaS-Lösung durch den Kunden, die von ZREALITY nicht im Rahmen dieses Vertrages oder in sonstiger Weise genehmigt wurden; oder
• Nutzung der SaaS-Lösung in anderer Weise als gemäß der Zweckbestimmung dieses Vertrages vereinbart; oder
• Nutzung der SaaS-Lösung auf von ZREALITY nicht freigegebener Hardware oder Betriebssystemumgebungen.
Die Ersatzpflicht ist ausgeschlossen, wenn ZREALITY nachweist, dass der Kunde die Verletzung von Rechten Dritter selbst zu vertreten hat.

12.3 Der Kunde ist verpflichtet, ZREALITY unverzüglich zu unterrichten, falls Dritte Schutzrechtsverletzungen im Zusammenhang mit der SaaS-Lösung gegen ihn geltend machen. Der Kunde ist nur berechtigt, Maßnahmen zu ergreifen, insbesondere sich gerichtlich gegen die Ansprüche zu verteidigen oder gesetzliche Ansprüche des Dritten unter Vorbehalt zu befriedigen, sofern ZREALITY zuvor mitgeteilt hat, dass ZREALITY den Kunden gegen den Anspruch nicht verteidigen wird.

 

13. Haftung

ZREALITY haftet für sämtliche sich im Zusammenhang mit diesem Vertrag ergebenden Schäden, gleich aus welchem tatsächlichen oder rechtlichen Grund nur nach Maßgabe der folgenden Regelungen:

13.1 Bei Vorsatz und grober Fahrlässigkeit, Ansprüchen nach dem deutschen Produkthaftungsgesetz sowie bei einer Verletzung des Lebens, des Körpers oder der Gesundheit haftet ZREALITY unbeschränkt nach den gesetzlichen Vorschriften.

13.2 Im Übrigen beschränkt sich die Haftung pro Kalenderjahr auf den bei Vertragsschluss vorhersehbaren Schaden bis zu einem Gesamtbetrag für alle Schadensfälle pro Kalenderjahr, der 50% der in diesem Kalenderjahr vom Kunden gezahlten Vergütung entspricht. Diese Haftungsbeschränkung gilt auch für den Fall des Datenverlusts und der Datenverschlechterung sowie für datenschutzrechtliche Verstöße von ZREALITY im Sinne der Auftragsverarbeitungsvereinbarung zwischen den Parteien.

 

14. Datenschutz

Bei der Zurverfügungstellung der SaaS-Lösung erhält ZREALITY möglicherweise Zugang zu personenbezogenen Daten, die ZREALITY als Auftragsverarbeiter für den Kunden auf Basis der mit dem Kunden zu diesem Vertrag geschlossenen Auftragsverarbeitungsvereinbarung („AVV“) verarbeitet.

 

15. Vertraulichkeit

Es gelten vorrangig die Regelungen der zwischen den Parteien vereinbarten Geheimhaltungsvereinbarung. Sofern nicht ausdrücklich eine Vereinbarung geschlossen wurde, gilt das Folgende:

15.1 Den Parteien ist bekannt, dass sie während der Laufzeit des Vertrages Zugang zu bestimmten vertraulichen Informationen der anderen Partei oder vertraulichen Informationen von Dritten, zu deren vertraulicher Behandlung die offenlegende Partei verpflichtet ist, haben. Vertrauliche Informationen sind alle schriftlichen, elektronischen oder mündlichen Informationen, die (i) eine Partei der anderen Partei bekanntgegeben hat, (ii) weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile allgemein bekannt oder öffentlich zugänglich sind, (iii) sich auf die Tätigkeit einer Partei oder eines Dritten beziehen, (iv) die angemessenen technischen und organisatorischen Schutzmaßnahmen der offen legenden Partei unterliegen und (v) entweder als vertraulich bezeichnet wurden oder aufgrund der Art der Umstände, unter denen die Bekanntgabe erfolgt, angemessenerweise als vertraulich behandelt werden sollten („Vertrauliche Informationen“). Beide Parteien erkennen an, dass die offenlegende Partei bzw. der Dritte Inhaber aller Rechte an Vertraulichen Informationen bleibt.

15.2 Jede Partei verpflichtet sich, (i) die von der anderen Partei offen gelegten Vertraulichen Informationen nur soweit in diesem Vertrag erlaubt und beabsichtigt sind, (ii) die von der anderen Partei erlangten Vertraulichen Informationen strikt vertraulich zu behandeln und unter Umsetzung geeigneter technischer und organisatorischer Maßnahmen vor Kenntnisnahme und Nutzung durch Dritte zu schützen, (iii) den Zugang zu den von der anderen Partei offen gelegten Vertraulichen Informationen auf diejenigen ihrer Mitarbeiter, Vertreter und/oder etwaigen Berater zu beschränken, die von diesen Informationen Kenntnis haben müssen und die schriftlich zur vertraulichen Behandlung dieser Informationen nach Maßgabe dieses Vertrages verpflichtet worden sind, und (iv) alle von der anderen Partei offen gelegten Vertraulichen Informationen, die bei Kündigung oder Auslaufen dieses Vertrages in ihrem Besitz sind, herauszugeben oder zu vernichten. Unbeschadet des Vorstehenden erkennt der Kunde an, dass ZREALITY anonymisierte statistische Daten über die Nutzung von ZREALITY durch den Kunden verwenden und diese statistischen Daten an Dritte weitergeben darf. Die vertraglichen Geheimhaltungsverpflichtungen gelten für zwei (2) Jahre nach Beendigung des Vertrages fort.

15.3 Unbeschadet des Vorstehenden finden die Bestimmungen der Ziffern 15.1 und 15.2 der Allgemeinen Geschäftsbedingungen keine Anwendung auf Vertrauliche Informationen, die (i) zum Zeitpunkt ihrer Offenlegung frei zugänglich bzw. allgemein bekannt sind, (ii) ohne Verschulden des Empfängers frei zugänglich bzw. allgemein bekannt werden, (iii) dem Empfänger rechtmäßig von Personen übermittelt wurden, die in dieser Hinsicht nicht an Geheimhaltungsverpflichtungen gebunden waren, (iv) sich zum Zeitpunkt der Offenlegung bereits im Besitz des Empfängers befinden, ohne dass daran Geheimhaltungsverpflichtungen geknüpft sind, (v) vom Empfänger eigenständig entwickelt wurden, oder (vi) von der offen legenden Partei ohne Einschränkung zur Freigabe oder Weitergabe zugelassen sind. Unbeschadet des Vorstehenden darf jede Partei Vertrauliche Informationen in dem erforderlichen Umfang weitergeben, (i) um eine gerichtliche oder behördliche Anordnung zu befolgen oder anderweitig die Anforderungen zwingender gesetzlicher Vorschriften zu erfüllen, wobei die Partei, welche die Vertraulichen Informationen gemäß der Verfügung offen legt, die andere Partei zuvor schriftlich zu informieren sowie angemessene Anstrengungen zu unternehmen hat, um eine Schutzanordnung zu erwirken, oder (ii) um die Rechte einer Partei nach diesem Vertrag durch ein Gericht feststellen zu lassen; dies schließt hierfür erforderliche Anträge ein.

 

16. Vertragslaufzeit und Kündigung

16.1 Der Vertrag tritt zum Vertragsbeginn in Kraft und läuft, sofern keine anderweitigen Vereinbarungen auf Basis des Angebots getroffen wurden, für zwölf (12) Monate („Mindestlaufzeit“), sofern er nicht nach Maßgabe dieser Ziffer 16 gekündigt wird. Der Vertrag verlängert sich automatisch um jeweils ein Jahr, sofern er nicht von einer Partei mit einer Frist von drei (3) Monaten vor Ablauf des aktuellen Verlängerungszeitraums schriftlich gekündigt wird (die Mindestlaufzeit und etwaige Verlängerungszeiträume werden zusammen als „Laufzeit“ bezeichnet).

16.2 Im Falle der Kündigung eines Vertrags mit gemäß Angebot vereinbarter Kündigungsfrist oder Mindestlaufzeit hat der Kunde bis zum Ende der vertraglichen Laufzeit weiterhin Anspruch auf die vertraglich vereinbarten Leistungen.

16.3 Wird der in Ziffer 4 der AGB aufgeführte Service Level für die Dauer von drei (3) aufeinanderfolgenden Kalendermonaten oder von drei (3) Kalendermonaten innerhalb eines Zeitraums von sechs (6) Kalendermonaten unterschritten (Verfügbarkeit während der Betriebszeiten unter 95 %) und hat ZREALITY die Unterschreitung zu vertreten, so ist der Kunde berechtigt, den Vertrag ohne Einhaltung einer Frist zu kündigen und Schadensersatz statt der Leistung zu verlangen.

16.4 Jede Kündigung hat in Textform (Brief, Telefax, E-Mail) zu erfolgen. Eine Nichtnutzung der SaaS-Lösung gilt nicht als Kündigung. Ohne frist- und formgerecht eingehende Kündigung verlängert sich die Vertragsdauer automatisch.

 

17. Beendigung, Folgen der Beendigung

17.1 Das Recht beider Parteien zur Kündigung aus wichtigem Grund bleibt unberührt. ZREALITY ist insbesondere berechtigt, diesen Vertrag ohne Einhaltung einer Frist außerordentlich zu kündigen, wenn
• der Kunde mit der Bezahlung eines Betrags für einen Zeitraum von mehr als zwei (2) Monaten in Verzug ist, der mindestens dem vereinbarten Entgelt für die Nutzung für den Zeitraum von zwei (2) Monaten entspricht;
• über das Vermögen des Kunden das Insolvenzverfahren oder ein anderes der Schuldenregulierung dienendes gerichtliches oder außergerichtliches Verfahren eingeleitet ist oder wird;
• das Benutzerkonto des Dritten übertragen oder die Zugangsdaten zur SaaS-Lösung jeweils ohne vorherige Zustimmung von ZREALITY Dritten zugänglich gemacht wurden;
• der Kunde seine Verpflichtungen aus diesem Vertrag im Übrigen verletzt hat und trotz Fristsetzung die Vertragsverletzung nicht einstellt oder Maßnahmen nachweist, die geeignet sind die Wiederholung der Vertragsverletzung künftig auszuschließen.

17.2 Im Falle der Beendigung des Vertragsverhältnisses, gleich aus welchem Rechtsgrund, sind die Parteien verpflichtet, das Vertragsverhältnis ordnungsgemäß abzuwickeln. Hierzu wird ZREALITY in Übereinstimmung mit der AVV
• die im Rahmen des Vertrages bei ZREALITY gespeicherten Daten spätestens vier (4) Wochen nach der Beendigung des Vertrages nach Wahl des Kunden entweder im Wege der Datenfernübertragung oder auf Datenträger an den Kunden oder einen von ihm benannten Dritten übergeben;
• die Daten nach Bestätigung der erfolgreichen Datenübernahme durch den Kunden oder einen designierten Dritten unverzüglich löschen und sämtliche angefertigten Kopien vernichten.

17.3 Über die Ziffer 17.2 hinausgehende Unterstützungsleistungen für die Migration der Daten kann ZREALITY aufgrund gesonderter Beauftragung erbringen. Solche weitergehenden Unterstützungsleistungen werden gemäß der jeweils gültigen Preisliste von ZREALITY vergütet.

 

18. Zahlungsbedingungen

18.1 Der Kunde ist verpflichtet, ZREALITY die in dem Angebot vereinbarten Gebühren in Euro oder ggf. einer abweichenden in dem Angebot aufgeführten Währung im Voraus in den im Angebot vereinbarten Intervallen (sofern nichts vereinbart wurde: jährlich) gemäß Ziffer 18.2 zu bezahlen.

18.2 Die Abrechnung der nach diesem Vertrag fälligen Gebühren erfolgt während der Vertragslaufzeit in den im Auftrag vereinbarten Intervallen (sofern nichts vereinbart wurde: jährlich), jeweils im Voraus für das Folgejahr, erstmals mit Rechnungsdatum des ersten Tags der Vertragslaufzeit. Der Kunde akzeptiert eine elektronische Rechnung.

18.3 Jeder Rechnungsbetrag ist fünfzehn (15) Tage nach dem Zugang der Rechnung beim Kunden fällig.

18.4 Alle Entgelte verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer und zuzüglich jeder sonstigen anwendbaren Steuer, für deren Zahlung allein der Kunde verantwortlich ist.

18.5 Der Kunde gerät in Zahlungsverzug, wenn er den Rechnungsbetrag nicht innerhalb von dreißig (30) Tagen nach Rechnungsstellung bezahlt. Die Verzugszinsen betragen 9%-Punkte über dem Basiszinssatz pro Jahr ab Fälligkeit.

18.6 Wenn der Kunde eine Rechnung oder einen anderen gemäß diesem Vertrag fälligen Betrag beanstandet, wird er dies ZREALITY innerhalb von dreißig (30) Tagen nach Erhalt der Rechnung oder nach dem Datum der Fälligkeit unter genauer Angabe der Gründe für die Beanstandung schriftlich mitteilen („Beanstandete Rechnung“). Bis auf Beanstandete Rechnungen gelten alle Rechnungen oder fälligen Beträge als anerkannt und sind ohne Abzug zahlbar. ZREALITY wird die Rechte nach Ziffer 18.4 hinsichtlich von Entgelten, die Gegenstand einer begründeten Beanstandung des Kunden sind, nicht geltend machen.

 

19. Vertragsübernahme

ZREALITY ist berechtigt, mit einer Ankündigungsfrist von vier (4) Wochen Rechte und Pflichten aus diesem Vertragsverhältnis ganz oder teilweise auf einen Dritten zu übertragen. In diesem Fall ist der Kunde berechtigt, den Vertrag innerhalb von zwei (2) Wochen nach Ankündigung der Vertragsübernahme zu kündigen.

 

20. Sonstiges

20.1 Änderungen dieser AGB. ZREALITY behält sich nach Maßgabe der nachfolgenden Bestimmungen das Recht vor, diese AGB zu ändern, sofern diese Änderung unter Berücksichtigung der Interessen von ZREALITY für den Kunden zumutbar ist; dies ist insbesondere der Fall, wenn die Änderung für den Kunden ohne wesentliche rechtliche oder wirtschaftliche Nachteile ist, z.B. bei Änderungen von Kontaktinformationen. Im Übrigen wird ZREALITY Kunden vor einer Änderung dieser Geschäftsbedingungen mit angemessenem Vorlauf, mindestens jedoch einen (1) Monat vor dem beabsichtigten Inkrafttreten der Änderungen an die vom Kunden genannte E-Mail Adresse informieren („AGB Änderungsankündigung“).
Sollte der Kunde mit einer von ZREALITY beabsichtigten Änderung nicht einverstanden sein, hat er das Recht, der Änderung innerhalb eines (1) Monats ab Zugang der AGB Änderungsankündigung zu widersprechen. Im Falle des fristgerechten Widerspruchs ist ZREALITY berechtigt, den Vertrag mit einer Frist von einem (1) Monat zum Ende des Kalendermonats zu kündigen.

20.2 Gesamter Vertrag. Dieser Vertrag einschließlich dem Angebot und Anlagen sowie Anhängen regelt abschließend sämtliche Vereinbarungen zwischen den Parteien in Bezug auf den Vertragsgegenstand und geht, soweit nicht ausdrücklich anderweitig in diesem Vertrag geregelt, allen früheren mündlichen und schriftlichen Vereinbarungen und Absprachen zwischen den Parteien in Bezug auf seinen Gegenstand vor. Keine der Parteien ist durch andere Bedingungen oder Zusicherungen als die ausdrücklich in diesem Vertrag einschließlich dem Angebot und Anlagen sowie Anhängen zu diesem Vertrag vorgesehenen gebunden.

20.3 Änderungen und Ergänzungen. Sofern nicht anders vereinbart auf Basis dieser AGB, bedürfen Änderungen und Ergänzungen dieses Vertrages der Schriftform im Sinne des § 126 Abs. 2 BGB und sind von bevollmächtigten Vertretern beider Parteien zu unterzeichnen. Dies gilt auch für den Verzicht auf die Schriftform und eine Änderung dieses Schriftformerfordernisses.

20.4 Abtretung. Der Kunde ist ohne die vorherige, ausdrückliche schriftliche Zustimmung von ZREALITY nicht berechtigt, seine Rechte aus dem Vertrag abzutreten oder seine Pflichten aus diesem Vertrag zu delegieren; bei Fehlen einer solchen Zustimmung ist jede versuchte Abtretung oder Delegierung nichtig und unwirksam.

20.5 Aufrechnung und Zurückbehaltung. Ein Recht zur Aufrechnung oder Zurückbehaltung gegenüber ZREALITY steht dem Kunden nur bei rechtskräftig festgestellten oder unbestrittenen Gegenforderungen zu.
20.6 Kein Vertrag zugunsten Dritter. Die Parteien erkennen an, dass, soweit nicht ausdrücklich anderweitig in diesem Vertrag vorgesehen, die Bestimmungen des Vertrags ausschließlich zugunsten der Parteien bestehen. Dieser Vertrag überträgt weder ausdrücklich noch konkludent das Recht an Dritte, ob natürliche oder juristische Personen, Bestimmungen des Vertrages durchzusetzen.

20.7 Salvatorische Klausel. Soweit eine einzelne Bestimmung dieses Vertrages aus irgendeinem Grund in einer Rechtsordnung unwirksam oder nicht durchsetzbar ist, wird diese Bestimmung soweit angepasst, dass sie wirksam bzw. durchsetzbar ist. Die Unwirksamkeit oder Nichtdurchsetzbarkeit einer Bestimmung führt nicht dazu, dass diese Bestimmung in anderen Fällen, unter anderen Umständen oder in anderen Rechtordnungen unwirksam oder nicht durchsetzbar wird und berührt nicht die Wirksamkeit der übrigen Bestimmungen des Vertrages.

20.8 Verzichtserklärung. Verzichtserklärungen im Hinblick auf den Vertrag sind nur wirksam und verbindlich, soweit sie schriftlich abgefasst und ordnungsgemäß von der verzichtenden Partei unterzeichnet ist. Jede Verzichtserklärung stellt nur einen Verzicht im Hinblick auf die spezifische darin geregelte Angelegenheit dar und berührt in keiner Weise die Rechte der verzichtenden Partei in anderer Hinsicht oder zu anderen Zeitpunkten. Eine Verzögerung oder Unterlassung durch eine Partei bei Ausübung eines Rechtes gemäß diesem Vertrag gilt nicht als Verzicht auf dieses Recht.

20.9 Gerichtsstand. Erfüllungsort und Gerichtsstand für alle sich aus oder im Zusammenhang mit diesem Vertrag ergebenden Streitigkeiten einschließlich etwaiger deliktischer Ansprüche für Kaufleute, juristischen Personen des öffentlichen Rechts oder öffentlich-rechtlichen Sondervermögen ist Kaiserslautern, Deutschland.

20.10 Maßgebende Sprache. Die deutsche Sprachversion dieses Vertrages ist in jeder Hinsicht maßgebend und rechtlich verbindlich und geht im Falle von Widersprüchen vor.

20.11 Maßgebliches Recht. Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss seiner Kollisionsnormen und des UN-Kaufrechts (CISG).

20.12 Kontaktdaten von ZREALITY. Reklamationen und Kündigungen bitte an folgende Adresse senden:

ZREALITY GmbH
Zollamtstr. 11
67663 Kaiserslautern
Deutschland
support@zreality.com

 

Auftragsverarbeitungsvereinbarung

Vereinbarung zwischen („Kunde“) und der ZREALITY GmbH, Zollamtstrasse 11, 67663 Kaiserslautern („Auftragnehmer“; gemeinsam die „Parteien“ oder jeweils eine „Partei“) über die Verarbeitung von personenbezogenen Daten im Auftrag („AVV“). Die Begriffe „personenbezogene Daten“, „verarbeiten“, „betroffene Person“, „Verantwortlicher“ und „Auftragsverarbeiter“ sind in Art. 4 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 („DSGVO“) definiert.

 

1. Gegenstand und Dauer des Auftrags

1.1. Gegenstand des Auftrags
Der Gegenstand des Auftrags der Datenverarbeitung durch den Auftragnehmer ergibt sich aus dem Software- bzw. SaaS-Vertrag zwischen den Parteien („Hauptvertrag“). Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber. Der Auftraggeber ist dabei als Verantwortlicher für die Verarbeitung personenbezogener Daten, für die Beurteilung der gesetzlichen Zulässigkeit der Verarbeitung personenbezogener Daten sowie für die Wahrung der Rechte betroffener Personen verantwortlich.

1.2. Dauer des Auftrags
Diese AVV wird zwischen den Parteien für die Dauer vereinbart, während der der Auftragnehmer für den Auftraggeber personenbezogene Daten auf Basis des Hauptvertrags verarbeitet.

 

2. Konkretisierung des Auftragsinhalts

2.1. Umfang, Art und Zweck
Umfang, Art und Zweck der Verarbeitung
personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind im Hauptvertrag konkret beschrieben.

2.2. Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten / -kategorien („Auftraggeberdaten“)
• Name,
• Kontaktdaten (E-Mail / Telefon),
• Internet Nutzungsdaten, die bei Nutzung der Saas-Lösung des Auftragnehmers anfallen,
• Daten, die bei Nutzung der Chat- oder Videochat-Funktion entstehen.

2.3. Kreis der Betroffenen
Der Kreis der durch die Verarbeitung personenbezogener Daten im Rahmen dieses Auftrags betroffenen Personen umfasst:
• Mitarbeiter / Beschäftigte des Auftraggebers (dies umfasst die Geschäftsleitung, Praktikanten, temporäre Beschäftigte und ähnliche Personen),
• Mitarbeiter / Beschäftigte von Geschäftspartnern des Auftraggebers,
• Kunden und Ansprechpartner beim Kunden des Auftraggebers.

 

3. Weisungsbefugnis des Auftraggebers / Ort der Datenverarbeitung

3.1. Die Verarbeitung der Auftraggeberdaten erfolgt ausschließlich nach dokumentierten Weisungen des Auftraggebers. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Entstehende Zusatzaufwände sind vom Auftraggeber auf Time- und Material-Basis zu vergüten.

3.2. Der Auftragnehmer verarbeitet Auftraggeberdaten nur außerhalb der Weisungen des Auftraggebers, soweit er aufgrund von anwendbarem Recht dazu verpflichtet ist. In einem solchen Fall informiert der Auftragnehmer den Auftraggeber über diesen Umstand vorab, sofern das jeweilige Gesetz dies nicht verbietet.

3.3. Der Auftragnehmer informiert den Auftraggeber, wenn er der Meinung ist, eine Weisung verstoße gegen einschlägige datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

3.4. Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer findet innerhalb der EU / des EWR statt. Eine Verlagerung der Verarbeitung in Länder außerhalb der EU / des EWR durch den Auftragnehmer findet nur nach Rücksprache mit dem Auftraggeber statt.

 

4. Vertraulichkeit

Die zur Verarbeitung der Auftraggeberdaten befugten Personen haben sich zu Vertraulichkeit verpflichtet oder unterliegen einer gesetzlichen Verschwiegenheitspflicht.

 

5. Technisch-organisatorische Maßnahmen

5.1. Der Auftragnehmer trifft technische und organisatorische Maßnahmen zum Schutz der Auftraggeberdaten, die den Anforderungen des Art. 32 DSGVO genügen. Diese technischen und organisatorischen Maßnahmen sind in Anhang 1 dieser AVV beschrieben. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

5.2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

 

6. Unterauftragsverhältnisse

6.1. Der Auftraggeber stimmt dem Einsatz von Unterauftragnehmern durch den Auftragnehmer zu:

6.1.1. Der Auftraggeber stimmt dem Einsatz der in Anhang 2 dieser AVV aufgeführten Unterauftragnehmer bei Abschluss dieser AVV zu.

6.1.2. Der Auftraggeber stimmt dem Einsatz weiterer bzw. der Änderung bestehender Unterauftragnehmer zu, wenn der Auftragnehmer den Einsatz bzw. die Änderung vierzehn (14) Tage vor Beginn der Datenverarbeitung schriftlich
(E-Mail ausreichend) dem Auftraggeber mitteilt. Der Auftraggeber kann dem Einsatz eines neuen Unterauftragnehmers bzw. der Änderung aus wichtigen datenschutzrechtlichen Gründen innerhalb von zehn (10) Tagen widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zum Einsatz oder zur Änderung als gegeben. Der Auftraggeber nimmt zur Kenntnis, dass in bestimmten Fällen die Leistung ohne den Einsatz eines bestimmten Unterauftragnehmers nicht mehr erbracht werden kann. Liegt ein wichtiger datenschutzrechtlicher Grund für den Widerspruch vor und ist eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich, haben die Parteien jeweils ein Sonderkündigungsrecht in Bezug auf die den abgelehnten Unterauftragnehmer betreffende Leistung des Auftragnehmers.

6.2. Der Auftragnehmer schließt mit dem / den Unterauftragnehmer / n unter Berücksichtigung der Art und des Umfangs der Datenverarbeitung im Rahmen des Unterauftrags schriftliche (dies schließt die elektronische Form ein) Auftragsverarbeitungsvereinbarungen, die inhaltlich dieser AVV entsprechen.

 

7. Betroffenenrechte

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen nach Kapitel III der DSGVO.

 

8. Mitwirkungspflichten des Auftragnehmers

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen.

 

9. Informations- und Überprüfungsrecht des Auftraggebers

9.1. Der Auftraggeber hat das Recht, erforderliche Informationen zum Nachweis der Einhaltung der vereinbarten Pflichten des Auftragnehmers anzufordern und Überprüfungen im Einvernehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.

9.2. Die Parteien vereinbaren, dass der Auftragnehmer zum Nachweis der Einhaltung seiner Pflichten und Umsetzung der technischen und organisatorischen Maßnahmen berechtigt ist, dem Auftraggeber aussagekräftige Dokumentationen vorzulegen. Eine aussagekräftige Dokumentation kann durch die Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter), einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach ISO 27001) oder einer durch die zuständigen Aufsichtsbehörden genehmigten Zertifizierung erbracht werden.

9.3. Das Recht des Auftraggebers Vor-Ort-Kontrollen durchzuführen, wird hierdurch nicht beeinträchtigt. Der Auftraggeber wird jedoch abwägen, ob nach Vorlage von aussagekräftiger Dokumentation eine Vor-Ort-Kontrolle noch erforderlich ist, insbesondere unter Berücksichtigung der Aufrechterhaltung des ordnungsgemäßen Betriebs des Auftragnehmers. Der Auftraggeber wird nur in Absprache mit dem Auftragnehmer Vor-Ort-Kontrollen durchführen.

 

10. Löschung von Daten und Rückgabe von Datenträgern

Nach Wahl und Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Auftragsverarbeitung – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen oder zu deren Aufbewahrung der Auftragnehmer gesetzlich verpflichtet ist, dürfen durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.

 

11. Haftung

Für die Haftung des Auftragnehmers im Zusammenhang mit dieser AVV gelten die im Hauptvertrag vereinbarten Haftungsbeschränkungen.

 

Anhang 1 zur Auftragsverarbeitungsvereinbarung:

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO.
Beschreibung der von der ZREALITY GmbH („Auftragsverarbeiter“) ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen
Der Auftragnehmer hat folgende technische und organisatorische Sicherheitsmaßnahmen („TOMs“) implementiert, um die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten. Ergänzt werden die TOMs gegebenenfalls durch die von den eingesetzten Unterauftragnehmern ergriffenen Sicherheitsmaßnahmen:

 

1. Vertraulichkeit

Der Auftragnehmer hat folgende technische und organisatorische Sicherheitsvorkehrungen getroffen, um insbesondere die Vertraulichkeit der Verarbeitungssysteme und -dienste zu gewährleisten. Der Auftragnehmer trifft geeignete Maßnahmen, um zu verhindern, dass seine Datenverarbeitungssysteme von Unbefugten benutzt werden. Dies wird erreicht durch:
-Authentifizierung mit Benutzername und Passwort;
-Schlüsselregelung (Schlüsselausgabe für Gebäude nur an befugtes Personal, etc.) und Sicherheitsschlösser;
-Sorgfältige Auswahl von externen Dienstleistern und Abschluss von Verschwiegenheitsverpflichtungen;
-Alarmmeldungen bei unberechtigtem Zutritt von Serverräumen;
-Automatisches Timeout des User-Terminals, wenn dieser im Leerlauf bleibt, Identifikation und Passwort zum erneuten Zugreifens erforderlich?
-Ausgabe und Sicherung von Identifikationscodes und Einsatz von Zwei-Faktor-Authentifizierung
-Verschlüsselung nach Industriestandard und Anforderungen an Passwörter (Passwortrichtlinie, inkl. Mindestlänge, Verwendung von Sonderzeichen usw., Passwortwechsel);
-Sperrung von sicherheitsrelevanten Zugängen nach fehlerhaften Anmeldeversuchen;
-Physikalisch getrennte Speicherung auf gesonderten Systemen und Datenträgern;
-Regelmäßige Sicherheitsupdates für Datenverarbeitungssysteme.

Die Mitarbeiter des Auftragnehmers, die zur Nutzung seiner Datenverarbeitungssysteme berechtigt sind, können nur im Rahmen und in dem Umfang auf personenbezogene Daten zugreifen, der durch ihre jeweilige Zugriffsberechtigung (Berechtigung) abgedeckt ist. Insbesondere basieren die Zugriffsrechte und -ebenen auf der Funktion und Rolle der Mitarbeiter, wobei die Konzepte der geringsten Privilegien und des Wissensbedarfs verwendet werden, um die Zugriffsrechte an definierte Verantwortlichkeiten anzupassen. Dies wird insbesondere erreicht durch:

-Verpflichtende Mitarbeiterrichtlinien und -schulungen;
-Verpflichtung von Mitarbeitern zur Vertraulichkeit und Geheimhaltung;
-Erstellung von Benutzerprofilen und Zuordnung von Benutzerrechten;
-Beschränkter Zugriff auf personenbezogene Daten nur für autorisierte Personen;
-Sperrung von Nutzerzugängen nach fehlerhaften Anmeldeversuchen;
-Zentrale Speicherung von Log-Dateien und beschränkter Zugriff für autorisierte Personen;
-Logische Mandantentrennung;
-Beschränkter Zugriff auf Server nur für autorisierte Personen;
-Verschlüsselung nach Industriestandard;
-Einsatz von VPN-Technologie;
-Physische Löschung von Datenträgern vor Wiederverwendung.

 

2. Integrität

Der Auftragnehmer hat folgende technische und organisatorische Sicherheitsvorkehrungen getroffen, um insbesondere die Integrität der Verarbeitungssysteme und -dienste zu gewährleisten:

-Der Auftragnehmer trifft geeignete Maßnahmen, um zu verhindern, dass personenbezogene Daten bei der Übermittlung oder beim Transport der Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden. Dies wird erreicht durch:
-Einrichtung von Standleitungen bzw. VPN-Tunneln;
-Den Einsatz Firewall-, und Verschlüsselungstechnologien für Software und Hardware;
-Monatliche Durchführung von Schwachstellentests;
-Vermeidung der Speicherung personenbezogener Daten auf tragbaren Speichermedien für Transportzwecke und auf firmeneigenen Laptops oder anderen mobilen Geräten;
-Bei physischem Transport: Sorgfältige Auswahl von Transportpersonal und -fahrzeugen; sichere Transportbehälter und -verpackungen.
-Sichere Vernichtung und Entsorgung von Datenträgern.
-Der Auftragnehmer greift auf keine Kundeninhalte zu, es sei denn, dies ist notwendig, um dem Kunden die von ihm ausgewählten Produkte und professionelle Dienstleistungen zur Verfügung zu stellen. Der Auftragnehmer greift nicht auf Kundeninhalte für andere Zwecke zu.

 

3. Verfügbarkeit

Der Auftragnehmer hat die folgenden technischen und organisatorischen Sicherheitsmaßnahmen implementiert, um insbesondere die Verfügbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten. Der Verarbeiter trifft geeignete Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor unbeabsichtigter Zerstörung oder Verlust geschützt sind. Dies wird erreicht durch:

-Erstellung Backup- und Recoverykonzept;
-Redundanz der Infrastruktur;
-Einsatz von Anti-Viren-Software;
-Einsatz von Hardware-Firewall;
-Feuer- und Rauchmeldeanlagen;
-Schutzsteckdosenleisten in Serverräumen;
-Feuerlöschgeräte in Serverräumen;
-Regelmäßige Sicherheitsupdates für Datenverarbeitungssysteme;
-Alarmmeldungen bei unberechtigtem Zutritt zu Serverräumen;
-Durchführung regelmäßiger Datensicherungen;
-Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort;
-Trennung von Produktiv- und Testsystem.

 

4. Belastbarkeit

Der Auftragnehmer hat die folgenden technischen und organisatorischen Sicherheitsmaßnahmen implementiert, um insbesondere die Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten:

-Datenschutz-Management und Definition von Rollen und Verantwortlichkeiten;
-Betriebliches Kontinuitätsmanagement und Notfallplan;
-Projektbezogenes Risiko-Management;
-Monatliche Durchführung von Schwachstellentests und sofortige Umsetzung der Ergebnisse;
-Störfallerkennungssystem und projektbezogenes Management der Reaktion auf Störfälle;
-Regelmäßige (externe) Auditierung;
-Regelmäßige Überprüfung von Skalierung und Infrastruktur;
-Datenschutzfreundliche Voreinstellungen;
-Sicherer Entwicklungszyklus
-Testplan.

 

Anhang 2 zur Auftragsverarbeitungsvereinbarung
Genehmigte Unterauftragnehmer

 

# Name Adresse Einsatzbereich im Rahmen des Vertrages

1 Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855, Luxemburg IT Infrastruktur / Hosting (ausschließlich EU Server)

 

Stand: März 2021