Exponat 1

OpenMethods

AGB

 

Diese Allgemeinen Geschäftsbedingungen (diese „Vereinbarung“) sind ein verbindlicher Vertrag und regeln die Nutzung und den Zugriff auf die Dienste durch Sie (den „Abonnenten“, der in der Zendesk-SSOW, der diese Vereinbarung beigefügt ist, angegeben ist), Agenten und Endbenutzer in Verbindung mit einem Abonnement der Dienste.

 

Nach Ausführung der Zendesk-SSOW, an die diese Vereinbarung angehängt ist, erklären Sie sich mit der vorliegenden Vereinbarung ab dem Datum des Zugriffs oder der Nutzung des Dienstes (dem „Datum des Inkrafttretens“) einverstanden. Wenn Sie die vorliegende AGB im Namen einer Firma, Organisation oder anderen juristischen Person (im weiteren Verlauf „juristische Person“ genannt) annehmen, erklären Sie sich im Namen dieser juristischen Person mit der Einhaltung der vorliegenden AGB einverstanden und bestätigen OpenMethods gegenüber, dass Sie befugt sind, die jeweilige juristische Person und ihre verbundenen Unternehmen zur Einhaltung der vorliegenden AGB zu verpflichten; in diesem Fall beziehen sich die Begriffe „Abonnent“, „Sie“, „Ihre“ und ähnliche Begriffe auf diese juristische Person und ihre verbundenen Unternehmen. Wenn Sie nicht über eine solche Berechtigung verfügen oder mit dieser Vereinbarung nicht einverstanden sind, dürfen Sie die Dienste nicht nutzen oder genehmigen.  Der Abonnent und OpenMethods werden jeweils als „Partei“ und im Sinne dieser Vereinbarung gemeinsam als „Parteien“ bezeichnet.

 

Im Falle von Widersprüchen oder Widersprüchen zwischen den Bedingungen dieser Vereinbarung und den Bedingungen einer Zendesk-SSOW sind die Bedingungen der Zendesk-SSOW maßgeblich.

 

OpenMethods und Sie erklären sich wie folgt einverstanden:

 

DIENSTE.

 

1.  Nutzung der Dienste. OpenMethods gewährt dem Kunden das Recht, auf die Dienste zuzugreifen.

1.1.       Abonnement. Sobald OpenMethods eine Zendesk-SOW akzeptiert und den Bedingungen dieser Vereinbarung unterliegt, gewährt OpenMethods dem Kunden ein nicht exklusives, nicht übertragbares, gebührenfreies, weltweit beschränktes Abonnement, um die Dienste ausschließlich für den Geschäftsbetrieb des Kunden zu nutzen.  OpenMethods stellt diese Dienste über das Web von seiner cloudbasierten Software-as-a-Service-Umgebung („SaaS“) oder von der cloudbasierten SaaS-Umgebung seiner autorisierten Drittpartner („Partner“) aus bereit.

1.2.       In dieser Vereinbarung sind mindestens eine Zendesk-SSOW für die Dienste vorgesehen, und in jeder Zendesk-SSOW sind die bestellten Dienste und die damit verbundenen Gebühren ausführlicher beschrieben.

1.3.       Abonnements laufen am Ende des in der Zendesk-SSOW festgelegten geltenden Bestellungszeitraums (siehe unten) ab, es sei denn, sie werden verlängert.

1.4.       Mitarbeiter, Agenten und Auftragnehmer des Kunden (jeweils ein „autorisierter Endbenutzer“) und Endbenutzer des Kunden (jeweils ein „Endbenutzer“) können die Dienste nutzen.  Jeder autorisierte Endbenutzer muss mit einem eindeutigen Benutzernamen und Kennwort registriert sein; weder zwei autorisierte Endbenutzer dürfen sich registrieren oder die Dienste als derselbe registrierte autorisierte Endbenutzer nutzen noch dürfen autorisierte Endbenutzer denselben Benutzernamen und dasselbe Kennwort verwenden. Der Kunde ist für die Einhaltung der Vereinbarung durch den autorisierten Endbenutzer und den Endbenutzer verantwortlich.

1.5.       Der Kunde kann Dienste zur Nutzung durch seine verbundenen Unternehmen bestellen. In diesem Fall gilt das Abonnement, das dem Kunden im Rahmen dieser Vereinbarung gewährt wird, für diese verbundenen Unternehmen, sofern nur der Kunde berechtigt ist, diese Vereinbarung gegenüber OpenMethods durchzusetzen.  Der Kunde bleibt für alle Verpflichtungen im Rahmen dieser Vereinbarung und für die Einhaltung dieser Vereinbarung und aller anwendbaren Zendesk-SSO(s) durch seine verbundenen Unternehmen verantwortlich.

1.6.       OpenMethods behält sich alle Rechte vor, die nicht ausdrücklich in dieser Vereinbarung gewährt werden.  Durch Verzicht oder Rechtsbehelf werden keine Rechte gewährt oder stillschweigend erklärt.

1.7.       Verpflichtungen für Services Support.

Support. OpenMethods bietet dem Abonnenten ohne Zusatzkosten standardmäßigen Kundensupport für die Dienste, wie auf der entsprechenden Website und Dokumentation beschrieben. Wenn OpenMethods vom Abonnenten gekauft wird, bietet OpenMethods aktualisierten Support oder Support mit Service-Level-Vereinbarungen.

1.8.   OpenMethods gewährleistet, dass die Dienste während des Bestellzeitraums einen monatlichen Verfügbarkeitsprozentsatz von mindestens 99,9 % in jedem Kalendermonat erreichen (d. h. max. Ausfallzeit von 43 Minuten pro Monat). Geplante Wartungs-/Ausfallzeiten sind auf weniger als vier (4) Stunden in einem bestimmten Monat zu begrenzen, und OpenMethods informiert den Kunden mindestens sieben (7) Tage im Voraus schriftlich (E-Mail akzeptabel) über eine solche Nichtverfügbarkeit.

1.9.   OpenMethods benachrichtigt den Kunden mindestens sechs (6) Monate im Voraus über das Ende der Lebensdauer oder Einstellung der Funktion.

 

2.  Kundenverantwortung. 

2.1.       Login Management.  Ohne schriftliches Abonnement von OpenMethods erklären Sie sich damit einverstanden und erkennen an, dass Sie die Dienste, einschließlich, aber nicht beschränkt auf die API, nicht nutzen dürfen, um die Anforderung eines individuellen Agenten-Logins für jede Person zu umgehen, die (a) die Dienste zur Interaktion mit Endbenutzern nutzt; (b) Daten zu Interaktionen mit Endbenutzern in den Diensten zu verwenden; oder (c) Daten zu Interaktionen zu verwenden, die von einem Nicht-OpenMethods-Dienst stammen, der Funktionen bereitstellt, die den von den Diensten bereitgestellten Funktionen ähneln, und die gemäß dieser Vereinbarung einen individuellen Agenten-Login erfordern würden, wenn Sie die Dienste für eine solche Interaktion nutzen. Darüber hinaus darf der Kunde die API oder die Dienste nicht so nutzen, dass geltende Serviceplanbeschränkungen oder Agentenlizenzbeschränkungen, die in der Benutzeroberfläche des Dienstes durchgesetzt werden, umgangen werden. OpenMethods behält sich das Recht vor, Ihnen Gebühren für Nutzungsüberschreitungen des Dienstes in Rechnung zu stellen, die gegen die Zendesk-SSOW verstoßen, und Sie erklären sich damit einverstanden, dafür zu bezahlen.

2.2.       Compliance Wie zwischen Ihnen und OpenMethods sind Sie für die Einhaltung der Bestimmungen dieser Vereinbarung durch Agenten und Endbenutzer sowie für alle Aktivitäten in Ihrem Konto verantwortlich, die OpenMethods von Zeit zu Zeit überprüfen kann. Ohne Einschränkung des Vorstehenden stellen Sie sicher, dass Ihre Nutzung der Dienste allen geltenden Gesetzen und Vorschriften sowie allen Datenschutzhinweisen, Vereinbarungen oder anderen Verpflichtungen entspricht, die Sie mit Agenten oder Endbenutzern eingehen.

2.3.       Inhalt und Verhalten Bei der Nutzung der Dienste verpflichten Sie sich, (a) die Dienste nicht zu ändern, anzupassen oder zu hacken oder anderweitig zu versuchen, unbefugten Zugriff auf die Dienste oder zugehörigen Systeme oder Netzwerke zu erlangen; (b) Sicherheits- oder Ratenbegrenzungsmechanismen der Dienste zu umgehen oder zu brechen oder die Dienste in irgendeiner Weise zu nutzen, die die Integrität, Sicherheit oder Leistung der Dienste und ihrer Komponenten beeinträchtigt oder unterbricht; (c) zu versuchen, den Quellcode von Software zu entschlüsseln, zu dekompilieren, zurück zu entwickeln oder anderweitig den Quellcode der Dienste zu entdecken; oder (d) soweit Sie dem US Health Insurance Portability and Accountability Act von 1996 und seinen Durchführungsbestimmungen (HIPAA) unterliegen, die Dienste zu nutzen, um „geschützte Gesundheitsinformationen“ im Sinne von HIPAA zu speichern oder zu übertragen, es sei denn, OpenMethods hat ausdrücklich schriftlich etwas anderes vereinbart.

2.4.       Systemanforderungen Zur ordnungsgemäßen Nutzung der Dienste ist eine Hochgeschwindigkeits-Internetverbindung erforderlich. Sie sind für die Beschaffung und Aufrechterhaltung der Netzwerkverbindungen verantwortlich, durch die Ihr Netzwerk mit den Diensten verbunden wird, einschließlich, jedoch nicht beschränkt auf „Browser“-Software, die die von OpenMethods verwendeten Protokolle unterstützt, darunter das Transport Layer Security (TLS)- Protokoll und andere von OpenMethods akzeptierten Protokolle, sowie zur Befolgung der Verfahren zum Zugriff auf Dienste, die derartige Protokolle unterstützen.  OpenMethods ist nicht dafür verantwortlich, Sie, Agenten oder Endbenutzer über Upgrades, Korrekturen oder Erweiterungen derartiger Software in Kenntnis zu setzen, und wir übernehmen keinerlei Haftung für die Kompromittierung von Daten, einschließlich Dienstdaten, die über Computernetzwerke oder Telekommunikationseinrichtungen (einschließlich, jedoch nicht beschränkt auf das Internet) übertragen werden, welche nicht OpenMethods gehören bzw. nicht von OpenMethods betrieben oder gesteuert werden. OpenMethods übernimmt keine Verantwortung für die Zuverlässigkeit oder Leistung der in diesem Abschnitt beschriebenen Verbindungen.

2.5.       Nur wenn OpenMethods in dieser Vereinbarung nicht anderweitig autorisiert oder OpenMethods ausdrücklich schriftlich etwas anderes vereinbart hat, dürfen Sie die Dienste nicht in einer Weise nutzen, in der Sie als Servicebüro fungieren oder im Namen von mehr als einem (1) Dritten (außer verbundenen Unternehmen) über ein einziges Konto externe Geschäftsprozessdienste erbringen. Durch diese Bestimmung soll die Nutzung der Dienste zur Bereitstellung von geschäftlichem Support für mehrere Endbenutzer nicht verhindert oder beschränkt werden. Sie verpflichten sich jedoch, die Dienste nicht zu lizenzieren, unterlizenzieren, verkaufen, outsourcen, vermieten, leasen, übertragen, abtreten, verteilen, zeitlich teilen oder anderweitig kommerziell an Dritte außer autorisierte Agenten und Endbenutzer zu verwerten oder weiterzuverkaufen, um Ihre internen Geschäftszwecke zu fördern, soweit dies in dieser Vereinbarung ausdrücklich zulässig ist. Ohne Einschränkung des Vorstehenden unterliegt Ihr Recht zum Zugriff auf und zur Nutzung der OpenMethods-API ebenfalls den Einschränkungen und Richtlinien, die von OpenMethods gelegentlich bezüglich der API implementiert werden und in der Dokumentation beschrieben oder Ihnen anderweitig in schriftlicher Form unterbreitet werden.

2.6.       Sie dürfen (i) die Dienste nicht rückgängig machen, (ii) keine proprietären Kennzeichnungen oder restriktiven Legenden in den Diensten entfernen oder ändern, (iii) nicht auf die Dienste zugreifen, um ein wettbewerbsfähiges Produkt oder einen wettbewerbsfähigen Dienst zu erstellen, oder Funktionen, Benutzeroberflächen oder Grafiken der Dienste kopieren. Wenn Sie Mitbewerber von OpenMethods sind, können Sie nicht auf die Dienste zugreifen.

 

3.  Kundendaten und Datenschutz.

3.1.       Der Kunde muss alle Daten („Kundendaten“) für die Nutzung der Dienste angeben, und OpenMethods ist nicht verpflichtet, die Kundendaten zu ändern oder hinzuzufügen.  Der Kunde ist allein für die Rechtmäßigkeit der Kundendaten verantwortlich.  Da OpenMethods keine Kundendaten aus den Diensten speichert oder archiviert, ist es Aufgabe des Kunden, seine Kundendaten zu speichern und zu archivieren.

3.2.       Die Kundendaten gehören dem Kunden, und OpenMethods erhebt keinen Anspruch auf Eigentumsrechte an ihnen.

3.3.       Unterauftragsverarbeiter. OpenMethods nutzt Unterauftragsverarbeiter, die Zugriff auf Kundendaten haben oder diese verarbeiten, um Ihnen bei der Bereitstellung der Dienste zu helfen. Sie bestätigen und erteilen hiermit die allgemeine Autorisierung für die Nutzung der in unserer Unterauftragsverarbeiterrichtlinie aufgeführten Unterauftragsverarbeiter durch OpenMethods unter: https://www.openmethods.com/privacy. OpenMethods haftet für Handlungen und Unterlassungen von Mitgliedern des OpenMethods-Personals und Unterauftragsverarbeitern in dem Umfang, in dem wir verantwortlich wären, wenn OpenMethods die Dienste jedes OpenMethods-Personals oder Unterauftragsverarbeiters direkt im Rahmen dieser Vereinbarung erbringen würde. Sie können sich registrieren, um Benachrichtigungen über Änderungen unserer Unterauftragsverarbeiterrichtlinie auf der Website der Richtlinie zu erhalten.

3.4.       Drittanbieter. OpenMethods kann externe Dienstanbieter heranziehen, die von OpenMethods bei der Bereitstellung der Dienste für Sie eingesetzt werden, aber keinen Zugriff auf Servicedaten haben. Alle von OpenMethods eingesetzten externen Dienstanbieter unterliegen Vertraulichkeitsverpflichtungen, die den hierin enthaltenen Vertraulichkeitsbedingungen im Wesentlichen ähneln.

3.5.       Schutzmaßnahmen. OpenMethods unterhält angemessene administrative, physische und technische Sicherheitsvorkehrungen zum Schutz der Sicherheit, Vertraulichkeit und Integrität der Dienste gemäß unserer Datenschutzrichtlinie unter: https://www.openmethods.com/privacy und den Informationssicherheitsanforderungen in Anhang A.

3.6.       Kontaktinformationen für Agenten. OpenMethods ist ein Datenverarbeiter von Agentenkontaktinformationen und verarbeitet diese Agentenkontaktinformationen gemäß unserer Datenschutzrichtlinie unter: https://www.openmethods.com/privacy. Sie sind dafür verantwortlich, Ihre Agenten über ihre in unserer Datenschutzerklärung aufgeführten Rechte zu informieren. Sie versichern und garantieren, dass Sie alle relevanten Zustimmungen, Berechtigungen und Rechte eingeholt und alle relevanten Hinweise bereitgestellt haben, die im Rahmen der anwendbaren Datenschutzgesetze für OpenMethods zur rechtmäßigen Verarbeitung von Agentenkontaktinformationen erforderlich sind.

3.7.       Datenverarbeitungsvereinbarung. Die Datenverarbeitungsvereinbarung in Anhang B und/oder alle anderen von OpenMethods bereitgestellten Datenschutzbestimmungen unter https://www.OpenMethods.com/privacy werden durch Bezugnahme in diese Vereinbarung aufgenommen.

 

4.  Servicegarantien.  OpenMethods gewährleistet, dass (i) die Dienste im Wesentlichen wie in der Dokumentation beschrieben funktionieren und (ii) OpenMethods das Recht besitzt oder anderweitig hat, die Dienste im Rahmen dieser Vereinbarung für Kunden bereitzustellen.  Die in diesem Abschnitt 4 aufgeführten Rechtsmittel sind ausschließliche Rechtsmittel des Kunden bei Verletzung einer der Gewährleistungsansprüche.

4.1.       Wenn die Dienste im Wesentlichen nicht in Übereinstimmung mit der Dokumentation funktionieren, muss OpenMethods nach seiner Wahl entweder (i) die Dienste an die Dokumentation anpassen oder (ii) eine Workaround-Lösung bereitstellen, die die Anforderungen des Kunden angemessen erfüllt.  Wenn keine dieser Optionen wirtschaftlich machbar ist, kann jede Partei die betreffende Zendesk-SSOW im Rahmen dieser Vereinbarung kündigen.

4.2.       Wenn der normale Betrieb, der Besitz oder die Nutzung der Dienste durch den Kunden ein geistiges Eigentumsrecht eines Dritten in den USA verletzt oder OpenMethods dies für wahrscheinlich hält, muss OpenMethods nach seiner Wahl entweder (i) eine Lizenz oder ein Abonnement von diesem Dritten zugunsten des Kunden einholen, (ii) die Dienste so ändern, dass sie keine Verletzung mehr darstellen, oder (iii) wenn keine dieser Optionen kommerziell machbar ist, die entsprechende Zendesk-SSOW im Rahmen dieser Vereinbarung kündigen.

4.3.       OpenMethods hat jedoch keine Gewährleistungsverpflichtungen für:

4.3.1. das Ausmaß, in dem Dienste vom Kunden oder Dritten geändert wurden;

4.3.2. Probleme in den Diensten, die durch Software oder Hardware von Drittanbietern, durch versehentliche Beschädigungen oder durch andere Angelegenheiten verursacht werden, die außerhalb der angemessenen Kontrolle von OpenMethods liegen.

4.4.       OpenMethods führt regelmäßig interne und externe Netzwerkschwachstellenprüfungen durch.  Die festgestellten Schwachstellen werden in wirtschaftlich vertretbarer Weise und mit einem vom Schweregrad abhängigen Zeitraum behoben.

 

PROFESSIONELLE DIENSTLEISTUNGEN.

 

5.  Professionelle Dienstleistungen. 

5.1 SOW.  Die Leistungen, Gebühren, Personal, Umfang und anderen Bedingungen der einzelnen Professional Services-Engagements werden in der Zendesk-SOW festgelegt.  Professionelle Service-Engagements werden nach Zeit und Material oder festen Gebühren in Übereinstimmung mit der Zendesk-SSOW abgerechnet.

5.2 Garantien. OpenMethods gewährleistet, dass (i) die Professional Services im Wesentlichen der SOW entsprechen und (ii) die Professional Services mit angemessener Kompetenz, Sorgfalt und Sorgfalt ausgeführt werden. Die in diesem Abschnitt 5 aufgeführten Rechtsmittel sind ausschließliche Rechtsmittel des Kunden bei Verletzung einer der Gewährleistungsansprüche.

5.2.1 Wenn die Professional Services nicht der SOW entsprechen oder nicht mit angemessener Geschicklichkeit, Sorgfalt und Sorgfalt ausgeführt werden, wird OpenMethods die Professional Services in dem Umfang erneut ausführen, der zur Korrektur der fehlerhaften Leistung erforderlich ist.

5.3 Verantwortlichkeiten des Kunden.  Der Kunde muss OpenMethods alle Informationen, den Zugang und die uneingeschränkte Zusammenarbeit in gutem Glauben bereitstellen, die erforderlich sind, damit OpenMethods die Professional Services bereitstellen kann, und alles tun, was in der SOW als Verantwortung des Kunden ausgewiesen ist.  Unterlässt der Kunde dies, wird OpenMethods von seinen Verpflichtungen befreit, soweit diese von der Leistung des Kunden abhängen.

 

GEISTIGES EIGENTUM.

 

6.  Inhaberschaft an geistigem Eigentum.  OpenMethods ist ausschließlich Eigentümer oder hat die Rechte an allen geistigen Eigentumsrechten an den Diensten und an allen im Rahmen der Professional-Dienste bereitgestellten Produkten lizenziert. OpenMethods besitzt alle Rechte an Feedback, Verbesserungen, Erweiterungen oder Änderungen der Dienste.

 

ALLGEMEINES

 

7.  Zahlungen.

7.1 Rechnungen. Zendesk verarbeitet Gebühren für den Kauf von OpenMethods-Diensten durch den Kunden im Rahmen dieser Vereinbarung. Der Kunde muss die in der entsprechenden Zendesk-SSOW aufgeführten Gebühren bezahlen. Alle Rechnungsinformationen werden in der Zendesk-SSOW angezeigt. 

 

 

8.  Dauer, Kündigung und Sperrung.

8.1 Diese Vereinbarung gilt für die Dauer der Zendesk-SSOW, bis sie von einer Partei wie unten beschrieben gekündigt wird („Laufzeit“).  Der Begriff für jede Bestellung („Bestellzeitraum“) wird in der Zendesk-SOW festgelegt. Am Ende des Bestellungszeitraums erlöschen die Rechte des Kunden zum Zugriff auf oder zur Nutzung der Dienste.

8.2 Jede Partei kann diese Vereinbarung sofort kündigen, wenn der Kunde gegen eine wesentliche Bestimmung dieser Vereinbarung verstößt und die Verletzung nicht innerhalb von 30 Tagen nach schriftlicher Ankündigung behoben wird. 

8.3 Die Abschnitte 2, 6, 7, 8, 9, 10, 11, 12 und 15.3 werden nach Ablauf dieser Vereinbarung fortgesetzt.

8.4 Kündigt OpenMethods diesen Vertrag wegen Nichtzahlung durch den Kunden, sind alle nicht bezahlten Gebühren für den restlichen Bestellzeitraum sofort zur Zahlung fällig.

 

9.  Garantieausschluss.  SOFERN NICHT AUSDRÜCKLICH IN DIESER VEREINBARUNG VORGESEHEN, WERDEN DIE DIENSTE UND PROFESSIONELLEN DIENSTE MIT KEINER ANDEREN GEWÄHRLEISTUNG IRGENDEINER ART BEREITGESTELLT, UND OPENMETHODS LEHNT ALLE ANDEREN AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN AB, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF JEGLICHE GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. OPENMETHODS GEWÄHRLEISTET NICHT, DASS DIE NUTZUNG DER DIENSTE ODER PROFESSIONELLEN DIENSTE UNUNTERBROCHEN ODER FEHLERFREI IST.

 

10. Haftungsbeschränkung.  KEINE DER BEIDEN PARTEIEN HAFTET DER ANDEREN PARTEI GEGENÜBER FÜR INDIREKTE, BESONDERE, ZUFÄLLIGE, STRAFRECHTLICHE ODER FOLGESCHÄDEN (EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF SCHÄDEN FÜR ENTGANGENEN WILLEN, ARBEITSUNTERBRECHUNG, COMPUTERAUSFALL ODER -FEHLFUNKTION, VERLORENE ODER BESCHÄDIGTE DATEN, ENTGANGENE GEWINNE, ENTGANGENE GESCHÄFTSGESCHÄFTE ODER ENTGANGENE CHANCEN) ODER ANDERE ÄHNLICHE SCHÄDEN IM RAHMEN EINER HAFTUNGSTHEORIE (VERTRAG, DELIKT, STRENGE HAFTUNG ODER EINER ANDEREN THEORIE), AUCH WENN DIE ANDERE PARTEI ÜBER DIESE MÖGLICHKEIT INFORMIERT WURDE. DIE GESAMTHAFTUNG JEDER PARTEI FÜR DIREKTE VERLUSTE, KOSTEN, FORDERUNGEN ODER SCHÄDEN JEGLICHER ART IN BEZUG AUF DIE BETREFFENDE ZENDESK-SAU BETRÄGT NICHT MEHR ALS DIE GEBÜHREN, DIE DER KUNDE IM RAHMEN DER BETREFFENDEN ZENDESK-SAU IN DEN ZWÖLF (12) MONATEN VOR DEM EREIGNIS, DAS ZU SOLCHEN VERLUSTEN, KOSTEN, FORDERUNGEN ODER SCHÄDEN FÜHRT, GEZAHLT ODER ZU ZAHLEN HAT.  ALLERDINGS BESTEHT KEINE BESCHRÄNKUNG DER HAFTUNG FÜR DIE VERLETZUNG DER RECHTE DES UNTERNEHMENS AN GEISTIGEM EIGENTUM DURCH DEN KUNDEN, FÜR BETRÄGE, DIE DER KUNDE OPENMETHODS IM RAHMEN DIESER VEREINBARUNG ODER IN VERBINDUNG MIT DEN FREISTELLUNGSVERPFLICHTUNGEN EINER PARTEI SCHULDET.  DIESE HAFTUNGSBESCHRÄNKUNG WAR UND IST AUSDRÜCKLICHER BESTANDTEIL DER VERHANDLUNGEN ZWISCHEN UNTERNEHMEN UND KUNDEN UND WAR EIN STEUERUNGSFAKTOR BEI DER FESTLEGUNG DER GEBÜHREN, DIE OPENMETHODS ZU ZAHLEN SIND.

 

11. Vertraulichkeit.

11.1 Diese Vereinbarung und das Service-, Dokumentations- und Arbeitsprodukt enthalten wertvolle Geschäftsgeheimnisse, die ausschließlich OpenMethods gehören, und der Kunde verpflichtet sich, mit angemessener Sorgfalt zu verhindern, dass andere Parteien von diesen Geschäftsgeheimnissen erfahren.  Der Kunde muss angemessene Sorgfalt walten lassen, um unbefugten Zugriff auf die Dienste, die Dokumentation und das Arbeitsprodukt zu verhindern, aber keinesfalls weniger Sorgfalt walten zu lassen, als der Kunde zum Schutz seiner eigenen vertraulichen Informationen und Geschäftsgeheimnisse verwendet.

11.2 Die Kundendaten und andere Materialien, die vom Kunden als „vertraulich“ gekennzeichnet sind oder vernünftigerweise als vertrauliche Informationen anerkannt und OpenMethods gegenüber offengelegt werden sollten, können wertvolle Geschäftsgeheimnisse enthalten, die das alleinige Eigentum des Kunden sind.  OpenMethods muss angemessene Sorgfalt walten lassen, um zu verhindern, dass andere Parteien von diesen Geschäftsgeheimnissen erfahren, aber keinesfalls weniger Sorgfalt walten lässt, als OpenMethods zum Schutz seiner eigenen vertraulichen Informationen und Geschäftsgeheimnisse verwendet.

11.3 Die Abschnitte 12.1 und 12.2 gelten nicht für Informationen, die (i) gegenwärtig oder später ohne Handlung oder Unterlassung der empfangenden Partei (des „Empfängers“) allgemein bekannt oder verfügbar sind, (ii) dem Empfänger zum Zeitpunkt des Erhalts dieser Informationen bekannt sind, wie aus den Aufzeichnungen des Empfängers hervorgeht, (iii) dem Empfänger nachträglich von einem Dritten rechtmäßig und ohne Einschränkung der Offenlegung zur Verfügung gestellt werden oder (iv) gesetzlich offengelegt werden müssen, sofern die Partei, der die Informationen gehören, zuvor schriftlich über eine solche vorgeschlagene Offenlegung informiert wird.

11.4 Bei Kündigung aus irgendeinem Grund gibt die empfangende Partei auf Verlangen der offenlegenden Partei unverzüglich alle vertraulichen Informationen der offenlegenden Partei zurück, sofern jedoch keine der Parteien verpflichtet ist, die von der offenlegenden Partei empfangenen vertraulichen Informationen, die im routinemäßigen Backup-System der empfangenden Partei gespeichert sind, zurückzugeben, und in diesem Fall bleiben die Vertraulichkeitsverpflichtungen der empfangenden Partei in Bezug auf diese vertraulichen Informationen unbefristet bestehen.

 

12. Freistellung durch OpenMethods.

12.1 OpenMethods muss den Kunden, seine verbundenen Unternehmen und seine Direktoren, leitenden Angestellten und Mitarbeiter von allen Schäden freistellen, die dem Kunden im Rahmen eines Vergleichs endgültig zugesprochen oder vereinbart werden (einschließlich, jedoch nicht beschränkt auf angemessene Kosten und Anwaltskosten, die dem Kunden entstehen), die aus Klagen Dritter, Ansprüchen Dritter oder anderen rechtlichen Schritten Dritter entstehen, die besagen, dass die Nutzung der Dienste, der Dokumentation oder des Arbeitsprodukts durch den Kunden gegen ein Urheberrecht, ein Geschäftsgeheimnis oder ein US-Patent verstößt („Klage“).  OpenMethods muss auch die Verteidigung der Klage übernehmen.

12.2 OpenMethods ist jedoch nicht verpflichtet, rechtliche Schritte einzuleiten, die sich aus (i) einer Kombination der Dienste oder des Arbeitsprodukts mit Software oder Produkten ergeben, die nicht von OpenMethods bereitgestellt werden, (ii) einer Reparatur, Anpassung, Änderung oder Änderung der Dienste durch den Kunden oder einen Dritten oder (iii) einer Weigerung des Kunden, eine nicht verletzende Version der Dienste oder des von OpenMethods angebotenen Arbeitsprodukts zu installieren und zu verwenden.  In Abschnitt 4.2 (ii) und in diesem Abschnitt 12 wird die gesamte Haftung von OpenMethods für Verletzungen des geistigen Eigentums durch die Dienste oder das Arbeitsprodukt dargelegt.

12.3 Der Kunde muss OpenMethods spätestens 30 Tage nach Erhalt der ersten Benachrichtigung über eine Klage schriftlich über jegliche rechtliche Schritte informieren und OpenMethods Kopien aller Mitteilungen, Hinweise und/oder anderen Klagen im Zusammenhang mit der Klage übermitteln.  Der Kunde muss OpenMethods die alleinige Kontrolle über die Verteidigung rechtlicher Schritte geben, in Übereinstimmung mit den angemessenen Anweisungen von OpenMethods handeln und OpenMethods wie OpenMethods angemessen unterstützen, um einen solchen Anspruch zu verteidigen oder zu begleichen. OpenMethods muss seine Verteidigung jederzeit auf eine Weise durchführen, die den Interessen des Kunden nicht abträglich ist. Der Kunde kann sich bei einem solchen Anspruch an einen eigenen Anwalt wenden.  Der Kunde muss alle Kosten für die Einschaltung seines eigenen Rechtsbeistands tragen, es sei denn, die Einschaltung eines Rechtsbeistands ist aufgrund eines Interessenkonflikts mit OpenMethods oder seinem Rechtsbeistand erforderlich oder OpenMethods übernimmt nicht die Kontrolle über die Verteidigung.  Der Kunde darf keine rechtlichen Schritte ohne ausdrückliche schriftliche Zustimmung von OpenMethods schlichten oder kompromittieren. OpenMethods wird von seiner Freistellungsverpflichtung gemäß Ziffer 12 befreit, wenn der Kunde Ziffer 12.2 wesentlich nicht einhält.

 

13. Entschädigung durch den Kunden.

13.1 Der Kunde hat OpenMethods, seine verbundenen Unternehmen und seine Direktoren, leitenden Angestellten und Mitarbeiter von allen Schäden freizustellen, die OpenMethods endgültig zugesprochen oder im Rahmen eines Vergleichs vereinbart werden (einschließlich, jedoch nicht beschränkt auf angemessene Kosten und Anwaltskosten, die dem Kunden entstehen), die sich aus Klagen, Ansprüchen Dritter oder anderen Klagen Dritter (einschließlich, aber nicht beschränkt auf behördliche Untersuchungen, Beschwerden und Klagen) im Zusammenhang mit der Nutzung der Dienste oder des Arbeitsprodukts durch den Kunden ergeben (kollektiv der „Rechtsanspruch“).  Der Kunde muss auch die Verteidigung des Rechtsanspruchs übernehmen.

13.2 OpenMethods muss den Kunden spätestens 30 Tage nach Erhalt der ersten Benachrichtigung über einen Rechtsanspruch schriftlich über einen Rechtsanspruch informieren und Kopien aller Mitteilungen, Hinweise und/oder anderen Aktionen im Zusammenhang mit dem Rechtsanspruch an den Kunden übermitteln.  OpenMethods muss dem Kunden die alleinige Kontrolle über die Verteidigung eines Rechtsanspruchs geben, muss in Übereinstimmung mit den angemessenen Anweisungen des Kunden handeln und dem Kunden Hilfestellung geben, wie z. B. Anfragen des Kunden, um einen solchen Anspruch zu verteidigen oder zu begleichen. Der Kunde muss seine Verteidigung jederzeit auf eine Weise durchführen, die den Interessen von OpenMethods nicht abträglich ist. OpenMethods kann einen eigenen Rechtsbeistand heranziehen, der es bei derartigen Ansprüchen unterstützt.  OpenMethods muss alle Kosten für die Einschaltung seines eigenen Rechtsbeistands tragen, es sei denn, der Rechtsbeistand ist aufgrund eines Interessenkonflikts mit dem Kunden oder seinem Rechtsbeistand erforderlich oder der Kunde übernimmt nicht die Kontrolle über die Verteidigung.  OpenMethods darf Rechtsansprüche nicht ohne ausdrückliche schriftliche Zustimmung des Kunden lösen oder gefährden. Der Kunde wird von seiner Freistellungsverpflichtung gemäß Ziffer 13 befreit, wenn OpenMethods Ziffer 13.2 wesentlich nicht einhält.

 

14.         Öffentlichkeit.  OpenMethods kann den Kunden als Kunden angeben und das Logo des Kunden auf der OpenMethods-Website, in öffentlich zugänglichen Kundenlisten und in Medienmitteilungen verwenden.

 

15.         Sonstiges.

15.1 Diese Vereinbarung stellt zusammen mit der Zendesk-SSOW die gesamte Vereinbarung der Parteien dar und ersetzt alle vorherigen oder aktuellen schriftlichen oder mündlichen Vereinbarungen. 

15.2 Diese Vereinbarung darf nur in schriftlicher Form von den Parteien geändert oder auf Teile davon verzichtet werden.

15.3 Diese Vereinbarung unterliegt den Gesetzen von Kalifornien. Die Parteien erklären sich mit der ausschließlichen Zuständigkeit der Bundes- oder Bundesgerichte im US-Bundesstaat Kalifornien für alle Ansprüche im Zusammenhang mit dieser Vereinbarung einverstanden.

15.4 Der Kunde darf seine Rechte oder Verpflichtungen aus dieser Vereinbarung nicht ohne vorherige schriftliche Zustimmung von OpenMethods abtreten oder anderweitig übertragen.  OpenMethods darf eine solche Zustimmung nicht verweigern, wenn der Kunde seine Rechte und Pflichten an eine juristische Person abtritt, die das gesamte oder im Wesentlichen das gesamte Vermögen des Kunden erworben hat, oder an eine Abtretung, die Teil einer echten Unternehmensumstrukturierung ist.  Jede Zuweisung, die gegen diesen Abschnitt verstößt, ist ungültig.

15.5 Jede gemäß dieser Vereinbarung erteilte Kündigung bedarf der Schriftform und muss durch persönlichen Service oder durch beglaubigte US-Post, Rücksendebestätigung angefordert, Porto vorausbezahlt oder durch anerkannten Kurierdienst über Nacht an die Adresse erfolgen, die am Anfang dieser Vereinbarung erscheint oder durch schriftliche Mitteilung an die andere Partei geändert wurde. 

15.6 Der Kunde darf weder direkt noch indirekt Dienstleistungen, Dokumentationen, Arbeitsprodukte oder vertrauliche Informationen in Länder außerhalb der USA exportieren oder erneut exportieren, es sei denn, dies ist nach den USA zulässig. Exportverwaltungsvorschriften des Handelsministeriums.

15.7 Die in den USA bereitgestellten Dienste, Arbeitsprodukte und Dokumentationen. Behörden sind „kommerzielle Gegenstände“, wie dieser Begriff bei 48 C.F.R. 2.101, bestehend aus „Commercial Computer Software“ und „Commercial Computer Software Documentation“, im Sinne von 48 C.F.R. 12.212 bzw. 48 C.F.R.227.7202. Entspricht 48 C.F.R. 12.212 oder 48 C.F.R. 227.7202-1 bis 227.7202-4 werden kommerzielle Computersoftware und kommerzielle Computersoftwaredokumentation an U.S. Regierungsseitige Endbenutzer (a) nur als kommerzielle Gegenstände und (b) nur mit den Rechten, die allen anderen Endbenutzern gemäß den Bestimmungen dieser AGB gewährt werden (siehe FAR 12.212 und DFARS 227.7202-1(a), 227.7202-3(a), 227.7202-4).

15.8 OpenMethods hat auf eigene Kosten Versicherungspolicen der folgenden Art und Mindestbeträge zu beschaffen und während der Laufzeit in Kraft zu halten, wobei verantwortliche Versicherungsträger in den Staaten (Standorten), in denen die Dienste erbracht werden sollen, ordnungsgemäß qualifiziert sind und die Operationen von OpenMethods gemäß dieser Vereinbarung abdecken: kommerzielle allgemeine Haftung ($ 2.000.000 pro Vorkommen, $ 5.000.000 aggregiert); berufliche Haftung ($ 1.000.000 pro Vorkommen, $ 2.000.000 aggregiert); Arbeitnehmerentschädigung (gesetzliche Höchstbeträge) und Arbeitgeberhaftung ($ 500.000 pro Unfall); Fehler- und Unterlassungshaftung (und Cyber-Haftungsschutz ($ 2.000.000 aggregiert).  Solche Richtlinien schreiben vor, dass der Kunde mindestens dreißig (30) Kalendertage im Voraus schriftlich über eine Stornierung oder wesentliche Änderung informiert wird.  OpenMethods stellt dem Kunden auf Verlangen Versicherungsbescheinigungen aus, aus denen der gesamte oben genannte Versicherungsschutz hervorgeht.

 

DEFINITIONEN.

 

16.         Glossar:

„Kundendaten“ bezieht sich auf Benutzernamen und Erweiterungen von Agenten, die in der Servicedatenbank gespeichert sind.

„Dokumentation“ bezieht sich auf die von OpenMethods für die Nutzung der Dienste bereitgestellte Benutzerdokumentation in der regelmäßig aktualisierten Fassung.

„Dienste“ bezieht sich auf die gehostete Software, deren Funktionalität in der Zendesk-SSOW und in der Dokumentation beschrieben ist, auf alle von OpenMethods vorgenommenen Änderungen an der gehosteten Software sowie auf Feedback, Verbesserungen oder Erweiterungen, die für die gehostete Software vorgenommen oder vorgeschlagen wurden, nicht aber auf die Professional-Dienste.

„Professionelle Dienstleistungen“ bezieht sich auf Schulungen, Beratung, Entwicklung und andere professionelle Dienstleistungen, die in einem SOW identifiziert werden, nicht aber auf die Dienstleistungen.

„Zendesk“ bezeichnet Zendesk, Inc., ein Unternehmen aus Delaware, und alle seine verbundenen Unternehmen, die als Abrechnungsagenten für das Abonnement des vom Abonnenten bei OpenMethods im Rahmen dieser Vereinbarung bestellten OpenMethods-Dienstes gemäß einer zwischen dem Kunden und Zendesk durchgeführten Zendesk-SSOW fungieren.

„Zendesk SOW“ bezeichnet die Arbeitsanweisung oder ein ähnliches Auftragsdokument, das Zendesk dem Abonnenten ausstellt und in dem unter anderem der Abonnementplan, die Abonnementgebühren, die Abrechnung und der Abonnementzeitraum des Kunden im Rahmen dieser Vereinbarung aufgeführt sind.

 

 

 

Exponat A

Informationssicherheitsmaßnahmen von OpenMethods

 

1. Informationssicherheitsmaßnahmen

OpenMethods sichert zu, dass es wirtschaftlich vertretbare Anstrengungen unternimmt, um die unten aufgeführten Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, um alle vom Abonnenten bereitgestellten oder zur Verfügung gestellten Inhalte, Materialien, Daten (einschließlich personenbezogener Daten) und nichtöffentlichen Informationen (kollektiv „Daten“) sicher zu halten und Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen (siehe unten). Dabei handelt OpenMethods in gutem Glauben und mit angemessener Sorgfalt und Kompetenz.

 

2. Definitionen

„Verarbeitung“ bezieht sich auf jeden Vorgang in Bezug auf Daten, unabhängig von den Zwecken und Mitteln, die angewendet werden, einschließlich, jedoch nicht beschränkt auf Zugriff, Sammlung, Aufbewahrung, Speicherung, Weitergabe, Offenlegung, Verwendung, Löschung, Vernichtung und andere Vorgänge.

„Verletzung“ ist jede (a) unbefugte Verarbeitung von Daten oder (b) jede Handlung oder Unterlassung, die die physischen, technischen oder organisatorischen Sicherheitsvorkehrungen von OpenMethods in Bezug auf die Verarbeitung von Daten beeinträchtigt oder untergräbt oder anderweitig getroffen wird, um diese Anforderungen zu erfüllen. Zur Vermeidung von Zweifeln: „Nicht autorisierte Verarbeitung“ umfasst, ist aber nicht beschränkt auf: Missbrauch, Verlust, Zerstörung, Kompromittierung oder unbefugter Zugriff, Sammlung, Aufbewahrung, Speicherung oder Übertragung.

„Vorfall“ bezeichnet jede Beeinträchtigung der Sicherheit von Daten, einschließlich (i) Handlungen, die gegen Gesetze oder OpenMethods-Sicherheitsrichtlinien verstoßen, (ii) ungeplante Dienstunterbrechungen, die den normalen Betrieb der Dienste verhindern, oder (iii) Verstöße.

 

3. Maße: Technische und organisatorische Maßnahmen zur Speicherung, Handhabung und Entsorgung von und Daten.
   • OpenMethods verwendet branchenübliche Verschlüsselungsalgorithmen und Schlüsselstärken, um Folgendes zu verschlüsseln:
   • Verschlüsseln Sie alle Daten, die während der Übertragung über alle öffentlichen kabelgebundenen Netzwerke (d. h. Internet) und alle drahtlosen Netzwerke in elektronischer Form vorliegen.
   • Verschlüsseln Sie alle gespeicherten Daten. Der Begriff „im Speicher“ bezieht sich auf Informationen, die in Datenbanken, Dateisystemen und auf verschiedenen Online- und Offlinemedien (Mobilgeräte, Laptops, DASD, Tonband usw.) gespeichert sind.
   • Außer in Fällen, in denen dies gesetzlich verboten ist, entfernt OpenMethods Daten unverzüglich nach (a) Abschluss der Dienste oder (b) Antrag des Abonnenten (oder gegebenenfalls Zendesk) auf Entfernung aus der Umgebung von OpenMethods und vernichtet sie innerhalb eines angemessenen Zeitraums, in keinem Fall jedoch länger als 21 Tage nach dem Datum der Anforderung oder Einstellung der Dienste. OpenMethods stellt dem Abonnenten (und ggf. Zendesk) innerhalb von dreißig (30) Tagen nach diesem Zeitpunkt eine schriftliche Zertifizierung über die Entfernung, Vernichtung und/oder Reinigung aus.

4. Maße: Bösartiger Codeschutz.
   • Auf allen Workstations und Servern (virtuell oder physisch) wird die aktuelle Version der branchenüblichen Antiviren- und/oder Malware-Software mit den neuesten Updates ausgeführt, die auf allen Workstations und Servern verfügbar sind. Virusdefinitionen müssen unverzüglich nach der Veröffentlichung durch den Anbieter aktualisiert werden. OpenMethods konfiguriert Geräte und bietet unterstützende Richtlinien, die es Benutzern verbieten, Virenschutzsoftware zu deaktivieren, Sicherheitskonfigurationen zu ändern oder andere Schutzmaßnahmen zu deaktivieren, die zur Gewährleistung der Sicherheit von Daten oder der Rechenumgebung von OpenMethods getroffen wurden.
   • OpenMethods durchsucht eingehende und abgehende Inhalte auf allen Gateways zu öffentlichen Netzwerken, einschließlich E-Mail- und Proxy-Servern, auf bösartigen Code.
   • OpenMethods stellt Dateien, die als infiziert identifiziert wurden, unter Quarantäne oder entfernt sie und protokolliert das Ereignis.

5. Maße: Technische und organisatorische Maßnahmen zur Zugangskontrolle, insbesondere zur Kontrolle der Legitimität berechtigter Personen zu den Einrichtungen und Systemen, auf die Daten zugegriffen werden können:
   • OpenMethods stellt sicher, dass Maßnahmen zur Sicherung der Räumlichkeiten (z. B. Sicherung von Ein- und Ausgängen) sowie Maßnahmen innerhalb des Gebäudes mit den folgenden Verfahren ergriffen werden:
   • Sicherheit und Verschlüsselung aller Personalcomputer oder anderer Mobilgeräte, die auf Daten zugreifen können;
   • beschränkter Zugriff auf Mitarbeiter und Auftragnehmer mit Ausnahme autorisierter Besucher;
   • Identifizierung der Personen, die Zugriffsberechtigungen besitzen;
   • Beschränkung von Schlüsseln;
   • Besucherbücher (einschließlich Zeiterfassung) und
   • Sicherheitsalarmsystem oder andere geeignete Sicherheitsmaßnahmen.
   • OpenMethods entzieht dem Agenten innerhalb von 24 Stunden, nachdem er nicht mehr auf die Systeme oder Anwendungen zugreifen muss, den Zugriff auf physische Orte, Systeme und Anwendungen, die Daten enthalten oder verarbeiten.

 

6. Maße: Technische (Kennwort-/Kennwortschutz) und organisatorische (Benutzerstammdatensatz) Maßnahmen zur Identifizierung und Authentifizierung von Benutzern:

OpenMethods teilt dem Abonnenten auf seine begründete Anfrage mit, welche berechtigten Personen mit dem Zugriff auf die Daten betraut sind.

Die Benutzerkontrolle umfasst folgende Maßnahmen:

• beschränktes VPN-Profil;
• Implementierung der Zwei-Faktor-Authentifizierung

Die Zugriffskontrolle auf Daten umfasst folgende Maßnahmen:

• wirksame und gemessene Disziplinarmaßnahmen gegen Personen, die unbefugt auf Daten zugreifen.

7. Maße: Technische und organisatorische Maßnahmen zur Sicherheit der von OpenMethods genutzten Netzwerke (einschließlich drahtloser Netzwerke).

Alle Netzkontrollen müssen folgende Maßnahmen enthalten:

• OpenMethods führt in regelmäßigen Abständen interne und externe Netzwerkschwachstellenprüfungen durch. Die erkannten Schwachstellen werden in wirtschaftlich vertretbarer Weise und mit einem vom Schweregrad abhängigen Zeitraum behoben.
• OpenMethods wird für den Betrieb seiner Netzwerke eine angemessene Firewall-Technologie bereitstellen.
• Zumindest überprüft OpenMethods vierteljährlich die Firewall-Regelsätze, um sicherzustellen, dass Legacy-Regeln entfernt und aktive Regeln korrekt konfiguriert werden.
• OpenMethods wird Systeme zur Erkennung oder Verhinderung von Eindringlingen einrichten, um Netzwerke auf unangemessene Aktivitäten zu überwachen.
• OpenMethods muss eine Protokollmanagementlösung bereitstellen und Protokolle, die von Firewalls und Einbruchmeldesystemen erstellt werden, mindestens ein (1) Jahr lang aufbewahren.

Funknetzkontrollen müssen folgende zusätzliche Maßnahmen umfassen:

• Der Netzwerkzugriff auf drahtlose Netzwerke sollte auf autorisierte Benutzer beschränkt werden.
• Die Zugangspunkte sind über eine Gateway-Einrichtung von einem internen kabelgebundenen LAN zu segmentieren.
• Die Service-Set-Kennung (SSID), die Administrator-Benutzer-ID, das Kennwort und die Verschlüsselungsschlüssel müssen vom Standardwert geändert werden.
• Die Verschlüsselung aller drahtlosen Verbindungen wird mit Industriestandard-Verschlüsselungsalgorithmen ermöglicht. Verschlüsselungsprotokolle basieren auf „Wireless Protected Access“ (WPA2) oder höher.

 

8. Maße: OpenMethods bietet eine Incident-Reaktionsfunktion, mit der die Auswirkungen von Vorfällen erkannt, gemildert und die Wiederholung von Vorfällen verhindert werden kann. Wenn ein Vorfall eintritt, wird OpenMethods (i) unverzüglich alle erforderlichen Schritte unternehmen, um eine weitere Kompromittierung von Daten oder zukünftigen Vorfällen zu verhindern; (ii) den Abonnenten innerhalb von 24 Stunden nach Erkennung des Vorfalls benachrichtigen und innerhalb von drei (3) Tagen danach einen schriftlichen Bericht vorlegen; und (iii) unverzüglich auf jede vernünftige Anfrage des Abonnenten nach detaillierten Informationen zum Vorfall reagieren. OpenMethods-Hinweis und -Bericht enthalten eine Beschreibung der Art des Vorfalls, seiner Auswirkungen sowie aller eingeleiteten oder geplanten Untersuchungs-, Korrektur- oder Abhilfemaßnahmen.

 

9. Maße: Geschäftskontinuität und Disaster Recovery. OpenMethods hat dem Abonnenten einen wirtschaftlich vertretbaren und branchenüblichen Business-Continuity-Plan zur Verfügung gestellt, um die Verfügbarkeit des Dienstes aufrechtzuerhalten („Continuity-Plan“). Der Kontinuitätsplan umfasst und umfasst unter anderem folgende Elemente: (a) Krisenmanagement, Aktivierung von Plänen und Teams, Dokumentation zu Ereignis- und Kommunikationsprozessen, (b) Ereignismanagement, Wiederherstellung von Unternehmen, alternative Standorte und Tests von Aufrufbäumen, (c) Infrastruktur-, Technologie- und Systemdetails, Wiederherstellungsaktivitäten und Identifizierung der für diese Wiederherstellung erforderlichen Personen/Teams. OpenMethods behält diesen Kontinuitätsplan während der gesamten Laufzeit aller Abonnements bei, sofern OpenMethods das Recht hat, den Kontinuitätsplan zu ändern oder zu ändern, sofern diese Änderung oder Ergänzung keine wesentlichen negativen Auswirkungen auf die Fähigkeit von OpenMethods hat, die Verfügbarkeit des Dienstes aufrechtzuerhalten.

 

Auf Verlangen des Abonnenten nimmt OpenMethods wirtschaftlich vertretbare Änderungen an seinem Informationssicherheitsprogramm oder an den Verfahren und Praktiken im Rahmen dieses Programms vor, um die grundlegenden Sicherheitsanforderungen des Abonnenten zu erfüllen, die in allen einschlägigen Exponaten des Vertrags beschrieben sind und von Zeit zu Zeit bestehen. Der Abonnent hat OpenMethods Unterlagen zu diesen Baselines zur Verfügung zu stellen, die Teil der vertraulichen Informationen des Abonnenten im Rahmen dieser Vereinbarung sind. OpenMethods entwickelt für den Abonnenten einen schriftlichen Informationssicherheitsplan, der mindestens die in dieser Vereinbarung genannten Themen enthält.

 

Anlage B

Nachtrag zur Datenverarbeitung bei OpenMethods

 

Dieses Addendum zur Datenverarbeitung („DPA“) wird zwischen OpenMethods, Inc. („OpenMethods“ oder „Datenimportprogramm“) und der in der Zendesk-SSOW als Abonnent identifizierten juristischen Person („Kunde“ oder „Datenexportprogramm“) abgeschlossen und an die Allgemeinen Geschäftsbedingungen von OpenMethods („Vereinbarung“) angehängt. Die Parteien vereinbaren, dass diese Datenschutz-Grundverordnung in die Vereinbarung aufgenommen wird und Teil dieser Vereinbarung ist und den darin enthaltenen Bestimmungen unterliegt, einschließlich Haftungsbeschränkungen.

Diese Datenschutz-Grundverordnung legt die Bedingungen fest, unter denen OpenMethods personenbezogene Kundendaten vom Kunden empfangen und verarbeiten kann, und enthält die Standardvertragsklauseln. Wenn der Kunde Löschungen oder Änderungen an diesem DPA vornimmt, werden diese Löschungen oder Änderungen hiermit abgelehnt und ungültig, es sei denn, OpenMethods hat zugestimmt. Der Unterzeichner des Kunden sichert zu, dass er berechtigt ist, den Kunden an diese Datenschutz-Grundverordnung zu binden. Diese Datenschutz-Grundverordnung endet automatisch, wenn der Vertrag gekündigt wird oder wie zuvor gemäß den Bestimmungen dieser Datenschutz-Grundverordnung gekündigt.

Datenverarbeitungsbedingungen

1. Definitionen

„Anwendbares Datenschutzrecht“ bezeichnet alle weltweiten Datenschutzgesetze und -vorschriften, die auf die betreffenden personenbezogenen Daten anwendbar sind, einschließlich, soweit zutreffend, EU/UK-Datenschutzrecht.

„Personenbezogene Kundendaten“ bezieht sich auf alle Kundeninhalte, die personenbezogene Daten sind und durch anwendbare Datenschutzgesetze geschützt sind.

„EU/UK-Datenschutzrecht“ bedeutet: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („EU-DSGVO“); (ii) die DSGVO in der gemäß Abschnitt 3 des britischen EU-Gesetzes (Austritts-) 2018 und des britischen Datenschutzgesetzes 2018 (kollektiv „UK-DSGVO“) in britischem Recht gespeicherten Fassung; (iii) die e-Privacy-Richtlinie der EU (Richtlinie 2002/58/EG); (iv) das Schweizerische Bundesdatenschutzgesetz („Schweizerische Datenschutzbehörde“) und (v) alle anwendbaren nationalen Datenschutzgesetze, die im Rahmen, gemäß oder in Verbindung mit einem von (i), (ii) (iii) oder (iv) erlassen wurden; jeweils wie sie von Zeit zu Zeit geändert oder ersetzt werden können;

„OpenMethods-Tochterunternehmen“ „OpenMethods-Tochterunternehmen“ bezieht sich auf eine juristische Person, die direkt oder indirekt von OpenMethods kontrolliert wird oder von OpenMethods kontrolliert wird.

„Eingeschränkte Übermittlung“ bedeutet: (i) im Falle der EU-DSGVO eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das keiner Angemessenheitsfeststellung der Europäischen Kommission unterliegt; (ii) im Falle der UK-DSGVO eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den Angemessenheitsvorschriften gemäß Abschnitt 17A des United Kingdom Data Protection Act 2018 unterliegt; und (iii) im Falle der schweizerischen Datenschutz-Grundverordnung eine Übermittlung personenbezogener Daten aus der Schweiz in ein anderes Land, das von der Eidgenössischen Datenschutz- und Informationskommission oder dem Bundesrat (falls zutreffend) nicht als angemessener Schutz personenbezogener Daten eingestuft wird.

„Standardvertragsklauseln“: (i) in Fällen, in denen die EU-DSGVO oder die schweizerische Datenschutz-Grundverordnung (DSGVO) Anwendung finden, die Vertragsklauseln im Anhang zum Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 („EU SCCs“); und (ii) in Fällen, in denen die britische DSGVO Anwendung findet, Standarddatenschutzklauseln für Auftragsverarbeiter, die gemäß Artikel 46 Absatz 2 Buchstabe c oder d der britischen DSGVO (insbesondere dem Addendum für internationale Datenübertragungen zu den Standardvertragsklauseln der EU-Kommission) angenommen wurden („UK SCCs“), soweit gemäß Abschnitt 8 (Datenübermittlung) anwendbar.

„Sicherheitsvorfall“: jede unbefugte oder unrechtmäßige Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten des Kunden führt. Ein „Sicherheitsvorfall“ umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Kundendaten nicht beeinträchtigen, einschließlich erfolgloser Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

„Unterauftragsverarbeiter“ bezeichnet jeden Dritten (einschließlich OpenMethods-Tochterunternehmen), der von OpenMethods mit der Verarbeitung personenbezogener Kundendaten beauftragt wird (ausgenommen Mitarbeiter oder Auftragnehmer von OpenMethods).

Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Auftragsverarbeiter“ und „Verarbeitung“ haben die in den anwendbaren Datenschutzgesetzen festgelegte Bedeutung. Wenn und soweit anwendbare Datenschutzgesetze derartige Begriffe nicht definieren, gelten die Definitionen im EU/UK-Datenschutzrecht.

2. Rolle und Umfang der Verarbeitung

2.1 Die Parteien erkennen an, dass bei der Verarbeitung personenbezogener Kundendaten der Kunde der Verantwortliche ist und OpenMethods als Auftragsverarbeiter im Auftrag des Kunden personenbezogene Kundendaten verarbeitet.

2.2 OpenMethods verarbeitet personenbezogene Kundendaten nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden und verarbeitet personenbezogene Kundendaten nicht für eigene Zwecke, es sei denn, dies ist in dieser Datenschutz-Grundverordnung oder in den anwendbaren Gesetzen vorgeschrieben. Die Vereinbarung, einschließlich dieser Datenschutz-Grundverordnung, stellt zusammen mit der Konfiguration von Einstellungen oder Optionen in den Diensten (die der Kunde von Zeit zu Zeit ändern kann) die vollständigen und endgültigen Anweisungen des Kunden an OpenMethods in Bezug auf die Verarbeitung personenbezogener Daten des Kunden dar, einschließlich für die Zwecke der Standardvertragsklauseln. Zusätzliche Anweisungen, die nicht in den Geltungsbereich dieser Verarbeitungsanweisungen fallen, bedürfen der vorherigen schriftlichen Zustimmung der Parteien.

2.3 Jede Partei erfüllt ihre Verpflichtungen im Rahmen der anwendbaren Datenschutzgesetze in Bezug auf personenbezogene Kundendaten, die sie im Rahmen oder in Verbindung mit den Diensten oder dieser Datenschutz-Grundverordnung verarbeitet. Unbeschadet des Vorstehenden ist der Kunde dafür verantwortlich, zu bestimmen, ob die Dienste für die Speicherung und Verarbeitung personenbezogener Kundendaten im Sinne der anwendbaren Datenschutzgesetze sowie für die Genauigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten und der Mittel, mit denen er personenbezogene Kundendaten erfasst hat, geeignet sind. Der Kunde erklärt sich ferner damit einverstanden, dass er alle Zustimmungen, Berechtigungen und Rechte eingeholt hat, die OpenMethods und seine Unterauftragsverarbeiter zur rechtmäßigen Verarbeitung personenbezogener Kundendaten für die in der Vereinbarung vorgesehenen Zwecke (einschließlich dieser Datenschutz-Grundverordnung) benötigen.

2.4 OpenMethods benachrichtigt den Kunden unverzüglich, wenn er feststellt, dass die Anweisungen des Kunden gegen geltende Datenschutzvorschriften verstoßen (jedoch ohne Verpflichtung, die Einhaltung geltender Datenschutzvorschriften durch den Kunden aktiv zu überwachen). In diesem Fall ist OpenMethods erst dann zu einer solchen Verarbeitung verpflichtet, wenn der Kunde seine Verarbeitungsanweisungen aktualisiert hat und OpenMethods festgestellt hat, dass der Fall der Nichteinhaltung behoben ist.

2.5 Details zur Datenverarbeitung:

(a) Gegenstand: Gegenstand der Datenverarbeitung im Rahmen dieser Datenschutz-Grundverordnung sind die personenbezogenen Daten des Kunden.

(b) Dauer: Die Dauer der Verarbeitung zwischen dem Kunden und OpenMethods ist die Laufzeit des Vertrags zuzüglich eines Zeitraums nach Beendigung oder Ablauf des Vertrags, in dem OpenMethods personenbezogene Daten des Kunden gemäß dem Vertrag verarbeitet.

(c) Zweck: OpenMethods verarbeitet personenbezogene Daten des Kunden, soweit dies für die Erbringung der Dienste gemäß der Vereinbarung erforderlich ist, wie vom Kunden bei der Nutzung der Dienste weiter angewiesen.

d) Art der Verarbeitung: Bereitstellung der Dienste, wie in der Vereinbarung beschrieben und vom Kunden von Zeit zu Zeit eingeleitet.

(e) Arten personenbezogener Kundendaten. Personenbezogene Daten des Kunden, die im OpenMethods-Konto des Kunden in die Dienste hochgeladen werden.

(f) Kategorien der betroffenen Personen: Die betroffenen Personen können Mitarbeiter, Berater, Agenten und Dritte, die berechtigt sind, die Dienste als „Nutzer“ im OpenMethods-Konto des Kunden zu nutzen, sowie alle anderen betroffenen Personen sein, deren personenbezogene Daten vom Kunden über die Dienste an OpenMethods übermittelt werden.

 

3. Unterverarbeitung

3.1 Der Kunde erteilt OpenMethods die allgemeine Berechtigung, die Verarbeitung personenbezogener Kundendaten an einen Unterauftragsverarbeiter weiterzuverarbeiten, einschließlich der Unterauftragsverarbeiter, die unter https://OpenMethods.com/static/legal/OpenMethods-Current-Subprocessors-List.pdf (oder einer anderen Nachfolge-URL) aufgeführt sind („Unterauftragsverarbeiterliste“).

3.2Wenn OpenMethods einen neuen oder ersetzten Unterauftragsverarbeiter beauftragt,

a) die Unterauftragsverarbeiterliste aktualisieren;

(b) jedem Unterauftragsverarbeiter, den er einschaltet, im Wesentlichen die gleichen Datenschutzbestimmungen aufzuerlegen wie in dieser Datenschutz-Grundverordnung (einschließlich gegebenenfalls Datenübertragungsbestimmungen); und

(c) bleibt dem Kunden gegenüber haftbar für Verstöße gegen diese Datenschutz-Grundverordnung, die durch eine Handlung, einen Fehler oder ein Unterlassen des Unterauftragsverarbeiters verursacht werden.

3.3 Wenn der Kunde sich 10 Tage vor der Beauftragung eines neuen oder ersetzten Unterauftragsverarbeiters durch OpenMethods schriftlich benachrichtigen lässt, muss er diese Benachrichtigungen über das Kundenbenachrichtigungsportal abonnieren;

3.4 Der Kunde kann der Bestellung eines neuen oder ersetzten Unterauftragsverarbeiters durch OpenMethods innerhalb von dreißig (30) Tagen nach Erhalt der Benachrichtigung gemäß (3.2 (a) und aus vernünftigen Gründen, die mit der Fähigkeit des Unterauftragsverarbeiters zusammenhängen, die geltenden Datenschutzgesetze einzuhalten, unverzüglich schriftlich widersprechen. In diesem Fall müssen die Parteien die Bedenken des Kunden im Hinblick auf eine wirtschaftlich vertretbare Lösung in gutem Glauben erörtern. Wenn die Parteien keine solche Reach erreichen können, hat OpenMethods das Recht, nach eigenem Ermessen entweder den streitigen Unterauftragsverarbeiter nicht zu benennen oder dem Kunden zu gestatten, die betreffende Bestellung und/oder den Vertrag auszusetzen oder zu kündigen. Diese Verfahren sind ausschließliches Rechtsmittel des Kunden und die gesamte Haftung von OpenMethods für die Lösung der Einwände des Kunden gegen die Bestellung des Unterauftragsverarbeiters durch OpenMethods im Rahmen dieser Datenschutz-Grundverordnung.

 

4. Zusammenarbeit

4.1.OpenMethods arbeitet vernünftigerweise mit dem Kunden zusammen, um es dem Kunden zu ermöglichen, auf Anfragen, Beschwerden oder andere Mitteilungen von betroffenen Personen und Regulierungs- oder Justizbehörden in Bezug auf die Verarbeitung personenbezogener Kundendaten zu antworten, einschließlich Anfragen von betroffenen Personen, die ihre Rechte im Rahmen der anwendbaren Datenschutzgesetze ausüben möchten. Falls eine solche Anfrage, Beschwerde oder Kommunikation direkt an OpenMethods gerichtet wird, leitet OpenMethods, sobald festgestellt wurde, dass die Anfrage von einer betroffenen Person stammt oder sich auf diese bezieht, für die der Kunde verantwortlich ist, diese an den Kunden weiter und antwortet nicht ohne ausdrückliche Genehmigung des Kunden (es sei denn, dies ist zur Einhaltung der geltenden Gesetze erforderlich).

4.2 Soweit OpenMethods nach den anwendbaren Datenschutzgesetzen erforderlich ist, unterstützt OpenMethods den Kunden bei der Durchführung einer Datenschutz-Folgenabschätzung und konsultiert, sofern gesetzlich erforderlich, die zuständigen Datenschutzbehörden in Bezug auf jede vorgeschlagene Verarbeitungsaktivität, die ein hohes Risiko für die betroffene Person darstellt.

4.3 In Anbetracht der Art der Verarbeitung stimmt der Kunde zu, dass OpenMethods wahrscheinlich nicht davon Kenntnis erlangt, dass die im Rahmen der Standardvertragsklauseln übermittelten personenbezogenen Daten des Kunden ungenau oder veraltet sind. Wenn OpenMethods jedoch feststellt, dass die im Rahmen der Standardvertragsklauseln übermittelten personenbezogenen Daten des Kunden ungenau oder veraltet sind, informiert es den Kunden unverzüglich. OpenMethods arbeitet vernünftigerweise mit dem Kunden zusammen, um ungenaue oder veraltete personenbezogene Kundendaten zu löschen oder zu berichtigen, die im Rahmen der Standardvertragsklauseln übermittelt werden.

 

5. Datenzugriff und Sicherheitsmaßnahmen

5.1 OpenMethods stellt sicher, dass das mit der Verarbeitung personenbezogener Kundendaten beauftragte Personal einer angemessenen Vertraulichkeitsverpflichtung unterliegt (ob vertraglich oder gesetzlich) und dass es personenbezogene Kundendaten nur zum Zweck der Bereitstellung der Dienste verarbeitet.

5.2 OpenMethods implementiert und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen, um personenbezogene Kundendaten vor Sicherheitsvorfällen gemäß den in Zeitplan 2 aufgeführten Maßnahmen zu schützen („Sicherheitsmaßnahmen“). Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt unterliegen und dass OpenMethods die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, sofern diese Aktualisierungen und Änderungen die allgemeine Sicherheit der Dienste nicht beeinträchtigen oder beeinträchtigen.

 

6. Sicherheitsvorfälle

Im Falle eines Sicherheitsvorfalls informiert OpenMethods den Kunden unverzüglich und teilt ihm schriftlich Einzelheiten zum Sicherheitsvorfall mit, einschließlich der Art der betroffenen Daten und der Identität der betroffenen Person(en), sobald diese Informationen OpenMethods bekannt werden oder zur Verfügung stehen. OpenMethods stellt dem Kunden so weit wie möglich zeitnah Informationen und Zusammenarbeit bereit, damit er seinen Meldepflichten bei Datenschutzverletzungen im Rahmen der anwendbaren Datenschutzgesetze nachkommen kann, und unternimmt angemessene Schritte, um die Auswirkungen des Sicherheitsvorfalls zu beheben oder zu minimieren. Die Verpflichtungen in dieser Vereinbarung gelten nicht für Sicherheitsvorfälle, die durch den Kunden oder seine Benutzer verursacht werden.

 

7. Sicherheitsberichte und Inspektionen

7.1 OpenMethods stellt auf Anfrage Kopien aller Zertifizierungen, Auditberichtzusammenfassungen und/oder anderer relevanter Unterlagen bereit, die sich im Besitz des Unternehmens befinden, sofern der Kunde dies nach vernünftigem Ermessen verlangt, um die Einhaltung dieser Datenschutz-Grundverordnung durch OpenMethods zu überprüfen.

7.2 Zwar beabsichtigen die Parteien in der Regel, sich bei der Überprüfung der Einhaltung dieser Datenschutz-Grundverordnung durch OpenMethods nach einem bestätigten Sicherheitsvorfall oder wenn eine Datenschutzbehörde dies vorschreibt, auf die in Abschnitt 7.1 dargelegten Verpflichtungen von OpenMethods zu verlassen, aber der Kunde kann OpenMethods dreißig (30) Tage im Voraus schriftlich informieren und einen Dritten auffordern, die Betriebsabläufe und Einrichtungen von OpenMethods zu überprüfen („Audit“), sofern (i) Audits auf Kosten des Kunden durchgeführt werden; (ii) die Parteien Umfang, Zeitpunkt und Dauer des Audits einvernehmlich vereinbaren; (iii) sich das Audit nicht unangemessen auf den regulären Betrieb von OpenMethods auswirkt.

7.3 Schriftliche Antworten oder Audits, die in diesem Abschnitt 7 beschrieben sind, unterliegen den Vertraulichkeitsbestimmungen der Vereinbarung. Die Parteien kommen überein, dass die in Abschnitt 8.9 der SCC der EU beschriebenen Audits gemäß diesem Abschnitt 7 (Sicherheitsberichte und Anweisungen) durchgeführt werden.

 

8. Datentransfers

8.1 Personenbezogene Daten von Kunden, die OpenMethods im Rahmen der Vereinbarung verarbeitet, können in jedem Land verarbeitet werden, in dem OpenMethods, seine Tochterunternehmen und Unterauftragsverarbeiter Einrichtungen zur Erbringung der Dienste unterhalten (siehe Unterauftragsverarbeiterliste). OpenMethods darf keine personenbezogenen Daten von Kunden außerhalb des EWR, der Schweiz oder Großbritanniens verarbeiten oder übertragen (und die Verarbeitung oder Übertragung solcher Daten nicht zulassen), es sei denn, es ergreift zuvor die Maßnahmen, die erforderlich sind, um sicherzustellen, dass die Übertragung im Einklang mit diesem EU/UK-Datenschutzgesetz erfolgt.

8.2 Die Parteien vereinbaren, dass die Übermittlung personenbezogener Kundendaten von Kunden an OpenMethods durch

(a) für die Übermittlung personenbezogener Kundendaten, die der DSGVO oder der schweizerischen Datenschutz-Grundverordnung (DSGVO) unterliegen, die SCC der EU, die die Parteien hiermit eingehen und in diese Datenschutz-Grundverordnung aufnehmen, oder

(b) für die Übermittlung personenbezogener Kundendaten, die der britischen DSGVO unterliegen, die SCCs des Vereinigten Königreichs, die die Parteien hiermit eingehen und in diese Datenschutz-Grundverordnung aufnehmen.

8.3 Für die Zwecke der Standardvertragsklauseln gelten die einschlägigen Anhänge, Anhänge oder Tabellen als mit den in Anhang I aufgeführten relevanten Informationen ausgefüllt. Falls eine Bestimmung dieser Datenschutz-Grundverordnung direkt oder indirekt mit den Standardvertragsklauseln widerspricht, haben die Standardvertragsklauseln Vorrang.

8.4Wenn OpenMethods einen alternativen rechtmäßigen Datenexportmechanismus für die Übermittlung personenbezogener Daten einführt, der in dieser Datenschutz-Grundverordnung nicht beschrieben ist („Alternativer Übermittlungsmechanismus“), gilt anstelle eines in dieser Datenschutz-Grundverordnung beschriebenen anwendbaren Übermittlungsmechanismus der alternative Übermittlungsmechanismus (allerdings nur in dem Umfang, in dem dieser alternative Übermittlungsmechanismus mit dem EU/UK-Datenschutzrecht vereinbar ist und sich auf die Gebiete erstreckt, in die die relevanten personenbezogenen Kundendaten übermittelt werden).

 

9. Löschung und Rückgabe

9.1 Auf Anfrage des Kunden oder nach Beendigung oder Ablauf dieser Datenschutzerklärung wird OpenMethods alle personenbezogenen Daten des Kunden, die sich in seinem Besitz befinden, in Übereinstimmung mit den aktuellen Datenlöschungsfristen und -richtlinien von OpenMethods vernichten oder an den Kunden zurückgeben, die jederzeit vom Kunden angefordert werden können. Diese Anforderung gilt nicht, soweit OpenMethods nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Kundendaten aufzubewahren, oder für personenbezogene Kundendaten, die in Backup-Systemen archiviert sind und die OpenMethods isoliert und vor einer weiteren Verarbeitung schützt, es sei denn, dies ist gesetzlich vorgeschrieben. Die Parteien vereinbaren, dass die in den Abschnitten 8.5 und 16.(d) EU-Datenschutz-Grundverordnung beschriebene Zertifizierung der Löschung personenbezogener Daten durch OpenMethods dem Kunden nur auf schriftliche Anfrage des Kunden erteilt wird.

 

10. California Consumer Privacy Act (CCPA)

10.1 Soweit der Kunde Benutzer der Dienste hat, die in den USA im Bundesstaat Kalifornien ansässig sind, und die CCPA anwendbar ist, gelten die Bestimmungen in diesem Abschnitt 10 für diese DPA.

10.2 Die Begriffsbestimmungen in Abschnitt 1 dieses DPA werden wie folgt geändert:

(a) „CCPA“ bezieht sich auf den California Consumer Privacy Act, Cal. Civ. Code § 1798.100 ff.

b) Der Begriff „Unternehmen“ hat die im CCPA festgelegte Bedeutung.

c) Der Begriff „Dienstanbieter“ hat die im CCPA angegebene Bedeutung.

10.3 Für die Zwecke, in denen personenbezogene Daten des Kunden „personenbezogene Informationen“ im Sinne der CCPA darstellen, ist der Kunde ein Unternehmen und OpenMethods ein Dienstanbieter. Die Übertragung personenbezogener Kundendaten an OpenMethods durch den Kunden ist kein Verkauf, und OpenMethods stellt dem Kunden im Austausch für personenbezogene Daten keine finanzielle oder andere wertvolle Gegenleistung bereit.

10.4 OpenMethods verpflichtet sich, alle anwendbaren Anforderungen der CCPA zu erfüllen, und wenn und in dem zwischen dem Kunden und OpenMethods schriftlich vereinbarten Umfang, wie in dieser DPA festgelegt.

10.5 Wie auf die Dienste anwendbar, unterstützt OpenMethods den Kunden in angemessener Weise bei der Beantwortung (auf Kosten des Kunden) von Anfragen einer betroffenen Person (einschließlich „nachweisbarer Verbraucheranfragen“, wie dieser Begriff in der CCPA definiert ist) in Bezug auf die Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung.

 

11. Allgemein

11.1 Abgesehen von den in dieser Datenschutz-Grundverordnung vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft. Wenn es einen Konflikt zwischen einer Bestimmung in dieser Datenschutz-Grundverordnung und einer Bestimmung in der Vereinbarung gibt, hat diese Datenschutz-Grundverordnung Vorrang. Mit Wirkung zum Inkrafttreten ist diese Datenschutz-Grundverordnung Teil der Vereinbarung und wird in sie aufgenommen.

11.2 Diese Datenschutz-Grundverordnung schränkt in keinem Fall die Rechte einer betroffenen Person oder einer zuständigen Aufsichtsbehörde ein.

11.3 Jegliche Ansprüche oder Rechtsbehelfe, die der Kunde gegenüber OpenMethods, seinen Mitarbeitern, Agenten und Unterauftragsverarbeitern hat und die sich aus oder in Verbindung mit dieser DPA (einschließlich der Standardvertragsklauseln) ergeben, ob vertraglich, unerlaubt oder aufgrund einer anderen Haftungstheorie, unterliegen im gesetzlich zulässigen Rahmen den Haftungsbeschränkungen und -ausschlüssen im Vertrag. Dementsprechend bezieht sich jeder Verweis im Vertrag auf die Haftung einer Partei auf die Gesamthaftung dieser Partei im Rahmen und in Verbindung mit dem Vertrag und dieser Datenschutz-Grundverordnung.

11.4 Diese Datenschutz-Grundverordnung darf nur durch eine von beiden Parteien unterzeichnete schriftliche Vereinbarung geändert werden.

11.5 Diese Datenschutz-Grundverordnung unterliegt den geltenden Gesetzen und Gerichtsstandsbestimmungen in der Vereinbarung und ist in Übereinstimmung mit ihnen auszulegen, es sei denn, dies wird durch anwendbare Datenschutzgesetze oder die Standardvertragsklauseln vorgeschrieben.

11.6 Wenn ein Teil dieser Datenschutz-Grundverordnung nicht durchsetzbar ist, wird die Gültigkeit aller übrigen Teile nicht berührt.

 

ANHANG I

A. PARTEIENLISTE

MODUL 2: Controller an Prozessor übergeben

Datenexportprogramm(e):

Name: Entität, die in dieser Datenschutz-Grundverordnung als „Kunde“ ausgewiesen ist.

Adresse: Adresse des Kunden, der mit seinem OpenMethods-Konto verknüpft oder anderweitig in der Datenschutz-Grundverordnung oder der Vereinbarung angegeben ist.

Name, Position und Kontaktdaten der Kontaktperson: Kontaktdaten, die mit dem Konto des Kunden verknüpft oder in dieser Datenschutz-Grundverordnung oder der Vereinbarung anderweitig angegeben sind.

Aktivitäten, die für die im Rahmen dieser Klauseln übermittelten Daten relevant sind: Die in Anhang 1 Buchstabe B aufgeführten Tätigkeiten.

Rolle (Verantwortlicher/Auftragsverarbeiter): Controller

Datenimportprogramm(e):

Name: OpenMethods, Inc. („OpenMethods“)

Adresse: 1100 Main St., Suite 400, Kansas City, Vereinigte Staaten, 64105 (Karte anzeigen)

Name, Position und Kontaktdaten der Kontaktperson: Shannon Lekas, privacy@OpenMethods.com (Daten und Compliance)

Aktivitäten, die für die im Rahmen dieser Klauseln übermittelten Daten relevant sind: Die in Anhang 1 Buchstabe B aufgeführten Tätigkeiten.

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

 

B. BESCHREIBUNG DER WEITERLEITUNG

MODUL 2: Controller an Prozessor übergeben

Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden: Kundenmitarbeiter, Berater, Agenten und autorisierte Dritte, die Dienste als „Benutzer“ im OpenMethods-Konto des Kunden zu nutzen, sowie alle anderen betroffenen Personen, deren personenbezogene Daten vom Kunden über die Dienste an OpenMethods übermittelt werden.

Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden: Name, E-Mail-Adresse und andere personenbezogene Daten, die der Kunde über die Dienste einreicht, einschließlich als Kundeninhalte

Übertragene sensible Daten (falls zutreffend) und angewendete Beschränkungen oder Sicherheitsvorkehrungen, die der Art der Daten und den damit verbundenen Risiken voll Rechnung tragen, wie z. B. strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die an einer speziellen Schulung teilgenommen haben), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für die Weiterleitung oder zusätzliche Sicherheitsmaßnahmen: Keine; laut der OpenMethods-Nutzungsrichtlinie nicht zulässig.

Häufigkeit der Übermittlung (z. B. einmalige oder kontinuierliche Übermittlung): Personenbezogene Daten des Kunden können kontinuierlich oder einmalig übertragen werden, je nachdem, wie der Kunde die Dienste nutzt und welche Verarbeitungsanweisungen er hat.

Zweck(e) der Datenübertragung und Weiterverarbeitung: OpenMethods kann die Dienste, die dem Datenexporteur gemäß der Vereinbarung bereitgestellt werden, bereitstellen, pflegen und verbessern.

Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, Kriterien für die Festlegung dieses Zeitraums: OpenMethods speichert personenbezogene Kundendaten bis zu 180 Tage nach Beendigung oder Ablauf des Vertrags. Geben Sie bei der Übermittlung an (Unter-)Auftragsverarbeiter auch Gegenstand, Art und Dauer der Verarbeitung an.

Dauer: Dauer der Vereinbarung plus Zeitraum nach Beendigung oder Ablauf der Vereinbarung, in dem OpenMethods personenbezogene Kundendaten gemäß der Vereinbarung verarbeitet.

Betreff: Gegenstand der Datenverarbeitung im Rahmen dieser Datenschutz-Grundverordnung sind die personenbezogenen Daten des Kunden.

Art der Verarbeitung: Bereitstellung der Dienste, wie in der Vereinbarung beschrieben und vom Kunden von Zeit zu Zeit eingeleitet.

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

MODUL 2: Controller an Prozessor übergeben

Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Absatz 13 Die zuständige Aufsichtsbehörde des Datenexporteurs wird im Einklang mit der DSGVO bestimmt.

 

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

MODUL 2: Controller an Prozessor übergeben

Zum Schutz personenbezogener Daten setzt OpenMethods folgende technische und organisatorische Maßnahmen ein:

• Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Maßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten
• Maßnahmen, die sicherstellen, dass bei einem physischen oder technischen Vorfall die Verfügbarkeit und der Zugriff auf personenbezogene Daten zeitnah wiederhergestellt werden können
• Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
• Maßnahmen zur Identifizierung und Autorisierung von Benutzern Maßnahmen zum Schutz der Daten bei der Übertragung
• Maßnahmen zum Schutz der Daten bei der Speicherung
• Maßnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden
• Maßnahmen zur Sicherstellung der Ereignisprotokollierung
• Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich Standardkonfiguration
• Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung
• Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten
• Maßnahmen zur Datenminimierung
• Maßnahmen zur Sicherstellung der Datenqualität
• Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
• Maßnahmen zur Gewährleistung der Rechenschaftspflicht
• Maßnahmen zur Gewährleistung der Datenübertragbarkeit und Löschung

Die technischen und organisatorischen Maßnahmen, die das Datenimportprogramm Unterauftragsverarbeitern auferlegt, sind in der Datenschutz-Grundverordnung beschrieben.

 

ANHANG III

Standardvertragsklauseln

A) Vorbehaltlich des Abschnitts 8.2 dieses DPA wird die Übermittlung personenbezogener Kundendaten an OpenMethods, wenn es sich um eine beschränkte Übermittlung handelt und die DSGVO oder das schweizerische DPA vorschreiben, dass angemessene Sicherheitsvorkehrungen getroffen werden, von den SCCs der EU wie folgt geregelt:

i. i) Modul 2 (für die Verarbeitung Verantwortlicher an Auftragsverarbeiter) gilt;

ii. ii) In Abschnitt 7 (Dockingklausel) gilt die optionale Andockklausel;

iii. iii) In Abschnitt 9 (Verwendung von Unterauftragsverarbeitern) findet Option 2 Anwendung und die Frist für die vorherige Benachrichtigung über Änderungen an Unterauftragsverarbeitern ist in Abschnitt 3.2 dieses DPA festgelegt;

iv. iv) In Klausel 11 (Rechtsbehelf) findet die fakultative Sprache, nach der betroffene Personen Beschwerden bei einer unabhängigen Stelle zur Beilegung von Streitfällen einreichen können, keine Anwendung;

v. v) in Abschnitt 17 (Anwendungsrecht) findet Option 1 Anwendung, und die SCC der EU unterliegen niederländischem Recht;

vi. vi) in Paragraf 18 Buchstabe b (Wahl des Gerichtsstands) werden Streitigkeiten vor den Gerichten in Amsterdam, Niederlande, beigelegt; und

B) Wenn die Übertragung personenbezogener Kundendaten an OpenMethods eine beschränkte Übertragung ist und die britische DSGVO angemessene Sicherheitsvorkehrungen vorschreibt, gelten die britischen SCCs gemäß Absatz a).

Ausstellung 2 – OpenMethods Deliverables

AUSSTELLUNG C 

KUNDENPROJEKTNAME

ARBEITSBESCHREIBUNG (SOW)

ZEILENNUMMER: 08102024-000

VERSION: 1.0

EINFÜHRUNG

OpenMethods freut sich, dem in der Zendesk-Arbeitsbeschreibung oder einer ähnlichen Vereinbarung, der diese Arbeitsbeschreibung beigefügt ist, genannten Abonnenten („Client“) diese Arbeitsbeschreibung als Beschreibung der Dienstleistungen zur Verfügung zu stellen, die zur Nutzung der Experience Cloud-Lösung in der Umgebung des Kunden im Sinne dieser Arbeitsbeschreibung und/oder der zugehörigen OpenMethods-Verkaufsbestellung (falls zutreffend) erforderlich sind. 

Diese Arbeitsbeschreibung wird unter Bezugnahme auf die Allgemeinen Geschäftsbedingungen von OpenMethods sowie auf alle Exponate, Zeitpläne, Anhänge, Arbeitsanweisungen (einschließlich, jedoch nicht beschränkt auf diese Arbeitsbeschreibung) und Änderungen derselben („Vereinbarung“) erstellt.  Alle in dieser Arbeitsbeschreibung verwendeten Begriffe, die hier nicht anders definiert sind, sind in der Vereinbarung definiert.

ÜBERBLICK

In dieser Arbeitsanweisung (SOW) werden die Anforderungen, der Umfang und die Aktivitäten beschrieben, die erforderlich sind, um die Experience Cloud für die Verwendung in der Kundenumgebung zu konfigurieren. Im Rahmen dieses Projekts wird OpenMethods:

• Provision lizenzierte Lösung.
• Experience Designer PopFlows erstellen, testen und bereitstellen.
• Support Client bei Benutzerakzeptanztests und Go-Live-Aktivitäten.
• Führen Sie lösungsbezogene Schulungen durch.

Umgebungsübersicht

Definitionen

Die Lösungen von OpenMethods oder ihre verschiedenen Hauptkomponenten werden wie folgt bezeichnet:

1. Experience Cloud – das primäre webbasierte Portal zur Verwaltung der OpenMethods-Lösung und ihrer verschiedenen Komponenten.
2. Experience Designer – eine Benutzeroberfläche in der Experience Cloud, die es Administratoren ermöglicht, PopFlows zu entwerfen, zu testen und zu veröffentlichen, die die mit einer Interaktion verknüpften Agentenaktivitäten im CRM orchestrieren.

Aktivitäten

Die Bereitstellung der OpenMethods-Lösung ist auf die unten aufgeführten Ziele beschränkt. Es liegt in der Verantwortung des identifizierten Inhabers jedes Ziels, jeden Schritt durchzuführen (siehe Anhang A). 

• Bereitstellung (OpenMethods): OpenMethods stellt die Experience Cloud bereit, um die Umgebung und die Geschäftsanforderungen des Supports wie in dieser Arbeitsbeschreibung definiert zu unterstützen.
• Ressourcen- und Rollenzuweisung (OpenMethods): OpenMethods arbeitet mit dem Client an den grundlegenden Onboarding- und Konfigurationsanforderungen der OpenMethods-Lösung und stellt Informationen zu diesen Anforderungen bereit.
• Vorbereiten (Client): Der Kunde konfiguriert und gewährt Zugriff (Benutzerkonto) auf seine Umgebung, wenn dies erforderlich ist, um die Anforderungen dieser Arbeitsanweisung zu erfüllen. Dazu gehört auch die Installation der App „Experience Cloud“ – die ab sofort im ZenDesk App Marketplace verfügbar ist.
• PopFlows erstellen (OpenMethods): OpenMethods ist für die Erstellung von PopFlows verantwortlich (siehe Abschnitt „PopFlow Design and Creation“ in dieser Arbeitsanweisung).
• Validierungstest (OpenMethods): Sobald die Lösung aktiviert ist und PopFlows erstellt wurden, stellt OpenMethods sicher, dass die Lösung gemäß den Spezifikationen funktioniert.
• Benutzerakzeptanztest (Client): Der Client führt eine UAT durch und meldet alle erkannten Probleme. Gemeldete Probleme werden nach Kritikalität sortiert und je nach Kritikalität vor oder nach dem Go-Live gelöst. Der Kunde ist verantwortlich für die Erstellung aller für seinen UAT-Prozess erforderlichen Testskripts oder -verfahren.
• Schulung (OpenMethods): OpenMethods ist für die Schulung des Kunden in der Verwendung, Konfiguration und Verwaltung der OpenMethods-Lösung verantwortlich. Diese Schulung umfasst Folgendes: 
  • PopFlow-Benutzerschulung – vermittelt einem Agenten, wie er richtig mit PopFlows interagiert und sie verwendet. Daher wird die Sitzung als „train-the-trainer“-Schulung angeboten, damit die Schulungsorganisation des Kunden seine Agenten entsprechend den Projektzeiten schulen kann. Diese Schulung dauert in der Regel 2 Stunden.
  • Schulung zur Cloud-Administration – Diese Schulung konzentriert sich auf die Administration, Pflege und Fütterung der OpenMethods-Lösung aus technischer Sicht. Diese Schulung dauert in der Regel 2 Stunden.
  • Experience Designer Training – Diese Schulung konzentriert sich auf die Verwendung des Experience Designers. Sie ist für alle Benutzer gedacht, die für die Erstellung, Wartung, Tests und Einführung von PopFlows verantwortlich sind. Diese Schulung ist in der Regel in mehrere Schulungen mit einer Gesamtschulungszeit von <16 Stunden> unterteilt.
• Go-Live (Client/OpenMethods): OpenMethods unterstützt den Kunden beim Aktivieren der Lösung. Das OpenMethods Project Management Office (PMO) bleibt nach dem Go-Live noch 10 Tage lang aktiv, um sich auf die Umstellung auf Customer Care und Success vorzubereiten.
• Sorgfalt und Erfolg (OpenMethods): OpenMethods wird ein formelles Meeting abhalten, um geeignete Kundenmitarbeiter mit den Kundenservice- und Success-Teams von OpenMethods vertraut zu machen und sicherzustellen, dass sie mit den Prozessen und Anforderungen für die Inanspruchnahme von Support vertraut sind.

PopFlow-Design und -Erstellung

Automatisierungen, die durch die OpenMethods-Lösung erleichtert werden, erfordern ein agentenspezifisches Auslöseereignis, um die Automatisierung zu starten (z. B. Agent, der auf eine Schaltfläche klickt, Agent, der ein Telefon/E-Mail/Chat beantwortet, Agent, der Felddaten in CRM eingibt oder ändert usw.). Der Kunde stellt alle erforderlichen Auslösemechanismen bereit und konfiguriert sie, um Automatisierungen auszulösen, wie in der OpenMethods-Dokumentation „OpenConnect API“ oder wie beim Projektstart definiert. Der Kunde stellt API-Dokumentation (Application Programming Interface) sowie Konnektivität und Zugriff bereit, die für alle in dieser Arbeitsanweisung beschriebenen Dienste oder Anwendungen erforderlich sind. Die Funktionen der OpenMethods-Lösung können durch die von bereitgestellten APIs von Drittanbietern bereitgestellte Funktionalität eingeschränkt sein.

Die folgenden PopFlows werden im Rahmen dieses Projekts erstellt und bereitgestellt. Weitere Anwendungsfälle und/oder PopFlow-Design-, -Erstellungs- oder -Implementierungsarbeiten fallen nicht in den Geltungsbereich dieses Projekts und werden in einer separaten Arbeitsanweisung behandelt.

<UMFANG HIER> EINFÜGEN

Projektbeschränkungen und -annahmen

1. Der Kunde ist verantwortlich für alle Anforderungen an die Site-Bereitschaft und dafür, dass sie gemäß dem Paket „OpenMethods Client Readiness“ erfüllt werden.
2. Client ist dafür verantwortlich, einer verfügbaren Ressource auf Administratorebene Zugriff auf die erforderlichen CRM Instanzen zu gewähren.
3. Der Kunde ist verantwortlich für die Bereitstellung von „Test“-Konten für Validierungstests. Alle Anmeldedaten müssen auf sichere Weise übermittelt werden (z. B. Zoom Chat, Slack mit Löschung, E-Mail nicht zulässig).
4. Der Client ist verantwortlich für die sichere Verbindung zu den OpenMethods-Diensten. 
5. Der Kunde verpflichtet sich, die in „Anhang A“ definierten Stakeholder-Rollen zu erfüllen, und versteht, dass sie für eine erfolgreiche Implementierung erforderlich sind. 
6. Der Kunde erkennt an, dass einige oder alle der erforderlichen Lösungen als angepasste Konfiguration (hierin als „Custom Services“ bezeichnet) geliefert werden können, um die in dieser Arbeitsbeschreibung beschriebenen spezifischen Anforderungen zu erfüllen, und dass:  

a. alle im Rahmen dieses Projekts erstellten angepassten Dienste werden auf der Grundlage des Ist-Zustands bereitgestellt. OpenMethods garantiert für einen Zeitraum von 60 Tagen, dass die Implementierung frei von Materialfehlern ist. Danach gibt OpenMethods keine Garantien oder Gewährleistungen bezüglich der langfristigen Funktionalität, Kompatibilität oder Leistung des betreffenden Service-Assets. 

b. Obwohl die angepassten Dienste unter Verwendung veröffentlichter APIs und Schnittstellen in integrierten Diensten konzipiert wurden, müssen sie möglicherweise geändert oder aktualisiert werden, um mit zukünftigen Aktualisierungen oder Änderungen an der von OpenMethods bereitgestellten Software oder an integrierten APIs oder Diensten von Drittanbietern kompatibel zu bleiben. OpenMethods ist nicht verantwortlich für die Unterstützung oder Wartung angepasster Konfigurationen, die aufgrund solcher Aktualisierungen veraltet oder inkompatibel sind. OpenMethods bietet dem Kunden nur nach besten Kräften fortlaufenden Support für die Produkte und ist nicht verpflichtet, Mängel zu beheben, die ihm nach Ablauf der Gewährleistungsfrist gemeldet werden. Änderungs-, Aktualisierungs- oder Support für veraltete angepasste Konfigurationen unterliegen einer separaten Arbeitsanweisung und können mit zusätzlichen Gebühren verbunden sein.     

7. de unterliegt einer separaten Arbeitsanweisung und kann mit zusätzlichen Gebühren verbunden sein.

Gebühren für Professional-Services

Die in dieser Arbeitsvereinbarung aufgeführten Gebühren für den Professional-Service gelten 90 Tage ab der erstmaligen SOW-Lieferung an den Kunden und sind innerhalb von 30 Tagen nach Ausführung dieser Arbeitsvereinbarung fällig. Dieses Onboarding Service Pack läuft 6 Monate ab dem Startdatum des Abonnements ab.

Der Kunde autorisiert OpenMethods, Professional Services zu erbringen und dem Kunden diese Professional Services über Zendesk in Rechnung zu stellen, wie in dieser Arbeitsbeschreibung festgelegt. Diese OpenMethods-Arbeitsanweisung tritt mit dem Datum in Kraft, an dem der Kunde und Zendesk die Zendesk-SOW (oder ein ähnliches Bestelldokument) ausführen, an die diese OpenMethods-Arbeitsanweisung angehängt ist.

 

ANLAGE A – ANFORDERUNGEN AN DIE INTERESSENTRÄGER

 

Exponat 11 

MASTER SERVICES AGREEMENT

Unter Berücksichtigung der hierin enthaltenen gegenseitigen Zusagen, Vereinbarungen und Verträge vereinbaren die Parteien, dass die Geschäftsbeziehung durch Folgendes geregelt wird:

1. Gegenstand dieses Vertrags ist die Bereitstellung von Dienstleistungen durch das Unternehmen BCR TELECOMUNICAÇÕES LTDA („Auftragnehmer“) in SOFTWARE ALS SERVICEPLATTFORM FÜR CX, in den Parametern und Modalitäten, die in der Vertragsspezifikationsfrist ausgewählt und angegeben sind.
2. Folgende Produkte und Dienstleistungen werden vom Auftragnehmer gemeinsam oder getrennt angeboten:

1. Conciex Talk: Die CCaaS-Lösung mit Berichten, Admin Panel und einer benutzerfreundlichen Agentenoberfläche verbessert das Erlebnis und senkt Kosten und lässt sich in unterschiedliche CRM-Systeme auf dem Markt integrieren.

2. Conciex Messaging: Anwendung, die als Kommunikationsplattform für den Versand von Einzel- oder Massennachrichten über unterschiedliche Kanäle (Whatsapp, SMS und E-Mail) durch Integration mit Markt-CRM fungiert

3. Die anwendbaren Dienstleistungen des Auftragnehmers, die der Kunde im Rahmen dieser Vereinbarung bei dem Auftragnehmer in Auftrag gibt, sind im Zendesk-Wiederverkaufsvertrag (siehe Definition unten) aufgeführt.
4. Zendesk, Inc., ein Unternehmen aus Delaware, und alle seine verbundenen Unternehmen („Zendesk“) fungieren als Abrechnungsagent für die Abonnements des Kunden für die vom Kunden im Rahmen dieses Vertrags vom Auftragnehmer bestellten Dienstleistungen gemäß dem Zendesk-Resell-Vertrag. „Zendesk-Wiederverkaufsvertrag“ bezieht sich auf den Serviceauftrag, die Vereinbarung oder ein ähnliches Auftragsdokument, das Zendesk dem Kunden erteilt hat und dem diese Vereinbarung beigefügt oder beigefügt ist und in dem unter anderem der Abonnementplan, die Abonnementlaufzeit, die Gebühren und die Abrechnung für die Leistungen des Auftragnehmers im Rahmen dieser Vereinbarung aufgeführt sind. Die Parteien vereinbaren, dass Zendesk berechtigt ist, Preis- und Vertragsinformationen in Bezug auf die Dienstleistungen des Auftragnehmers zu erhalten, die der Kunde im Rahmen dieser Vereinbarung gemäß einem Zendesk-Wiederverkaufsvertrag bestellt, soweit dies für Zendesk als Abrechnungsbeauftragter erforderlich ist.

1. Die besonderen Geschäftsbedingungen, die von den Parteien beim Abschluss unterzeichnet werden, werden hiermit durch Bezugnahme in diese Vereinbarung aufgenommen und gelten als Bestandteil aller Arbeitsbedingungen.
2. Beide müssen gemeinsam gelesen, angewendet und verstanden werden. Bei Abweichungen zwischen diesen („MSA“) und den vorgenannten („spezifische Geschäftsbedingungen“) haben jedoch die letzteren Vorrang.
3. Dieser Begriff gilt auch für mögliche Änderungen, die zwischen den Parteien unterzeichnet werden können.

3.1 Die Laufzeit des Abonnements der Dienstleistungen des Auftragnehmers durch den Kunden wird im Zendesk-Wiederverkaufsvertrag festgelegt, dem dieser Vertrag beigefügt ist.

3.2 Diese Vereinbarung kann in den folgenden Fällen sofort gekündigt werden:

3.3.1 Nichteinhaltung oder vorschriftswidrige Einhaltung der Vertragsklauseln durch eine Partei, sofern sie nicht innerhalb von 10 (zehn) Tagen nach schriftlicher Benachrichtigung behoben wird;

3.3.2 Im Falle einer Insolvenz, eines Konkurses, einer Auflösung oder eines Antrags auf gerichtliche oder außergerichtliche Sanierung einer der Parteien;

3.3.3 Eintreten eines zufälligen Ereignisses oder höherer Gewalt, das die Bereitstellung der Dienstleistung unmöglich oder schwierig macht;

3.3.4 Im Falle der Kommerzialisierung oder Abtretung der vertraglich vereinbarten Dienstleistungen an Dritte ohne vorherige Zustimmung des Auftragnehmers, der Nichteinhaltung gesetzlicher Bestimmungen oder der missbräuchlichen oder rechtswidrigen Nutzung der Dienstleistungen.

4.1 Der Kunde zahlt alle Gebühren für die im Zendesk-Resell-Vertrag genannten Dienstleistungen des Auftragnehmers an Zendesk. Alle Änderungen an den Dienstleistungen des Auftragnehmers, die der Kunde vom Auftragnehmer über Zendesk kauft, unterliegen einer Änderungsreihenfolge oder Änderung.

4.2 Wenn der Zahlungsverzug nach der Benachrichtigung der Vertragspartei länger als 15 (15) Tage andauert, werden die Dienste unbeschadet der fälligen Zahlungen sofort ausgesetzt und der Vertrag kann nach Ermessen des Auftragnehmers nach 30 (dreißig) Tagen vollständiger Unterbrechung ohne fällige Zahlung gekündigt werden, und unter keinen Umständen ist eine Art von Entschädigung oder Entschädigung fällig.

4.3 Für die Initialisierung von Diensten und Konfigurationen kann ein Betrag berechnet werden, wenn SETUP in der Laufzeit festgelegt ist und der Start an eine Zahlung gebunden ist, die erfolgen muss, auch wenn sie während des Ablaufs storniert wird, da sie der angegebenen Zeit entspricht.

5.1 Der Auftragnehmer ist sich bewusst, dass für die Erbringung von Dienstleistungen möglicherweise grundlegende Infrastrukturen wie Internetzugang und interner Raum erforderlich sind. In diesen Fällen haftet der Auftragnehmer nicht für Auswirkungen, die sich aus Dienstleistungen Dritter ergeben.

5.2 Wenn die technische oder betriebliche Undurchführbarkeit zum Zeitpunkt der Installation/Inbetriebnahme der Dienste festgestellt wird, kann der Vertrag kraft Gesetzes gekündigt werden, ohne dass den Parteien Schadenersatzansprüche zustehen.

6.1 Der Auftragnehmer hält sich an die in Anhang A aufgeführten Verantwortlichkeiten und Verfahren für Support.

6.2 Der Auftragnehmer gewährleistet, dass die Dienste des Auftragnehmers während der Laufzeit einen monatlichen Verfügbarkeitsprozentsatz von mindestens 99,9 % in jedem Kalendermonat erreichen (d. h. max. Ausfallzeit von dreiundvierzig (43) Minuten pro Monat). Geplante Wartungs-/Ausfallzeiten sind auf weniger als vier (4) Stunden in einem bestimmten Monat zu begrenzen. Der Auftragnehmer teilt dem Auftraggeber diese Nichtverfügbarkeit mindestens sieben (7) Tage im Voraus schriftlich mit („Geplante Ausfallzeiten“).

6.3 Der Auftragnehmer informiert den Kunden mindestens sechs (6) Monate im Voraus über das Ende der Nutzungsdauer oder die Einstellung eines Funktionsmerkmals.

7.1 Die Parteien vereinbaren, dass die hierin behandelten Bedingungen zum Zwecke der Erbringung von Dienstleistungen im Einklang mit dem Datenschutz-Grundverordnung (Gesetz 13.709/2018) gelesen und ausgelegt werden.

7.2 Die Parteien verpflichten sich, durch diesen Vertrag die geltenden Gesetze und gesetzlichen Bestimmungen zum Schutz personenbezogener Daten, insbesondere das Gesetz 13.709/2018, während der gesamten Erbringung des Dienstes einzuhalten.

7.3 Der Auftragnehmer verpflichtet sich, die besten Sicherheitsstandards einzuhalten, um die Sicherheit seiner Kunden zu gewährleisten, damit alle vom Auftragnehmer bereitgestellten Informationen von spezialisierten Unternehmen geschützt und alle über die Plattform erfassten Informationen in sicheren Umgebungen mit eingeschränktem Zugriff gespeichert werden.

7.4 Sie versichern und garantieren, dass Sie uns nur wahre, vollständige und aktuelle Informationen zur Verfügung stellen. Der Auftragnehmer ist nicht verantwortlich für die vom Auftragnehmer bereitgestellten Informationen, einschließlich der Verpflichtung, die Richtigkeit der bereitgestellten Informationen in keiner Phase der Nutzung der Plattform zu überprüfen oder zu kontrollieren. Die Vertragspartei ist zivil- und strafrechtlich für die Richtigkeit der bereitgestellten Informationen verantwortlich.

7.5 Der Auftragnehmer behält sich das Recht vor, die Erbringung von Dienstleistungen auszusetzen oder einzustellen, wenn die vom Auftragnehmer bereitgestellten Informationen falsch sind oder von einer Justiz- oder Verwaltungsbehörde als illegal eingestuft werden.

7.6 Der Auftragnehmer kann jederzeit, wenn der Auftragnehmer zuvor benachrichtigt wurde, die erbrachten Dienstleistungen sofort aussetzen, wenn gerichtliche Anordnungen vorliegen oder sich aus Rechtsvorschriften ergeben, die die Erbringung von Dienstleistungen verbieten oder verhindern.

7.7 Wir werden die von Ihnen bereitgestellten Informationen nur dann an Dritte weitergeben, wenn dies von einer Justizbehörde verlangt wird. Der Auftragnehmer wird alle von der Regierung, von öffentlichen Stellen oder von der direkten oder indirekten Verwaltung angeforderten Informationen, sofern dies hinreichend begründet und mit dem geltenden Recht vereinbar ist, nach richterlicher Genehmigung bereitstellen und den Auftragnehmer unverzüglich benachrichtigen, der die rechtlichen Maßnahmen ergreift, die er für relevant und angemessen hält.

7.8 Die Vertragspartei hat das Recht, jederzeit auf formelles Ersuchen 15 (15) Tage im Voraus Auskunft über ihre von BCR.CX verarbeiteten Daten zu erhalten oder die Genehmigung zur Datenverarbeitung auszusetzen, wie dies im Datenschutz-Grundverordnung (Gesetz 13.709/2018) gewährleistet ist.

7.9 Die Parteien verpflichten sich, Sicherheitsverletzungen im Rahmen ihrer Tätigkeiten und Verantwortlichkeiten innerhalb von 24 Stunden zu melden.

7.10 Der Auftragnehmer hält sich an die Informationssicherheitsmaßnahmen in Anhang B.

8.1 Der Auftragnehmer erklärt, dass dieser Vertrag sowie alle bereitgestellten Dienstleistungen den ESG-Kriterien entsprechen und die bewährten Praktiken im Bereich Umwelt, Soziales und Unternehmensführung respektieren und umsetzen.

8.2 Der Auftragnehmer respektiert und implementiert bei seiner Tätigkeit Maßnahmen zur Bekämpfung der Geldwäsche und Korruption in allen ihren Formen, einschließlich Erpressung und Bestechung, unter Beachtung aller anwendbaren Rechtsvorschriften, insbesondere des Gesetzes über „Wäsche“ oder Verschleierung von Vermögenswerten, Rechten und Werten (Gesetz 9,613/98) und des Gesetzes zur Korruptionsbekämpfung (Gesetz 12,846/2013).

8.3 Der Auftragnehmer übernimmt und unterstützt soziale Verpflichtungen zur Bekämpfung illegaler Praktiken, diskriminierender und unmenschlicher Verhaltensweisen in den Arbeitsbeziehungen.

8.4 Der Auftragnehmer ist bestrebt, seine Dienstleistungen auf nachhaltige Weise und unter Berücksichtigung des Umweltfaktors zu erbringen, indem er Umweltrisiken eindämmt und bei seinen Tätigkeiten Umweltschutzrichtlinien anwendet, schädliche Praktiken vermeidet und die geltenden Umweltvorschriften einhält, einschließlich, aber nicht beschränkt auf das nationale Umweltgesetz (Gesetz 6.938/1981) und das Umweltstrafgesetz (Gesetz 9.605/1998).

8.5 Beachtung und Gewährleistung der Einhaltung der von der anderen Vertragspartei festgelegten Richtlinien, Normen und Standards durch ihre Agenten und Mitarbeiter, wenn sie sich auf ihrem Gelände aufhalten, und Verpflichtung zur Einhaltung der Normen, die für Sicherheit, Umwelt, Hygiene, Arbeitsmedizin und die Arbeit Minderjähriger relevant sind.

9.1 Die Parteien erklären im Rahmen des Vertragsabschlusses ihre gültige und wirksame Zustimmung zu dieser Bestimmung.

9.2 Die Parteien wählen den Gerichtsstand São Paulo – SP, Sitz des Auftragnehmers, um alle sich aus diesem Instrument ergebenden Fragen zu klären.

 

Anlage A – Verantwortlichkeiten und Verfahren für Support

1. Definitionen

In diesem Abschnitt A:

(a) „Support“ ist die erste Support, die der Kunde vom Auftragnehmer erhält, um Kundeneingaben zu erfassen, Symptome zu bestätigen und bei Bedarf auf Support zu eskalieren.

b) „Support der Stufe 2“ ist die zweite Support, die der Auftragnehmer dem Auftraggeber bietet und sich auf betriebliche und infrastrukturelle Probleme und Lösungen des Auftragnehmers bezieht.

c) „Support“ ist die dritte Support des Auftragnehmers, die die Behebung von Anwendungscodefehlern oder Infrastrukturcode abdeckt.

(d) „Support für Auftragnehmer“ für nicht kritische und nicht größere Probleme mit Geschäftsauswirkungen bedeutet zwischen 09:00 und 24:00 BRT an einem Geschäftstag (Montag – Freitag, jede Woche des Jahres). Support-Zeiten und Antwortverpflichtungen für kritische und größere Probleme mit Geschäftsauswirkungen sind unten beschrieben.

2. Verpflichtungen des Vertragspartners Support

Der Auftragnehmer bietet dem Auftraggeber jeglichen Support in Bezug auf vom Auftraggeber erkannte und dem Auftragnehmer gemeldete Probleme. Diese Support Services werden über das Zendesk Help Desk Ticketsystem bereitgestellt.

Der Auftragnehmer reagiert auf Support:

a) in Bezug auf kritische Geschäftsauswirkungen innerhalb von dreißig (30) Minuten 24 Stunden am Tag, dreihundertfünfundsechzig (365) Tagen im Jahr. Der Auftragnehmer informiert den Kunden (und Zendesk, wenn sich solche kritischen Geschäftsauswirkungen auf von Zendesk an den Auftragnehmer weitergeleitete Support beziehen) alle dreißig (30) Minuten über kritische Geschäftsauswirkungen, bis das Problem gelöst ist. Kritische Geschäftsauswirkungen sind als ein Problem zu definieren, das wesentliche Funktionen in der Produktionsumgebung der Auftragnehmerdienste unterbricht oder die Sicherheit/Integrität der Daten in den Auftragnehmerdiensten beeinträchtigt. Kritische Probleme mit den Geschäftsauswirkungen bleiben bestehen, solange die Störung andauert, die Lösung dringend zeitkritisch ist und kein vernünftiger Workaround verfügbar ist.

b) in Bezug auf größere Probleme mit Geschäftsauswirkungen innerhalb einer (1) Stunde, 24 Stunden pro Tag, 353 Tage im Jahr. Der Auftragnehmer informiert den Kunden (und Zendesk, wenn solche kritischen Geschäftsauswirkungen sich auf Support beziehen, die von Zendesk an den Auftragnehmer weitergeleitet wurden) stündlich (1) über wichtige Geschäftsauswirkungen, bis das Problem gelöst ist. Größere Geschäftsauswirkungen sind als Probleme zu definieren, die eine wesentliche Funktionalität beeinträchtigen oder den normalen Geschäftsbetrieb des Kunden erheblich beeinträchtigen, sich in der Produktionsumgebung eines Kunden befinden und sehr zeitkritisch sind und/oder erhebliche ungeplante Anstrengungen erforderlich sind, um das Problem zu umgehen, um den normalen Geschäftsbetrieb aufrechtzuerhalten; 

(c) für andere Probleme und Anfragen innerhalb von sechs (6) Geschäftszeiten für den Support;

d) die bei ihr aufgeworfenen Fragen innerhalb eines wirtschaftlich vertretbaren Zeitraums zu lösen und

e) indem sie laufend mindestens einmal pro Woche Updates zu ungelösten Problemen bereitstellen, bis das Problem erfolgreich gelöst ist.

 

Anlage B – Informationssicherheitsmaßnahmen

Der Auftragnehmer sichert zu, dass er wirtschaftlich vertretbare Anstrengungen unternimmt, um die unten beschriebenen Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, um alle vom Auftraggeber bereitgestellten oder zur Verfügung gestellten Inhalte, Materialien, Daten (einschließlich personenbezogener Daten) und nichtöffentlichen Informationen (kollektiv „Daten“) sicher zu halten und Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen (siehe unten). Dabei handelt der Auftragnehmer in gutem Glauben und mit angemessener Sorgfalt und Sachkenntnis. 

A. Definitionen:

• „Verarbeitung“ bezieht sich auf jeden Vorgang in Bezug auf Daten, unabhängig von den Zwecken und Mitteln, die angewendet werden, einschließlich, jedoch nicht beschränkt auf Zugriff, Sammlung, Aufbewahrung, Speicherung, Weitergabe, Offenlegung, Verwendung, Löschung, Vernichtung und andere Vorgänge.
• „Verletzung“ bezieht sich auf jede (a) unbefugte Verarbeitung von Daten oder (b) jede Handlung oder Unterlassung, die die physischen, technischen oder organisatorischen Sicherheitsvorkehrungen des Auftragnehmers in Bezug auf die Verarbeitung von Daten beeinträchtigt oder untergräbt oder anderweitig getroffen wird, um diese Anforderungen zu erfüllen. Zur Vermeidung von Zweifeln: „Nicht autorisierte Verarbeitung“ umfasst, ist aber nicht beschränkt auf: Missbrauch, Verlust, Zerstörung, Kompromittierung oder unbefugten Zugriff, Sammlung, Aufbewahrung, Speicherung oder Übertragung.
• „Vorfall“ bezieht sich auf jede Beeinträchtigung der Sicherheit von Daten, einschließlich (i) Handlungen, die gegen Gesetze oder Sicherheitsrichtlinien von Auftragnehmern verstoßen, (ii) ungeplante Dienstunterbrechungen, die den normalen Betrieb der Auftragnehmerdienste verhindern, oder (iii) Verstöße.

2. Maße: Technische und organisatorische Maßnahmen zur Speicherung, Handhabung und Entsorgung von und Daten.

• Der Auftragnehmer verwendet branchenübliche Verschlüsselungsalgorithmen und Schlüsselstärken, um Folgendes zu verschlüsseln:
• Verschlüsseln Sie alle Daten, die während der Übertragung über alle öffentlichen kabelgebundenen Netzwerke (d. h. Internet) und alle drahtlosen Netzwerke in elektronischer Form vorliegen. 
• Alle Daten verschlüsseln, während sie gespeichert sind. „Im Speicher“ bezieht sich auf Informationen, die in Datenbanken, in Dateisystemen und auf verschiedenen Online- und Offlinemedien (Mobilgeräte, Laptops, DASD, Tonband usw.) gespeichert sind.
• Sofern nicht gesetzlich verboten, entfernt der Auftragnehmer Daten unverzüglich nach (a) Abschluss der Dienstleistungen des Auftragnehmers oder (b) Aufforderung des Auftraggebers, sie aus der Umgebung des Auftragnehmers zu entfernen, und vernichtet sie innerhalb eines angemessenen Zeitraums, in keinem Fall jedoch länger als 21 Tage nach dem Datum der Anforderung oder Einstellung der Dienstleistungen. Der Auftragnehmer stellt dem Auftraggeber innerhalb von dreißig (30) Tagen nach diesem Zeitpunkt eine schriftliche Bescheinigung über die Entfernung, Vernichtung und/oder Reinigung aus.

3. Maße: Bösartiger Codeschutz. 

• Auf allen Workstations und Servern (virtuell oder physisch) wird die aktuelle Version der branchenüblichen Antiviren- und/oder Malware-Software mit den neuesten Updates ausgeführt, die auf allen Workstations und Servern verfügbar sind. Virusdefinitionen müssen unverzüglich nach der Veröffentlichung durch den Anbieter aktualisiert werden. Der Auftragnehmer konfiguriert Geräte und verfügt über unterstützende Richtlinien, die es Benutzern verbieten, Virenschutzsoftware zu deaktivieren, Sicherheitskonfigurationen zu ändern oder andere Schutzmaßnahmen zu deaktivieren, die zur Gewährleistung der Sicherheit der Daten- oder Computerumgebung des Auftragnehmers getroffen wurden.
• Der Auftragnehmer überprüft eingehende und abgehende Inhalte auf allen Gateways zu öffentlichen Netzwerken, einschließlich E-Mail- und Proxy-Servern, auf bösartigen Code.
• Der Auftragnehmer stellt Dateien, die als infiziert identifiziert wurden, unter Quarantäne oder entfernt sie und protokolliert das Ereignis.

4. Maße: Technische und organisatorische Maßnahmen zur Zugangskontrolle, insbesondere zur Kontrolle der Legitimität berechtigter Personen zu den Einrichtungen und Systemen, auf die Daten zugegriffen werden können:

• Der Auftragnehmer stellt sicher, dass Maßnahmen zur Sicherung der Räumlichkeiten (z. B. Sicherung der Ein- und Ausgänge) sowie Maßnahmen innerhalb seines Gebäudes durch die folgenden Verfahren ergriffen werden:
• Sicherheit und Verschlüsselung aller Personal Computer oder anderer Mobilgeräte, die auf Daten zugreifen können;
• eingeschränkter Zugriff auf Mitarbeiter und Auftragnehmer mit Ausnahme autorisierter Besucher; 
• Angabe der Personen, die Zugriffsberechtigungen besitzen;
• Beschränkung der Schlüssel;
• Besucherbücher (einschließlich Zeiterfassung) und
• Sicherheitsalarmsystem oder andere geeignete Sicherheitsmaßnahmen.

Der Auftragnehmer widerruft den Zugriff auf physische Orte, Systeme und Anwendungen, die Daten enthalten oder verarbeiten, innerhalb von 24 Stunden, nachdem der autorisierte Agent keinen Zugriff auf die Systeme oder Anwendungen mehr benötigt.

5. Maße: Technische (Kennwort-/Kennwortschutz) und organisatorische (Benutzerstammdatensatz) Maßnahmen zur Identifizierung und Authentifizierung von Benutzern:
   
   

Der Auftragnehmer teilt dem Auftraggeber auf seine begründete Anfrage mit, welche berechtigten Personen mit dem Zugriff auf die Daten betraut sind.

Die Benutzersteuerung umfasst folgende Maßnahmen:

• beschränktes VPN-Profil;
• Implementierung der Zwei-Faktor-Authentifizierung

Die Zugriffskontrolle auf Daten umfasst folgende Maßnahmen:

• wirksame und messbare Disziplinarmaßnahmen gegen Personen, die unbefugt auf Daten zugreifen.

6. Maße: Technische und organisatorische Maßnahmen zur Sicherheit der vom Auftragnehmer genutzten Netzwerke (einschließlich drahtloser Netzwerke).

Alle Netzkontrollen müssen folgende Maßnahmen enthalten:

• Der Auftragnehmer führt regelmäßig interne und externe Netzwerkschwachstellenprüfungen durch. Die festgestellten Schwachstellen werden in wirtschaftlich vertretbarer Weise und mit einem vom Schweregrad abhängigen Zeitraum behoben.
• Der Auftragnehmer wird für den Betrieb seiner Netzwerke angemessen geeignete Firewall-Technologie bereitstellen. 
• Der Auftragnehmer überprüft mindestens einmal pro Quartal die Firewall-Regelsätze, um sicherzustellen, dass Legacy-Regeln entfernt und aktive Regeln korrekt konfiguriert werden.
• Der Auftragnehmer wird Einbruchmelde- oder -verhütungssysteme einrichten, um Netzwerke auf unangemessene Aktivitäten zu überwachen.
• Der Auftragnehmer muss eine Lösung für die Protokollverwaltung bereitstellen und Protokolle, die von Firewalls und Einbruchmeldesystemen erstellt werden, mindestens ein (1) Jahr lang aufbewahren.

Drahtlose Netzwerkkontrollen müssen folgende zusätzliche Maßnahmen umfassen:

• Der Netzwerkzugriff auf drahtlose Netzwerke sollte auf autorisierte Benutzer beschränkt werden. 
• Die Zugangspunkte sind über eine Gateway-Einrichtung von einem internen kabelgebundenen LAN zu segmentieren.
• Die Service-Set-Kennung (SSID), die Administrator-Benutzer-ID, das Kennwort und die Verschlüsselungsschlüssel müssen vom Standardwert geändert werden.
• Die Verschlüsselung aller drahtlosen Verbindungen wird mit Industriestandard-Verschlüsselungsalgorithmen ermöglicht. Verschlüsselungsprotokolle basieren auf „Wireless Protected Access“ (WPA2) oder höher. 

7. Maße: Der Auftragnehmer unterhält eine Vorfallreaktionsfunktion, die in der Lage ist, die Auswirkungen von Vorfällen zu erkennen, zu minimieren und das erneute Auftreten von Vorfällen zu verhindern. Wenn ein Vorfall eintritt, wird der Auftragnehmer (i) unverzüglich alle erforderlichen Schritte unternehmen, um eine weitere Kompromittierung von Daten oder zukünftigen Vorfällen zu verhindern; (ii) den Auftraggeber innerhalb von 24 Stunden nach der Identifizierung des Vorfalls benachrichtigen und innerhalb von drei (3) Tagen danach einen schriftlichen Bericht vorlegen; und (iii) unverzüglich auf jede angemessene Anfrage des Auftraggebers nach detaillierten Informationen zum Vorfall reagieren. Die Bekanntmachung und der Bericht des Auftragnehmers enthalten eine Beschreibung der Art des Vorfalls, seiner Auswirkungen sowie aller eingeleiteten oder geplanten Untersuchungs-, Korrektur- oder Abhilfemaßnahmen.

8. Maße: Geschäftskontinuität und Disaster Recovery. Der Auftragnehmer wird einen wirtschaftlich vertretbaren und branchenüblichen Business-Continuity-Plan implementieren, um die Verfügbarkeit der Dienstleistungen des Auftragnehmers aufrechtzuerhalten („Continuity-Plan“). Der Kontinuitätsplan umfasst und umfasst unter anderem folgende Elemente: (a) Krisenmanagement, Aktivierung von Plänen und Teams, Dokumentation zu Ereignis- und Kommunikationsprozessen, (b) Ereignismanagement, Wiederherstellung von Unternehmen, alternative Standorte und Tests von Aufrufbäumen, (c) Infrastruktur-, Technologie- und Systemdetails, Wiederherstellungsaktivitäten und Identifizierung der für diese Wiederherstellung erforderlichen Personen/Teams. Der Auftragnehmer hat diesen Kontinuitätsplan während der gesamten Laufzeit aller Abonnements aufrechtzuerhalten; vorausgesetzt, der Auftragnehmer hat das Recht, den Kontinuitätsplan zu ändern oder zu ändern, sofern eine solche Änderung oder Ergänzung keine wesentlichen negativen Auswirkungen auf die Fähigkeit des Auftragnehmers hat, die Verfügbarkeit der Dienste des Auftragnehmers aufrechtzuerhalten.

1. Auf Verlangen des Auftraggebers nimmt der Auftragnehmer wirtschaftlich vertretbare Änderungen an seinem Informationssicherheitsprogramm oder an den Verfahren und Praktiken im Rahmen dieses Programms vor, um die grundlegenden Sicherheitsanforderungen des Auftraggebers zu erfüllen, die in allen einschlägigen Exponaten des Vertrags beschrieben sind und von Zeit zu Zeit bestehen. Der Auftraggeber stellt dem Auftragnehmer Unterlagen zu diesen Grundlagen zur Verfügung, die Teil der vertraulichen Informationen des Auftraggebers im Rahmen des Vertrags sind. Der Auftragnehmer muss für den Auftraggeber einen schriftlichen Informationssicherheitsplan erstellen, der mindestens die in dieser Vereinbarung genannten Themen enthält.

 

 

Exponat 11 

Endkundenvereinbarung für Aircall

Diese Aircall-Endkundenvereinbarung („ECA“) regelt die Beziehung zwischen dem Kunden („Sie“ oder „Kunde“) und Aircall („wir“ oder „Aircall“) im Zusammenhang mit den im Rahmen der umfassenderen vertraglichen Vereinbarung zwischen Zendesk und dem Kunden („Zendesk-Vereinbarung“) erbrachten Dienstleistungen. 

Dieser EuRH tritt am Tag des ersten Einverständnisses oder anderweitigen Einverständnisses des Kunden mit den vorliegenden Bedingungen oder des ersten Zugriffs auf die Dienste („Datum des Inkrafttretens“) in Kraft. Dieser EuRH ist eine verbindliche Vereinbarung zwischen dem Kunden und Aircall, nicht mit Zendesk. Im Falle eines Konflikts zwischen der Zendesk-Vereinbarung und diesem EuRH hat dieser EuRH in Bezug auf die Aircall-Dienste, die im Sinne der Zendesk-Vereinbarung keine Zendesk-Dienste sind, Vorrang. 

Dieser EuRH bezieht sich auf die Allgemeinen Geschäftsbedingungen („AGB“) von Aircall, die unter https://legal.aircall.io/ in der jeweils gültigen Fassung verfügbar sind, es sei denn, sie werden hier ausdrücklich geändert oder ergänzt. Im Falle von Widersprüchen oder Widersprüchen zwischen den Bestimmungen des EuRH und den AGB haben die AGB die Kontrolle. Ausstellung A: Legen Sie fest, welche AGB je nach geografischem Standort des Kunden gelten.

Durch Nutzung der Dienste von Aircall erklären Sie sich mit den Bestimmungen dieses EuRH und den geltenden AGB einverstanden. Der Europäische Rechnungshof und die Allgemeinen Geschäftsbedingungen werden gemeinsam als „Vereinbarung“ bezeichnet. 

1. Definitionen

Begriffe, die in dieser Vereinbarung verwendet, aber nicht definiert werden, haben die in den AGB festgelegte Bedeutung.

2. Vertragsdokumente – Rangfolge

Die Vereinbarung zwischen dem Kunden und Aircall in Bezug auf die Aircall-Dienste besteht aus den relevanten Allgemeinen Geschäftsbedingungen für Aircall (siehe unten in Abbildung A), einschließlich aller anwendbaren Ergänzungen zu den Allgemeinen Geschäftsbedingungen, diesem Europäischen Rechnungshof, einschließlich der Exponate des Europäischen Rechnungshofs, der Aircall-Datenverarbeitungsvereinbarung (wie unten definiert) und gegebenenfalls einem Bestellformular oder Kaufformular (wie in Abschnitt 1 der Allgemeinen Geschäftsbedingungen definiert). 

Im Falle eines Konflikts oder einer Inkonsistenz zwischen den Dokumenten, die diese Vereinbarung umfassen, gilt die folgende Rangfolge (vom höchsten zum niedrigsten): (i) die Aircall-Datenverarbeitungsvereinbarung; (ii) diese Endkundenvereinbarung, ausschließlich in Bezug auf (a) Gebühren-, Abrechnungs- und Zahlungsbedingungen, die von Zendesk wie in Abschnitt 5.1 unten beschrieben gehandhabt werden; (b) spezifische Verpflichtungen, die in Anhang B und Abschnitt 11.5 ausdrücklich dargelegt werden; (iii) die Aircall-AGB; (iv) gegebenenfalls alle Bestellformulare und/oder Kaufdokumente.

Sofern oben nicht ausdrücklich beschrieben, haben die Allgemeinen Geschäftsbedingungen für Aircalls in der jeweils geltenden Fassung Vorrang vor dieser Endkundenvereinbarung.

3. Leistungsumfang

KI kann die Bereitstellung von Telefonnummern, ein- und abgehender Telefonie, Anrufverwaltung, KI-Funktionen und anderen verwandten Funktionen (zusammen die „Dienste“) umfassen. Der Kunde erkennt an und stimmt zu, dass die Bereitstellung von Telefondiensten und Telefonnummern eine regulierte Tätigkeit ist, die direkt und ausschließlich vom betreffenden Aircall-Vertragspartner erbracht wird (siehe Abbildung A).

Diese Dienste unterliegen den Bedingungen in den Allgemeinen Geschäftsbedingungen von Aircall (https://legal.aircall.io/). Die Bedingungen und Regeln für den Zugriff auf und die Nutzung der Dienste unterliegen den Abschnitten 3 bis 4 der AGB. 

4. Service-Level

Servicelevel und Verfügbarkeitszusagen sind in Anlage C beschrieben.

5. Gebühren und Abrechnung

   1. Gebühren, Rechnungen und Zahlungen

1. Feste Gebühren (Abrechnung durch Zendesk).

Der Kunde zahlt Zendesk alle wiederkehrenden Abonnementgebühren für die Dienste, die in der jeweiligen Zendesk-SSOW oder Rechnung aufgeführt sind. Die Bedingungen für die Abrechnung und Zahlung von Abonnementgebühren unterliegen der Zendesk-Vereinbarung.

2. Nutzungsgebühren und Zusatzgebühren (Abrechnung per Aircall).

Für die Zwecke dieses Abschnitts gilt: 

1. „Zusätzliche Gebühren“ bezieht sich auf die Gebühren, Gebühren oder Kosten, die dem Kunden von Zeit zu Zeit in Verbindung mit den Diensten entstehen, mit Ausnahme von Nutzungsgebühren, einschließlich Gebühren für Käufe über das Aircall-Dashboard (einschließlich, aber nicht beschränkt auf zusätzliche Benutzer und zusätzliche Nummern gemäß Definition in den AGB).

2. „Nutzungsgebühren“ sind minutengenaue Anrufgebühren oder andere verbrauchsabhängige Gebühren, die mit der tatsächlichen Nutzung der Dienste durch den Kunden verbunden sind (siehe Abschnitt 7 der AGB). 

Sofern in einer SOW nicht anders angegeben, stellt Aircall dem Kunden alle Nutzungsgebühren und/oder Zusatzgebühren in Rechnung, die im Rahmen dieser Vereinbarung in Bezug auf die Nutzung der Dienste durch den Kunden und/oder den Kauf durch den Kunden anfallen, wie von Aircall von Zeit zu Zeit angegeben, auch über die Aircall-Dashboards oder über eine separate Benachrichtigung. Die Abrechnung kann monatlich in Verzug oder in einem anderen von Aircall festgelegten Zeitraum erfolgen.

2. Steuern.

Anwendbare Gebühren sind exklusive Steuern und Zuschläge, die nach geltendem Recht erforderlich sind, einschließlich Mehrwertsteuer, Kosten/Auszahlungen, Gebühren, regulatorische Bewertungen oder andere Zölle, Abgaben, Registrierungsgebühren oder Steuern, die zusätzlich erhoben werden. Gegebenenfalls kann der in Rechnung gestellte Betrag und/oder die dem Kunden in Rechnung gestellten Beträge daher von Monat zu Monat schwanken, und der Kunde verpflichtet sich, alle fälligen Gebühren und/oder Steuern zu bezahlen.

6. Geistiges Eigentum und Lizenz

Wie in Abschnitt 5 der AGB weiter beschrieben, erkennt der Kunde an und stimmt zu, dass Aircall oder gegebenenfalls seine verbundenen Unternehmen alle Rechte, Titel und Interessen an und an allen Rechten an geistigem Eigentum an der Aircall-Lösung und an der Website sowie an allen Inhalten davon oder darin besitzen. Alle Rechte, die dem Kunden nicht ausdrücklich gewährt werden, bleiben Aircall und seinen Lizenzgebern vorbehalten. Die Dienste können Open-Source-Software oder -Code enthalten, und der Kunde erkennt an, dass der Missbrauch der Dienste die IP-Rechte Dritter verletzen kann.

Vorbehaltlich der kontinuierlichen und vollständigen Einhaltung aller Bestimmungen und Bedingungen in dieser Vereinbarung (einschließlich der einschlägigen Allgemeinen Geschäftsbedingungen für Aircall) gewährt Aircall dem Kunden und seinen Benutzern während der Laufzeit eine widerrufliche, nicht übertragbare (sofern in Abschnitt 3.2 der Allgemeinen Geschäftsbedingungen nicht anders angegeben), nicht ausschließliche, beschränkte Lizenz und das Recht zum Zugriff auf und zur Nutzung der Website, der Nummernlizenz, der Benutzerlizenz, des Aircall-Dashboards und bestimmter Dienste, die der Kunde im Rahmen seines Plans ordnungsgemäß gekauft oder bestellt hat (einschließlich ordnungsgemäß gekaufter oder bestellter Aircall-Nummern), ausschließlich für interne Geschäftszwecke und nur im Rahmen der vorliegenden Vereinbarung.

7. Kundenverpflichtungen und Nutzungsbeschränkungen

   1. Einhaltung von Gesetzen. Der Kunde verpflichtet sich, die Dienste in Übereinstimmung mit allen anwendbaren Gesetzen, einschließlich Vorschriften zu Telekommunikation, Datenschutz und Datenschutz, zu nutzen.

   2. Zulässige Nutzungsrichtlinie. Der Kunde ist verantwortlich für die Einhaltung der in Abschnitt 6 der AGB (https://legal.aircall.io/) aufgeführten Richtlinie zur zulässigen Nutzung („PUP“) durch ihn und seine Benutzer. 

   3. Verbotene Aktivitäten. Der Kunde darf (i) die Dienste nicht zu illegalen oder betrügerischen Zwecken und/oder unter Verletzung der PUP nutzen, (ii) die Dienste weiterverkaufen, es sei denn, Aircall lässt dies anders zu, oder (iii) Sicherheitseinrichtungen oder Schutzmaßnahmen umgehen oder verletzen, die in Verbindung mit den Diensten verwendet werden.

   4. Kontoeinrichtung. Der Kunde ist verantwortlich für die Wahrung der Vertraulichkeit seines Kundenkontos (laut Definition dieses Begriffs in Abschnitt 1 der AGB) – einschließlich der Anmeldedaten und aller Benutzerdaten sowie für alle Aktivitäten, die im Rahmen des Kontos stattfinden.

   5. Zusammenarbeit im Regulierungsbereich. Soweit dies zur Einhaltung der geltenden Vorschriften erforderlich ist, muss der Kunde Aircall alle angeforderten Informationen oder Unterlagen (z. B. Identitätsnachweis, Standort) zeitnah zur Verfügung stellen und bei allen rechtmäßigen behördlichen oder behördlichen Untersuchungen im Zusammenhang mit der Nutzung der Dienste zusammenarbeiten.

8. Vertraulichkeit

   1. Wie in Abschnitt 6 der AGB ausführlicher beschrieben, verpflichten sich beide Parteien, die Vertraulichkeit aller im Rahmen dieser Vereinbarung offengelegten nichtöffentlichen Informationen zu wahren.

   2. Der Kunde darf vertrauliche Informationen von Aircall nicht ohne vorherige schriftliche Zustimmung an Dritte weitergeben, es sei denn, dies ist gesetzlich vorgeschrieben.

9. Datenschutz

   1. Datenschutz. Aircall nimmt die Privatsphäre seiner Kunden ernst und verwendet die vom Kunden bereitgestellten personenbezogenen Informationen in Übereinstimmung mit:

1. die in der Datenverarbeitungsvereinbarung https://aircall.io/dpa/ enthaltenen Bedingungen, wenn diese Informationen personenbezogene Daten darstellen (laut Definition in der Datenverarbeitungsvereinbarung) und wenn Aircall diese Informationen im Auftrag des Kunden verarbeitet; und

2. die in der Aircall-Datenschutzrichtlinie unter https://aircall.io/privacy/ beschriebenen Bedingungen erfüllen, wenn Aircall diese Informationen zu den von Aircall (als für die Verarbeitung Verantwortlichem) gemeinsam oder unabhängig festgelegten Zwecken und Mitteln verarbeitet.

2. Datenverarbeitungsvereinbarung. Durch Abschluss dieser Vereinbarung schließen die Parteien auch die Datenverarbeitungsvereinbarung ab, die untrennbarer Bestandteil dieser Vereinbarung ist.

3. Informationssicherheit. Aircall ist bestrebt, wirtschaftlich vertretbare technische und betriebliche Sicherheitsmaßnahmen zu ergreifen, um Kundendaten und vertrauliche Informationen des Kunden vor unbefugter Nutzung oder Offenlegung gemäß Anhang B zu schützen. Wenn Kundendaten personenbezogene Daten darstellen und ihre Verarbeitung durch Aircall der Datenverarbeitungsvereinbarung unterliegt, schützt Aircall diese personenbezogenen Daten durch Umsetzung technischer und betrieblicher Maßnahmen, die in der Datenverarbeitungsvereinbarung beschrieben sind.

10. Garantien, Haftungsausschlüsse, Freistellung und Haftung

    1. Garantien: Gemäß Ziffer 10 der AGB erbringt Aircall die Dienstleistungen professionell und fachmännisch. Aircall garantiert jedoch keinen ununterbrochenen oder fehlerfreien Betrieb der Dienste.

    2. Haftungsausschluss: In Übereinstimmung mit Abschnitt 10.3 der AGB lehnt Aircall im gesetzlich zulässigen Umfang alle stillschweigenden Gewährleistungen ab, einschließlich der Marktgängigkeit und Eignung für einen bestimmten Zweck.

    3. Entschädigung: In Übereinstimmung mit Abschnitt 11 der AGB verpflichtet sich der Kunde, Aircall von allen Ansprüchen, Schäden oder Haftungen freizustellen, die sich aus Ihrer Nutzung der Dienste oder aus einem Verstoß gegen diese Vereinbarung ergeben.

    4. Haftung: SOWEIT DIES NACH DEM GELTENDEN RECHT ZULÄSSIG IST, ÜBERSCHREITET DIE KUMULATIVE HAFTUNG VON AIRCAL ODER VERBUNDENEN UNTERNEHMEN IN KEINEM FALL DIE GESAMTBETRÄGE, DIE DER KUNDE FÜR DIE DIENSTE IN DEN ZWÖLF (12) MONATEN VOR DEM ANSPRUCH, DER ZU EINEM SOLCHEN SCHADEN FÜHRT, GEZAHLT ODER ZU ZAHLEN HAT, ODER HUNDERT EURO (100 €), WENN SIE EIN KOSTENLOSES TESTPROBEVERFAHREN DURCHFÜHREN. SOWEIT DIES NACH DEM GELTENDEN RECHT ZULÄSSIG IST, HAFTEN AIRCLE ODER VERBUNDENE UNTERNEHMEN IN KEINEM FALL FÜR FOLGESCHÄDEN, INDIREKTE, ZUFÄLLIGE, BEISPIELHAFTE, REPUTATIONS-, BESONDERE ODER STRAFENDE SCHÄDEN JEGLICHER ART WIE DATEN- ODER GEWINNVERLUST ODER GESCHÄFTSUNTERBRECHUNG, VERLUST VON GESCHÄFTSMÖGLICHKEITEN, SCHADEN FÜR DAS IMAGE ODER DEN RUF, OB AUS VORSTEHENDEM, VERTRAG, GEWÄHRLEISTUNG, DELIKT (EINSCHLIESSLICH FAHRLÄSSIGKEIT ODER STRENGE HAFTUNG) ODER EINER ANDEREN HAFTUNGSTHEORIE, AUCH WENN AIRCLE ODER VERBUNDENE UNTERNEHMEN MÜNDLICH ODER SCHRIFTLICH ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN IN KENNTNIS GESETZT WURDEN. JEGLICHE ANSPRÜCHE ODER KLAGENGRÜNDE, DIE SICH AUS DEM ZUGRIFF ODER DER NUTZUNG DER WEBSITE UND DER DIENSTE DURCH DEN KUNDEN ERGEBEN, MÜSSEN OFFIZIELL SCHRIFTLICH AN AIRCLE GERICHTET WERDEN, UND ZWAR INNERHALB EINES (1) JAHRES NACH DEM AUFTRETEN DES ANSPRUCHS ODER KLAGENGRUNDS ODER DEM VERZICHT DES KUNDEN.

11. Laufzeit, Sperrung und Kündigung

    1. Begriff. Diese Vereinbarung tritt am Tag des Inkrafttretens in Kraft und bleibt in Kraft, solange der Kunde eine aktive Abonnementlaufzeit im Rahmen der Zendesk-Vereinbarung hat oder einen Teil der Dienste nutzt, es sei denn, er wird gemäß diesem Abschnitt früher gekündigt.

    2. Sperre. Aircall kann den Zugriff des Kunden und/oder der Benutzer auf die Dienste sofort sperren oder einschränken, wenn (i) der Kunde gegen seine Zahlungsverpflichtungen für Nutzungsgebühren oder Zusatzgebühren verstößt, (ii) der Kunde und/oder ein Benutzer die Dienste unter Verstoß gegen das Gesetz oder die vorliegenden Bedingungen nutzt oder (iii) eine Sperrung erforderlich ist, um einen wesentlichen Schaden für die Dienste oder andere Kunden zu verhindern. Zusätzlich zu allen anderen Rechten und Rechtsmitteln in dieser Vereinbarung kann Aircall die Bereitstellung, den Zugriff und/oder die Nutzung der Dienste in den folgenden Fällen ganz oder teilweise aussetzen, wie Aircall nach eigenem, aber vernünftigem Ermessen festlegt:

1. Der Kunde oder ein Benutzer verstößt gegen (i) die Bestimmungen der Vereinbarung (einschließlich im Falle einer Nichtzahlung am Fälligkeitsdatum), (ii) geltende Gesetze oder (iii) eine dem Kunden schriftlich bereitgestellte oder zur Verfügung gestellte Richtlinie, einschließlich der Richtlinie zur zulässigen Nutzung;

2. falls der Zugriff und/oder die Nutzung der Dienste durch den Kunden oder einen Benutzer zu einer Verschlechterung der Dienste führt oder anderweitig die Rechte von Aircall oder Dritten beschädigt oder zu beschädigen droht;

Ohne Einschränkung des Vorstehenden kann Aircall den Zugriff auf die Dienste sperren. Wenn der Kunde nicht innerhalb der von Aircall in der von Aircall an den Kunden gesendeten Mitteilung angegebenen Frist nachgekommen ist, kann Aircall den Zugriff auf und die Bereitstellung der Dienste sperren, bis der Kunde diese Verletzung, Verschlechterung oder Beschädigung behoben hat. Die Sperrung entbindet den Kunden nicht von seiner Verpflichtung, Gebühren und Kosten im Zusammenhang mit der Reaktivierung der Dienste zu zahlen. Aircall haftet nicht für Schäden, die aus der Sperrung von Diensten entstehen.

3. Kündigung. Vorbehaltlich der Bestimmungen von Absatz 12 der AGB kann jede Partei diese Vereinbarung (a) kündigen, wenn die andere Partei innerhalb von dreißig (30) Tagen nach Erhalt der schriftlichen Mitteilung wesentlich verletzt und nicht heilt, oder (b) im Falle einer Insolvenz oder eines Konkurses der anderen Partei. Die Kündigung der Zendesk-Vereinbarung kann auch zur Kündigung der vorliegenden Vereinbarung führen, es sei denn, Aircall und der Kunde vereinbaren gesondert, die Dienste fortzusetzen.

4. Auswirkungen der Kündigung. Nach der Kündigung muss der Kunde die Nutzung der Dienste sofort einstellen, und alle ausstehenden Zahlungsverpflichtungen (einschließlich aufgelaufener Nutzungsgebühren und Zusatzgebühren) werden fällig und zahlbar. Aircall wird dem Kunden gegebenenfalls angemessene Anweisungen zum Abruf gespeicherter Daten geben.

5. Hinweis zum Ende der Lebensdauer. Aircall informiert den Kunden mindestens sechs (6) Monate im Voraus über das Ende der Lebensdauer oder Einstellung der Aircall-Lösung, sofern diese Kündigungsfrist nicht in Fällen gilt, in denen eine Einstellung aufgrund gesetzlicher, behördlicher oder gerichtlicher Verpflichtungen erforderlich ist. Die Benachrichtigung erfolgt gemäß den Bestimmungen dieser Vereinbarung. 

12. Regelung von Recht und Streitfällen

    1. Anwendbares Recht. Diese Vereinbarung unterliegt den Gesetzen in den geltenden Allgemeinen Geschäftsbedingungen für Aircall und ist entsprechend auszulegen. 

    2. Gerichtsstand und Gerichtsstand. Sofern im lokalen Recht nichts anderes bestimmt ist, sind ausschließlich die Gerichte oder Streitfälle zuständig, die in Anhang A (Gültige AGB) aufgeführt sind.

    3. Streitbeilegung. Im Streitfall, Anspruch, Frage oder Meinungsverschiedenheiten („Streitfall“), die sich aus oder im Zusammenhang mit der Vereinbarung ergeben, unternehmen die Vertragsparteien ihr Bestes, um den Streitfall durch normale Geschäftsgespräche beizulegen. Bleibt der Streitfall dreißig (30) Tage, nachdem die eine Vertragspartei den anderen von dem Streitfall in Kenntnis gesetzt hat, ungelöst, kann jede Vertragspartei weitere rechtliche Schritte zur Beilegung des Streitfalls einleiten.

13. Änderungen

Aircall kann die Allgemeinen Geschäftsbedingungen, einschließlich Änderungen der Tarife, Funktionen der Aircall-Dienste oder des Inhalts der vom Kunden ausgewählten Angebote, oder von Richtlinien, nach dreißig (30) Tagen im Voraus an den Kunden unter der mit dem Konto des Kunden verknüpften E-Mail-Adresse aktualisieren. Solche Aktualisierungen treten dreißig (30) Tage nach dieser Benachrichtigung an den Kunden in Kraft. Falls sich eine solche Aktualisierung auf einen wesentlichen Teil des Vertrags auswirkt, kann der Kunde innerhalb von dreißig (30) Tagen nach Erhalt der Aktualisierung die Kündigung des Vertrags oder der betroffenen Dienste ohne Kosten oder Strafe und ohne Anspruch auf Schadensersatz ankündigen. Jede Nutzung der Dienste nach dem Inkrafttreten gilt als Annahme der Änderung durch den Kunden. Die aktualisierte Version der AGB gilt ab ihrem Inkrafttreten als Bestandteil dieser Vereinbarung und regelt die weitere Nutzung der Dienste entsprechend. Die aktuelle Version der AGB ist unter https://legal.aircall.io/ abrufbar.

Zur Vermeidung von Zweifeln wird angegeben, dass keine Kündigung erfolgen darf, wenn die vorgenommenen Änderungen gesetzlich vorgeschrieben sind und/oder wenn sie die wesentlichen Elemente der Dienste nicht beeinträchtigen. 

14. Sonstiges

    1. Hinweise. Die im Rahmen dieser Vereinbarung erforderlichen Mitteilungen müssen schriftlich übermittelt werden:

1. an den Kunden: an die im jeweiligen Bestellformular angegebenen Adressen oder per E-Mail an den angegebenen Kontokontakt.

2. an Aircall: an die in Anhang A angegebene Adresse. 

2. Gesamte Vereinbarung. Dieser EuRH (einschließlich der Allgemeinen Geschäftsbedingungen von Aircall und der dazugehörigen Vereinbarungen) stellt die gesamte Vereinbarung zwischen den Parteien bezüglich des Inhalts dieser Vereinbarung dar und ersetzt alle vorherigen oder gleichzeitigen Vereinbarungen oder Vereinbarungen in Bezug auf diesen Gegenstand.

Durch Abonnement und Nutzung der Dienste von Aircall erkennt der Kunde die Bedingungen dieser Vereinbarung, einschließlich der anwendbaren Allgemeinen Geschäftsbedingungen von Aircall, an und erklärt sich damit einverstanden.

Anlage A – Anwendbare Bedingungen

 

Anlage B – Informationssicherheitsmaßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für den Kunden unternimmt Aircall wirtschaftlich vertretbare Anstrengungen, um angemessene Maßnahmen zu ergreifen und aufrechtzuerhalten, die den unten aufgeführten im Wesentlichen ähneln, soweit dies dem Risikoniveau angemessen ist, Inhalte, Materialien, Daten (einschließlich personenbezogene Daten) und nicht-öffentliche Informationen, die vom Kunden bereitgestellt oder bereitgestellt werden (kollektiv „Daten“), sicher zu halten und Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen (siehe unten). Dabei handelt Aircall nach Treu und Glauben und mit angemessener Sorgfalt und Kompetenz im Einklang mit Branchenstandards. 

A. Definitionen:

● „Prozess“ bezieht sich auf jeden Vorgang in Bezug auf Daten, unabhängig von den Zwecken und Mitteln, die angewendet werden, einschließlich, jedoch nicht beschränkt auf Zugriff, Sammlung, Speicherung, Übertragung, Offenlegung, Verwendung, Löschung, Vernichtung und andere Vorgänge.

● „Verletzung“: (a) unbefugte Verarbeitung von Daten oder (b) jede Handlung oder Unterlassung, die die physischen, technischen oder organisatorischen Sicherheitsvorkehrungen von Aircall in Bezug auf die Verarbeitung von Daten beeinträchtigt oder untergräbt oder anderweitig getroffen wird, um diese Anforderungen zu erfüllen. Zur Vermeidung von Zweifeln: „Nicht autorisierte Verarbeitung“ umfasst, ist aber nicht beschränkt auf: Missbrauch, Verlust, Zerstörung, Kompromittierung oder unbefugten Zugriff, Sammlung, Aufbewahrung, Speicherung oder Übertragung.

● „Vorfall“ bezieht sich auf jede Beeinträchtigung der Sicherheit von Daten, einschließlich (i) Handlungen, die gegen Gesetze oder Aircall-Sicherheitsrichtlinien verstoßen, (ii) ungeplante Dienstunterbrechungen, die den normalen Betrieb der Dienste verhindern, oder (iii) Verstöße.

B. Maße: Technische und organisatorische Maßnahmen zur Speicherung, Handhabung und Entsorgung von und Daten.

● Aircall verwendet branchenübliche Verschlüsselungsalgorithmen und Schlüsselstärken, um Folgendes zu verschlüsseln:

● Verschlüsseln Sie alle Daten, die in elektronischer Form vorliegen, während sie über alle öffentlichen kabelgebundenen Netzwerke (d. h. Internet) und alle drahtlosen Netzwerke übertragen werden. 

● Alle Daten verschlüsseln, während sie gespeichert sind. „Im Speicher“ bezieht sich auf Informationen, die in Datenbanken, in Dateisystemen und auf verschiedenen Online- und Offlinemedien (Mobilgeräte, Laptops, DASD, Tonband usw.) gespeichert sind.

● Sofern nicht gesetzlich verboten, entfernt Aircall Daten auf Anfrage des Kunden unverzüglich und innerhalb eines angemessenen Zeitraums, in keinem Fall jedoch länger als 21 Tage nach dem Datum der Anfrage, aus der Aircall-Umgebung. Auf Anfrage des Kunden erhält der Kunde innerhalb von dreißig (30) Tagen nach dem Zeitpunkt eine schriftliche Bestätigung über die Entfernung, Vernichtung und/oder Reinigung.

C. Maße: Bösartiger Codeschutz. 

● Auf allen Workstations und Servern (virtuell oder physisch) wird die aktuelle Version der branchenüblichen Antiviren- und/oder Malware-Software mit den neuesten Updates ausgeführt, die auf allen Workstations und Servern verfügbar sind. Virusdefinitionen müssen unverzüglich nach der Veröffentlichung durch den Anbieter aktualisiert werden. Aircall konfiguriert Geräte und bietet unterstützende Richtlinien, die es Benutzern verbieten, Virenschutzsoftware zu deaktivieren, Sicherheitskonfigurationen zu ändern oder andere Schutzmaßnahmen zu deaktivieren, die zur Gewährleistung der Sicherheit von Daten oder der Computerumgebung von Aircall ergriffen wurden.

● Aircall durchsucht eingehende und abgehende Inhalte auf allen Gateways zu öffentlichen Netzwerken, einschließlich E-Mail- und Proxy-Servern, auf bösartigen Code.

● Aircall stellt Dateien, die als infiziert identifiziert wurden, unter Quarantäne oder entfernt sie und protokolliert das Ereignis.

D. Maße: Technische und organisatorische Maßnahmen zur Zugangskontrolle, insbesondere zur Kontrolle der Legitimität berechtigter Personen zu den Einrichtungen und Systemen, auf die Daten zugegriffen werden können:

● Aircall stellt sicher, dass Maßnahmen zur Sicherung der Räumlichkeiten (z. B. Sicherung von Ein- und Ausgängen) sowie Maßnahmen innerhalb des Gebäudes durch die folgenden Verfahren ergriffen werden:

● Sicherheit und Verschlüsselung aller Personal Computer oder anderer Mobilgeräte, die auf Daten zugreifen können;

● eingeschränkter Zugriff auf Mitarbeiter und Auftragnehmer mit Ausnahme autorisierter Besucher; 

● Identifizierung der Personen mit Zugriffsberechtigung;

● Beschränkung von Schlüsseln und Sicherheitsalarmsystem oder andere geeignete Sicherheitsmaßnahmen.

Aircall widerruft unverzüglich den Zugriff auf physische Orte, Systeme und Anwendungen, die Daten enthalten oder verarbeiten, nachdem der autorisierte Agent keinen Zugriff auf die Systeme oder Anwendungen mehr benötigt.

E. Maße: Technische (Kennwort-/Kennwortschutz) und organisatorische (Benutzerstammdatensatz) Maßnahmen zur Identifizierung und Authentifizierung von Benutzern:

Aircall teilt dem Kunden auf seine begründete Anfrage mit, welche autorisierten Benutzer Zugriff auf Daten haben.

Die Benutzersteuerung umfasst folgende Maßnahmen:

● eingeschränktes VPN-Profil;

● Implementierung der Zwei-Faktor-Authentifizierung

Die Zugriffskontrolle auf Daten umfasst folgende Maßnahmen:

● wirksame und messbare Disziplinarmaßnahmen gegen Personen, die unbefugt auf Daten zugreifen.

F. Maße: Technische und organisatorische Maßnahmen zur Sicherheit der von Aircall genutzten Netzwerke (einschließlich drahtloser Netzwerke).

Alle Netzkontrollen müssen folgende Maßnahmen enthalten:

● Aircall führt regelmäßig interne und externe Netzwerkschwachstellenprüfungen durch. Die festgestellten Schwachstellen werden in wirtschaftlich vertretbarer Weise und mit einem vom Schweregrad abhängigen Zeitraum behoben.

● Aircall wird im Betrieb seiner Netzwerke eine angemessen geeignete Firewall-Technologie bereitstellen. 

● Aircall überprüft mindestens regelmäßig die Firewall-Regelsätze, um sicherzustellen, dass Legacy-Regeln entfernt und aktive Regeln korrekt konfiguriert werden.

● Aircall setzt Systeme zur Erkennung oder Verhinderung von Eindringungen ein, um Netzwerke auf unangemessene Aktivitäten zu überwachen.

● Aircall muss eine Protokollmanagementlösung bereitstellen und Protokolle, die von Firewalls und Einbruchmeldesystemen erstellt werden, mindestens ein (1) Jahr lang aufbewahren.

Drahtlose Netzwerkkontrollen müssen folgende zusätzliche Maßnahmen umfassen:

● Der Netzwerkzugriff auf drahtlose Netzwerke sollte auf autorisierte Benutzer beschränkt werden. 

● Die Zugangspunkte müssen über ein Gateway-Gerät von einem internen LAN aus segmentiert werden.

● Die Service-Set-Kennung (SSID), die Administrator-Benutzer-ID, das Kennwort und die Verschlüsselungsschlüssel müssen vom Standardwert geändert werden.

● Die Verschlüsselung aller drahtlosen Verbindungen wird mit Industriestandard-Verschlüsselungsalgorithmen aktiviert. Verschlüsselungsprotokolle basieren auf „Wireless Protected Access“ (WPA2) oder höher. 

G. Maße: Aircall unterhält eine Vorfallreaktionsfunktion, die die Auswirkungen von Vorfällen erkennt, mindert und verhindert. Wenn ein Vorfall eintritt, unternimmt Aircall (i) unverzüglich alle erforderlichen Schritte, um eine weitere Kompromittierung von Daten oder zukünftigen Vorfällen zu verhindern; (ii) benachrichtigt den betroffenen Kunden unverzüglich nach der Identifizierung des Vorfalls und legt anschließend einen schriftlichen Bericht vor; und (iii) reagiert unverzüglich auf jede vernünftige Anfrage des Kunden nach detaillierten Informationen zum Vorfall. Die Mitteilung und der Bericht von Aircall enthalten eine Beschreibung der Art des Vorfalls, seiner Auswirkungen sowie aller eingeleiteten oder geplanten Untersuchungs-, Korrektur- oder Abhilfemaßnahmen.

H. Maße: Geschäftskontinuität und Disaster Recovery. Aircall wird einen wirtschaftlich vertretbaren und branchenüblichen Business-Continuity-Plan implementieren, um die Verfügbarkeit der Dienste aufrechtzuerhalten („Continuity-Plan“). Aircall behält diesen Kontinuitätsplan während der gesamten Laufzeit aller Abonnements bei, sofern Aircall das Recht hat, den Kontinuitätsplan zu ändern oder zu ändern, sofern diese Änderung oder Ergänzung keine wesentlichen negativen Auswirkungen auf die Fähigkeit von Aircall hat, die Verfügbarkeit der Dienste aufrechtzuerhalten.

 

Anlage C

Service-Level-Vereinbarung

1. Definitionen 

Für die Zwecke dieser Ausstellung haben die folgenden Begriffe die unten angegebene Bedeutung. Alle anfänglichen Begriffe in diesem Zeitplan, die nicht in diesem Abschnitt oder in diesem Zeitplan definiert sind, haben die entsprechende Bedeutung, die ihnen in der Endkundenvereinbarung (wie unten definiert) gegeben wird. 

• „Kundenursache“ bezieht sich auf eine der folgenden Ursachen eines Vorfalls: (a) fahrlässige oder unsachgemäße Nutzung, falsche Anwendung, Missbrauch oder Beschädigung der Dienste durch den Kunden oder seine Benutzer; (b) Verbesserung oder sonstige Änderung oder Abänderung der Dienste durch den Kunden oder seine Benutzer; (c) jegliche Nutzung der Dienste durch den Kunden oder seine Benutzer in einer Weise, die mit den damals geltenden AGB nicht vereinbar ist; (d) jegliche Nutzung von Produkten oder Diensten von Drittanbietern, die Aircall dem Kunden nicht zur Verfügung gestellt oder bereitgestellt hat, durch den Kunden oder Benutzer; oder (e) jegliche Nutzung einer nicht aktuellen Version oder Freigabe der Dienste durch den Kunden. 
• „Ausfallzeit“ bedeutet, dass die Kernfunktionalität der Dienste (Annehmen und Durchführen von Anrufen) nicht genutzt werden konnte, gemessen in kontinuierlichen 5-Minuten-Schritten. Der Begriff „Ausfallzeit“ umfasst nicht die Nichtverfügbarkeit von Diensten in Verbindung mit einem Ausschluss (wie unten definiert). 
• „Fehler“ bedeutet einen Fehler der Dienste, wie in der Tabelle „Service Levels“ in Abschnitt 3.c unten definiert. 
• „Funktionswunsch“ ist eine Anfrage zur Aufnahme eines neuen Funktionsmerkmals oder zur Erweiterung eines vorhandenen Funktionsmerkmals der Dienste, das gegenwärtig nicht verfügbar ist. 
•  „Endkundenvereinbarung“ bezeichnet die Aircall-Kundenvereinbarung zwischen Aircall und dem Kunden. 
• „Anfrage“ bezieht sich auf eine Anfrage des Kunden an das Aircall-Support, um technischen Support zu erhalten, um eine Frage oder ein Problem in Bezug auf Aircall-Dienste oder -Nutzung zu beantworten. 
• Support. Aircall bietet dem Kunden technischen Support mit Ausnahme von Support Anfragen in Verbindung mit einem Ausschluss gemäß Abschnitt 4. Um Zweifel zu vermeiden, werden Rechnungsfragen und Portierungsanfragen im Rahmen dieses Zeitplans nicht als Teil von Support betrachtet. 
• „Verfügbarkeitsprozentsatz“ bezeichnet die allgemeine Serviceverfügbarkeit, berechnet als Differenz zwischen 100 Prozent (100 %) und dem prozentualen Anteil der Ausfallzeiten, berechnet auf Kalendermonatsbasis für den jeweiligen Monat. Der Begriff „Verfügbarkeit“ umfasst nicht die Nichtverfügbarkeit von Diensten in Verbindung mit einem Ausschluss (wie unten definiert).

2. Aircall-Service-Level 

a) Verfügbarkeit des Aircall-Dienstes 

Der Verfügbarkeitsprozentsatz der Aircall Services muss 99,95 % betragen. Geplante Wartungs-/Ausfallzeiten sind gemäß den Bestimmungen der Endkundenvereinbarung begrenzt.

3. Aircall Support 

a) Bedingungen für Support 

• Zugreifen auf Aircall Support. Support Anfragen müssen über das Aircall Support Portal (Support.aircall.io) eingereicht werden. 
• Einhaltung der Endkundenvereinbarung. Aircall unternimmt wirtschaftlich vertretbare Anstrengungen, um technischen Support bereitzustellen, um sicherzustellen, dass die Leistung der Dienste wesentlich mit der Endkundenvereinbarung übereinstimmt. Im Falle von Ausschlüssen, wie unten definiert, bietet Aircall keinen technischen Support. 
• Charakterisierung von Anfragen. Der Kunde bestimmt den Schweregrad beim Einreichen der Anfrage. Sobald Aircall eine Anfrage vom Kunden erhält, bestätigt er nach eigenem Ermessen und basierend auf den Definitionen in Abschnitt 3.c die Schwere der Anfrage. Aircall kann die Bezeichnung der Anfrage nach Schweregrad und Prioritätsstufe bei Bedarf aktualisieren. 
• Sprachunterstützung. Die Parteien vereinbaren, dass der gesamte von Aircall gemäß den vorliegenden Richtlinien bereitgestellte Support während der europäischen
  • Arbeitszeiten mit wirtschaftlich vertretbarem Aufwand. Wenn keine regionalen Sprecher verfügbar sind, bleibt Support in englischer Sprache verfügbar. 
• Verfahren zur Bestätigung und Lösung von Anfragen. Beim Erstellen einer Anfrage gibt der Kunde alle Details zum gemeldeten Problem und zu den angeforderten Diagnoseinformationen an, darunter unter anderem: 

○ Aircall-Kontoname oder Instanzname; 

○ Beschreibung des Problems, einschließlich Fehlermeldungen; 

○ Beschreibung der Bemühungen des Kunden, das Problem vor der Kontaktaufnahme mit Aircall zu lösen; 

○ Softwareversion des Benutzers; 

○ Maschinen-, Netzwerk- und/oder Hardwarespezifikationen und -konfigurationen des Kunden (falls relevant). 

Vor dem Erstellen einer Anfrage muss der Kunde die gesamte Aircall-Wissensdatenbank und -Dokumentation lesen und verwenden, um sicherzustellen, dass die Anforderungen erfüllt sind, Best Practices übernommen werden und Produktleitfäden, die von Aircall angefordert werden, um die Leistung der Dienste sicherzustellen. 

Der Kunde verpflichtet sich, per E-Mail oder Telefon weitere Fragen zu beantworten und dem Aircall Support so schnell wie möglich zu helfen. Der Kunde verpflichtet sich, alle Anweisungen und Richtlinien zu befolgen, die vom Aircall Support Personal zur Korrektur des Fehlers empfohlen werden. Wenn der Kunde nicht verfügbar ist und seine Teilnahme erforderlich ist, gilt die Anfrage als von Aircall gelöst. 

b) Aircall Support Stunden 

c) Schweregrade 

In der folgenden Tabelle sind die Schweregrade des vom Kunden gemeldeten Fehlers beschrieben. Nach Einreichen der Anfrage untersucht Aircall den Fehler und unternimmt wirtschaftlich vertretbare Anstrengungen, um auf diese Anfrage gemäß der folgenden Tabelle zu reagieren:

4. Ausschlüsse 

Unbeschadet anderslautender Bestimmungen in dieser Endkundenvereinbarung gilt keine SLA-Verletzung als gegeben, wenn ein solches Ereignis (a) durch Faktoren verursacht wird, die sich der angemessenen Kontrolle von Aircall entziehen, einschließlich, jedoch nicht beschränkt auf Drittanbieter, Hosting-Anbieter oder Anbieterbezogene Probleme oder Internetzugangs- oder damit zusammenhängende Probleme, die außerhalb des Punktes im Netzwerk auftreten, an dem Aircall den Zugriff auf die Aircall-Dienste und die Kontrolle über sie behält; (b) auf Handlungen oder Unterlassungen des Kunden oder eines Dritten zurückzuführen ist; (c) auf die Anwendung des Kunden, seine Ausrüstung, Software oder andere Technologie oder Drittanbieterausrüstung, Software oder andere Technologie (ausgenommen Geräte, die der direkten Kontrolle von Aircall unterliegen); (d) während der planmäßigen oder dringenden Wartungsarbeiten von Aircall, Ereignissen höherer Gewalt oder/und (e) auf Kundenursache zurückzuführen ist.

 

Exponat 1

Zuper-Rahmenbedingungen

Diese Zuper-Rahmenbedingungen (diese „Vereinbarung“) werden zwischen Zuper, Inc. („ZUPER“) mit Geschäftssitz in 24754 NE, 3rd Pl, Sammamish, WA - 98074 und dem in der Zendesk-SOW, der diese Vereinbarung beigefügt ist, aufgeführten Abonnenten („Kunde“) geschlossen und ausgeführt. Der Kunde und ZUPER werden einzeln als „Partei“ und kollektiv als „Parteien“ bezeichnet.

 

PRÄAMBEL

 

IN DER ERWÄGUNG, dass ZUPER eine Workforce Management-Lösung (die „Zuper-Plattform“) für den Außendienst entwickelt hat, um die Effizienz und Produktivität der Mitarbeiter zu verbessern, und bestätigt, dass es über die erforderliche Erfahrung, Kompetenz und Mitarbeiter verfügt, um Support für den Dienst zu implementieren, zu integrieren und bereitzustellen (siehe unten).

 

Der Kunde ist an der Implementierung des von ZUPER bereitgestellten Dienstes interessiert.

 

UND IN DER ERWÄGUNG, dass der Kunde und ZUPER vereinbaren, dass Zendesk, Inc., ein Unternehmen aus Delaware, und jedes seiner verbundenen Unternehmen („Zendesk“), die Abrechnung für das Abonnement des vom Kunden bei ZUPER im Rahmen dieser Vereinbarung bestellten Dienstes gemäß einer zwischen dem Kunden und Zendesk durchgeführten Zendesk-SSOW verarbeitet. „Zendesk SOW“ bezieht sich auf die von Zendesk an den Kunden ausgestellte Leistungsbeschreibung oder ein ähnliches Auftragsdokument, in dem der Serviceplan, die Gebühren, die Abrechnung und der Abonnementzeitraum des Dienstes im Rahmen dieser Vereinbarung des Kunden angegeben sind.

 

Unter Berücksichtigung der hierin dargelegten Erklärungen und gegenseitigen Übereinkünfte und der guten und wertvollen Überlegungen, deren Ausreichen die Vertragsparteien hiermit anerkennen, kommen die Vertragsparteien daher überein,

 

PRODUKT UND DIENSTLEISTUNGEN

 

Gemäß den Bestimmungen dieser Vereinbarung stellt ZUPER Abonnements für Workforce Management-Lösungen im Feld („Zuper-Plattform“) über zuper.co oder eine andere von ZUPER angegebene Website („Dienst“) bereit und verkauft sie.

 

Vorbehaltlich der rechtzeitigen Zahlung der in der Zendesk-SSOW festgelegten anfallenden Gebühren und vorbehaltlich der Bedingungen dieser Vereinbarung gewährt ZUPER dem Kunden und jeder natürlichen oder juristischen Person, die direkt oder indirekt der Kontrolle des Kunden unterliegt, hiermit ein nicht unterlizenzierbares, nicht übertragbares, nicht ausschließliches Recht zum Zugriff auf und zur Nutzung des Dienstes. Für die Zwecke dieser Klausel bezeichnet „Kontrolle“ die Befugnis, die Leitung, die Geschäfte oder die Richtlinien eines Unternehmens zu lenken oder zu leiten, sei es durch Eigentum an stimmberechtigten Wertpapieren, vertraglich oder anderweitig, oder die Befugnis, mindestens ein Drittel der Direktoren, Manager, Partner oder anderen Personen, die ähnliche Befugnisse in Bezug auf dieses Unternehmen ausüben, zu wählen oder zu ernennen. 

 

Mit Ausnahme der im Folgenden ausdrücklich genannten Rechte werden dem Kunden keinerlei andere Rechte oder Interessen an der Zuper-Plattform oder dem Dienst und/oder einer Komponente davon übertragen oder gewährt. Ohne Einschränkung des Vorstehenden darf der Kunde (i) die Zuper-Plattform oder den Dienst nicht für andere Zwecke als die im Folgenden ausdrücklich genannten verwenden; (ii) die Zuper-Plattform (iii) rekonstruieren oder dekompilieren, ändern oder überarbeiten, versuchen, auf die Quelle der Zuper-Plattform oder einen Teil davon zuzugreifen, oder abgeleitete Werke davon erstellen; (iv) das Recht zur Nutzung des Dienstes oder eines Teils davon ganz oder teilweise übertragen. 

 

Inbegriffene Funktionen:

 

SCHULUNG

 

Online-Schulungen für Kursleiter sind im Paket enthalten. 

 

1.          Personalisierte interaktive Sitzungen, die von Kursleitern gesteuert werden.

2.          Zugriff auf Produktdokumentation und Anleitungen

3.          Teilen Sie Best Practices und Empfehlungen mit.

 

Ziel der Schulung ist es, sicherzustellen, dass das Team das Produkt in die Praxis umsetzen kann und die Best Practices kennt, um alle Funktionen optimal zu nutzen. 

 

GEBÜHREN

Zendesk verarbeitet Gebühren für das Abonnement des vom Kunden bei ZUPER im Rahmen dieser Vereinbarung bestellten Dienstes, wie in der Zendesk-SSOW festgelegt. Rechnungen werden gemäß den Bestimmungen der Zendesk-SSOW an gesendet und die Zahlung ist fällig. Änderungen des Umfangs des Abonnements des Dienstes durch den Kunden im Rahmen dieser Vereinbarung werden über eine separate Zendesk-SSOW veröffentlicht.

 

ROUTINEMÄSSIGE AKTUALISIERUNGEN UND VERBESSERUNGSWÜNSCHE

ZUPER wird alle zwei Monate Treffen mit dem Kunden vereinbaren, um den Kunden über die Roadmap und die Aktualisierungen des Dienstes zu informieren. Die hierin genannten Preise beinhalten alle regelmäßigen Aktualisierungen, die von ZUPER veröffentlicht werden, und der Kunde hat keinen Anspruch auf zusätzliche Zahlungen für solche Aktualisierungen. Premium-Funktionen sind im Abonnementpreis nicht enthalten. ZUPER teilt dem Kunden Updates zu Premium-Funktionen mit. Die Preise werden unabhängig von dieser Vereinbarung geteilt und vereinbart. 

Der Kunde kann von Zeit zu Zeit Änderungen am Dienst anfordern, die sich an die sich ändernden Anforderungen anpassen. Unabhängig von dieser Vereinbarung vereinbaren die Parteien einvernehmlich Bedingungen wie Kosten und Zeitrahmen, falls der Kunde größere Änderungen am Dienst anfordert. 

 

Alle zukünftigen Softwareintegrationen von Drittanbietern mit Zuper sind im monatlichen Benutzerpreis enthalten.

 

HINWEIS ZUM LEBENSENDE; VERFÜGBARKEIT

ZUPER informiert den Kunden mindestens sechs (6) Monate im Voraus über das Ende der Nutzungsdauer oder die Einstellung von Funktionen.

ZUPER sichert zu und garantiert, dass der Dienst während der Laufzeit einen monatlichen Verfügbarkeitsprozentsatz von mindestens 99,9 % in jedem Kalendermonat (d. h. max. 43 Minuten Ausfallzeit pro Monat) erreicht. Geplante Wartungs-/Ausfallzeiten sind auf weniger als vier (4) Stunden in einem bestimmten Monat zu begrenzen. ZUPER informiert den Kunden mindestens sieben (7) Tage im Voraus schriftlich (E-Mail akzeptabel) über eine solche Nichtverfügbarkeit („Geplante Ausfallzeiten“).

 

SUPPORT

Telefon- und E-Mail-Support sind ohne Zusatzkosten im Paket enthalten. Wenn Sie Probleme oder Fragen haben, können Sie sich an den Zuper Support wenden. Der Telefon-Support bietet sofortige Hilfe beim technischen Support, indem er das Problem behebt und behebt. E-Mail-Support für technische und nichttechnische Probleme. Zuper verpflichtet sich, dem Kunden die in Anhang A aufgeführten Support-Verpflichtungen zu erteilen.  

 

ANFORDERUNGEN AN DIE INFORMATIONSSICHERHEIT

ZUPER muss die Anforderungen an die Informationssicherheit gemäß Anhang B erfüllen.

 

DATENVERARBEITUNGSVEREINBARUNG

Die Parteien stimmen der Datenverarbeitungsvereinbarung in Anhang C zu.

 

DAUER

Diese Vereinbarung tritt am Tag des Inkrafttretens der anwendbaren Zendesk-SSOW in Kraft und bleibt in Kraft, sofern sie nicht gemäß den Bestimmungen der Zendesk-SSOW früher gekündigt wird, bis alle anwendbaren Zendesk-SSOW („Bedingung“) abgelaufen sind.

 

EIGENTUMSRECHTE

Bestimmte Teile der auf der Zuper-Plattform verfügbaren Software (beispielsweise nur JQuery) unterliegen möglicherweise „Open-Source-“ oder „Freie Software“-Lizenzen („Drittanbieter-Software“). Diese Drittanbietersoftware unterliegt nicht den Bestimmungen dieser Vereinbarung, sondern wird gemäß den Bestimmungen der Bedingungen bereitgestellt, die dieser Drittanbietersoftware beiliegen.

Außer in Bezug auf Software von Drittanbietern (wie oben definiert) besitzt ZUPER alle Rechte, einschließlich aller Rechte an geistigem Eigentum, an und an der Zuper-Plattform und dem Dienst sowie alle Anpassungen, Änderungen, Erweiterungen oder Verbesserungen daran sowie an und an den vertraulichen Informationen von ZUPER und behält diese bei. Um jegliche Zweifel auszuschließen, sind alle Inhalte, die der Kunde über den Dienst entwickelt hat, Eigentum des Kunden.

 

MARKETING

 Der Kunde erteilt ZUPER hiermit das Recht,

1.          Verwenden Sie den Namen und die Servicemarken in den Marketingmaterialien oder anderen mündlichen, elektronischen oder schriftlichen Werbeaktionen, einschließlich Nennung des Kunden als Kunde von ZUPER und eines kurzen Leistungsumfangs. 

2.          Pressemitteilung zu dieser Vereinbarung veröffentlichen. 

3.          Fallstudie veröffentlichen.

4.          Veröffentlichen Sie Referenzen auf der Website und/oder in anderen Marketingmaterialien.

 

FREISTELLUNG UND HAFTUNGSBESCHRÄNKUNG

ZUPER verpflichtet sich, den Kunden von allen Schäden, Kosten und Ausgaben (einschließlich angemessener Anwaltskosten) zu verteidigen, zu entschädigen und schadlos zu halten, die letztlich von einem zuständigen Gericht zugesprochen werden und die aufgrund von Ansprüchen, Klagen oder Verfahren entstehen, die gegen ihn aufgrund einer Behauptung erhoben werden, dass die Zuper-Plattform und/oder der Dienst Rechte an geistigem Eigentum verletzen; vorausgesetzt, der Kunde hat ZUPER unverzüglich schriftlich über einen solchen Anspruch informiert und ZUPER die Befugnis, Informationen und Unterstützung (auf Kosten des Unternehmens) erteilt, den Anspruch oder die Verteidigung eines solchen Prozesses, Verfahrens oder Vergleichs zu kontrollieren und zu bearbeiten. Die vorstehende Freistellung ist das einzige Rechtsmittel, auf das der Kunde im Zusammenhang mit dem Vorstehenden Anspruch hat. 

Mit Ausnahme von Ansprüchen wegen vorsätzlichen Fehlverhaltens, grober Fahrlässigkeit oder Verletzung der Vertraulichkeit haftet keine der Parteien der anderen gegenüber für indirekte, zufällige, besondere, Folge- oder Strafschäden jeglicher Art, einschließlich, aber nicht beschränkt auf entgangenen Gewinn, entgangene Umsätze oder entgangenen guten Willen in Verbindung mit oder aus dieser Vereinbarung, auch wenn die andere Partei über die Möglichkeit solcher Schäden informiert wurde. In keinem Fall übersteigt die Gesamthaftung einer Partei im Rahmen dieser Vereinbarung die Gesamtgebühren, die ZUPER im Zeitraum vor dem jeweiligen anwendbaren Anspruch tatsächlich gezahlt wurden.

 

VERTRAULICHKEIT

ZUPER und der Kunde erkennen an, dass sie sich gegenseitig an alle anwendbaren Gesetze und Vorschriften zur Vertraulichkeit der im Rahmen dieser Vereinbarung ausgetauschten Informationen halten.

 

Interne Offenlegung: Jede Partei wahrt die Vertraulichkeit und Sensibilität der vertraulichen Informationen der Offenlegungspartei und gibt keine vertraulichen Informationen an Dritte weiter. Die Empfangspartei kann die vertraulichen Informationen der Offenlegungspartei gegenüber ihrem eigenen Personal und gegenüber Offizieren, die für die Zwecke dieser Vereinbarung ein berechtigtes Kenntniserfordernis bezüglich dieser vertraulichen Informationen haben und mindestens ebenso restriktiv wie die Bedingungen für vertrauliche Informationen dieser Vereinbarung verpflichtet sind, offenlegen, und die Empfangspartei verwendet vertrauliche Informationen nur, wenn und soweit dies für die Zwecke dieser Vereinbarung erforderlich ist.

Preisoffenlegung: Die in Zendesk SOW genannten Preise gelten ausschließlich für Kunden und können vom Kunden nicht mit anderen Zuper-Kunden, Partnern oder der Presse geteilt werden. 

Schutz: Die Empfangspartei trifft alle angemessenen Vorkehrungen, die erforderlich und angemessen sind, um die Vertraulichkeit der vertraulichen Informationen zu wahren. 

Wettbewerbsverbot: Ohne vorherige Genehmigung wird Zuper weder ein Unternehmen befragen noch sich direkt an Kunden wenden.

 

WESENTLICHE VERLETZUNG

Bei einem wesentlichen Verstoß gegen diese Vereinbarung hat die betroffene Partei (die „benachrichtigende Partei“) die andere Partei („benachrichtigte Partei“) über einen solchen Verstoß zu informieren. Wenn die benachrichtigte Partei die Verletzung nicht innerhalb eines (1) Monats nach Erhalt dieser Benachrichtigung behebt, kann die benachrichtigende Partei diese Vereinbarung ohne weitere Benachrichtigung kündigen und rechtliche Schritte einleiten, um den daraus resultierenden Schaden geltend zu machen.

 

HÖHERE GEWALT

Wenn eine der Parteien ihren Verpflichtungen im Rahmen dieser Vereinbarung nicht nachkommt, wenn diese Nichteinhaltung auf eine Handlung Gottes oder auf andere Umstände zurückzuführen ist, die außerhalb ihrer angemessenen Kontrolle liegen, einschließlich, aber nicht beschränkt auf Feuer, Überschwemmungen, Unruhen, Krieg (erklärt und nicht erklärt), Revolution oder Embargos, wird diese Nichteinhaltung für die Dauer des Ereignisses und für eine Zeit danach entschuldigt, die es den Parteien ermöglicht, die Leistung im Rahmen dieser Vereinbarung wieder aufzunehmen, vorausgesetzt, dass sich diese Zeit keinesfalls auf einen Zeitraum von mehr als hundertachtzig (180) Tagen erstreckt.

 

STREITBEILEGUNG 

Diese Vereinbarung und alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, unterliegen den Gesetzen des US-Bundesstaats Washington und sind in Übereinstimmung mit diesen auszulegen, ohne dass auf deren Kollisionsgrundsätze Bezug genommen wird. Beide Parteien vereinbaren, sich für jedes Gerichtsverfahren und diese Vereinbarung der persönlichen Gerichtsbarkeit zu unterwerfen, unabhängig davon, wer das Verfahren eingeleitet hat. 

 

Anlage A – Verantwortlichkeiten und Verfahren für Support

1. Definitionen

In diesem Abschnitt A:

 

a) „Support“ bezieht sich auf die erste Support, die ZUPER dem Kunden gibt, um Kundeneingaben zu erfassen, Symptome zu bestätigen und bei Bedarf auf Support zu eskalieren.

(b) „Support“ ist die zweite Support, die ZUPER dem Kunden bietet und die sich mit betrieblichen und infrastrukturellen Problemen und Lösungen des Produkts befasst.

c) „Support“ die dritte von ZUPER bereitgestellte Support, die die Behebung von Anwendungscodefehlern oder Infrastrukturcode abdeckt.

(d) „Lieferanten-Support-Zeiten“ bei Problemen mit nicht kritischen und nicht wichtigen Geschäftsauswirkungen bedeutet an einem Geschäftstag (Montag – Freitag, jede Woche des Jahres) zwischen 09:00 und 24:00 Uhr. Support-Zeiten und Antwortverpflichtungen für kritische und größere Probleme mit Geschäftsauswirkungen sind unten beschrieben.    

 

2. Verpflichtungen für Zuper Support

ZUPER bietet dem Kunden jeglichen Support in Bezug auf Probleme, die von Zendesk oder dem Kunden identifiziert und ZUPER gemeldet wurden. Diese Support Services werden über das Zendesk Help Desk Ticketsystem bereitgestellt.

 

ZUPER reagiert auf Support:

a) in Bezug auf kritische Geschäftsauswirkungen innerhalb von dreißig (30) Minuten 24 Stunden am Tag, dreihundertfünfundsechzig (365) Tagen im Jahr. ZUPER informiert den Kunden (und Zendesk, wenn solche Probleme mit kritischen Geschäftsauswirkungen sich auf von Zendesk an ZUPER weitergeleitete Supportanfragen beziehen) alle dreißig (30) Minuten über kritische Geschäftsauswirkungen, bis das Problem gelöst ist. Kritische Geschäftsauswirkungen sind als ein Problem zu definieren, das wesentliche Funktionen in der Produktionsumgebung des Dienstes unterbricht oder die Sicherheit/Integrität der Daten im Dienst beeinträchtigt. Kritische Probleme mit den Geschäftsauswirkungen bleiben bestehen, solange die Störung andauert, die Lösung dringend zeitkritisch ist und kein vernünftiger Workaround verfügbar ist.

b) in Bezug auf größere Probleme mit Geschäftsauswirkungen innerhalb einer (1) Stunde, 24 Stunden pro Tag, 353 Tage im Jahr. ZUPER informiert den Kunden (und Zendesk, wenn solche kritischen Probleme mit Geschäftsauswirkungen sich auf von Zendesk an ZUPER weitergeleitete Supportanfragen beziehen) stündlich (1) über wichtige Probleme mit Geschäftsauswirkungen, bis das Problem gelöst ist. Größere Geschäftsauswirkungen sind als Probleme zu definieren, die eine wesentliche Funktionalität beeinträchtigen oder den normalen Geschäftsbetrieb des Kunden erheblich beeinträchtigen, sich in der Produktionsumgebung des Kunden befinden und äußerst zeitkritisch sind und/oder erhebliche ungeplante Anstrengungen erforderlich sind, um das Problem zu umgehen, um den normalen Geschäftsbetrieb aufrechtzuerhalten;

(c) für andere Probleme und Anfragen innerhalb von sechs (6) Stunden Support für Anbieter;

d) die bei ihr aufgeworfenen Fragen innerhalb eines wirtschaftlich vertretbaren Zeitraums zu lösen und

e) indem sie laufend mindestens einmal pro Woche Updates zu ungelösten Problemen bereitstellen, bis das Problem erfolgreich gelöst ist.

 

 

Anlage B – Anforderungen an die Informationssicherheit

ZUPER gewährleistet und sichert zu, dass es wirtschaftlich vertretbare Anstrengungen unternimmt, um die unten beschriebenen Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, um alle vom Kunden bereitgestellten oder zur Verfügung gestellten Inhalte, Materialien, Daten (einschließlich personenbezogener Daten) und nichtöffentlichen Informationen (kollektiv „Daten“) sicher zu halten und Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen (siehe unten). Dabei handelt Zuper in gutem Glauben und mit angemessener Sorgfalt und Sachkenntnis.

 

1.           Definitionen:

● „Prozess“ bezieht sich auf jeden Vorgang in Bezug auf Daten, unabhängig von den Zwecken und Mitteln, die angewendet werden, einschließlich, jedoch nicht beschränkt auf Zugriff, Sammlung, Speicherung, Übertragung, Offenlegung, Verwendung, Löschung, Vernichtung und andere Vorgänge.

● „Verletzung“ bezieht sich auf jede (a) unbefugte Verarbeitung von Daten oder (b) jede Handlung oder Unterlassung, die die physischen, technischen oder organisatorischen Sicherheitsvorkehrungen von ZUPER in Bezug auf die Verarbeitung von Daten beeinträchtigt oder untergräbt oder anderweitig getroffen wird, um diese Anforderungen zu erfüllen. Zur Vermeidung von Zweifeln: „Nicht autorisierte Verarbeitung“ umfasst, ist aber nicht beschränkt auf: Missbrauch, Verlust, Zerstörung, Kompromittierung oder unbefugten Zugriff, Sammlung, Aufbewahrung, Speicherung oder Übertragung.

● „Vorfall“ bezieht sich auf jede Beeinträchtigung der Sicherheit von Daten, einschließlich (i) Handlungen, die gegen Gesetze oder ZUPER-Sicherheitsrichtlinien verstoßen, (ii) ungeplante Dienstunterbrechungen, die den normalen Betrieb des Dienstes verhindern, oder (iii) Verstöße.

 

2.          Maße: Technische und organisatorische Maßnahmen zur Speicherung, Handhabung und Entsorgung von und Daten.

● ZUPER verwendet branchenübliche Verschlüsselungsalgorithmen und Schlüsselstärken, um Folgendes zu verschlüsseln:

● Verschlüsseln Sie alle Daten, die in elektronischer Form vorliegen, während sie über alle öffentlichen kabelgebundenen Netzwerke (d. h. Internet) und alle drahtlosen Netzwerke übertragen werden. 

● Alle Daten verschlüsseln, während sie gespeichert sind. „Im Speicher“ bezieht sich auf Informationen, die in Datenbanken, in Dateisystemen und auf verschiedenen Online- und Offlinemedien (Mobilgeräte, Laptops, DASD, Tonband usw.) gespeichert sind.

● Sofern nicht gesetzlich verboten, entfernt ZUPER Daten unverzüglich nach (a) Abschluss des Dienstes oder (b) Antrag des Kunden (oder gegebenenfalls Zendesk) auf Entfernung aus der Umgebung von ZUPER und vernichtet sie innerhalb eines angemessenen Zeitraums, in keinem Fall jedoch länger als 21 Tage nach dem Datum der Anforderung oder Einstellung des Dienstes. Zuper stellt dem Kunden (und ggf. Zendesk) innerhalb von dreißig (30) Tagen nach diesem Zeitpunkt eine schriftliche Zertifizierung über die Entfernung, Vernichtung und/oder Reinigung aus.

 

3.          Maße: Bösartiger Codeschutz.

● Auf allen Workstations und Servern (virtuell oder physisch) wird die aktuelle Version der branchenüblichen Antiviren- und/oder Malware-Software mit den neuesten Updates ausgeführt, die auf allen Workstations und Servern verfügbar sind.   Virusdefinitionen müssen unverzüglich nach der Veröffentlichung durch den Anbieter aktualisiert werden.  ZUPER konfiguriert Geräte und verfügt über unterstützende Richtlinien, die es Benutzern verbieten, Virenschutzsoftware zu deaktivieren, Sicherheitskonfigurationen zu ändern oder andere Schutzmaßnahmen zu deaktivieren, die zur Gewährleistung der Sicherheit von Daten oder der Rechenumgebung von ZUPER ergriffen wurden.

● ZUPER durchsucht eingehende und abgehende Inhalte auf allen Gateways zu öffentlichen Netzwerken, einschließlich E-Mail- und Proxy-Servern, auf bösartigen Code.

● ZUPER stellt Dateien, die als infiziert identifiziert wurden, unter Quarantäne oder entfernt sie und protokolliert das Ereignis.

 

4.          Maße: Technische und organisatorische Maßnahmen zur Zugangskontrolle, insbesondere zur Kontrolle der Legitimität berechtigter Personen zu den Einrichtungen und Systemen, auf die Daten zugegriffen werden können:

● ZUPER stellt sicher, dass Maßnahmen zur Sicherung der Räumlichkeiten (z. B. Sicherung von Ein- und Ausgängen) sowie Maßnahmen innerhalb seines Gebäudes durch die folgenden Verfahren ergriffen werden:

● Sicherheit und Verschlüsselung aller Personal Computer oder anderer Mobilgeräte, die auf Daten zugreifen können;

● eingeschränkter Zugriff auf Mitarbeiter und Auftragnehmer mit Ausnahme autorisierter Besucher; 

● Identifizierung der Personen mit Zugriffsberechtigung;

● Beschränkung der Schlüssel;

● Besucherbücher (einschließlich Zeiterfassung); und

● Sicherheitsalarmsystem oder andere geeignete Sicherheitsmaßnahmen.

 

ZUPER widerruft den Zugriff auf physische Orte, Systeme und Anwendungen, die Daten enthalten oder verarbeiten, innerhalb von 24 Stunden, nachdem der autorisierte Agent keinen Zugriff auf die Systeme oder Anwendungen mehr benötigt.

 

5.          Maße: Technische (Kennwort-/Kennwortschutz) und organisatorische (Benutzerstammdatensatz) Maßnahmen zur Identifizierung und Authentifizierung von Benutzern:

ZUPER teilt dem Kunden auf begründete Anfrage mit, welche berechtigten Personen mit dem Zugriff auf die Daten betraut sind.

 

Die Benutzersteuerung umfasst folgende Maßnahmen:

● eingeschränktes VPN-Profil;

● Implementierung der Zwei-Faktor-Authentifizierung

 

Die Zugriffskontrolle auf Daten umfasst folgende Maßnahmen:

● wirksame und messbare Disziplinarmaßnahmen gegen Personen, die unbefugt auf Daten zugreifen.

 

6.          Maße: Technische und organisatorische Maßnahmen zur Sicherheit der von ZUPER genutzten Netzwerke (einschließlich drahtloser Netzwerke).

 

Alle Netzkontrollen müssen folgende Maßnahmen enthalten:

● ZUPER führt regelmäßig interne und externe Netzwerk-Schwachstellenprüfungen durch.  Die festgestellten Schwachstellen werden in wirtschaftlich vertretbarer Weise und mit einem vom Schweregrad abhängigen Zeitraum behoben.

● ZUPER wird im Betrieb seiner Netzwerke eine angemessen geeignete Firewall-Technologie bereitstellen.

● ZUPER überprüft mindestens einmal pro Quartal die Firewall-Regelsätze, um sicherzustellen, dass Legacy-Regeln entfernt und aktive Regeln korrekt konfiguriert werden.

● ZUPER setzt Einbruchserkennungs- oder -verhütungssysteme ein, um Netzwerke auf unangemessene Aktivitäten zu überwachen.

● ZUPER muss eine Protokollmanagementlösung bereitstellen und Protokolle, die von Firewalls und Einbruchmeldesystemen erstellt werden, mindestens ein (1) Jahr lang aufbewahren.

 

Drahtlose Netzwerkkontrollen müssen folgende zusätzliche Maßnahmen umfassen:

● Der Netzwerkzugriff auf drahtlose Netzwerke sollte auf autorisierte Benutzer beschränkt werden.

● Die Zugangspunkte müssen über ein Gateway-Gerät von einem internen LAN aus segmentiert werden.

● Die Service-Set-Kennung (SSID), die Administrator-Benutzer-ID, das Kennwort und die Verschlüsselungsschlüssel müssen vom Standardwert geändert werden.

● Die Verschlüsselung aller drahtlosen Verbindungen wird mit Industriestandard-Verschlüsselungsalgorithmen aktiviert. Verschlüsselungsprotokolle basieren auf „Wireless Protected Access“ (WPA2) oder höher.

 

7.          Maße: ZUPER unterhält eine Vorfallreaktionsfunktion, die die Auswirkungen von Vorfällen erkennt, mindert und verhindert. Wenn ein Vorfall eintritt, unternimmt ZUPER (i) unverzüglich alle erforderlichen Schritte, um eine weitere Kompromittierung von Daten oder zukünftigen Vorfällen zu verhindern; (ii) benachrichtigt den Kunden innerhalb von 24 Stunden nach Erkennung des Vorfalls und legt danach innerhalb von drei (3) Tagen einen schriftlichen Bericht vor; und (iii) reagiert unverzüglich auf jede vernünftige Anfrage des Kunden nach detaillierten Informationen zum Vorfall. Die Mitteilung und der Bericht von ZUPER enthalten eine Beschreibung der Art des Vorfalls, seiner Auswirkungen sowie aller eingeleiteten oder geplanten Untersuchungs-, Korrektur- oder Abhilfemaßnahmen.

 

8.          Maße: Geschäftskontinuität und Disaster Recovery. ZUPER hat dem Kunden einen wirtschaftlich vertretbaren und branchenüblichen Business-Continuity-Plan zur Verfügung gestellt, um die Verfügbarkeit des Dienstes aufrechtzuerhalten („Continuity-Plan“).  Der Kontinuitätsplan umfasst und umfasst unter anderem folgende Elemente: (a) Krisenmanagement, Aktivierung von Plänen und Teams, Dokumentation zu Ereignis- und Kommunikationsprozessen, (b) Ereignismanagement, Wiederherstellung von Unternehmen, alternative Standorte und Tests von Aufrufbäumen, (c) Infrastruktur-, Technologie- und Systemdetails, Wiederherstellungsaktivitäten und Identifizierung der für diese Wiederherstellung erforderlichen Personen/Teams.  ZUPER behält diesen Kontinuitätsplan während der Laufzeit aller Abonnements bei; vorausgesetzt, ZUPER hat das Recht, den Kontinuitätsplan zu ändern oder zu ändern, sofern diese Änderung oder Ergänzung keine wesentlichen negativen Auswirkungen auf die Fähigkeit von ZUPER hat, die Verfügbarkeit des Dienstes aufrechtzuerhalten.

 

9.          Auf Verlangen des Kunden nimmt Zuper wirtschaftlich vertretbare Änderungen an seinem Informationssicherheitsprogramm oder an den Verfahren und Praktiken im Rahmen dieses Programms vor, um die grundlegenden Sicherheitsanforderungen des Kunden zu erfüllen, die in allen einschlägigen Exponaten des Vertrags beschrieben sind und von Zeit zu Zeit bestehen.  Der Kunde hat ZUPER Unterlagen zu diesen Baselines zur Verfügung zu stellen, die Teil vertraulicher Informationen des Kunden im Rahmen der Vereinbarung sind.  ZUPER entwickelt für den Kunden einen schriftlichen Informationssicherheitsplan, der mindestens die in dieser Vereinbarung genannten Themen enthält.

 

 

 

Beispiel C – Zuper-Datenverarbeitungsvereinbarung

Bitte lesen Sie die Datenverarbeitungsvereinbarung („DPA“) sorgfältig durch, da sie einen Vertrag zwischen dem Kunden („Kunde“ oder „Verantwortlicher“, d. h. seine Rechtsnachfolger und Abtretungsempfänger) und Zuper („Zuper“ oder „Auftragsverarbeiter“, d. h. seine Rechtsnachfolger und Abtretungsempfänger) abschließt. Diese Datenschutz-Grundverordnung findet Anwendung, wenn Zuper ein Auftragsverarbeiter für personenbezogene Daten ist. Auftragsverarbeiter und Verantwortlicher werden einzeln als „Partei“ und kollektiv als „Parteien“ bezeichnet.

 

 

1.     Vertragsumfang und Aufgabenverteilung

 

1.1 Die Parteien vereinbaren, dass für die Verarbeitung personenbezogener Daten die Parteien der Verantwortliche und Auftragsverarbeiter sind.

1.2 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur im Auftrag des Verantwortlichen und jederzeit nur in Übereinstimmung mit diesem Auftragsdatenverarbeitungsvertrag, insbesondere den jeweiligen Exponaten.

1.3 Im Rahmen der Zuper-Rahmenbedingungen („Vereinbarung“) ist jede Partei für die Erfüllung ihrer jeweiligen Verpflichtungen als Verantwortlicher und Auftragsverarbeiter im Sinne der Datenschutzgesetze verantwortlich.

2.     Anleitung zur

 

2.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten gemäß den Anweisungen des Verantwortlichen. Diese Datenverarbeitungsvereinbarung enthält die anfänglichen Anweisungen des Verantwortlichen an den Auftragsverarbeiter. Die Parteien vereinbaren, dass der Datenverantwortliche dem Auftragsverarbeiter jede Änderung seiner ursprünglichen Anweisungen durch schriftliche Mitteilung an den Auftragsverarbeiter mitteilen kann und dass sich der Auftragsverarbeiter an diese Anweisungen hält. Der Auftragsverarbeiter hat alle derartigen Einzelanweisungen sicher, vollständig, genau und auf dem neuesten Stand zu halten.

2.2 Um Zweifel auszuschließen, bedürfen Anweisungen, die zu einer Verarbeitung führen würden, die nicht in den Geltungsbereich dieser Datenverarbeitungsvereinbarung fällt (z. B. weil ein neuer Verarbeitungszweck eingeführt wird), der vorherigen Zustimmung der Parteien und unterliegen gegebenenfalls dem Vertragsänderungsverfahren im Rahmen der jeweiligen Vereinbarung.

2.3 Auf Anweisung des Verantwortlichen berichtigt, löscht oder sperrt der Auftragsverarbeiter personenbezogene Daten.

2.4 Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich schriftlich benachrichtigen, wenn eine Anweisung nach Ansicht des Auftragsverarbeiters gegen die Datenschutzgesetze verstößt, und die Gründe für seine Stellungnahme schriftlich darlegen.

2.5 Der Auftragsverarbeiter haftet nicht für Verluste, die sich aus oder in Verbindung mit einer Verarbeitung ergeben, die gemäß den Anweisungen des Verantwortlichen erfolgt und die als nicht konform mit der DSGVO eingestuft wird, nachdem der Verantwortliche die vom Auftragsverarbeiter in diesem Abschnitt 2 bereitgestellten Informationen erhalten hat.

3.     Personal des

 

Der Auftragsverarbeiter schränkt die Verarbeitung personenbezogener Daten durch sein Personal ohne Genehmigung ein. Der Auftragsverarbeiter legt seinem Personal angemessene vertragliche Verpflichtungen auf, einschließlich relevanter Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Datensicherheit.

4.     an Dritte; Betroffenenrechte

 

4.1 Der Auftragsverarbeiter gibt personenbezogene Daten nicht an Dritte (einschließlich Regierungsbehörden, Gerichte oder Strafverfolgungsbehörden) weiter, es sei denn, dies ist in dieser Vereinbarung oder mit schriftlicher Zustimmung des Verantwortlichen oder soweit erforderlich, um geltende zwingende Gesetze einzuhalten. Wenn der Auftragsverarbeiter verpflichtet ist, personenbezogene Daten an eine Strafverfolgungsbehörde oder einen Dritten weiterzugeben, verpflichtet sich der Auftragsverarbeiter, den Datenverantwortlichen vor der Gewährung dieses Zugriffs angemessen über die Zugangsanfrage zu informieren, damit der Datenverantwortliche eine Schutzanordnung oder andere geeignete Rechtsmittel anfordern kann. Wenn ein solcher Hinweis rechtlich verboten ist, ergreift der Auftragsverarbeiter angemessene Maßnahmen, um die personenbezogenen Daten vor unangemessener Offenlegung zu schützen, als würden vertrauliche Informationen des Auftragsverarbeiters angefordert, und informiert den Verantwortlichen so bald wie möglich, wenn ein solches gesetzliches Verbot nicht mehr in Kraft tritt.

4.2 Falls der Datenverantwortliche eine Anfrage oder Mitteilung von betroffenen Personen erhält, die sich auf die Verarbeitung personenbezogener Daten bezieht („Anfrage“), leistet der Auftragsverarbeiter dem Datenverantwortlichen in Bezug auf eine solche Anfrage umfassende Mitarbeit, Informationen und Unterstützung („Unterstützung“), sofern der Datenverantwortliche dies angewiesen hat.

4.3 Erhält der Auftragsverarbeiter eine Anfrage, so wird er (i) nicht direkt auf diese Anfrage reagieren, (ii) die Anfrage innerhalb von drei (drei) Geschäftstagen, nachdem er die Anfrage als mit dem Verantwortlichen verbunden identifiziert hat, an den Verantwortlichen weiterleiten und (iii) gemäß weiteren Anweisungen des Verantwortlichen Hilfe leisten.

5.     Technische und organisatorische Maßnahmen

 

5.1 Der Auftragsverarbeiter implementiert und unterhält geeignete technische und organisatorische Sicherheitsmaßnahmen, um sicherzustellen, dass personenbezogene Daten gemäß dieser Datenverarbeitungsvereinbarung verarbeitet werden, Unterstützung zu leisten und personenbezogene Daten vor Verletzungen personenbezogener Daten zu schützen. Solche Maßnahmen sind in Anhang 2 Anlage 2 aufgeführt.

5.2 Der Auftragsverarbeiter muss die implementierten TOMs dokumentieren und dem Verantwortlichen auf Anfrage solche Unterlagen zur Verfügung stellen, einschließlich, soweit verfügbar, Zertifizierungen wie eine ISO 27001-Zertifizierung.

6.     bei der Datenschutzfolgenabschätzung

 

6.1 Wenn gemäß den geltenden Datenschutzgesetzen für die Verarbeitung personenbezogener Daten eine Datenschutz-Folgenabschätzung („DPIA“) erforderlich ist, leistet der Auftragsverarbeiter auf Anfrage dem Verantwortlichen angemessene Zusammenarbeit und Unterstützung, um seiner Verpflichtung nachzukommen, eine DPIA in Bezug auf die Nutzung der Dienste durch den Kunden durchzuführen, sofern der Kunde ansonsten keinen Zugriff auf die relevanten Informationen hat und Zuper diese Informationen zur Verfügung stehen.

6.2 Der für die Verarbeitung Verantwortliche hat dem Auftragsverarbeiter angemessene Gebühren zu zahlen, die zwischen den Parteien für die Bereitstellung der Hilfe in Abschnitt 7 vereinbart werden, soweit diese Hilfe nicht angemessenerweise im Rahmen der normalen Bereitstellung der Dienste bereitgestellt werden kann.

7.     und Prüfung

 

7.1 Der Auftragsverarbeiter stellt dem Verantwortlichen im Einklang mit den Datenschutzgesetzen rechtzeitig die Informationen zur Verfügung, die erforderlich sind, um nachzuweisen, dass der Auftragsverarbeiter seinen Verpflichtungen aus den Datenschutzgesetzen nachkommt.

7.2 Zuper hat Zertifizierungen und Audits von Drittanbietern erhalten, die auf unserer Sicherheitsseite aufgeführt sind. Auf schriftliche Anfrage des Verantwortlichen und vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen stellt Zuper dem Verantwortlichen eine Kopie der jüngsten Audits oder Zertifizierungen durch einen Dritten zur Verfügung.

 

8.     Management und Benachrichtigung von

 

In Bezug auf Servicedatenvorfälle muss der Auftragsverarbeiter:

 

8.1 den Verantwortlichen unverzüglich (jedoch spätestens 72 Stunden nach Bekanntwerden des Vorfalls) über eine Verletzung des Schutzes personenbezogener Daten zu informieren, an der der Auftragsverarbeiter oder ein Subunternehmer beteiligt ist.

8.2 angemessene Anstrengungen unternehmen, um die Ursache eines solchen Vorfalls zu ermitteln, und die Schritte unternehmen, die der Auftragsverarbeiter für notwendig und angemessen hält, um die Ursache des Vorfalls zu beheben, soweit dies im angemessenen Einflussbereich von Zuper liegt.

8.3 dem Verantwortlichen angemessene Informationen, Zusammenarbeit und Unterstützung in Bezug auf alle Maßnahmen zu bieten, die bei einer Verletzung personenbezogener Daten im Sinne der Datenschutzgesetze zu ergreifen sind, einschließlich der Mitteilung der Verletzung personenbezogener Daten an betroffene Personen und nationale Datenschutzbehörden.

Die Verpflichtungen in Abschnitt 8 sollten nicht für Datenvorfälle gelten, die durch Benutzer des Kunden oder des Kunden verursacht werden.

 

 

9.     -Unterverarbeitung

 

9.1 Der Datenverantwortliche erklärt sich damit einverstanden, dass der Auftragsverarbeiter die unten aufgeführten externen Unterauftragsverarbeiter beauftragt, die personenbezogenen Daten zu verarbeiten, um seinen Verpflichtungen im Rahmen dieser Vereinbarung nachzukommen, vorausgesetzt, dass der Auftragsverarbeiter dem Kontoadministrator vor der Bestellung oder Ersetzung eines Unterauftragsverarbeiters mindestens fünfzehn (15) Tage lang entweder eine produktintegrierte oder eine E-Mail-Benachrichtigung sendet.

 

Liste der Unterauftragsverarbeiter

 

 

Kontaktinformationen für Unterauftragsverarbeiter

 

 

Der Datenverantwortliche kann der Bestellung oder Ersetzung eines Unterauftragsverarbeiters durch den Auftragsverarbeiter vor seiner Bestellung oder Ersetzung widersprechen, sofern dieser Widerspruch aus datenschutzrechtlichen Gründen gerechtfertigt ist. In einem solchen Fall wird der Auftragsverarbeiter den Unterauftragsverarbeiter entweder nicht ernennen oder ersetzen oder, wenn dies nicht möglich ist, kann der Verantwortliche die Dienste sperren oder kündigen (unbeschadet etwaiger Gebühren, die dem Verantwortlichen vor einer solchen Sperrung oder Kündigung entstehen).

9.2 Vergibt der Auftragsverarbeiter mit Zustimmung des Verantwortlichen seine Verpflichtungen und Rechte aus dieser Datenverarbeitungsvereinbarung an einen Unterauftragnehmer, so geschieht dies nur durch einen verbindlichen schriftlichen Vertrag mit dem Unterauftragnehmer, der im Wesentlichen die gleichen Verpflichtungen gemäß Art. 28 DSGVO, insbesondere in Bezug auf Anweisungen und AGB an den Subunternehmer, wie sie dem Auftragsverarbeiter im Rahmen dieser Datenverarbeitungsvereinbarung auferlegt werden.

9.3 Der Auftragsverarbeiter hat sicherzustellen, dass er den Unterauftragsverarbeiter sorgfältig ausgewählt hat, insbesondere unter Berücksichtigung der Eignung der TOMs des Unterauftragnehmers. Der Auftragsverarbeiter hat mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung getroffen, die Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in der Vereinbarung enthaltenen bezüglich des Schutzes von Servicedaten, soweit dies für die Art der von diesen Diensten bereitgestellten Dienste gilt.

Unterauftragsverarbeiter.

9.4 Wenn der Unterauftragnehmer seinen Datenschutzverpflichtungen aus der Unterauftragsvergabevereinbarung nicht nachkommt, bleibt der Auftragsverarbeiter dem Verantwortlichen gegenüber in vollem Umfang für die Erfüllung seiner Verpflichtungen aus dieser Datenverarbeitungsvereinbarung und für die Erfüllung seiner Verpflichtungen haftbar.

 

10.   und Kündigung

 

10.1 Diese Datenverarbeitungsvereinbarung tritt mit ihrer Unterzeichnung in Kraft. Sie ist weiterhin in vollem Umfang in Kraft und in Kraft, solange der Auftragsverarbeiter personenbezogene Daten gemäß Anhang 1 verarbeitet, und endet danach automatisch.

10.2 Der Datenverantwortliche kann die Datenverarbeitungsvereinbarung sowie die Vereinbarung jederzeit aus wichtigem Grund kündigen, und zwar zu einer angemessenen oder vom Datenverantwortlichen gewählten Frist, wenn der Auftragsverarbeiter die Bestimmungen dieser Datenverarbeitungsvereinbarung in wesentlichem Umfang verletzt.

10.3 Wenn Änderungen erforderlich sind, um die Einhaltung dieser Datenverarbeitungsvereinbarungen oder eines Anhangs mit den Datenschutzgesetzen sicherzustellen, vereinbaren die Parteien solche Änderungen auf Anfrage des Verantwortlichen und ohne zusätzliche Kosten für den Verantwortlichen. Wenn sich die Parteien nicht auf derartige Änderungen einigen können, kann jede Partei den Vertrag und diese Datenverarbeitungsvereinbarung mit einer schriftlichen Frist von 90 Tagen an die andere Partei kündigen.

11.    Löschung oder Rückgabe personenbezogener Daten

 

Der für die Verarbeitung Verantwortliche kann alle Servicedaten vor der Kündigung des Kontos des Kunden exportieren. In jedem Fall werden nach der Kündigung des Kontos des Kunden (i) vorbehaltlich (ii) und (iii) untenstehender Bestimmungen und der Vereinbarung Servicedaten für einen Zeitraum von 14 Tagen ab einer solchen Kündigung aufbewahrt, innerhalb derer sich der Datenverantwortliche an den Auftragsverarbeiter wenden kann, um Servicedaten zu exportieren; (ii) wenn der Datenverantwortliche kein angepasstes Postfach verwendet und die E-Mail-Funktion verwendet, werden E-Mails, die Teil der Servicedaten sind, automatisch für einen Zeitraum von drei Monaten archiviert; und (iii) Protokolle werden für einen Zeitraum von dreißig (30) Tagen in den Protokollverwaltungssystemen archiviert, die Protokolle posten und für einen Zeitraum von elf (11) Monaten in einem beschränkten archivierten Kühllager abgelegt werden (jeweils ein „Datenaufbewahrungszeitraum“). Über die Dauer der Datenaufbewahrung hinaus behält sich der Auftragsverarbeiter das Recht vor, alle Servicedaten im normalen Betrieb zu löschen, es sei denn, dies ist erforderlich, um seinen rechtlichen Verpflichtungen nachzukommen, genaue Finanz- und andere Aufzeichnungen zu führen, Streitigkeiten beizulegen und seine Vereinbarungen durchzusetzen. Servicedaten können nach dem Löschen nicht wiederhergestellt werden.

12.    Sonstiges

 

12.1 Im Falle eines Konflikts haben die Bestimmungen dieser Datenverarbeitungsvereinbarung Vorrang vor den Bestimmungen anderer Vereinbarungen mit dem Auftragsverarbeiter.

12.2 Die in der Vereinbarung festgelegte Haftungsbeschränkung gilt bei Verletzung der Datenverarbeitungsvereinbarung.

12.3 Keine Partei erhält eine Vergütung für die Erfüllung ihrer Verpflichtungen im Rahmen dieser Datenverarbeitungsvereinbarung, es sei denn, dies ist ausdrücklich in dieser Vereinbarung oder in einer anderen Vereinbarung festgelegt.

12.4 Wenn diese Datenverarbeitungsvereinbarung einen „schriftlichen Hinweis“ erfordert, kann dieser Hinweis auch per E-Mail an die andere Partei gesendet werden. Mitteilungen werden an die in Anhang 1 VII genannten Ansprechpartner gesendet.

12.5 Ergänzende Vereinbarungen oder Änderungen dieser Datenverarbeitungsvereinbarung bedürfen der Schriftform und Unterschrift beider Parteien.

12.6 Sollten einzelne Bestimmungen dieses Auftragsverarbeitungsvertrages nichtig, unwirksam oder nicht lebensfähig sein, so wird dadurch die Gültigkeit der übrigen Bestimmungen dieses Vertrages nicht berührt.

13.    Definitionen

„Kontoadministrator“ ist die vom Verantwortlichen autorisierte Person, Benachrichtigungen vom Auftragsverarbeiter zu erhalten.

„Datenschutzgesetze“ sind die Datenschutzgesetze des Landes, in dem der Verantwortliche niedergelassen ist, einschließlich der DSGVO, sowie alle Datenschutzgesetze, die in Verbindung mit der Vereinbarung auf den Verantwortlichen anwendbar sind.

„DP-Verluste“: alle Verbindlichkeiten, einschließlich:

a) Kosten (einschließlich Prozesskosten)

 

b) Ansprüche, Forderungen, Klagen, Vergleiche, Gebühren, Verfahren, Aufwendungen, Verluste und Schäden (sei es materiell oder immateriell, auch bei emotionaler Not)

c) soweit gesetzlich zulässig:

i) Geldbußen, Sanktionen, Sanktionen, Haftungsansprüche oder andere Rechtsmittel, die von einer Datenschutzbehörde oder einer anderen zuständigen Aufsichtsbehörde verhängt werden

ii) Entschädigung der betroffenen Person, die vom Auftragsverarbeiter von einer Datenschutzbehörde angeordnet wurde

iii) die Kosten für die Einhaltung der Untersuchungen durch eine Datenschutzbehörde oder eine andere zuständige Aufsichtsbehörde.

„DSGVO“ die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person im Sinne der Datenschutz-Grundverordnung der Europäischen Union („DSGVO“ EC-2016/679) beziehen und vom Auftragsverarbeiter im Rahmen der Erbringung der in Anhang 1 beschriebenen Dienstleistungen für den Verantwortlichen verarbeitet werden.

„Standardvertragsklauseln/EU-Standardvertragsklauseln“: die in Schema 1 aufgeführten Standardvertragsklauseln für die Übermittlung personenbezogener Daten von einem für die Verarbeitung Verantwortlichen im Europäischen Wirtschaftsraum an Auftragsverarbeiter mit Sitz in Drittländern in der im Anhang des Beschlusses 2010/87/EU der Europäischen Kommission, geändert durch Aufnahme der Beschreibung der zu übermittelnden personenbezogenen Daten und der durchzuführenden technischen und organisatorischen Maßnahmen gemäß Anhang, festgelegten Form.

„Verantwortlicher“, „Betroffener“, „Verletzung personenbezogener Daten“, „Auftragsverarbeiter“ und „Verarbeitungsvorgang“ haben die in der DSGVO festgelegte Bedeutung.

 

 

Exponat 1

Details zur Verarbeitung

 

Betroffene Personen

 

Betroffene Personen sind Personen, auf die sich personenbezogene Daten beziehen, und Endbenutzer, die über die Dienste interagieren.

Datenkategorien

Kategorien von Daten beziehen sich auf die personenbezogenen Daten von Benutzern und Endbenutzern, die in elektronischen Daten, Text, Nachrichten oder anderem Material enthalten sind und vom Kunden über sein Konto in Verbindung mit der Nutzung der Dienste durch den Kunden an die Dienste übermittelt werden.

Gegenstand und Art der Verarbeitung

Die verarbeiteten personenbezogenen Daten unterliegen den grundlegenden Verarbeitungsaktivitäten, die für die Bereitstellung der Dienste durch Zuper für den Kunden erforderlich sind und die die Verarbeitung personenbezogener Daten umfassen. Personenbezogene Daten unterliegen diesen Verarbeitungsaktivitäten, wie sie in der Vereinbarung und dem Datenschutzübereinkommen festgelegt sind.

Zweck der Verarbeitung

Personenbezogene Daten werden zum Zweck der Bereitstellung der in einem Formular beschriebenen Dienste verarbeitet, wie der Kunde in seiner Nutzung der Dienste näher angewiesen und anderweitig in der Vereinbarung, dieser Datenschutz-Grundverordnung und in einem anwendbaren Formular vereinbart wird.

Dauer der Verarbeitung

Personenbezogene Daten werden für die Dauer der Vereinbarung verarbeitet.

 

 

Anlage 2

EU-Standardvertragsklauseln (Auftragsverarbeiter)

 

Für die Zwecke von Artikel 46 Absatz 3 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Die in der Datenverarbeitungsvereinbarung als „für die Verarbeitung Verantwortlicher“ („Datenexporteur“) angegebene Stelle

Und Zuper, Inc.

24754 NE, 3. Weg, Sammamish, WA - 98074 („Datenimportprogramm“)

jede eine „Partei“, zusammen „die Parteien“,

 

HABEN die folgenden Vertragsklauseln („die Klauseln“) vereinbart, um angemessene Garantien für den Schutz der Privatsphäre sowie der Grundrechte und Grundfreiheiten natürlicher Personen bei der Übermittlung der in Anlage 1 genannten personenbezogenen Daten durch den Datenexporteur an das Datenimportprogramm zu gewährleisten.

 

Abschnitt 1

Definitionen

Im Sinne der Klauseln gilt Folgendes:

a) „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung/Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Verordnung (EU) 2016/679;

b) „Datenexporteur“ den Verantwortlichen, der die personenbezogenen Daten übermittelt;

c) „Datenimportprogramm“ den Auftragsverarbeiter, der sich bereit erklärt, vom Datenexportprogramm personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Namen verarbeitet werden sollen, und der nicht dem System eines Drittlands unterliegt, das einen angemessenen Schutz im Sinne der Verordnung (EU) 2016/679 gewährleistet;

d) „Unterauftragsverarbeiter“: jeder Auftragsverarbeiter, der vom Datenimportprogramm oder von einem anderen Unterauftragsverarbeiter des Datenimportprogramms beauftragt wird und sich bereit erklärt, personenbezogene Daten vom Datenimportprogramm oder von einem anderen Unterauftragsverarbeiter des Datenimportprogramms zu empfangen, die ausschließlich für die Verarbeitung von Tätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenimportprogramms gemäß seinen Anweisungen, den Bedingungen der Klauseln und den Bedingungen des schriftlichen Unterauftrags durchzuführen sind;

e) „anwendbares Datenschutzrecht“ die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;

f) „technische und organisatorische Sicherheitsmaßnahmen“: Maßnahmen zum Schutz personenbezogener Daten vor versehentlicher oder unrechtmäßiger Vernichtung oder versehentlichem Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst, sowie vor allen anderen unrechtmäßigen Verarbeitungsformen.

 

Abschnitt 2

Details zur Weiterleitung

Die Einzelheiten der Übermittlung und insbesondere gegebenenfalls die besonderen Kategorien personenbezogener Daten sind in Anhang 1 aufgeführt, der integraler Bestandteil der Klauseln ist.

Abschnitt 3

Drittbegünstigtenklausel

1.      Die betroffene Person kann diese Klausel, Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 als Drittbegünstigte gegenüber dem Datenexporteur durchsetzen.

2.     In Fällen, in denen der Datenexporteur faktisch verschwunden ist oder rechtlich nicht mehr existiert, kann die betroffene Person diese Klausel, Ziffer 5 Buchstaben a bis e und g, Ziffer 6, Ziffer 7, Ziffer 8 Absatz 2 und Ziffer 9 bis 12 gegenüber dem Datenimportprogramm durchsetzen, es sei denn, eine Rechtsnachfolgeeinrichtung hat vertraglich oder rechtlich die gesamten rechtlichen Verpflichtungen des Datenexporteurs übernommen, wodurch sie die Rechte und Pflichten des Datenexporteurs wahrnimmt. In diesem Fall kann die betroffene Person sie gegenüber dieser Stelle durchsetzen.

3.     In Fällen, in denen sowohl der Datenexporteur als auch das Datenimportprogramm faktisch verschwunden oder rechtlich nicht mehr existent oder zahlungsunfähig sind, kann die betroffene Person diese Klausel, Ziffer 5 Buchstaben a bis e und g, Ziffer 6, Ziffer 7, Ziffer 8 Absatz 2 und Ziffer 9 bis 12 gegenüber dem Unterauftragsverarbeiter durchsetzen, es sei denn, eine Rechtsnachfolgeeinrichtung hat vertraglich oder rechtlich die gesamten rechtlichen Verpflichtungen des Datenexporteurs übernommen, wodurch sie die Rechte und Pflichten des Datenexporteurs wahrnimmt, und in diesem Fall kann die betroffene Person sie gegen diese Stelle durchsetzen. Diese Dritthaftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge im Rahmen der Klauseln beschränkt.

4.     Die Parteien legen keinen Widerspruch dagegen ein, dass sich eine betroffene Person durch einen Verein oder eine andere Stelle vertreten lässt, wenn die betroffene Person dies ausdrücklich wünscht und es das nationale Recht zulässt.

 

Abschnitt 4

Verpflichtungen des Datenexporteurs

 

Der Datenexporteur stimmt zu und garantiert:

 

a) dass die Verarbeitung, einschließlich der eigentlichen Übermittlung, der personenbezogenen Daten im Einklang mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt ist und weiterhin erfolgt (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mitgeteilt wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

b) das Datenimportprogramm angewiesen hat, die übermittelten personenbezogenen Daten während der gesamten Dauer der Verarbeitung personenbezogener Daten nur im Auftrag des Datenexporteurs und im Einklang mit dem anwendbaren Datenschutzgesetz und den Klauseln zu verarbeiten;

c) dass das Datenimportprogramm ausreichende Garantien für die in Anlage 2 dieses Vertrags genannten technischen und organisatorischen Sicherheitsmaßnahmen bietet;

d) dass nach Bewertung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten vor versehentlicher oder unrechtmäßiger Vernichtung oder versehentlichem Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst, und vor allen anderen unrechtmäßigen Verarbeitungsformen, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten im Hinblick auf den Stand der Technik und die Kosten ihrer Implementierung angemessen ist;

e) die Einhaltung der Sicherheitsmaßnahmen sicherzustellen;

f) die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Verordnung (EU) 2016/679 bietet;

g) alle vom Datenimportprogramm oder einem Unterauftragsverarbeiter gemäß Absatz 5 Buchstabe b und Absatz 8 Absatz 3 eingehenden Mitteilungen an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Sperrung aufzuheben.

h) den betroffenen Personen auf Verlangen eine Kopie der Klauseln mit Ausnahme von Anhang 2 und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie eines Vertrags über Unterverarbeitungsdienste zur Verfügung zu stellen, der gemäß den Klauseln erstellt werden muss, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann er diese kommerziellen Informationen entfernen;

i) dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Ziffer 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie die im Rahmen der Ziffern importierten Daten; und

j) sicherzustellen, dass Klausel 4 Buchstaben a bis i eingehalten wird.

 

Abschnitt 5

Verpflichtungen des Datenimportprogramms

 

Das Datenimportprogramm stimmt zu und gewährleistet:

 

a) die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit seinen Anweisungen und den Klauseln zu verarbeiten; wenn er diese Einhaltung aus irgendeinem Grund nicht erbringen kann, erklärt er sich bereit, den Datenexporteur unverzüglich über seine Nichteinhaltung zu informieren; in diesem Fall ist der Datenexporteur berechtigt, die Übertragung von Daten auszusetzen und/oder den Vertrag zu kündigen;

b) dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die Anweisungen des Datenexporteurs und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschrift, die sich voraussichtlich erheblich negativ auf die in den Klauseln enthaltenen Garantien und Verpflichtungen auswirken wird, die Änderung unverzüglich dem Datenexporteur mitteilt, sobald er davon Kenntnis erlangt; in diesem Fall ist der Datenexporteur berechtigt, die Übertragung von Daten auszusetzen und/oder den Vertrag zu kündigen;

c) dass sie vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen durchgeführt hat;

d) dass er den Datenexporteur unverzüglich über Folgendes benachrichtigt:

i) jedes rechtsverbindliche Ersuchen um Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, es sei denn, es ist anderweitig verboten, wie z. B. ein strafrechtliches Verbot, die Vertraulichkeit einer Strafverfolgungsuntersuchung zu wahren;

(ii) versehentlicher oder unbefugter Zugriff und

iii) Anfragen, die direkt von der betroffenen Person eingehen, ohne auf diese Anfrage zu antworten, es sei denn, sie ist anderweitig dazu berechtigt;

e) alle Anfragen des Datenexporteurs bezüglich seiner Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu bearbeiten und die Ratschläge der Aufsichtsbehörde bezüglich der Verarbeitung der übermittelten Daten zu befolgen.

f) auf Verlangen des Datenexporteurs, seine Datenverarbeitungsanlagen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten vorzulegen, die vom Datenexporteur oder einer aus unabhängigen Mitgliedern bestehenden Inspektionsstelle durchzuführen ist, die über die erforderlichen beruflichen Qualifikationen verfügt, die der Datenexporteur gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde zur Geheimhaltung verpflichtet;

g) der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags zur Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie diese kommerziellen Informationen entfernen, mit Ausnahme von Anlage 2, die durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person keine Kopie vom Datenexporteur erhalten kann;

h) im Falle einer Unterverarbeitung den Datenexporteur zuvor informiert und seine vorherige schriftliche Zustimmung eingeholt hat;

i) dass die Verarbeitungsdienste des Unterauftragsverarbeiters gemäß Absatz 11 durchgeführt werden;

j) unverzüglich eine Kopie der im Rahmen der Klauseln geschlossenen Unterauftragsverarbeitervereinbarung an den Datenexporteur zu senden.

 

Abschnitt 6

Haftung

 

1.      Die Parteien kommen überein, dass jede betroffene Person, der durch eine Verletzung der in Ziffer 3 oder 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter ein Schaden entstanden ist, Anspruch auf Ersatz des erlittenen Schadens vom Datenexporteur hat.

2.     Wenn eine betroffene Person nicht in der Lage ist, Schadensersatzansprüche gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, weil das Datenimportprogramm oder sein Unterauftragsverarbeiter eine ihrer Verpflichtungen gemäß Absatz 3 oder Absatz 11 verletzt hat, weil der Datenimportprogramm faktisch verschwunden oder rechtlich nicht mehr existiert oder zahlungsunfähig ist, stimmt das Datenimportprogramm zu, dass die betroffene Person einen Anspruch gegen das Datenimportprogramm wie gegen den Datenexportprogramm erheben kann, es sei denn, eine Nachfolgeeinrichtung hat die gesamten rechtlichen Verpflichtungen des Datenexportprogramms vertraglich übernommen. In diesem Fall kann die betroffene Person ihre Rechte gegen diese Einrichtung geltend machen. Das Datenimportprogramm darf sich nicht auf die Verletzung seiner Verpflichtungen durch einen Unterauftragsverarbeiter berufen, um seine eigenen Verpflichtungen zu vermeiden.

3.     Wenn eine betroffene Person nicht in der Lage ist, Ansprüche gegen den Datenexporteur oder das in den Absätzen 1 und 2 genannte Datenimportprogramm geltend zu machen, weil der Unterauftragsverarbeiter eine seiner in Absatz 3 oder in Absatz 11 genannten Verpflichtungen verletzt hat, weil sowohl der Datenexporteur als auch das Datenimportprogramm faktisch verschwunden oder rechtlich nicht mehr existent oder zahlungsunfähig sind, stimmt der Unterauftragsverarbeiter zu, dass die betroffene Person im Hinblick auf ihre eigenen Verarbeitungsvorgänge im Sinne der Absätze einen Anspruch gegen den Datenexporteur oder das Datenimportprogramm geltend machen kann, es sei denn, eine Rechtsnachfolgeeinrichtung hat vertraglich oder aufgrund gesetzlicher Vorschriften die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimportprogramms übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegen diese Stelle durchsetzen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge im Rahmen der Klauseln beschränkt.

 

Abschnitt 7

Mediation und Gerichtsbarkeit

 

1.      Das Datenimportprogramm erklärt sich damit einverstanden, dass das Datenimportprogramm die Entscheidung der betroffenen Person akzeptiert, wenn die betroffene Person Rechte Dritter geltend macht und/oder Schadensersatzansprüche gemäß den Klauseln geltend macht:

a) den Streitfall an die Mediation durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu verweisen;

b) den Streitfall an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur niedergelassen ist.

2.     Die Parteien stimmen überein, dass die Entscheidung der betroffenen Person ihre materiellen oder verfahrensrechtlichen Rechte, Rechtsmittel im Einklang mit anderen Bestimmungen des nationalen oder internationalen Rechts zu beantragen, nicht beeinträchtigt.

 

Abschnitt 8

Zusammenarbeit mit Aufsichtsbehörden

 

1.      Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn er dies verlangt oder wenn dies nach geltendem Datenschutzrecht erforderlich ist.

2.     Die Parteien kommen überein, dass die Aufsichtsbehörde das Recht hat, das Datenimportprogramm und alle Unterauftragsverarbeiter zu überprüfen, die den gleichen Umfang haben und denselben Bedingungen unterliegen, die nach geltendem Datenschutzrecht für eine Prüfung des Datenimportprogramms gelten würden.

3.     Das Datenimportprogramm unterrichtet den Datenexporteur unverzüglich über die für ihn geltenden Rechtsvorschriften oder einen Unterauftragsverarbeiter, der die Durchführung einer Prüfung des Datenimportprogramms oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindert. In diesem Fall ist der Datenexporteur berechtigt, die in Absatz 5 Buchstabe b) vorgesehenen Maßnahmen zu ergreifen.

 

Abschnitt 9

Anwendbares Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

 

Abschnitt 10

Abweichung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu ändern. Dies hindert die Parteien nicht daran, bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzuzufügen, solange sie der Klausel nicht widersprechen.

Abschnitt 11

Unterverarbeitung

 

1.      Das Datenimportprogramm darf keine seiner im Rahmen der Klauseln im Auftrag des Datenexportprogramms durchgeführten Verarbeitungsvorgänge ohne vorherige schriftliche Zustimmung des Datenexportprogramms an Unterauftragnehmer weitergeben. Wenn das Datenimportprogramm seine Verpflichtungen im Rahmen der Klauseln mit Zustimmung des Datenexportprogramms an Unterauftragnehmer vergibt, geschieht dies nur durch eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter, die dem Unterauftragsverarbeiter die gleichen Verpflichtungen auferlegt, die dem Datenimportprogramm im Rahmen der Klauseln auferlegt werden. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen im Rahmen einer solchen schriftlichen Vereinbarung nicht nach, so haftet das Datenimportprogramm dem Datenexporteur gegenüber uneingeschränkt für die Erfüllung seiner Verpflichtungen im Rahmen dieser Vereinbarung.

2.     Der vorherige schriftliche Vertrag zwischen dem Datenimportprogramm und dem Unterauftragsverarbeiter sieht auch eine Klausel für Drittbegünstigte gemäß Absatz 3 vor, wenn die betroffene Person nicht in der Lage ist, den in Absatz 6 Absatz 1 genannten Schadenersatzanspruch gegen den Datenexporteur oder das Datenimportprogramm geltend zu machen, weil sie faktisch verschwunden ist oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist und keine Rechtsnachfolgeeinrichtung die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimportprogramms vertraglich oder aufgrund gesetzlicher Vorschriften übernommen hat. Diese Dritthaftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge im Rahmen der Klauseln beschränkt.

3.     Die Bestimmungen über Datenschutzaspekte bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4.     Der Datenexporteur führt eine Liste der im Rahmen der Klauseln geschlossenen und vom Datenimportprogramm gemäß Absatz 5 Buchstabe j mitgeteilten Unterverarbeitungsvereinbarungen, die mindestens einmal jährlich aktualisiert wird. Die Liste muss der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung stehen.

 

Abschnitt 12

Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

 

1.      Die Parteien kommen überein, dass das Datenimportprogramm und der Unterauftragsverarbeiter nach Wahl des Datenexportprogramms alle übermittelten personenbezogenen Daten und ihre Kopien an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dem Datenexportprogramm bescheinigen, dass er dies getan hat, es sei denn, dem Datenimportprogramm auferlegte Rechtsvorschriften hindern ihn daran, die übermittelten personenbezogenen Daten ganz oder teilweise zurückzugeben oder zu vernichten. In diesem Fall garantiert das Datenimportprogramm, dass es die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeitet.

 

2.     Das Datenimportprogramm und der Unterauftragsverarbeiter stellen sicher, dass sie auf Verlangen des Datenexportprogramms und/oder der Aufsichtsbehörde ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen einreichen.

 

Anlage 1 zu den Standardvertragsklauseln

 

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Durch Unterzeichnung der Unterschriftsseite der Datenverarbeitungsvereinbarung gelten die Parteien als Unterzeichner dieser Anlage 1.

Datenexporteur – Der Datenexporteur ist die in der Datenverarbeitungsvereinbarung als „für die Verarbeitung Verantwortlicher“ gekennzeichnete Einheit.

Datenimportprogramm – Das Datenimportprogramm ist die in der Datenverarbeitungsvereinbarung als „Auftragsverarbeiter“ bezeichnete Stelle.

Betroffene Personen – Betroffene Personen sind in Anhang 1 Nr. 2 der Datenverarbeitungsvereinbarung definiert.

Datenkategorien – Datenkategorien sind in Anhang 1 Nr. 3 der Datenverarbeitungsvereinbarung aufgeführt.

Verarbeitungsvorgänge – Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsvorgängen, die in Anhang 1 Nr. 1 der Datenverarbeitungsvereinbarung aufgeführt sind.

 

Anlage 2 der Standardvertragsklauseln

 

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden. Durch Unterzeichnung der Unterschriftsseite der Datenverarbeitungsvereinbarung gelten die Parteien als Unterzeichner dieser Anlage 2.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die das Datenimportprogramm gemäß Abschnitt 4 Buchstabe d und Abschnitt 5 Buchstabe c (oder beigefügtes Dokument/Rechtsvorschriften) durchführt:

Auftragsverarbeiter unterhält und setzt verschiedene Richtlinien, Standards und Prozesse zum Schutz personenbezogener Daten und anderer Daten durch, auf die Mitarbeiter von Auftragsverarbeiter Zugriff haben, und aktualisiert diese Richtlinien, Standards und Prozesse von Zeit zu Zeit im Einklang mit Branchenstandards. Im Folgenden sind einige der technischen und organisatorischen Maßnahmen beschrieben, die der Auftragsverarbeiter zum Zeitpunkt der Unterzeichnung implementiert hat:

1.     Allgemeine Sicherheitsverfahren

 

1.1 Der Auftragsverarbeiter ist verantwortlich für die Einrichtung und Aufrechterhaltung eines Informationssicherheitsprogramms, das (i) die Sicherheit und Vertraulichkeit personenbezogener Daten schützt; (ii) die Sicherheit oder Integrität der personenbezogenen Daten vor erwarteten Bedrohungen oder Gefahren schützt; (iii) den Schutz vor unbefugtem Zugriff auf oder unbefugter Nutzung der personenbezogenen Daten gewährleistet; (iv) die ordnungsgemäße Entsorgung personenbezogener Daten wie in den vorliegenden AGB definiert sicherstellt und (v) sicherstellt, dass alle Mitarbeiter und Unterauftragnehmer des Auftragsverarbeiters (falls vorhanden) alles Vorstehende einhalten. Der Auftragsverarbeiter benennt eine Person, die für das Informationssicherheitsprogramm verantwortlich ist. Diese Personen müssen auf Anfragen des Verantwortlichen zur Computersicherheit antworten und dafür verantwortlich sein, vom Verantwortlichen benannte Kontakte zu benachrichtigen, wenn eine Verletzung oder ein Vorfall vorliegt (siehe unten).

1.2 Der Auftragsverarbeiter führt nach der Einstellung und/oder vor der Beauftragung mit der Bearbeitung personenbezogener Daten und der anschließenden jährlichen Neuzertifizierung für alle seine Mitarbeiter so bald wie möglich eine formelle Schulung zum Thema Datenschutz und Sicherheit durch. Der Auftragsverarbeiter bewahrt die Unterlagen der Schulung zur Sensibilisierung für Sicherheit auf und bestätigt, dass diese Schulung und der anschließende jährliche Rezertifizierungsprozess abgeschlossen sind.

1.3 Der Datenverantwortliche hat das Recht, vor der Inbetriebnahme des Dienstes und danach jährlich auf Anfrage des Datenverantwortlichen einen Überblick über das Informationssicherheitsprogramm des Auftragsverarbeiters zu erhalten.

1.4 Der Auftragsverarbeiter darf keine unverschlüsselten personenbezogenen Daten über das Internet oder ein ungesichertes Netzwerk übertragen und keine personenbezogenen Daten auf einem mobilen Computergerät wie Laptop, USB-Laufwerk oder tragbaren Datengerät speichern, es sei denn,

eine geschäftliche Notwendigkeit besteht, und zwar nur dann, wenn das mobile Computing-Gerät durch Industriestandard-Verschlüsselungssoftware geschützt ist. Der Auftragsverarbeiter verschlüsselt personenbezogene Daten bei der Übertragung in und aus den Diensten über öffentliche Netzwerke mit Industriestandardprotokollen.

1.5 Im Falle eines offensichtlichen oder tatsächlichen Diebstahls, einer unbefugten Nutzung oder Offenlegung personenbezogener Daten wird der Auftragsverarbeiter unverzüglich alle angemessenen Anstrengungen unternehmen, um die Ursachen zu untersuchen und zu korrigieren und die Ergebnisse zu korrigieren, und unverzüglich und innerhalb von 72 Stunden nach Bestätigung eines solchen Ereignisses den Verantwortlichen darüber informieren sowie gegebenenfalls weitere Informationen und Unterstützung anfordern. Auf Verlangen des Verantwortlichen werden dem Verantwortlichen Korrekturmaßnahmen und angemessene Sicherheit bei der Lösung der festgestellten Probleme bereitgestellt.

2.     Netzwerk- und Kommunikationssicherheit

 

2.1 Die gesamte Anbindung des Auftragsverarbeiters an die Rechensysteme und/oder Netzwerke des Verantwortlichen und alle Versuche, dies zu tun, erfolgen nur über die Sicherheitsgateways/Firewalls des Verantwortlichen und nur über vom Verantwortlichen genehmigte Sicherheitsverfahren.

2.2 Der Auftragsverarbeiter darf ohne ausdrückliche schriftliche Genehmigung des Verantwortlichen nicht auf Computersysteme und/oder Netzwerke des Verantwortlichen zugreifen und gewährt Unbefugten oder juristischen Personen keinen Zugriff. Ein solcher tatsächlicher oder versuchter Zugriff muss mit einer solchen Berechtigung übereinstimmen.

2.3 Der Auftragsverarbeiter hat geeignete Maßnahmen zu treffen, um sicherzustellen, dass die Systeme des Auftragsverarbeiters, die mit den Systemen des Verantwortlichen verbunden sind, und alles, was dem Verantwortlichen über solche Systeme zur Verfügung gestellt wird, keinen Computercode, keine Programme, Mechanismen oder Programmiergeräte enthalten, die die Störung, Änderung oder Löschung ermöglichen,

die Systeme des Verantwortlichen in irgendeiner Weise beschädigen, deaktivieren, deaktivieren, beschädigen oder anderweitig behindern.

2.4 Der Auftragsverarbeiter unterhält technische und organisatorische Maßnahmen zum Datenschutz, darunter (i) Firewalls und Bedrohungserkennungssysteme, um bösartige Verbindungsversuche zu erkennen, Spam, Viren und unbefugtes Eindringen zu verhindern, (ii) physische Netzwerktechnologien, die Angriffen bösartiger Benutzer oder bösartigem Code widerstehen, und (iii) verschlüsselte Daten bei der Übertragung über öffentliche Netzwerke, die Industriestandardprotokolle verwenden.

3.     Verfahren zur Verarbeitung personenbezogener Daten

 

3.1 Löschung von Informationen und Vernichtung elektronischer Speichermedien. Alle elektronischen Speichermedien, die personenbezogene Daten enthalten, müssen vor dem Verlassen des Arbeitsbereichs für den Verantwortlichen gelöscht oder zur physischen Vernichtung oder Entsorgung in Übereinstimmung mit den forensischen Industriestandards wie den SP800-88-Richtlinien für Medienbereinigung (NIST) entsorgt werden. Ausgenommen hiervon sind verschlüsselte personenbezogene Daten, die sich auf tragbaren Medien befinden, um dem Verantwortlichen ausdrücklich Service zu bieten. Der Auftragsverarbeiter muss wirtschaftlich vertretbare dokumentierte Nachweise für die Löschung und Vernichtung von Daten für Infrastrukturressourcen führen.

3.2 Der Auftragsverarbeiter unterhält Autorisierungs- und Authentifizierungstechnologien und -prozesse, um sicherzustellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen, darunter (i) Gewährung von Zugriffsrechten auf der Grundlage des Need-to-know-Prinzips; (ii) Überprüfung und Pflege von Aufzeichnungen über Mitarbeiter, die autorisiert wurden oder autorisierten Zugriff auf Systeme gewähren, ändern oder stornieren können; (iii) Anforderung, dass personalisierte individuelle Zugriffskonten Kennwörter verwenden müssen, die Anforderungen an Komplexität, Länge und Dauer erfüllen; (iv) Speicherung von Kennwörtern so, dass sie bei falscher Verwendung oder isolierter Wiederherstellung nicht entschlüsselbar sind; (v) Verschlüsselung, Protokollierung und Prüfung aller Zugriffssitzungen auf Systeme, die personenbezogene Daten enthalten; und (vi) Unterweisung der Mitarbeiter in sichere Verwaltungsmethoden, wenn Computer möglicherweise nicht besucht werden, wie Verwendung kennwortgeschützter Bildschirmschoner und Sitzungsfristen.

3.3 Der Auftragsverarbeiter unterhält logische Kontrollen, um personenbezogene Daten von anderen Daten, einschließlich der Daten anderer Kunden, zu trennen.

3.4 Der Auftragsverarbeiter unterhält Maßnahmen, die eine separate Verarbeitung von Daten für unterschiedliche Zwecke ermöglichen, darunter (i) Provisionierung des Verantwortlichen in seinem eigenen Sicherheitsbereich auf Anwendungsebene, wodurch eine logische Trennung und Isolierung der Sicherheitsprinzipien zwischen Kunden erreicht wird, und (ii) Isolierung von Test- oder Entwicklungsumgebungen von Live- oder Produktionsumgebungen.

4.     Physische Sicherheit

 

4.1 Der Auftragsverarbeiter hat sicherzustellen, dass mindestens die folgenden physischen Sicherheitsanforderungen erfüllt sind:

i) Alle Sicherungs- und Archivmedien, die personenbezogene Daten enthalten, müssen sich in sicheren, umweltfreundlichen Speicherbereichen befinden, die dem Auftragsverarbeiter gehören, von ihm betrieben werden oder für die er vertraglich zuständig ist. Alle Sicherungs- und Archivmedien mit personenbezogenen Daten müssen verschlüsselt sein.

ii) Es gibt technische und organisatorische Maßnahmen zur Kontrolle des Zugangs zu den Räumlichkeiten und Einrichtungen des Rechenzentrums, die Folgendes umfassen: i) Personal an der Rezeption oder Sicherheitsbeamte, um den Zugang auf bestimmte, autorisierte Personen zu beschränken; ii) Kontrolle von Besuchern bei der Ankunft zur Identitätsprüfung; iii) alle Zugangstüren, einschließlich Gerätekäfige, mit automatischen Türverriegelungssystemen mit Zugangskontrollsystemen, die Zugangshistorien aufzeichnen und aufbewahren; iv) Überwachung und Aufzeichnung aller Bereiche unter Verwendung von Überwachungskameras, Bewegungserkennungsalarmsystemen und detaillierten Überwachungs- und Auditprotokollen; v) Alarme bei Eindringlingen an allen externen Notfalltüren mit Einbahntüren im Innenausgang; und

vi) Trennung von Versand- und Empfangsbereichen mit Ausrüstungskontrollen bei Ankunft.

iii) Der Auftragsverarbeiter unterhält Maßnahmen zum Schutz vor versehentlicher Zerstörung oder Verlust personenbezogener Daten, darunter (i) Branderkennung und -unterdrückung, einschließlich eines Brandunterdrückungssystems mit mehreren Zonen, Trockenrohren, doppelter Verriegelung, Pre-Action und einem Very Early Smoke Detection and Alarm (VESDA); (ii) redundante Stromerzeuger vor Ort mit ausreichender Versorgung mit Generatorbrennstoff und Verträge mit mehreren Brennstoffanbietern; (iii) Heizungs-, Lüftungs- und Klimaanlagen (HVAC) mit stabiler Luftströmung, Temperatur und Luftfeuchtigkeit, mit minimaler Redundanz von N+1 für alle wichtigen Geräte und Redundanz von N+2 für Kälteanlagen und thermische Energiespeicherung; und (iv) physische Systeme zur Speicherung und zum Transport von Daten, die fehlertolerante Designs mit mehreren Redundanzstufen verwenden.

5 Sicherheitstests

 

5.1 Der Auftragsverarbeiter verpflichtet sich, während der Durchführung der Dienste im Rahmen des Vertrags auf eigene Kosten und mindestens einmal pro Jahr einen externen Anbieter („Testunternehmen“) zu beauftragen, Penetrations- und Schwachstellentests („Sicherheitstests“) in Bezug auf Systeme des Auftragsverarbeiters durchzuführen, die personenbezogene Daten enthalten und/oder speichern.

5.2 Ziel dieser Sicherheitstests ist es, Design- und/oder Funktionsprobleme in Anwendungen oder Infrastrukturen der Auftragsverarbeitersysteme zu identifizieren, die personenbezogene Daten enthalten und/oder speichern, die die Vermögenswerte des für die Verarbeitung Verantwortlichen Risiken durch böswillige Aktivitäten aussetzen könnten. Sicherheitstests untersuchen Schwachstellen in Anwendungen, Netzwerkperimetern oder anderen Infrastrukturelementen sowie Schwachstellen in prozessbezogenen oder technischen Gegenmaßnahmen in Bezug auf die Auftragsverarbeitersysteme, die personenbezogene Daten enthalten und/oder speichern und von einer bösartigen Partei ausgenutzt werden könnten.

5.3 Sicherheitstests müssen mindestens die folgenden Sicherheitsschwachstellen identifizieren: ungültige oder nicht bereinigte Eingaben, fehlerhafte oder übermäßige Zugriffskontrollen, defekte Authentifizierung und Sitzungsverwaltung, Schwachstellen beim Cross-Site-Skripting (XSS), Pufferüberläufe, Injektionsschwachstellen, unsachgemäße Fehlerbehandlung, unsichere Speicherung, häufige Denial-of-Service-Schwachstellen, unsicheres oder inkonsistentes Konfigurationsmanagement, unsachgemäße Verwendung von SSL/TLS, ordnungsgemäße Verwendung der Verschlüsselung sowie Zuverlässigkeit und Tests gegen Viren.

5.4 Innerhalb einer angemessenen Frist nach Durchführung des Sicherheitstests muss der Auftragsverarbeiter die festgestellten Probleme (falls vorhanden) beheben und anschließend auf eigene Kosten das Testunternehmen beauftragen, einen Sicherheitstest zur Verlängerung durchzuführen, um die Lösung erkannter Sicherheitsprobleme sicherzustellen. Ihre Ergebnisse werden dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

6.     -Sicherheitsaudit

 

6.1 Der Auftragsverarbeiter und alle Unterauftragnehmer (falls zutreffend) führen mindestens einmal jährlich ein Audit der SSAE 18 (oder eines gleichwertigen Audits) durch, das alle Systeme und/oder Einrichtungen abdeckt, die zur Bereitstellung des Dienstes für den Verantwortlichen verwendet werden, und übermitteln dem Verantwortlichen die Ergebnisse unverzüglich auf schriftliche Anfrage des Verantwortlichen. Wenn der Datenverantwortliche nach Überprüfung solcher Auditergebnisse vernünftigerweise feststellt, dass Sicherheitsprobleme in Bezug auf den Dienst bestehen, wird er den Auftragsverarbeiter schriftlich benachrichtigen, und der Auftragsverarbeiter wird die identifizierten Probleme umgehend besprechen und, soweit wirtschaftlich möglich, beheben. Alle verbleibenden Probleme sind zu dem Zeitpunkt zu dokumentieren, zu verfolgen und zu beheben, der sowohl vom Auftragsverarbeiter als auch vom Verantwortlichen vereinbart wurde.