Nutzungsbedingungen DENIOS IoT-Services

Diese Nutzungsbedingungen finden Anwendung auf alle Verträge über die Nutzung der DENIOS IoT-Services bestehend aus webbasierten und mobilen Anwendungen (nachfolgend: „App“) und ggf. einer zugehörigen Hardware (nachfolgend: „Hardware“, „Gerät“ oder „Device“), die dem Nutzer („Sie“, „Ihr“, „Ihnen“) von der DENIOS SE, Dehmer Straße 54-66, 32549 Bad Oeynhausen, Deutschland („DENIOS“, „wir“, „unsere“, „uns“) zur Verfügung gestellt werden.

1. Beschränkung auf Unternehmer

Den DENIOS IoT-Service stellt DENIOS ausschließlich Unternehmer im Sinne von § 14 BGB zur Verfügung. Die DENIOS IoT-Services richten sich nicht an Verbraucher und sind auch nicht für die Nutzung durch diese geeignet.

2. Umfang der DENIOS IoT-Services

Der DENIOS IoT-Service unterteilt sich in eine Hardware-Komponente, eine Anwendungskomponente und ein darauf basierendes Application Programming Interface („API“), welches durch DENIOS bereitgestellt wird. Soweit Sie den IoT-Service nutzen, gelten für Sie für die jeweiligen Leistungsbestandteile diese Bestimmungen.

2.1 Umfang und Bestandteile der Leistungen durch DENIOS für Sie richten sich im Einzelnen nach der zum Zeitpunkt des Vertragsschlusses gültigen Leistungsbeschreibung.

2.2 Die Genauigkeit, Vollständigkeit, Richtigkeit, etc. der von der Hardware über die API übertragenen Daten ist nur bei sachgemäßer Nutzung gewährleistet.

2.3 DENIOS behält sich das Recht vor, die angebotenen Leistungen des IoT-Services und damit auch die Leistungsbeschreibung zu ändern, soweit dies für Sie zumutbar ist. DENIOS ist insbesondere berechtigt, Funktionen hinzuzufügen, anzupassen oder zu entfernen oder die Zahl der über die API abgewickelten Transaktionen zur Vermeidung von Überlastungen zu limitieren (rate limit). Die Funktionen der IoT-Services werden dabei in Umfang und Art nicht hinter den bei Vertragsschluss gemäß Leistungsbeschreibung bereitgestellten zurückbleiben.

2.4 DENIOS behält sich das Recht vor, mit einer Ankündigungsfrist von vier Wochen die Funktionen des IoT-Services ganz oder Teile davon einzustellen. Sollten Sie von uns Hardware erworben haben, die vertraglich die IoT-Services beinhalten, werden wir die Funktionen der IoT-Services nicht vor Ablauf der Vertragslaufzeit oder der Gewährleistungsfrist, je nachdem, was später eintritt, einstellen.

3. Nutzung des IoT-Services

Je nach Art der IoT-Services können diese entweder über eine webbasierte oder mobile Anwendung (App) oder ggf. für bestimmte Services über beide Varianten parallel genutzt werden.

3.1 Nutzung der App

3.1.1 Die App kann entweder im Apple App Store für iOS-Geräte oder im Google Play Store für Android-Geräte (zusammen: „App Stores“) heruntergeladen werden. Der Download erfolgt über die jeweilige Download-Schaltfläche oder eine ähnliche Funktionalität im App Store.

3.1.2 Das Herunterladen und die Nutzung dieser App sind kostenlos und nicht auf eine bestimmte Anzahl von persönlichen Geräten beschränkt.

3.1.3 Die Funktionen der App können jedoch nicht ohne eine aktive Internetverbindung genutzt werden. Im Zusammenhang mit der Nutzung dieser einzelnen Funktionen der App über das Internet können Kosten entstehen, die von Ihrem Vertrag mit Ihrem Kommunikationsanbieter abhängen.

3.2 Nutzung der webbasierten Lösung

Die webbasierte Version kann über einen bereitgestellten Link mittels eines Browsers aufgerufen werden.

3.3 Nutzung der Hardware

Die Nutzung der Hardware ist jeweils in deren gültigen Betriebsanleitung und AGBs beschrieben und geregelt. Diese bleiben von diesen Nutzungsbedingungen unberührt.

3.4 Zugang zu den IoT-Services

3.4.1 Um die Funktionen der IoT-Services dauerhaft nutzen zu können, müssen Sie ein Benutzerkonto („Konto“) erstellen. Die Registrierung kann über die App erfolgen. Wir können Sie in einer E-Mail bitten, Ihre E-Mail- Adresse und die Einrichtung Ihres Kontos durch Anklicken des Bestätigungslinks in einer von DENIOS an Sie gesendeten E-Mail zu bestätigen; in diesem Fall kommt die Registrierung erst zustande, nachdem Sie auf diesen Link geklickt haben und DENIOS bestätigt, dass der Registrierungsvorgang abgeschlossen ist.

3.4.2 Die Zugangsdaten für die Nutzung der IoT-Services sind vertraulich zu behandeln und ausschließlich für die Verwendung durch den Nutzer bestimmt. Die Zugangsdaten dürfen insbesondere nicht an Dritte weitergegeben werden. Sie sind selbst dafür verantwortlich, die Zugangsdaten zu Ihrem Konto, insbesondere das Passwort, geheim zu halten. Wenn Sie Grund zu der Annahme haben, dass Ihr Konto nicht mehr sicher ist (z. B. bei Kenntnis Dritter von Ihrem Passwort), sind Sie verpflichtet, DENIOS hierüber unverzüglich zu informieren.

3.4.3 Mit der Einrichtung Ihres Kontos versichern Sie, dass Sie die für die Registrierung erforderlichen Informationen korrekt, aktuell und vollständig angeben. Sie werden Ihre Angaben im Fall von Änderungen unverzüglich in der App ändern.

3.4.4 Wir behalten uns das Recht vor, in unserem Ermessen Ihren Zugang und die Nutzung eines Dienstes vorübergehend auszusetzen, wenn wir in Verbindung mit Ihrem Konto oder der Nutzung eines Dienstes durch Sie, Vertreter oder Endbenutzer Gefahren für die DENIOS IoT-Services erkennen, vermuten oder entdecken.

3.5 Dauer der Verwaltungsmöglichkeit von Hardware-Komponenten

3.5.1 Einzelne Hardware-Komponenten, die in die IoT-Services eingebunden werden, können für die Lebensdauer der Hardware-Komponente, wie in den jeweils gültigen Betriebsanleitungen und Vertragsbedingungen festgelegt, mittels der IoT-Services verwaltet werden. Mit Ende der Lebensdauer endet die Verwaltungsmöglichkeit.

3.5.2 Sie können für eine Dauer von vier Wochen nach Ende der Lebensdauer des letzten verwalteten Geräts noch auf die Web-Oberfläche oder App der IoT-Services zugreifen, um die Daten ihrer Hardware-Komponenten abzurufen. Anschließend ist DENIOS berechtigt, die Daten zu löschen sowie ihre Zugangsdaten zu deaktivieren.

4 Einbezug der Nutzungsbedingungen

4.1 Diese Nutzungsbedingungen werden Bestandteil der Vertragsbeziehungen zwischen Ihnen und uns, wenn Sie die Registrierung für unsere IoT-Services abschließen oder sonst einen Vertrag über die IoT-Services mit uns schließen. Abweichende Geschäftsbedingungen von Ihnen werden nicht Vertragsbestandteil, es sei denn, wir erkennen sie ausdrücklich schriftlich an. Die widerspruchslose Durchführung von Leistungen durch uns bedeutet keine Anerkennung von Geschäftsbedingungen von Ihnen.

4.2 Wir werden eine Kopie dieser Nutzungsbedingungen aufbewahren. Sie können eine Kopie dieser Nutzungsbedingungen über unsere Website unter www.denios.de abrufen.

4.3 Sie stellen sicher, dass für jeden weiteren angelegten Nutzer der IoT-Services ebenfalls die Nutzungsbedingungen ohne zusätzliche Bestätigung eingehalten werden.

5 Änderungen der Nutzungsbedingungen

5.1 DENIOS behält sich das Recht vor, diese Nutzungsbedingungen mit einer Frist von vier (4) Wochen im Voraus zu ändern., wenn dies notwendig erscheint, z.B. aufgrund der Weiterentwicklung der App, der Einführung neuer Funktionen, technischer oder betrieblicher Fragen oder aufgrund von Gesetzesänderungen. Nicht hiervon erfasst sind wesentliche Änderungen der Grundfunktionen der Leistungen. DENIOS wird die jeweilige Änderung per E-Mail bekannt gegeben. Gleichzeitig werden Sie ausdrücklich darauf hingewiesen, dass die jeweilige Änderung Gegenstand des zwischen DENIOS und Ihnen bestehenden Vertrages auf der Grundlage dieser Nutzungsbedingungen wird, wenn Sie dieser Änderung nicht innerhalb einer Frist von vier (4) Wochen ab Bekanntgabe der Änderung widersprechen. Widersprechen Sie, hat jede Partei das Recht, den Vertrag mit einer Frist von vier (4) Wochen schriftlich oder per E-Mail zu kündigen.

5.2 Automatische Updates und Upgrades werden von DENIOS entweder über die App Stores oder über automatische Aktualisierung der Web-Applikation bereit- gestellt und können, je nach Geräteeinstellungen, ohne Ihre gesonderte Zustimmung installiert werden.

6 Verfügbarkeit der IoT-Services

6.1 DENIOS ist bemüht, eine durchgehende Verfügbarkeit der hierfür erforderlichen Dienste zu gewährleisten, kann jedoch nicht gewährleisten, dass es keine Unterbrechungen geben wird.

6.2 Insbesondere sind vorübergehende Unterbrechungen der Verfügbarkeit aufgrund von Wartungsarbeiten, Störungen des Internets bei externen Netzbetreibern, weiteren technischen Gründen sowie im Falle höherer Gewaltmöglich.

6.3 Die konkrete Verfügbarkeit ist abhängig von der zugehörigen Hardware oder Service- Modell.

7 Datenschutz

7.1 Erhält DENIOS bei Erbringung der Leistungen Zugang zu personenbezogenen Daten von Ihnen, wird DENIOS die geltenden Datenschutzvorschriften beachten, insbesondere personenbezogene Daten ausschließlich zum Zwecke der Erbringung der Leistungen verarbeiten, sicherstellen, dass seine Mitarbeiter nur soweit zwingend erforderlich Zugriff auf die Daten erhalten und diejenigen Mitarbeiter, die im Rahmen des IoT-Service Zugriff auf Ihre personenbezogenen Daten erhalten schriftlich auf das Datengeheimnis verpflichten und diese über die einzuhaltenden Datenschutzvorschriften belehren, sowie dem Auftraggeber dies auf Nachfrage nachweisen. DENIOS wird die im Rahmen der IoT-Services verarbeiteten personenbezogenen Daten dem Stand der Technik entsprechend zu schützen.

7.2 Im Falle der Verarbeitung personenbezogener Daten durch DENIOS im Auftrag von Ihnen findet die Bestimmungen zur Auftragsvereinbarung in Anlage 1 automatisch Anwendung. Anlage 1 wird durch Ihre Registrierung eines Nutzerkontos automatisch Vertragsbestandteil dieser Vereinbarung.

8 Geistiges Eigentum

8.1 Die App sowie Bilder und weitere Inhalte, die über die App zur Verfügung gestellt werden (zusammen „Inhalte“), sind in Deutschland und anderen Ländern durch das Urheberrecht und verwandte Schutzrechte geschützt. DENIOS gewährt Ihnen ein beschränktes, nicht exklusives, nicht übertragbares und nicht unterlizenzierbares Recht, die App und die Inhalte zu nutzen.

8.2 Im Übrigen gelten die gesetzlichen Bestimmungen des Urheberrechts für Software und für sonstige Werke sowie verwandte Schutzrechte. Sofern DENIOS nicht ausdrücklich zugestimmt hat oder Ihnen zwingende gesetzliche Vorschriften dies erlauben, ist es Ihnen insbesondere untersagt:

8.2.1 Die App oder die Inhalte zu vervielfältigen, es sei denn, dies geschieht (i) in einem Umfang, der notwendig ist, um die App auf Ihre Geräte herunterzuladen, zu installieren und zu nutzen, um eine angemessene Anzahl von Backups zu erstellen, oder (ii) in dem Umfang, in dem dies anderweitig durch diese Nutzungsbedingungen erlaubt ist;

8.2.2 Die App an Dritte zu verkaufen, zu vermieten oder sonst zu verbreiten.

8.2.3 Die App zu bearbeiten oder sonst abzuändern.

8.2.4 Die App zu entschlüsseln, zu disassemblieren, zu dekompilieren oder auf andere Weise Reverse Engineering der App zu betreiben, wenn nicht die Voraussetzungen des § 69e UrhG gelten.

8.2.5 Eine der Handlungen nach Ziffer 7.2.1 bis 7.2.4 zu versuchen.

9 Missbrauch

Sie dürfen die App bzw. die Datenverarbeitungsanlagen von DENIOS nicht für strafbare Handlungen nutzen, sonstige strafbare Handlungen zu Lasten von DENIOS begehen oder sonstige Handlungen zu dem Zweck begehen, DENIOS rechtswidrig zu schädigen. Es ist Ihnen insbesondere untersagt:

9.1 Die Datenverarbeitungsanlagen von DENIOS, die zur Bereitstellung der App oder der Inhalte dienen, oder sonstige Datenverarbeitungsanlagen von DENIOS zu hacken, zu sabotieren, oder sonst zu beeinträchtigen bzw. unbrauchbar zu machen.

9.2 Die App in einer übermäßigen Weise zu nutzen oder auf andere Weise über- mäßig auf die Datenverarbeitungsanlagen zuzugreifen, d.h. in einem Umfang, der den üblichen Gebrauch weit übersteigt, um die Systeme von DENIOS zu überlasten (sog. Denial-of-Service-Angriff).

9.3 Technische Beschränkungen der App zu umgehen, um Zugang zu Inhalten oder Funktionen zu erhalten, die nicht an Sie lizenziert wurden.

9.4 Eine der Handlungen nach Ziffer 8.1 bis 8.3 zu versuchen.

10 Kündigung

10.1 Sollten keine anderen vertraglichen Verpflichtungen bestehen, ist DENIOS berechtigt, den Vertrag über die Nutzung der IoT-Services gemäß dieser Nutzungsbedingungen mit einer Frist von vier (4) Wochen zu kündigen.

10.2 DENIOS ist ferner zur Kündigung aus wichtigem Grund berechtigt, insbesondere, wenn Sie:

10.2.1 Bei der Registrierung entgegen Ziffer 3.5 falsche oder unvollständige An- gaben gemacht haben oder Sie Ihre Angaben nicht aktualisiert haben, und Sie (i) Ihre Angaben nicht einer von uns in Textform gesetzten Frist vonmindestens dreißig Tagen korrigiert bzw. ergänzt haben, oder (ii) wir Sie nicht kontaktieren konnten, weil die von Ihnen angegebene E-Mail- Adresse ungültig war.

10.2.2 Entgegen Ziffer 7.2 die Rechte von DENIOS oder von Dritten verletzen.

10.2.3 Entgegen Ziffer 8 die App missbräuchlich nutzen oder DENIOS schädigen.

10.2.4 In sonstiger Weise erheblich gegen diese Nutzungsbedingungen verstoßen.

10.3 Sie können Ihr Konto und damit diese Nutzungsbedingungen jederzeit kündigen, indem Sie Ihren Kündigungswünsch an die Mail-Adresse sales@denios.com richten. Wir weisen darauf hin, dass eine vollständige Löschung erst nach Ablauf gesetzlicher Aufbewahrungspflichten und - außerhalb eines Auftragsverarbeitungsverhältnisses nach Ziff. 7.2 - auch nach Ablauf einer Aufbewahrung für andere rechtmäßige Zwecke erfolgt; Einzelheiten hierzu finden Sie in unserer www.denios.de/datenschutz-iot.

11 Haftung von DENIOS

11.1 DENIOS haftet für Vorsatz und grobe Fahrlässigkeit, bei Verletzung von Leben, Körper oder Gesundheit, bei Verletzung einer Garantie, bei Ansprüchen aus dem Produkthaftungsgesetz sowie in Fällen zwingender gesetzlicher Haftung (z.B. Produktsicherheitsgesetz) für alle verursachten Schäden unbeschränkt.

11.2 Bei einfacher Fahrlässigkeit haftet DENIOS nur bei Verletzung vertragswesentlicher Pflichten. In diesen Fällen ist die Haftung auf die Höhe des vorhersehbaren Schadens, mit dessen Eintritt bei Verträgen der vorliegenden Art typischerweise gerechnet werden musste, beschränkt. Als vertragswesentliche Pflicht im vorgenannten Sinn ist eine solche Pflicht zu verstehen, die für die Erreichung des Vertragszwecks wesentlich ist oder deren Erfüllung die ordnungsgemäße Durchführung des Vertrags erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf. Der vorhersehbare, vertragstypische Schaden ist ein solcher, der bei einem üblichen Schadensverlauf typischerweise zu erwarten ist.

11.3 Eine etwaige verschuldensunabhängige Haftung von DENIOS bei anfänglichen Mängeln ist ausgeschlossen. DENIOS haftet insoweit nur bei grober Fahrlässigkeit oder Vorsatz.

11.4 Im Übrigen ist die Haftung von DENIOS ausgeschlossen.

11.5 DENIOS haftet nicht, soweit höhere Gewalt vorliegt. Höhere Gewalt sind alle Umstände und Ereignisse, die außerhalb des Verantwortungsbereichs von DENOIS liegen, wie z.B. Streiks, Aussperrung, Naturereignisse, Katastrophen, behördliches Eingreifen, gesetzliche Verbote, Epidemien oder andere Ereignisse aufgrund derer DENIOS unverschuldet in ihren Leistungen behindert ist.

12 Betreiberpflichten

12.1 Sie sind für die Einhaltung gesetzlicher Vorschriften bei der Verwendung der DENIOS IoT-Services verantwortlich und müssen die Einhaltung dieser Nutzungsvereinbarung auch bei der Nutzung von Services von Drittanbietern (z.B. Connectoren) sicherstellen.

12.2 Sie bleiben auch bei Nutzung der DENIOS IoT-Services für die Einhaltung Ihrer Betreiberpflichten gesetzlich verpflichtet. DENIOS übernimmt keine Verantwortung für die Einhaltung der Betreiberpflichten. Zur Klarstellung wird festgehalten, dass DENIOS nicht für entstandenen Schaden haftet durch:

• Nicht-Verfügbarkeit einer Internetverbindung.

• Nicht-Zustellung einer Alarmbenachrichtigung bei technischen Störungen.

• Unsachgemäßer Nutzung der Hardware.

• Bedienungsfehler des Nutzers des IoT-Services.

13 Schlussbestimmungen

13.1 Sollten einzelne Klauseln dieser Nutzungsbedingungen ganz oder teilweise unwirksam oder nicht durchführbar sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen dadurch nicht berührt.

13.2 Diese Nutzungsbedingungen unterliegen dem Recht der Bundesrepublik Deutschland. Das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf von 1980 findet keine Anwendung.

13.3 Sofern Sie Kaufmann/-frau, eine juristische Person des öffentlichen Rechts oder ein öffentlichrechtliches Sondervermögen sind, ist Gerichtsstand Bad Oeynhausen. Wir bleiben jedoch berechtigt, alternativ an ihrem allgemeinen Gerichtsstand Klage zu erheben.

Diese Bestimmungen zur Auftragsverarbeitung regeln die Rechte und Pflichten der Parteien in Bezug auf die Verarbeitung personenbezogener Daten durch DENIOS im Auftrag von Ihnen, dem „Kunden“ nach den DENIOS IoT-Services Nutzungsbedingungen („Vertrag“). Die Bestimmungen zur Auftragsverarbeitung sind bindender Bestandteil des Vertrags.

§ 1 Gegenstand, Art, Umfang und Zweck des Auftrages

1.1. Gegenstand, Art, Umfang und Zweck der Datenverarbeitung sind im Vertrag festgelegt.

1.2. Jede Übermittlung personenbezogener Daten im Rahmen des Vertrages an ein Drittland ist an die Einhaltung der besonderen Anforderungen der Artikel 44 bis 49 DS-GVO gebunden. In jedem Fall, in dem die Parteien die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. L 39 vom 22.12.2010, S. 5 ff.) oder einer anderen Fassung, die diese Fassung ersetzt (nachfolgend: Standardvertragsklauseln), verwenden, gehen die Bestimmungen der Standardvertragsklauseln im Falle von Widersprüchen denjenigen dieser Vereinbarung über Auftragsverarbeitung vor.

§ 2 Laufzeit der Beauftragung

2.1. Die Laufzeit der Beauftragung richtet sich nach der Laufzeit des Vertrages und endet mit der Löschung aller Daten.

2.2 Der Kunde kann diese Vereinbarung über Auftragsverarbeitung jederzeit fristlokündigen, wenn ein wichtiger Grund vorliegt, insbesondere wenn DENIOS gegen wesentliche Verpflichtungen aus dieser Vereinbarung über Auftragsverarbeitung verstößt oder wenn DENIOS einen schweren Verstoß gegen anwendbares Datenschutzrecht begeht.

§ 3 Art der zu verarbeitenden Daten

Die DENIOS zur Verfügung gestellten oder zugänglich gemachten Daten umfassen personenbezogene Daten im Sinne der DS-GVO. Insbesondere werden die folgenden Datenkategorien verarbeitet:

• Internetnutzungsdaten (Informationen zum Browser, Betriebssystem, angesteuerte Funktionen, Datum und Uhrzeit des Zugriffs, Benutzernamen, IP-Adressen, Transaktionsprotokolle, Login-Informationen)

• Kontaktdaten (Namen, (Mobil-)Telefonnummern, E-Mail-Adressen, Adressen)

§ 4 Betroffene Personen

Die von der Datenverarbeitung im Rahmen dieser Auftragsverarbeitung durch DENIOS betroffenen Personengruppen beinhalten:

• Gegenwärtige/ehemalige Nutzer der IoT-Services

• Gegenwärtige/ehemalige Mitarbeiter des Unternehmens, welches die IoT-Services nutzt

• Ggf. gegenwärtige/ehemalige Mitarbeiter verbundener Unternehmen falls durch das Unternehmen, welches die IoT-Services nutzt, deren personenbezogene Daten verarbeitet werden

§ 5 Pflichten von DENIOS

5.1. DENIOS verpflichtet sich gegenüber dem Kunden, anwendbares Datenschutzrecht und die Bestimmungen dieser Vereinbarung über Auftragsverarbeitung mit größter Sorgfalt einzuhalten.

5.2. DENIOS trifft geeignete technische und organisatorische Maßnahmen im Sinne von Artikel 24 DS-GVO, um anwendbares Datenschutzrecht einzuhalten, insbesondere um die Sicherheit der Verarbeitung gemäß Artikel 32 DS-GVO zu gewährleisten.

5.3. DENIOS überwacht und dokumentiert die Erfüllung seiner Verpflichtungen aus den vertraglichen Bestimmungen und dem Datenschutzrecht und stellt dem Kunden auf Anfrage die erforderlichen Informationen und geeigneten Nachweise zur Verfügung. Dies beinhaltet auch die Überwachung der Durchführung der Datenverarbeitung im Rahmen des Auftrags und die getroffenen technischen und organisatorischen Maßnahmen.

5.4. DENIOS stellt sicher, dass die Vertraulichkeit der Daten gewahrt bleibt. Zu diesem Zweck wird DENIOS alle seine Mitarbeiter, die im Rahmen der Auftragsverarbeitung Zugang zu personenbezogenen Daten des Kunden haben, mit anwendbarem Datenschutzrecht vertraut machen und sie schriftlich verpflichten, diese personenbezogenen Daten nicht unbefugt zu verarbeiten. Auf Verlangen des Kunden wird DENIOS dem Kunden diese Erklärungen vorlegen.

5.5. DENIOS verwendet die ihm zur Verfügung gestellten Daten ausschließlich auf der Grundlage des Vertrages und gemäß dieser Vereinbarung über Auftragsverarbeitung. Jede darüberhinausgehende Verarbeitung oder Nutzung der Daten für einen anderen Zweck als jenen des Vertrages (z.B. für eigene Zwecke DENIOS oder für die Zwecke von Dritten) sowie die Übermittlung der Daten an Dritte ist, sofern nicht schriftlich etwas anderes vereinbart ist, ausdrücklich ausgeschlossen, es sei denn, die Daten wurden vor einer solchen Verarbeitung anonymisiert.

5.6. Darüber hinaus darf DENIOS die ihm überlassenen Daten nicht auf Datenträger kopieren oder anderweitige Kopien anfertigen oder sie Dritten zugänglich machen, es sei denn, der Kunde hat ausdrücklich schriftlich zugestimmt.

5.7. Fordern Aufsichtsbehörden Informationen vom Kunden oder ergreifen sie Maßnahmen ihm gegenüber, so wird DENIOS auf Verlangen des Kunden diesen unterstützen, soweit dies zur Beilegung der Angelegenheit erforderlich ist.

5.8. Auch wird DENIOS den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Verpflichtungen in angemessener Weise unterstützen, soweit es sich bei der Datenverarbeitung nach dem Vertrag um Auftragsverarbeitung handelt und dem Kunden insbesondere alle erforderlichen Informationen zur Verfügung stellen.

§ 6 Sicherheit der Verarbeitung

6.1 DENIOS schützt die zur Verfügung gestellten Daten durch geeignete technische und organisatorische Maßnahmen im Sinne des Artikels 32 DS-GVO vor unbefugter Weitergabe und Manipulation. Daten und Systeme sind unter anderem vor unbefugter oder unbeabsichtigter Zerstörung, unbeabsichtigter Löschung, technischen Defekten, Verfälschung, Diebstahl, illegaler Nutzung, unbefugtem Zugriff sowie vor unbefugter Änderung und unbefugtem Kopieren, Löschen, Weiterleiten, Zugriff und jeder anderen Art von unbefugter Verarbeitung zu schützen. Außerdem muss DENIOS sicherstellen, dass geeignete Maßnahmen ergriffen werden, um die Verfügbarkeit personenbezogener Daten und den Zugang dazu im Falle technischer Störungen umgehend wiederherzustellen und muss eine Überprüfung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen ermöglichen.

6.2 DENIOS stellt sicher, dass die zur Verarbeitung zur Verfügung gestellten Daten strikt von allen anderen Datensätzen getrennt werden. Datenträger, die der Kunde DENIOS zur Verfügung stellt, sind entsprechend zu kennzeichnen. Der Empfang sowie die Rückgabe solcher Datenträger sind zu dokumentieren.

6.3 DENIOS erstellt ein Sicherheitskonzept mit den getroffenen Maßnahmen und übermittelt dies dem Kunden vor Beginn der Datenverarbeitung. Eine Dokumentation der Maßnahmen ist der Vereinbarung über Auftragsverarbeitung als Attachment 1 beizufügen.

6.4 Die von DENIOS zu ergreifenden technischen und organisatorischen Maßnahmen unterliegen einer ständigen Aktualisierung und Anpassung an den technischen und organisatorischen Stand der Technik. Über wesentliche Änderungen der technischen und organisatorischen Maßnahmen ist der Kunde zu informieren.

§ 7 Anfragen von betroffenen Personen

7.1 DENIOS kann Daten, die im Rahmen des Auftrags verarbeitet werden, nur auf Anweisung des Kunden berichtigen, löschen, sperren oder übermitteln.

7.2 Wendet sich eine betroffene Person unmittelbar an DENIOS, um ihre Rechte, insbesondere die in den Artikeln 12 bis 23 DS-GVO genannten, in Bezug auf die Auftragsverarbeitung geltend zu machen, wird DENIOS diese Anfragen unverzüglich an den Kunden weiterleiten. DENIOS darf Informationen nur nach vorheriger schriftlicher Zustimmung des Kunden an Dritte oder die betroffene Person weitergeben, es sei denn, DENIOS ist gesetzlich dazu verpflichtet.

7.3 Wendet sich eine betroffene Person an den Kunden, so wird DENIOS den Kunden angemessen unterstützen, um die Anfrage der betroffenen Person zu beantworten. Zu diesem Zweck hat DENIOS geeignete technische und organisatorische Maßnahmen zu treffen.

§ 8 Unterauftragsvergabe

8.1 DENIOS ist berechtigt, Dritte mit der Verarbeitung personenbezogener Daten zu beauftragen. Der zum Zeitpunkt des Abschlusses dieser Vereinbarung über Auftragsverarbeitung beauftragte Subunternehmer ist:

ROBIOTIC GmbH
Oberes Feld 6
33106 Paderborn

8.2 DENIOS wird den Kunden über jede Änderung im Zusammenhang mit der Aufnahme neuer oder der Ersetzung des bestehenden Subunternehmers mittels der „Notification Bell“ in der Web-Oberfläche informieren. Der Kunde hat das Recht, diesen Änderungen binnen eines Zeitraums von 10 Tagen nach Erhalt der Mitteilung über die Änderung zu widersprechen. Widerspricht der Kunde der Änderung nicht, gilt diese als genehmigt. Ein Widerspruch kann vom Kunden nur aus wichtigen Gründen erhoben werden, die DENIOS gegenüber nachzuweisen sind. Widerspricht der Kunde, ist DENIOS berechtigt, den Vertrag und diese Vereinbarung über Auftragsverarbeitung mit einer Frist von einem Monat ab Zugang des Widerspruchs zu kündigen.

8.3 Der Vertrag zwischen DENIOS und dem Subunternehmer muss letzterem im Wesentlichen dieselben Verpflichtungen auferlegen, die DENIOS im Rahmen dieser Vereinbarung über Auftragsverarbeitung obliegen. Die Parteien vereinbaren, dass diese Anforderung erfüllt ist, wenn der Vertrag ein dieser Vereinbarung über Auftragsverarbeitung entsprechendes Schutzniveau aufweist oder wenn der Subunternehmer die Anforderungen des Artikel 28 Absatz 3 DS-GVO erfüllt.

8.4 Dienstleistungen, die DENIOS von Dritten als Nebenleistung zur Unterstützung der Durchführung der Verarbeitung in Anspruch nimmt, sind keine Subunternehmerdienstleistungen im Sinne der vorstehenden Bestimmungen. Dazu gehören z.B. Telekommunikationsdienstleistungen, Reinigungsdienste, Prüfdienste oder unter gewissen Umständen auch Wartungsdienste. Um den Schutz und die Sicherheit der Daten des Kunden und auch die Vertraulichkeit zu gewährleisten, verpflichtet sich DENIOS, rechtmäßige und angemessene vertragliche Vereinbarungen mit extern beauftragten Nebendienstleistern zu treffen und Kontrollmaßnahmen zu ergreifen.

8.5 Eine Übermittlung personenbezogener Daten ins Drittland ist durch uns nicht beabsichtigt. Im Rahmen unserer Zusammenarbeit mit der ROBIOTIC GmbH kann ggf. eine Übermittlung Ihrer personenbezogenen Daten in den UK und die USA erfolgen. Diese Übermittlung erfolgt durchgehend auf Grundlage der Standardvertragsklauseln der EU Kommission. Sie erteilen uns daher die Bevollmächtigung in Ihrem Auftrag die ROBIOTIC GmbH zum Abschluss entsprechender Standardvertragsklauseln zu Ihren Gunsten zu bevollmächtigen.

§ 9 Überprüfungsrechte des Kunden

9.1 Der Kunde ist berechtigt, im erforderlichen Umfang zu überprüfen, ob die vertraglichen Bestimmungen sowie anwendbares Datenschutzrecht, insbesondere auch die von DENIOS gemäß dieser Vereinbarung über Auftragsverarbeitung getroffenen technischen und organisatorischen Maßnahmen eingehalten werden. Sollten die von DENIOS im Rahmen dieser Prüfung bereitgestellten Informationen Anlass zur Sorge geben, DENIOS käme einer wesentlichen vertraglichen oder datenschutzrechtlichen Verpflichtung nicht nach, umfassen die Überprüfungsrechte auch das Recht, sich durch Vorort-Überprüfungen jederzeit davon zu überzeugen, dass die Daten datenschutzrechtlich und vertraglich ordnungsgemäß verarbeitet werden und dass die technischen und organisatorischen Maßnahmen umgesetzt und eingehalten werden. Der Kunde ist berechtigt, diese Überprüfungen in Absprache mit DENIOS selbst durchzuführen oder im Einzelfall von Dritten durchführen zu lassen, die zur Vertraulichkeit verpflichtet sind.

9.2 DENIOS wird den Kunden bei der Durchführung solcher Überprüfungen angemessen unterstützen, insbesondere durch die Gewährung von Zugang zu den Räumlichkeiten, in denen die entsprechende Auftragsverarbeitung stattfindet sowie zu den entsprechenden Systemen und Dokumenten. Der Kunde hat dafür mindestens zwei Wochen im Voraus eine schriftliche Anfrage zu stellen.

9.3 Die Kosten einer Vorort-Überprüfung trägt der Kunde (einschließlich sämtlicher anfallender Reisekosten, sowie der Betreuung der Überprüfung durch den Datenschutzbeauftragten von DENIOS, sofern keine wesentlichen Verstöße von DENIOS gegen dieser Anlage 1 festgestellt werden.

§ 10 Benachrichtigungen durch DENIOS

10.1 DENIOS wird den Kunden unverzüglich über alle Anfragen der Aufsichtsbehörden, insbesondere über angekündigte Datenschutzkontrollen, informieren, wenn es sich um eine Datenverarbeitung im Rahmen dieser Vereinbarung über Auftragsverarbeitung handelt.

10.2 DENIOS wird den Kunden unverzüglich informieren, wenn schwerwiegende Störungen der Verarbeitung aufgetreten sind, wenn der Verdacht von Datenschutzverstößen besteht, wenn gegen die Bestimmungen dieser Vereinbarung über Auftragsverarbeitung verstoßen wurde oder wenn sonstige Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten aufgetreten sind. Dies betrifft insbesondere den Verlust der von DENIOS verarbeiteten personenbezogenen Daten, den unbefugten oder unbeabsichtigten Zugriff Dritter und/oder die unbefugte Weitergabe personenbezogener Daten. Die Informationspflicht entsteht bereits dann, wenn die Befürchtung besteht, dass mit einer gewissen Wahrscheinlichkeit mögliche Störungen, Verstöße oder Unregelmäßigkeiten stattgefunden haben könnten.

10.3 DENIOS wird in Absprache mit dem Kunden unverzüglich geeignete Maßnahmen ergreifen, um die Daten zu schützen und mögliche negative Folgen für die betroffenen Personen zu reduzieren. Wenn der Kunde Verpflichtungen nach Artikel 33 und/oder Artikel 34 DS-GVO unterliegt, so muss DENIOS ihn entsprechend unterstützen.

§ 11 Weisungsbefugnis

11.1 Die Verarbeitung personenbezogener Daten durch DENIOS, DENIOS Mitarbeiter und die beauftragten Subunternehmer, die Zugang zu den Daten haben, erfolgt ausschließlich im Rahmen des Vertrages und auf der Grundlage der dokumentierten Weisung des Kunden (vgl. Artikel 29 DS-GVO). Der Kunde hat ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Methode der Datenverarbeitung, was in Einzelweisungen spezifiziert werden kann. Soweit DENIOS einer gesetzlichen Verpflichtung unterliegt, die auch eine andere Verarbeitung zulässt, wird DENIOS den Kunden über die jeweiligen gesetzlichen Anforderungen informieren, es sei denn, eine solche Mitteilung ist gesetzlich verboten.

11.2 DENIOS dokumentiert die vom Kunden erteilten Weisungen in geeigneter Weise. Mündlich erteilte Weisungen sind vom Kunden unverzüglich schriftlich zu bestätigen.

11.3 DENIOS wird den Kunden unverzüglich informieren, wenn DENIOS der Ansicht ist, dass eine Weisung gegen vertragliche Bestimmungen oder gesetzliche Datenschutzregelungen verstößt. Eine materiellrechtliche Prüfpflicht seitens DENIOS im Hinblick auf die vom Kunden erteilten Weisungen besteht nicht. Bestätigt der Kunde die Weisung und stellt DENIOS von den Folgen frei, wird DENIOS die Weisung befolgen.

§ 12 Löschung oder Rückgabe von Daten

12.1 Nach Beendigung der Laufzeit, auf Anforderung des Kunden auch früher, spätestens jedoch zum Zeitpunkt der Auftragsbeendigung, hat DENIOS nach Wahl des Kunden entweder alle in seinem Besitz befindlichen und mit dem Auftrag verbundenen personenbezogenen Daten – ob in Dokumenten, in generierten Verarbeitungs- oder Nutzungsergebnissen oder in Datensäten – in allgemein lesbarer Form zurückzugeben oder nach vorheriger Zustimmung im Einklang mit den datenschutzrechtlichen Bestimmungen zu vernichten oder zu löschen, es sei denn, es besteht eine gesetzliche Verpflichtung zur Speicherung dieser personenbezogenen Daten. Die Vernichtung bzw. Löschung ist gegenüber dem Kunden schriftlich zu bestätigen. Bei elektronischen Daten werden die Verarbeitungs- und Nutzungsergebnisse oder Datensätze in einem von den Parteien zu vereinbarenden Format oder – wenn keine Vereinbarung getroffen wurde – auf handelsüblichen Datenträgern in einem marktüblichen Format, das ein strukturiertes Auslesen ermöglicht, übergeben.

12.2 Es besteht kein Recht auf Aufbewahrung personenbezogener Daten, die von DENIOS im Rahmen dieses Vertragsverhältnisses zur Verfügung gestellt, erhoben oder verarbeitet wurden. Dasselbe gilt für entsprechende Datenträger.

§ 13 Sonstiges

13.1 Unterlagen, die eine auftragsgemäße und regelgerechte Datenverarbeitung belegen, sind von DENIOS auch nach Beendigung des Vertrages für die jeweilige Aufbewahrungsfrist zu speichern.

13.2 Sind die Daten des Kunden bei DENIOS durch Maßnahmen Dritter gefährdet, etwa wegen einer Pfändung, durch ein Insolvenz- oder Vergleichsverfahren oder ein ähnliches Ereignis, so hat DENIOS den Kunden unverzüglich zu informieren.

13.3 Im Falle von Widersprüchen zwischen dem Vertrag und dieser Vereinbarung über Auftragsverarbeitung gilt die Vereinbarung über Auftragsvereinbarung in Fragen des Datenschutzes vorrangig.

13.5 Im Zweifelsfall ist der deutsche Wortlaut dieser Vereinbarung über Auftragsverarbeitung maßgebend.

13.6 Diese Vereinbarung über Auftragsverarbeitung unterliegt dem deutschen Recht. Der Gerichtsstand richtet sich nach dem Vertrag.

gemäß Artt. 28 Abs. 3 lit. c, 32 DS-GVO i.V.m. Art. 5 Abs. 1, Abs. 2 DS-GVO

1. Vertraulichkeit

1.1 Zutrittskontrolle

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, zu verwehren.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Schlüsselverwaltung / Dokumentation der Schlüsselvergabe

• Türsicherungen (elektrische Türöffner) in Verbindung mit dem Zutrittskontrollsystem

• Zaunanlagen

• Sicherheitstüren und -fenster

• Alarmanlage

• Videoüberwachung

• Sichtkontrollen und ein Besucherbuch am Empfang

1.2 Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk

• Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)

• Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

1.3 Zugriffskontrolle

Es ist sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Verwaltung von Berechtigungen

• Differenzierte Berechtigungen

• Profile- und Rollenkonzept

• Dokumentation von Berechtigungen

1.4 Weitergabekontrolle

Es muss dafür gesorgt werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Getunnelte Datenfernverbindungen (VPN = Virtual Private Network)

• Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https)

1.5 Trennungskontrolle

Es ist sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werde können.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Getrennte Systeme (logische Mandantentrennung)

• Zugriffsberechtigungen

• Trennung von Test- und Entwicklungssystemen

1.6 Verschlüsselung

Die Verarbeitung personenbezogener Daten soll in einer Weise erfolgen, die eine unbeabsichtigte oder unrechtmäßige oder unbefugte Offenlegung dieser verhindert. Hierzu dienen dem Stand der Technik entsprechende und als sicher geltende Verschlüsselungsmechanismen.
Durch den Auftragnehmer umgesetzte Maßnahmen:

• Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung, VPN, verschlüsselte Internetverbindungen)

2. Integrität

2.1 Eingabekontrolle

Es muss nachträglich geprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Zugriffsrechte

• Systemseitige Protokollierungen

• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen

2.2 Weitergabekontrolle

Die Maßnahmen zur Weitergabekontrolle gem. 1.4 dienen auch der Sicherstellung der Integrität.

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Backup-Verfahren

• Spiegeln von Festplatten

• Virenschutz / Firewall

• Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

• Brandmeldeanlage

3.2 Rasche Wiederherstellbarkeit

Es müssen Maßnahmen getroffen werden, um Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Durch den Auftragsnehmer umgesetzte Maßnahmen:

• IT-Notfallpläne und Wiederanlaufpläne

• Regelmäßige und dokumentierte Datenwiederherstellungen

4. Weitere Maßnahmenbereiche

4.1 Datenschutz-Managementsystem

Es muss ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung des Datenschutzes und der Wirksamkeit der festgelegten technischen und organisatorischen Maßnahmen implementiert sein.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen

• Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest)

• Durchführung regelmäßiger interner Audits

4.2 Auftragskontrolle

Es muss dafür gesorgt werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Beim Auftragnehmer umgesetzte Maßnahmen:

• Schriftlicher Vertrag zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers

• Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen.

• Verpflichtung auf die Vertraulichkeit gem. Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO

• Regelmäßige Datenschutzaudits des betrieblichen Datenschutzbeauftragten Bestellung eines Datenschutzbeauftragten