AGB – Allgemeine Geschäftsbedingungen
AGB

Allgemeines
Die nachfolgenden Allgemeinen Geschäftsbedingungen (AGB) regeln die von der Insuretech.digital UG (nachfolgend „Insuretech.digital“, „wir“ oder „uns“ genannt) für den „Auftraggeber“ bzw. „Nutzer“ erbrachte(n) Leistung(en). Zusammen auch „die Parteien“ genannt.
Insuretech.digital ist berechtigt diese AGB zu verändern.
Die aktuellste Fassung der AGB muss dem Nutzer innerhalb von 21 Werktagen (3 Wochen) ab Änderung via E-Mail zugehen.
Ist innerhalb von 42 Tagen (6 Wochen) keinerlei Rückmeldung oder Widerspruch eingegangen, so gilt die neue Fassung als stillschweigend akzeptiert.
Bei einem Widerspruch des Nutzers ist Insuretech.digital berechtigt mit einer Kündigungsfrist von 3 Monaten außerordentlich zu Kündigen.

Vertragspartner
Vertragspartner ist die:
Insuretech.digital UG
Langendernbacher Str. 31
65599 Dornburg

Die UG wird vertreten durch die Geschäftsführer:
Melwin Kiš
Sven Kegler

Geltungsbereich
Ein Nutzer ist jede natürliche- und juristische Person, die ein Rechtsgeschäft abschließen darf. Der Nutzer handelt in Ausübung der gewerblichen oder selbstständigen Tätigkeit (Abs.14 Abs. 1 BGB).
Mit Abschluss eines Vertrages oder Abos sowie der Beauftragung einer Dienstleistung beginnt die AGB in ihrer zum Zeitpunkt des Vertragsschlusses geltenden Fassung Wirkung zu tragen.
Diese AGB gelten für alle gegenwärtige und zukünftige Projekte, Dienstleistungen jeglicher Art und den Produkten der Insuretech.digital gegenüber dem Nutzer.

Alternative AGB oder die AGB des Nutzers werden nicht ohne ausdrückliche schriftliche Zustimmung Bestandteil des Vertrages.
Mündliche Nebenabreden sind schriftlich zu formulieren und müssen zur Wirkung der Vertragszugehörigkeit ausdrücklich gekennzeichnet sein und von allen Vertragsparteien unterschrieben werden.

Leistungsbestandteile:
Die Insuretech.digital bietet eine Software-as-a-Service (nachfolgend SaaS) als eine monatliche oder jährliche Entgeltleistung (nachfolgend Abo genannt) an. Diese Umfasst mit der Anwendung “InsureConnect“ folgende Bestandteile:
Die Online-Plattform mit allen Inhalten und Funktionen
Speicherung von Daten (Hosting)
Der Nutzer ist nicht berechtigt die die Speicherplatz an dritte zu überlassen.
Bereitstellung von Schnittstellen
Die Leistung hat Gültigkeit unabhängig der Domain, des (Betriebs-) Systems, Plattformen oder sonstigem, auf dem die Leistung abgerufen werden kann.
Die Leistungen beinhalten ausdrücklich keine laufende rechtliche Prüfung von sämtlichen Inhalten und Publikationen.
Der Leistungsumfang richtet sich nach dem Gebuchten Abo, Add-On und oder Kontingent.
Bereitstellung von Schnittstellen:
Allgemein: Alle Namen, Logos und Produktnamen der jeweiligen Unternehmen sind markenrechtlich geschützt.
Schnittstellen: WhatsApp, SMS, E-Mail

Im Zuge der Leistung werden auch Grafiken, Videos und informative Inhalte bereitgestellt, die auch zur Nutzung außerhalb der Anwendung InsureConnect genutzt werden dürfen. Dies ist jedoch nach Abs.11 begrenzt.

Update und Verfügbarkeit
Während der Vertragslaufzeit werden Ergänzungen (neue Funktionen, mehr Sicherheit und weitere Schnittstellen) programmiert. Es obliegt der Insuretech.digital, ob die jeweilige Aktualisierung in den Standard der Anwendung aufgenommen wird. Der Kunde hat dabei keinen Anspruch auf eine Kostenlose- oder Vorabversion der Software bzw. neuen Funktionalitäten.
Die Insuretech.digital behält sich das Recht vor dir Nutzungsgebühr bei einer Erweiterung der Funktionalitäten in einem angemessenen Rahmen zu erhöhen.

Zustande kommen eines Vertrages
Allgemeines:
Dem Auftraggeber werden keine Eigentums- oder Nutzungsrechte an sämtlichen Dateien, weder vor, während und nach eingehen des Vertragsverhältnisses überreicht.
Der Nutzer handelt in Ausübung der gewerblichen oder selbstständigen Tätigkeit (Abs.14 Abs. 1 BGB) (AGB Abs. 3.1).
Ein Auftrag gilt als erteilt, wenn…
von Insuretech.digital ein schriftliches Angebot dem Nutzer unterbreitet und im vollem Umfang schriftlich, per E-Mail oder durch das Unterzeichnen eines Vertrages bestätigt wurde.
der Nutzer einen direkten Auftrag vergibt. Der direkte Auftrag ist einer, der von einem Nutzer ohne Angebot vergeben wird. Diese Art von Auftrag kann mündlich und schriftlich erfolgen.
der Nutzer auf unserer Homepage „www.Insuretech.digital” ein Abo, eine Dienstleistung oder ein Produkt bucht. Voraussetzung ist hier AGB Abs. 3.
Benutzer können ihre Abonnements per E-Mail oder über den Marktplatz aktualisieren, weitere Abonnements hinzufügen oder kündigen.

Laufzeit / Kündigung / Widerrufsrecht
Ein Nutzer kann eine Vertragslaufzeit von 1 oder 12 Monaten wählen.
Ein Add-On oder Kontingent gleicht sich automatisch an die Zeit des Hauptvertrages an.
Der Auftraggeber hat das Recht jeden Vertrag, ohne Angabe von Gründen, innerhalb von 14 Tagen nach Vertragsschluss, schriftlich zu widerrufen.
Die Kündigungsfrist beträgt jeweils 1/4 der Vertragslaufzeit und ist entweder schriftlich an unsere Postanschrift, per E-Mail an buchhaltung@Insuretech.digital oder über den „Kündigungsbutton“ in der Anwendung InsureConnect vorzunehmen. Andernfalls verlängert sich die Vertragsdauer um die ursprüngliche Vertragsdauer.
Das Recht auf eine außerordentliche Kündigung aus wichtigen Grund bleibt unberührt.
Wir behalten uns das Recht vor eine außerordentliche Kündigung umzusetzen, sofern sich der Nutzer erheblich im Zahlungsvollzug befindet.
Eine Rückvergütung wird ausgeschlossen.
Eine automatische Kündigung tritt ein, wenn der vereinbarte Leistungszeitraum eines Vertrages abgelaufen ist. Voraussetzung ist, dass der Leistungszeitraum ausdrücklich schriftlich vereinbart wurde.
Folgen des Widerrufs:

Wenn der Auftraggeber diesen Vertrag widerruft, hat Insuretech.digital dem Auftraggeber alle Zahlungen, die Insuretech.digital von dem Auftraggeber erhalten hat, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass der Auftraggeber eine andere Art der Lieferung als die von Insuretech.digital angebotene, günstigste Standardlieferung gewählt haben), unverzüglich und spätestens binnen 14 Tagen, ab dem Tag zurückzuzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrags bei uns eingegangen ist. Für diese Rückzahlung verwendet Insuretech.digital dasselbe Zahlungsmittel, das der Auftraggeber bei der ursprünglichen Transaktion eingesetzt hat, es sei denn, mit dem Auftraggeber wurde ausdrücklich etwas anderes vereinbart; in keinem Fall wird dem Auftraggeber wegen dieser Rückzahlung Entgelte berechnet. Insuretech.digital kann die Rückzahlung verweigern, bis Insuretech.digital die Waren wieder zurückerhalten hat oder bis der Auftraggeber den Nachweis erbracht hat, dass die Waren zurückgesandt wurde, je nachdem, welches
der frühere Zeitpunkt ist. Der Auftraggeber hat die Waren unverzüglich und in jedem Fall spätestens binnen 14 Tagen ab dem Tag, an dem der Auftraggeber Insuretech.digital über den Widerruf dieses Vertrages unterrichten, an Insuretech.digital oder an (hier sind gegebenenfalls der Name und die Anschrift der vom Auftraggeber zur Entgegennahme der Ware ermächtigten Person einzufügen) zurückzusenden oder zu übergeben. Die Frist ist gewährt, wenn der Auftraggeber die Waren vor Ablauf der Frist von 14 Tagen absenden. Der Auftraggeber trägt die unmittelbaren Kosten der Rücksendung der Waren. Der Auftraggeber muss für einen etwaigen Wertverlust oder Beschädigungen der Waren nur aufkommen, wenn dieser Wertverlust auf einen zur Prüfung der Beschaffenheit, Eigenschaften und Funktionsweise der Waren nicht notwendigen Umgang mit dem Auftraggeber zurückzuführen ist.

MUSTERKÜNDIGUNG
Max Mustermann, Straße Hausnummer, PLZ Ort
Name des Unternehmens/Auftraggebern
Straße Hausnummer, Postleitzahl Ort

Datum
Kündigung
Sehr geehrte Damen und Herren,

hiermit kündige Ich meinen Vertrag
[VERTRAGSNUMMER] fristgerecht zum
Vertragsende, hilfsweise zum
nächstmöglichen Termin. Dies ist nach meiner
Berechnung der [KÜNDIGUNGSTERMIN].
Bitte bestätigen Sie mir die Kündigung
schriftlich. Bitte teilen Sie mir auch mit, zu
welchem Zeitpunkt der Vertrag fristgerecht
beendet wird.
Mit freundlichen Grüßen,
Max Mustermann

WIDERRUF
Max Mustermann, Straße Hausnummer, PLZ
Ort
Name des Unternehmens/Auftraggebern
Straße Hausnummer
Postleitzahl Ort
Datum
WIDERRUF
Sehr geehrte Damen und Herren,
hiermit widerrufe Ich meinen Vertrag
[VERTRAGSNUMMER], den ich am
[ABSCHLUSSDATUM] geschlossen habe.
Bitte bestätigen Sie mir den Widerruf
schriftlich.
Mit freundlichen Grüßen, Max Mustermann

Angebot und Vergütung
Die auf der Webseite und in InsureConnect dargestellten Angebote stellen kein rechtlich bindendes Angebot dar, sondern eine unverbindliche Aufforderung des Kunden dies anzunehmen.
Angebote für individuelle Leistungen wie Beratungen, Individuelle Anpassungen oder Anfertigungen und sonstige Dienstleistungen, welche nicht im Abo enthalten sind, haben eine Gültigkeit von 14 Tagen ab Ausstellungsdatum.
Preise:
Sämtliche Preise sind netto (exklusiv MwSt.) und in Euro zu verstehen
Hard- und Softwaredienstleistungen: 120 € je Std.
Supportdienstleistungen: 90 € je Std.
Abo-Preise:
12-Monatiges Abonnement: 99,17 € mtl.
Monatliches Abonnement: 118,86 € mtl.
Je weiterer Nutzer 19,98€ mtl.
Je nach Versandart fallen Kosten pro versandter Nachricht an. Diese können als Kontingent-Paket oder als variable Anzahl im Kontingent erworben werden. Die genauen Preise sind in der Anwendung InsureConnect ersichtlich.
Die Kontingente verfallen nicht, können aber bei Kündigung oder Nichtnutzung nicht zurückerstattet werden.
Die Insuretech.digital erlaubt sich mit Ergänzung von Abs. 15 auch vor Ablauf eines Monats, eine Teil-, Abschlags oder Schlussrechnung zu erstellen, sofern 300 € überschritten wurden.
Pflichten der Nutzer
Der Nutzer ist selbst dafür verantwortlich, dass die hochgeladenen Inhalte, Kampagnen, Landingpages und auch die jeweiligen versendeten Nachrichten nach gültigem Recht konform erstellt sind bzw. Informationen enthalten und auch nicht gegen Rechte dritter verstößt.
Der Nutzer Pflegt die Stammdaten, worunter alle Angaben zu seiner Firma und den Zahlungsdaten fallen.
Störungen, Ausfälle und sonstige Mängel müssen unverzüglich (innerhalb von 48 Stunden) an unseren Support via E-Mail (support@insuretech.digital) mitgeteilt werden.
Der Nutzer ist dafür selbst verantwortlich eine geeignete Internetverbindung und Endgerät zum Abruf der Leistung bereitzustellen. Dabei darf durch keinerlei Maßnahmen die Anwendung zu schaden kommen.
Der Nutzer führt in regelmäßigen Abständen eine Datensicherung durch.
Insuretech.digital weist den Nutzer ausdrücklich darauf hin, dass bei einem schlechten Scoring beim Drittanbieter der Versand von Nachrichten eingeschränkt oder gar gesperrt werden kann.

Nutzungsrechte
Sofern nicht anderes schriftlich vereinbart wurde, räumt Insuretech.digital dem Auftraggeber bzw. Nutzer nach der vollständigen Bezahlung des Abos bzw. der Dienstleistung ein einfaches und nicht übertragbares Nutzungsrecht der Anwendung ein.
Das Nutzungsrecht erlischt, sobald der Nutzer seiner Zahlungsverpflichtungen nicht mehr nachkommt oder das Vertragsverhältnis beendet ist.
Die Rechte zur Weitergabe der Lizenz an dritte, Vervielfältigung, Weitervermietung, sowie das veröffentlichen in jeglicher Art und Weise bleibt ausdrücklich nur bei Insuretech.digital.

Das Nutzungsrecht für die Software und die Produkte der Insuretech.digital sehen ausschließlich eine vertragsgemäße Nutzung vor, welche sich aus der Beschreibung auf der Webseite und eines Angebotes ergibt.
Die Inhalte eines Nutzerkontos gehören dem Nutzer. Der Nutzer räumt Insuretech.digital alle nötigen Rechte zu Vertragserfüllung ein.
Der Nutzer gibt Insuretech.digital das Recht Daten für Analyse- und Benchmarkingzwecke anonymisiert auszuwerten und sie hierfür mit anderen Daten zusammenzuführen, zu vervielfältigen und zu bearbeiten.

Datenschutz
Im Rahmen des Geschäftsverhältnisses erhebt, speichert und verarbeitet Insuretech.digital personenbezogene Daten zum Zwecke der Leistungserbringung und der
Administration.

Der Nutzer schließt automatisch im Rahmen der Vertragsschließung und dieser AGB einen AVV (Auftragsverarbeitungsvertrag) ab Seite 7 ff. mit uns ab.

Weitere Informationen zu unseren Datenschutzbestimmungen erhalten Sie unter www.Insuretech.digital/datenschutzerklärung

Vertraulichkeit
Die Vertragspartner (Insuretech.digital und der Nutzer) verpflichten sich gegenseitig zur Geheimhaltung aller Geschäfts- und Betriebsgeheimnisse.
Dem Nutzer ist es nicht erlaubt seine Benutzerkennung sowie auch das Passwort an Dritte weiterzureichen. Die Zugangsdaten sind geschützt aufzubewahren. Insuretech.digital ist umgehend zu benachrichtigen, sollte der Verdacht bestehen, Dritte haben die Daten erlangt.
Wie in Abs. 4 und Abs. 12.1 dieser AGB beschrieben bedient sich die Insuretech.digital zur Leistungserbringung dem Angebot von Subunternehmern. Die Insuretech.digital stellt sicher, dass die Server zur Speicherung von Daten und Bereitstellung der Anwendung auf Servern in der EU bzw. Deutschland ansässig sind.

Haftung und Gewährleistung
Die Insuretech.digital arbeitet im Bereich der Bereitstellung von Speicherplatz und den dazugehörigen Dienstleistungen (Hosting) mit Subunternehmern zusammen und kann für Ausfallzeiten insbesondere durch höhere Gewalt keinerlei Haftung übernehmen.
Die Insuretech.digital haftet nicht für fehlerhafte Schnittstellen seitens der Drittanbieter.
Fehler, die zum Zeitpunkt des Vertragsschlusses bereits vorhanden waren, sind ausdrücklich ausgeschlossen (Abs. 536 a Abs. 1 BGB).
Bei Datenverlust haftet Insuretech.digital bei Vorsatz und grober Fahrlässigkeit nur für den Schaden, der auch bei ordnungsgemäßer und risikogerechter Datensicherung durch den Kunden eingetreten wäre. Die Haftung ist begrenzt auf die Höhe des in den letzten zwölf Monaten vor Schadenseintritt für die Nutzung entrichteten Nettoentgelts.
Die Haftung für die Funktionalität, Darstellbarkeit und Verlust von hochgeladenen Inhalten ist ausgeschlossen.
Die Eingaben des Kunden werden nicht automatisiert vom System überprüft oder korrigiert. Weder Inhalte, Bilder, Videos oder rechtliches sind ein Teil davon.
Die Insuretech.digital übernimmt keinerlei Gewähr für Ergebnisse, welche mit der Software erzielt werden (können), da diese auf die Eingaben des Kunden beruhen.
Insuretech.digital haftet bei grober Fahrlässigkeit oder Vorsatz nach den gesetzlichen Vorschriften.
Insuretech.digital haftet nicht für ein Scoring (jeglicher Art und Weise) von Drittanbietern.

Insuretech.digital haftet in InsureConnect oder auf der Webseite für den Reiter „Kooperationspartner“, „Partner“ und der „Vermittler“ nicht für die:
Darstellung
Weiterführenden Links
Produkte und Dienstleistungen
Aus der Kooperation und oder der Vermittlung entstehende Schäden und Verluste für den Nutzer oder Kunden des Nutzers
Urheber- und Datenschutzverletzungen
Provisionszahlungen und absprachen dritter

… der Kooperationspartner, Partner und oder Vermittler.

Zustellung der Rechnung
Sofern nichts anderes vereinbart ist, werden Rechnungen dem Nutzer per E-Mail (im PDF- Format) versand. Elektronisch versendete Schriftstücke sind Originaldokumenten in Papierform rechtlich gleichgestellt.

Eine Rechnung gilt als anerkannt, wenn nicht innerhalb von sieben Tagen nach Rechnungsstellung Einspruch eingelegt wird.

Zahlungsmodalitäten
Dem Auftraggeber stehen die Zahlungsmethoden SEPA-Lastschrift und Kreditkarte in der Anwendung InsureConnect und auf der Webseite zur verfügung.
Ist dem Nutzer die Zahlung auf Rechnung gewährt, so ist diese innerhalb von 14 Tagen zu begleichen.
Der Nutzer gibt Insuretech.digital das Recht wiederkehrende Zahlungen oder Zubuchoptionen wie Abos und Kontingente automatisch vom Konto einzuziehen.
Bei Nichteinhaltung der Zahlungsfrist werden Mahngebühren in der Höhe von 5,- € pro Mahnung in Rechnung gestellt.
Bei Nichteinhaltung vertraglich vereinbarter Abschlags-, Teil- oder Vorauszahlungen sowie laufender Kosten wie Abonnements und Add-ons wird eine Vertragsstrafe in Höhe von 25 % der offenen Nettosumme pro angefangenen Monat fällig. Die Vertragsstrafe ist kumulierbar.

Streitbeilegung
Insuretech.digital ist jederzeit um ein Einvernehmen mit dem Nutzer bemüht. Im Falle einer Beschwerde kann der Nutzer uns unter der im Impressum angegebenen Kontaktmöglichkeiten erreichen. Insuretech.digital wird gemeinsam mit dem
Nutzer eine zufriedenstellend Lösung anstreben. Zur Teilnahme an einem
Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle ist Insuretech.digital nicht verpflichtet und grundsätzlich nicht bereit.

Salvatorische Klausel
Sollte eine oder mehrere vereinbarte Bestimmungen dieses Vertrages unwirksam sein oder in Widerspruch zu einander stehen, wird die Wirksamkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung gilt eine Solche als vereinbart, die ihm Rahmen des rechtlich Möglichen dem am nächsten kommt, was von den Vertragsparteien nach dem ursprünglichen Sinn und Zweck der unwirksamen Bestimmungen gewollt war.
Vertragslücken sind damit zu füllen, was die Parteien bei berechtigten Interessen der
jeweils anderen Partei vereinbart hätten, wäre ihnen die Regelungsbedürftigkeit bewusst
gewesen.

Erfüllungsort und Gerichtsstand
Als Erfüllungsort gilt der Sitz der Insuretech.digital. Jenes Gericht, in dessen Wirkungskreis der Firmensitz der Insuretech.digital fällt, ist bei Rechtsstreitigkeiten zuständig.

Schlussbestimmungen
Sämtliche Neben-, Sondervereinbarungen oder Abweichungen der genannten Punkte bedürfen zu ihrer Rechtswirksamkeit der Schriftform. Wenn einzelne Punkte dieser AGB durch Änderungen unwirksam werden, so bleiben die übrigen Bestimmungen voll wirksam (Abs. 17 Salvatorische Klausel). Die Geschäftsbedingungen eines Auftraggebers bzw. Nutzers gelten nur, wenn Insuretech.digital diesen schriftlich zustimmt.

Stand 01.07.2024 Die AGB bestehen aus insgesamt 6 Seiten.

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Allgemeines
Die Insuretech verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Sinne des Art. 28 der Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten.
Soweit in diesem Vertrag Begriffe verwendet werden, die in Art. 4 DSGVO gesetzlich definiert sind, gilt die gesetzliche Definition auch für die Begriffsverwendung in diesem Vertrag. Dies gilt z.B. für „personenbezogene Daten”, „Verarbeitung”, „Verantwortlicher”, „Auftragsverarbeiter”, „Dritter”, „Einwilligung” und „Aufsichtsbehörde”.
Der Auftraggeber entscheidet über die Mittel und Zwecke der durch diesen Vertrag geregelten Datenverarbeitung. Die Insuretech handelt insoweit weisungsgebunden; lediglich hinsichtlich der Wahl der technischen Mittel steht der Insuretech ein eigenständiger Entscheidungsspielraum zu.
Ziel dieses Vertrages ist es, die datenschutzrechtlichen Anforderungen in der Weise sicherzustellen, dass der Auftraggeber der Insuretech Daten zur weisungsgebundenen Verarbeitung rechtskonform zur Verfügung stellen kann.
Diese Vereinbarung wird als Teil der Allgemeinen Vertragsbedingungen Bestandteil des zwischen den Parteien geschlossenen Dienstleistungsvertrages. Dieser Vertrag bedarf keiner gesonderten Unterzeichnung.

2. Gegenstand des Auftrags
Der konkrete Gegenstand der Bearbeitung ergibt sich aus dem zwischen den Parteien vereinbarten Dienstleistungsvertrag. Darüber hinaus ergeben sich Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen in Anlage 1 zu diesem Vertrag festgelegt.

3. Rechte und Pflichten des Auftraggebers
Der Auftraggeber ist verantwortlich für die Datenverarbeitung im Auftrag durch die Insuretech.
Der Auftraggeber ist als verantwortliche Stelle für die Wahrung der Rechte der Betroffenen verantwortlich. Die Insuretech informiert den Auftraggeber unverzüglich, wenn Betroffene ihre Betroffenenrechte gegenüber der Insuretech geltend machen.
Der Auftraggeber hat das Recht, der Insuretech jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Die Weisungen bedürfen der Textform (z.B. E-Mail).
Regelungen über eine etwaige Vergütung des Mehraufwandes, der die Insuretech durch ergänzende Weisungen des Auftraggebers bei Insuretech entstehen, bleiben unberührt.
Der Auftraggeber kann weisungsbefugte Personen benennen. Soweit weisungsberechtigte Personen benannt werden sollen, sind diese in Anlage 1 benannt. Ändern sich die weisungsberechtigten Personen beim Auftraggeber, wird der Auftraggeber dies der Insuretech in Textform mitteilen.
Der Auftraggeber wird der Insuretech unverzüglich über Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch die Insuretech informieren.
Besteht eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder eine sonstige für den Auftraggeber geltende gesetzliche Informationspflicht, ist der Auftraggeber für deren Einhaltung verantwortlich.

4. Allgemeine Pflichten der Insuretech
Die Insuretech verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Beachtung der ggf. ergänzend erteilten Weisungen des Auftraggebers. Hiervon ausgenommen sind gesetzliche Vorschriften, die die Insuretech zu einer anderen Verarbeitung verpflichten können. In einem solchen Fall wird die Insuretech den Auftraggeber vor der Verarbeitung auf diese gesetzlichen Anforderungen hinweisen, es sei denn, das jeweilige Recht verbietet eine solche Unterrichtung wegen eines wichtigen öffentlichen Interesses.
Die Insuretech führt die Auftragsdatenverarbeitung nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durch. Eine Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn der Datenschutz für die Verlagerung nach mindestens einer der besonderen Voraussetzungen der Artikel 44 bis 49 DSGVO gewährleistet ist.
Die Insuretech ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die von ihr im Auftrag des Auftraggebers verarbeiteten Daten im jeweils erforderlichen Umfang gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Die Insuretech wird Änderungen in der Organisation der Auftragsdatenverarbeitung, die für die Sicherheit der Daten von Bedeutung sind, vorher mit dem Auftraggeber abstimmen.
Die Insuretech wird den Auftraggeber unverzüglich unterrichten, wenn eine Weisung des Auftraggebers nach seiner Auffassung gegen gesetzliche Vorschriften verstößt. Die Insuretech ist berechtigt, die Ausführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen. Soweit die Insuretech nachweisen kann, dass eine Bearbeitung nach Weisung des Auftraggebers zu einer Haftung der Insuretech nach Art. 82 DSGVO führen kann, steht es der Insuretech zu, die weitere Verarbeitung insoweit auszusetzen, bis die Haftung zwischen den Parteien geklärt ist.
Die Insuretech wird die Daten, die sie im Auftrag für den Auftraggeber verarbeitet, getrennt von anderen Daten verarbeiten. Eine räumliche Trennung ist nicht erforderlich.
Die Insuretech kann dem Auftraggeber Personen benennen, die zur Entgegennahme von Weisungen des Auftraggebers berechtigt sind. Soweit weisungsberechtigte Personen benannt werden, sind diese in Anlage 1 zu benennen. Für den Fall, dass sich die weisungsempfangsberechtigten Personen bei Insuretech ändern, wird die Insuretech dies dem Auftraggeber in Textform mitteilen.

5. Datenschutzbeauftragter bei Insuretech
Die Insuretech bestätigt, dass sie einen Datenschutzbeauftragten gem. Art. 37 DSGVO bestellt hat. Die Insuretech stellt sicher, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und Fachkunde verfügt. Die Insuretech wird dem Auftraggeber auf Anfrage die Kontaktdaten seines Datenschutzbeauftragten mitteilen; die Kontaktdaten sind in der Datenschutzinformation der Insuretech, die auf der Internetseite der Insuretech veröffentlicht wird, enthalten.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten nach Absatz 1 kann nach Wahl des Auftraggebers entfallen, wenn die Insuretech nachweist, dass sie gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist.

6. Informationspflichten der Insuretech
Die Insuretech ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder gegen erteilte Weisungen des Auftraggebers, die im Zusammenhang mit der Datenverarbeitung durch ihn oder andere an der Verarbeitung beteiligte Personen begangen werden, unverzüglich zu unterrichten. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die Insuretech im Auftrag des Auftraggebers verarbeitet.

Die Insuretech wird den Auftraggeber ferner unverzüglich unterrichten, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber der Insuretech tätig wird und dies auch eine Kontrolle der Verarbeitung betreffen kann, die Insuretech im Auftrag des Auftraggebers durchführt.
Der Insuretech ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntniserlangung vorsieht. Die Insuretech unterstützt den Auftraggeber bei der Erfüllung der Meldepflichten. Die Insuretech wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich mitteilen. Die Meldung der Insuretech an den Auftraggeber muss insbesondere folgende Angaben enthalten:
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich, die Kategorien und die ungefähre Zahl der betroffenen Personen, die betroffenen Kategorien und die ungefähre Anzahl der betroffenen personenbezogener Datensätze
eine Beschreibung der von der Insuretech ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.
7. Mitwirkungspflichten der Insuretech
Die Insuretech unterstützt den Auftraggeber bei dessen Pflicht zur Beantwortung von Anträgen auf Ausübung der Betroffenenrechte nach den Artikeln 12 bis 23 der Datenschutz-Grundverordnung. Es gelten die Regelungen der Ziffer 11 dieses Vertrages.
Die Insuretech wirkt bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit. Sie wird dem Auftraggeber die hierfür erforderlichen Informationen in geeigneter Weise zur Verfügung stellen.
Die Insuretech unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32-36 DSGVO genannten Pflichten.

8. Kontrollbefugnisse
Der Auftraggeber ist berechtigt, sich von der Einhaltung der gesetzlichen Vorschriften über den datenschutzrechtlichen Vorschriften und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch die Insuretech jederzeit im erforderlichen Umfang zu kontrollieren.
Zum Nachweis, dass die Insuretech die gesetzlichen und vertraglichen Verpflichtungen einhält, kann die Insuretech dem Auftraggeber folgende Informationen zur Verfügung stellen: Durchführung einer Eigenkontrolle, unternehmensinterne Verhaltenskodizes einschließlich eines externen Nachweises über deren Einhaltung, genehmigte Verhaltensregeln gem. Art. 40 DSGVO oder Datenschutzzertifikate nach Art. 42 DSGVO.
Die Insuretech ist verpflichtet, dem Auftraggeber Auskünfte zu erteilen, soweit dies zur Durchführung der Kontrolle nach Absatz 1 erforderlich ist.
Der Auftraggeber kann Einsicht in die von der Insuretech für den Auftraggeber verarbeiteten Daten sowie in die eingesetzten Datenverarbeitungssysteme und -programme verlangen.
Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Prüfung nach Absatz 1 in den Geschäftsräumen der Insuretech zu den üblichen Geschäftszeiten durchführen. Der Auftraggeber wird dabei sicherstellen, dass die Kontrollen nur in dem erforderlichen Umfang durchgeführt werden, so dass die Betriebsabläufe der Insuretech durch die Kontrollen nicht unverhältnismäßig gestört werden. Die Insuretech kann die Prüfung von der Unterzeichnung einer Geheimhaltungserklärung über die Daten anderer Auftraggeber und der getroffenen technischen und organisatorischen Maßnahmen abhängig machen. Steht ein vom Auftraggeber beauftragter Prüfer in einem Wettbewerbsverhältnis zur Insuretech, so hat die Insuretech ein Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Prüfung kann eine Vergütung verlangt werden, wenn dies im Hauptleistungsvertrag vereinbart ist.
Die Insuretech ist verpflichtet, bei Maßnahmen der Aufsichtsbehörde Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten, dem Auftraggeber die erforderlichen Auskünfte zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Kontrolle vor Ort zu ermöglichen. Der Auftraggeber ist von der Insuretech über entsprechende geplante Maßnahmen zu informieren.

9. Unterauftragsverhältnisse
Die Beauftragung von Unterauftragnehmer durch die Insuretech ist nur mit Zustimmung des Auftraggebers in Textform zulässig. Die Insuretech hat alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden Unterauftragsverhältnisse in der Anlage 2 zu diesem Vertrag aufzuführen. Der Auftraggeber stimmt diesen bestehenden Unterauftragsverhältnissen durch Abschluss des Vertrages zu. Soweit die Insuretech während der Vertragslaufzeit einen Unterauftragnehmer hinzuziehen oder einen Unterauftragnehmer durch einen anderen ersetzen will, teilt sie dies dem Auftraggeber in Textform mit und weist ihn auf sein Widerspruchsrecht hin. Widerspricht der Auftraggeber nicht innerhalb von 14 Tagen, gilt die Beauftragung des neuen Unterauftragnehmer als genehmigt.
Die Insuretech hat jeden Unterauftragsverhältniss sorgfältig auszuwählen und vor dessen Beauftragung zu prüfen, ob er die zwischen Auftraggeber und der Insuretech getroffenen Vereinbarungen einhalten kann. Insbesondere hat die Insuretech vorab und während der Vertragslaufzeit regelmäßig zu überprüfen, dass der Unterauftragnehmer hinreichende Garantien dafür bietet, dass er die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten getroffen hat.
Die Insuretech stellt sicher, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
Die Insuretech hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Anforderungen des Art. 28 DSGVO genügt. Darüber hinaus hat der Unterauftragnehmer dieselben Verpflichtungen zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und der Insuretech festgelegt sind. Der Vertrag über die Auftragsdatenverarbeitung ist dem Auftraggeber auf Verlangen in Kopie zu übermitteln.
Die Insuretech ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse des Auftraggebers (Nr. 8 dieses Vertrages) und der Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte des Auftraggebers und der Aufsichtsbehörden vereinbart werden. Ferner ist vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen duldet.
Nicht als Unterauftragsverhältnisse im Sinne der Absätze 1 bis 5 gelten Leistungen, die die Insuretech bei Dritten als bloße Nebenleistung zur Ausübung der Geschäftstätigkeit in Anspruch nimmt. Hierzu gehören insbesondere Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zum Auftrag, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Die Insuretech ist gleichwohl verpflichtet, auch bei von Dritten erbrachten Nebenleistungen dafür zu sorgen, dass angemessene technische und organisatorische Vorkehrungen und Maßnahmen zum Schutz personenbezogener Daten getroffen wurden.

10. Geheimhaltungspflicht
Die Insuretech ist verpflichtet, bei der Datenverarbeitung für den Auftraggeber das Datengeheimnis über die ihm im Zusammenhang mit dem Auftrag anvertrauten oder bekannt gewordenen Daten zu wahren. Die Insuretech verpflichtet sich, Geheimhaltungsvorschriften zu beachten, die auch für den Auftraggeber gelten. Zu diesem Zweck ist der Auftraggeber verpflichtet, die Insuretech auf etwaige besondere Geheimhaltungsvorschriften hinzuweisen.
Die Insuretech sichert zu, dass sie seine Mitarbeiterinnen und Mitarbeiter mit den für sie geltenden Datenschutzbestimmungen vertraut gemacht und zur Geheimhaltung verpflichtet hat. Die Insuretech sichert darüber hinaus zu, dass sie insbesondere die bei der Durchführung der Arbeiten für den Auftraggeber tätigen Mitarbeiter zur Geheimhaltung verpflichtet hat und diese über die Weisungen des Auftraggebers unterrichtet hat.
Die Verpflichtung der Mitarbeiter nach Absatz 2 ist dem Auftraggeber auf Verlangen nachzuweisen.

11. Wahrung der Rechte der Betroffenen
Für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Die Insuretech ist verpflichtet, den Auftraggeber bei seiner Pflicht zur Bearbeitung von Anfragen Betroffener gem. Art. 12-23 DSGVO zu unterstützen. Dabei hat die Insuretech insbesondere dafür Sorge zu tragen, dass die hierfür erforderlichen Informationen unverzüglich an den Auftraggeber übermittelt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
Soweit eine Mitwirkung der Insuretech zur Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – durch den Auftraggeber erforderlich ist, wird die Insuretech nach Weisung des Auftraggebers die jeweils erforderlichen Maßnahmen treffen. Die Insuretech wird den Auftraggeber soweit möglich durch geeignete technische und organisatorische Maßnahmen dabei unterstützen, seiner Verpflichtung zur Beantwortung von Anfragen zur Ausübung von Betroffenenrechten nachzukommen.
Regelungen über eine etwaige Vergütung des Mehraufwandes, der durch Mitwirkungsleistungen im Zusammenhang mit der Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber entstehen, bleiben unberührt.
12. Geheimhaltungspflichten
Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung dieses Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise für andere als die vorgenannten Zwecke zu verwenden oder Dritten zugänglich zu machen.
Die vorstehende Verpflichtung gilt nicht für solche Informationen, die eine Partei nachweislich von Dritten ohne Verpflichtung zur Geheimhaltung erhalten hat oder die öffentlich bekannt sind.

13. Vergütung
Die Vergütung der Insuretech wird in den AGB unter dem Punkt „Vergütung“ geregelt.

14. Technische und organisatorische Maßnahmen zur Datensicherheit
Die Insuretech verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anwendbaren Datenschutzvorschriften erforderlich sind. Dies umfasst insbesondere die Anforderungen aus Art. 32 DSGVO.
Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist diesem Vertrag als Anlage 3 beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich sein können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit von personenbezogenen Daten beeinträchtigen können, wird die Insuretech mit dem Auftraggeber abstimmen. Maßnahmen, die nur geringfügige technische oder organisatorische Änderungen beinhalten und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht beeinträchtigen, kann Die Insuretech ohne Abstimmung mit dem Auftraggeber durchführen. Der Auftraggeber kann jederzeit eine aktuelle Fassung von der Insuretech getroffenen technischen und organisatorischen Maßnahmen verlangen.
Die Insuretech wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Erforderlichkeit und Wirksamkeit überprüfen. Bei Optimierungs- und/oder Änderungsbedarf wird die Insuretech den Auftraggeber informieren.

15. Dauer des Vertrags
Der Vertrag beginnt mit der Unterzeichnung und endet mit dem spätesten Ablauf eines zwischen den Parteien vereinbarten Leistungsvertrages, mit dem der Auftraggeber die Insuretech mit der Bearbeitung durch die Insuretech beauftragt hat.
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß der Insuretech gegen die anwendbaren Vorschriften über den Datenschutz oder gegen Pflichten aus diesem Vertrag vorliegt, die eine Weisung des Auftraggebers nicht ausführen kann oder will oder die Insuretech dem Auftraggeber oder der zuständigen Aufsichtsbehörde vertragswidrig den Zutritt verweigert.

16. Kündigung
Nach Beendigung des Vertrages hat die Insuretech alle in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers herauszugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung von Daten bleiben unberührt. Für Datenträger gilt, dass diese im Falle einer vom Auftraggeber angeordneten Löschung zu vernichten sind, wobei mindestens die Sicherheitsstufe 3 nach DIN 66399 einzuhalten ist; die Vernichtung ist dem Auftraggeber unter Angabe der Sicherheitsstufe nach DIN 66399 nachzuweisen.
Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten bei der Insuretech zu überprüfen. Dies kann auch durch Inaugenscheinnahme der Datenverarbeitungsanlagen in den Räumen der Insuretech erfolgen. Die Vor-Ort-Kontrolle ist vom Auftraggeber mit angemessener Frist anzukündigen.

17. Schlussbestimmungen
Wird das Eigentum des Auftraggebers bei der Insuretech durch Maßnahmen Dritter (z.B. durch Pfändung oder Beschlagnahme), durch Insolvenzverfahren oder durch sonstige Ereignisse gefährdet, so hat die Insuretech den Auftraggeber unverzüglich zu benachrichtigen. Die Insuretech wird den Gläubigern mitteilen, dass die im Auftrag verarbeiteten Daten betroffen sind.
Nebenabreden bedürfen der Schriftform.
Sollten einzelne Teile dieses Vertrages unwirksam sein, so wird die Wirksamkeit der übrigen Bestimmungen des Vertrages hierdurch nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine gültige und durchsetzbare Bestimmung zu ersetzen, welche wirtschaftlich der Zielsetzung der Parteien am nächsten kommt. Das Gleiche gilt im Falle einer Regelungslücke.

Anlagen:
Gegenstand des Auftrags, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien der betroffenen Personen
Liste der Subunternehmer
Technische und organisatorische Maßnahmen zur Datensicherheit

Anlage 1 – Gegenstand des Auftrags

1 Gegenstand und Zweck der Auftragsverarbeitung
Der Auftragnehmer erbringt neben der Beratung (als solche keine Auftragsverarbeitung) auch Agenturleistungen als Auftragsverarbeitung an. Diese Auftragsverarbeitung umfasst Dienstleistungen wie die Einrichtung, Administration und Betreuung von Internetauftritten, Content Management Systemen, Webshops und deren Anbindung an Warenwirtschaftssysteme und Online-Marketing-Kampagnen, Social-Media-Profilen und Newsletter-Management. Zur Durchführung der jeweiligen Dienste stellt der Auftraggeber dem Auftragnehmer Benutzerkonten mit entsprechenden Rechten, regelmäßig einschließlich Administratorrechten, zur Verfügung. Die Verantwortung des Auftragnehmers dementsprechend weitestgehend auf den sicheren, vertraulichen und datenschutzkonformen Umgang mit den zur Verfügung gestellten Benutzerkonten.

2. Art(en) der personenbezogenen Daten
Folgende Arten von Daten können Gegenstand der Verarbeitung sein:
Name (Vorname, Name, Geburtsname, Pseudonym/Spitzname, Titel, Anrede), Funktion/Zuständigkeit, Organisationszugehörigkeit (z. B. Arbeitgeber) und Kontaktdaten (Telefon, E-Mail) und Adressdaten (Straße/Postfach, Ort, Land)
Kundendaten (Kundenhistorie, Aufträge, Bestellungen, Teilnahme an Veranstaltungen, Zahlungsmittel, Rechnungen, Mahnungen), Einwilligungen Bonitätsdaten), Einwilligungen (Erklärung, Zeitstempel, Identitätsnachweis) und Kommunikationsverläufe, Kommunikationsinhalte
Internet Logfiles (IP-Adresse, Zeitstempel, Betriebssystem, Browser/App) und Tracking Kennungen (Cookie-IDs, Werbe-IDs etc.)
Benutzerkonten (Benutzername, Passwort (als Hash-Wert), Benutzeraktivitäten, Zeitstempel) und Application Logfiles (Nutzungsaktivitäten, Zeitstempel, anwendungsspezifische Daten)
Bild-, Film-, Ton- und Sprachaufzeichnungen, soweit diese in den Systemen bzw. Online-Angeboten des Auftraggebers des Auftraggebers enthalten sind
Protokolldaten

3. Kategorien der betroffenen Personen
Von der Datenverarbeitung betroffene Personengruppen:
Mitarbeiter des Auftraggebers und Mitarbeiter weiterer Dienstleister des Auftraggebers
Kunden und Marketingkontakte des Auftraggebers einschließlich der Besucher von Webseiten und Social-Media-Profile des Auftraggebers sowie Newsletter-Abonnenten

 

Anlage 2 – Unterauftragnehmer

Hetzner Online GmbH, Industriestr. 25 in 91710 Gunzenhausen. Art der Verwendung: Cloud Hosting. Grundlage: DPA mit EU Standardvertragsklauseln gem. Art 44 ff. DSGVO

Atlassian Pty Ltd, Singel 236 1016 AB Amsterdam Niederlande. Art der Verwendung: Projektmanagement- und Organisationssoftware. Grundlage: DPA mit EU Standardvertragsklauseln gem. Art 44 ff. DSGVO

 

Anlage 3

Technische und organisatorische Maßnahmen des Auftragnehmers

Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.

Alle Mitarbeiterinnen und Mitarbeiter sind zur Verschwiegenheit und zur Einhaltung der Maßnahmen zur Informationssicherheit und zum Datenschutz verpflichtet. Alle Mitarbeiterinnen und Mitarbeiter werden in Informationssicherheit und Datenschutz geschult, soweit dies für ihre Datenschutzaufgaben erforderlich ist. Die Schulungen werden in regelmäßigen Abständen wiederholt und aktualisiert.
Die Vergabe von Zugriffsberechtigungen wird regelmäßig überprüft. Verlässt eine Mitarbeiterin oder ein Mitarbeiter den Auftragnehmer, wird ein Offboarding-Prozess zur Beendigung der Zugriffsberechtigungen durchgeführt.
Der Auftragnehmer hat für seine Datenverarbeitungssysteme Berechtigungskonzepte erstellt, die den Zugriff auf die Systeme auf das notwendige Minimum beschränken.

Für Benutzerkonten gelten qualitativ hochwertige Passwortstandards. Soweit möglich werden mehrstufige Authentifizierungssysteme eingesetzt.
Der Zugang zu den Systemen der Verantwortlichen wird durch einen unabhängigen Passwortmanager verwaltet. Passwortmanager verwaltet, um die Zugänge zu den Systemen im Sinne einer effizienten Teamarbeit technisch sicher zu verwalten.
Teamarbeit technisch sicher zu verwalten.
Daten werden getrennt nach Kunden und Aufgaben gespeichert, um ein effektives Berechtigungsmanagement zu ermöglichen.

Dienstleister werden unter besonderer Berücksichtigung von Informationssicherheit und Datenschutz sorgfältig ausgewählt und vertraglich zur Einhaltung entsprechender Standards verpflichtet. Alle Dienstleister, die ihre Leistungen außerhalb des Europäischen Wirtschaftsraums (EWR) erbringen, müssen die Verpflichtungen der EU-Datenschutz-Grundverordnung (DSGVO) erfüllen Garantien für ein angemessenes Datenschutzniveau bei der Datenverarbeitung in sogenannten Drittländern bieten. Dies geschieht regelmäßig durch den Abschluss von EU-Standarddatenschutzklauseln.

——————
Fassung vom 01.07.2024