Allgemeine Geschäftsbedingungen (AGB)

1. Geltungsbereich

(1) Die nachfolgenden Allgemeinen Geschäftsbedingungen (AGB) regeln die Rechte und Pflichten im Zusammenhang mit der Nutzung der digitalen Handwerker-Plattform Craftnote, die von der myCraftnote Digital GmbH, Klaus-Fischer-Straße 1, 72178 Waldachtal, Deutschland (nachfolgend „Craftnote“ oder „Dienstleister“) betrieben wird. Die AGB gelten unabhängig davon, ob der Nutzer die Plattform und die darüber angebotenen Dienste über die zur Verfügung gestellte Web-Applikation oder über die mobile Craftnote-App nutzt.

(2) Das Angebot von Craftnote richtet sich an Handwerker, Freiberufler und andere Unternehmer im Sinne des § 14 BGB (nachfolgend „Nutzer“). Craftnote ist berechtigt, vom Nutzer einen geeigneten Nachweis darüber zu verlangen, dass er bei Nutzung der Plattform in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Der Nutzer kann Lieferanten, Kunden, Mitarbeiter oder sonstige Dritte über die Plattform in seine Projekte einbinden. Solchen Dritten steht nur ein begrenzter Funktionsumfang der Plattform zur Verfügung (z.B. können nicht alle Mitarbeiter neue Projekte anlegen). Handelt es sich bei solchen Dritten um Verbraucher im Sinne des § 13 BGB, ist ihnen ausschließlich die Nutzung der kostenfreien Basic-Version der Plattform gestattet; sie können ihren unentgeltlichen Nutzungsvertrag jederzeit kündigen, indem sie ihren Account auf der Plattform löschen.

(3) Für den Nutzungsvertrag zwischen dem Dienstleister und dem Nutzer gelten ausschließlich diese AGB. Von diesen AGB abweichende Bedingungen des Nutzers werden vom Dienstleister nicht anerkannt. Diese AGB gelten auch dann, wenn der Dienstleister in Kenntnis entgegenstehender oder von diesen AGB abweichender Bedingungen des Nutzers seine Leistungen an ihn vorbehaltlos erbringt.

(4) Für den Download der Craftnote-App von einem Drittanbieter zur Nutzung der Plattform auf mobilen Endgeräten, etwa über den Apple AppStore (für iOS-Endgeräte) oder den Google Play Store (für Android-Endgeräte) gelten neben diesen AGB die entsprechenden Bedingungen des jeweiligen Drittanbieters, insbesondere die Apple bzw. Google App Store Bedingungen. Sofern zwischen dem Nutzer und dem Drittanbieter ein selbständiges Vertragsverhältnis zustande kommt, wird dieses durch diese AGB und den zwischen den Vertragspartnern geschlossenen Nutzungsvertrag nicht berührt.

2. Vertragsschluss, Vertragsmodelle („Versionen“) und Vertragsänderungen

(1) Die Nutzung der Plattform setzt die Registrierung und damit die Akzeptanz dieser AGB und der Datenschutzerklärung durch den Nutzer voraus. Mit der Annahme der AGB bestätigt der Nutzer, diese gelesen und verstanden zu haben und akzeptiert diese als elementaren Vertragsbestandteil. Des Weiteren schließen die Vertragspartner einen Auftragsdatenverarbeitungsvertrag, der Näheres zum Umgang des Dienstleisters mit den durch den Nutzer überlassenen personenbezogenen Daten regelt, insbesondere die Pflicht des Dienstleisters, mit den überlassenen Daten nur nach Weisung des Nutzers umzugehen. Der Auftragsdatenverarbeitungsvertrag bildet als Anhang einen integralen Bestandteil dieser AGB und des Nutzungsvertrages. Wenn der Registrierende nicht selbst der Unternehmensinhaber ist oder als Organ für das Unternehmen des Nutzers handelt (z.B. als Geschäftsführer), bestätigt er mit Abschluss der Registrierung, dass er bevollmächtigt ist, Erklärungen für den Nutzer rechtsverbindlich abzugeben und entgegenzunehmen.

(2) Der Nutzungsvertrag kommt erst mit erfolgreichem Abschluss des Registrierungsvorgangs durch eine ausdrückliche Bestätigung des Dienstleisters gegenüber dem Nutzer in Textform (per E-Mail) zustande. Es besteht kein Anspruch seitens des Nutzers auf den Abschluss eines Nutzungsvertrages. Dem Dienstleister steht es frei, ob er das Angebot des Nutzers annimmt oder ablehnt.

(3) Es stehen drei verschiedene Nutzungsmodelle zur Verfügung: Die Grundfunktionen der Plattform können im Rahmen der kostenfreien Basic-Version genutzt werden. Vergütungspflichtig sind lediglich solche zusätzlichen Funktionen und Erweiterungen der Plattform, die dem Nutzer im Rahmen der Pro-Version und der Premium-Version angeboten und zur Verfügung gestellt werden. Die einzelnen Versionen des Angebots und ihr Funktionsumfang sind gestaffelt aufgebaut, die Pro-Version enthält alle Funktionen der Basic-Version und die Premium-Version enthält alle Funktionen der Pro-Version (inkl. der Basic-Funktionen). Bei den vergütungspflichtigen Erweiterungen innerhalb der Pro- bzw. Premium-Version kann es sich z.B. um zusätzliche Schnittstellen, Formulare oder um erweiterte Supportleistungen handeln.

(4) Der Nutzer kann Zugänge zur Plattform für eigene Mitarbeiter anlegen, die einzelnen Mitarbeiter-Zugänge werden vom Nutzer verwaltet und überwacht. Die Anzahl kostenfreier Accounts für Mitarbeiter kann vom Dienstleister je Nutzer bzw. Unternehmen limitiert oder an das gleichzeitige Bestehen einer bestimmten Anzahl kostenpflichtiger Verträge über die Pro- bzw. Premium-Version geknüpft werden.

(5) Der Dienstleister ist berechtigt, die AGB jederzeit zu ändern, solange durch eine solche Änderung das Verhältnis von Leistung und Gegenleistung nicht wesentlich berührt wird (für Anpassungen der Nutzungsgebühr gilt ausschließlich Ziffer 6 Abs. 4 unten). Neufassungen der AGB werden dem Nutzer per E-Mail unter Hervorhebung der Änderungen mitgeteilt. Sie werden wirksam, wenn der Nutzer der Neufassung nicht innerhalb von vier (4) Wochen ab Zugang der Änderungsmitteilung widerspricht. Auf die Folgen seines Untätigbleibens wird der Nutzer bei Mitteilung der Änderungen ausdrücklich hingewiesen. Widerspricht der Nutzer der Neufassung der AGB innerhalb der oben genannten Frist, setzt sich das Vertragsverhältnis zu den ursprünglichen Bedingungen fort, kann vom Dienstleister aber mit einer Frist von zwei (2) Wochen außerordentlich gekündigt werden.

3. Leistungen des Dienstleisters (Craftnote)

(1) Craftnote ist eine zur zeitlich begrenzten Nutzung bestimmte Online-Plattform. Über diese Plattform stellt der Dienstleister den Nutzern verschiedene Funktionalitäten im Bereich der Projektdokumentation und -kommunikation zur Nutzung über die Web-Applikation und über die mobile Craftnote-App zur Verfügung. Durch die Einbindung von Lieferanten, Kunden, Mitarbeitern und sonstigen Dritten können Informationen zu einem Projekt gebündelt, dokumentiert und den richtigen Beteiligten bereitgestellt werden. Über die zur Verfügung gestellten Kommunikationsfunktionen (z.B. einen Chat) können sich die Projektbeteiligten suchen, finden, vernetzen und austauschen. Für seine geschäftlichen und projektbezogenen Aktivitäten inkl. Dokumentation und Kommunikation, die der Nutzer über die Plattform abwickelt, ist und bleibt er allein verantwortlich; der Dienstleister stellt mit seinem Angebot insoweit nur technische Hilfsmittel zur Verfügung.

(2) Der Dienstleister wird dem Nutzer die Plattform, während der Vertragslaufzeit im Rahmen der vereinbarten Verfügbarkeit (vgl. Abs. 7 unten) betriebsbereit über das Internet zur Nutzung überlassen. Eine lokale Installation von Software auf dem IT-System des Nutzers erfolgt nicht. Der Funktionsumfang der Plattform bzw. Inhalt und Umfang der Dienste ergeben sich im Einzelnen – gestaffelt nach Basic-, Pro- und Premium-Version des Angebots – aus der jeweils gültigen Beschreibung des Angebots auf der Website des Dienstleisters (vgl. unter https://www.craftnote.de/preise) im Zeitpunkt der Registrierung. Updates der Plattform werden allen Nutzern während der Vertragslaufzeit zentral zur Verfügung gestellt; Updates können auch neue oder geänderte Funktionen beinhalten, ohne dass der vertraglich vereinbarte Funktionsumfang hierdurch wesentlich eingeschränkt wird.

(3) Darüber hinaus stellt der Dienstleister dem Nutzer während der Vertragslaufzeit Speicherplatz auf einem virtuellen Datenserver in einem Rechenzentrum zur Speicherung seiner über die Plattform verarbeiteten Daten und Inhalte zur Verfügung (Hosting). Der zur Verfügung gestellte Speicherplatz ist je Nutzer auf eine bestimmte Größe beschränkt, die Größe ist dabei abhängig von der genutzten Version (Basic, Pro, Premium). Der Nutzer kann bei Bedarf jedoch zusätzlichen Speicherplatz kostenpflichtig hinzubuchen. Den Dienstleister treffen hinsichtlich der vom Nutzer übermittelten und verarbeiteten Daten und Inhalte keine über das Hosting hinausgehenden Verwahrungs- oder Obhutspflichten. Für die Beachtung der handels- und steuerrechtlichen Aufbewahrungspflichten und -fristen ist und bleibt der Nutzer selbst verantwortlich.

(4) Der Nutzer kann neben der Plattform und den Funktionen und Diensten, die Bestandteil der von ihm gebuchten Version sind, optional erweiterte Services beauftragen; hierzu gehören z.B. die Unterstützung bei der Ersteinrichtung der Plattform und die Durchführung von Schulungen für Mitarbeiter. Art und Höhe der Vergütung für solche erweiterten Services werden auf der Website des Dienstleisters angezeigt.

(5) Der Dienstleister ist berechtigt, die vertraglich vereinbarten Leistungen ganz oder teilweise durch Dritte als Subunternehmer (Erfüllungsgehilfen) erbringen zu lassen, wobei der Dienstleister gegenüber dem Nutzer stets unmittelbar verpflichtet bleibt. Insbesondere kann der Dienstleister einen Subunternehmer mit dem Hosting der Plattform und der Daten und Inhalte der Nutzer beauftragen.

(6) Anspruch auf die Nutzung der Plattform hat nur der jeweils registrierte Nutzer, eine Überlassung des Accounts an nicht registrierte Dritte oder die sonstige Einräumung von Nutzungsmöglichkeiten durch den Nutzer an nicht autorisierte Dritte ist untersagt. Bei unbefugter Gestattung oder Einräumung der Nutzungsmöglichkeit an nicht autorisierte Dritte ist der Dienstleister insbesondere zu einer außerordentlichen Kündigung des Vertrages mit dem Nutzer berechtigt.

(7) Der Dienstleister gewährleistet eine Verfügbarkeit der Plattform (inklusive des Zugriffs auf die vom Nutzer gespeicherten Daten) am Übergabepunkt von 98 % im Kalenderjahresmittel. Nichtverfügbarkeit ist anzunehmen, wenn die Plattform aufgrund von Umständen, die im Verantwortungsbereich des Dienstleisters liegen, dem Nutzer weder über die Web-Applikation noch über die Craftnote-App zur Verfügung steht. Nichtverfügbarkeit ist insbesondere nicht anzunehmen, wenn die Plattform aufgrund von

nicht erreichbar ist. Der Dienstleister wird geplante Wartungsarbeiten möglichst in lastarmen Zeiten (z.B. abends oder am Wochenende) durchführen und dem Nutzer diese mit einer angemessenen Vorlaufzeit von mindestens 72 Stunden ankündigen; in Eilfällen (z.B. Einspielen eines wichtigen Sicherheitspatches) darf diese Frist unterschritten werden. Insgesamt darf die Dauer geplanter Wartungsarbeiten 12 Stunden im Monat nicht überschreiten.

(8) Der Dienstleister kann den Zugang zur Plattform für einzelne oder alle Nutzer zeitweise beschränken, sofern die Sicherheit des Betriebs, die Aufrechterhaltung der Netz- oder Datenintegrität oder die Vermeidung schwerwiegender Störungen oder drohender Datenverluste dies erfordern. Der Dienstleister wird bei einer solchen Entscheidung auf die berechtigten Interessen der Nutzer angemessen Rücksicht nehmen, die Nutzer über die getroffenen Maßnahmen unverzüglich unterrichten und alles Zumutbare unternehmen, um die Zugangsbeschränkung so schnell wie möglich wieder aufzuheben.

(9) Der Dienstleister passt den Funktionsumfang der Plattform und der einzelnen Versionen regelmäßig nach eigenem Ermessen an die technologische Weiterentwicklung und geänderte Marktbedürfnisse an, um die vereinbarten Einsatzzwecke bestmöglich zu erfüllen. Dies kann Änderungen von Funktionalitäten und Anpassungen an neue Technologien mit sich bringen. Solche Änderungen erfolgen nur, sofern sie für den Nutzer zumutbar sind und die Erreichung des Vertragszwecks dadurch nicht gefährdet wird. Der Dienstleister wird den Nutzer über solche Änderungen vorab über die Plattform informieren.

4. Nutzerpflichten

(1) Der Nutzer hat im Zuge seiner Registrierung vollständige und wahrheitsgemäße Angaben zu machen. Sofern sich die Angaben, die der Nutzer bei seiner Registrierung gemacht hat, nachträglich ändern sollten, ist der Nutzer verpflichtet, diese Angaben innerhalb seines Accounts unverzüglich selbst zu korrigieren. Der Nutzer hat seine Zugangsdaten zur Plattform geheim zu halten und vor dem Zugriff durch unbefugte Dritte geschützt (z.B. durch Speicherung in verschlüsselter Form) zu verwahren. Er wird auch seine Mitarbeiter entsprechend zur Geheimhaltung instruieren.

(2) Für eine störungsfreie Nutzung der über die Plattform zur Verfügung gestellten Funktionen und Dienste (insbesondere für die Aktualisierung des Datenbestandes) wird eine zuverlässige Internetverbindung vorausgesetzt. Es obliegt dem Nutzer, eine ausreichende Internetverbindung herzustellen und aufrecht zu erhalten. Der Nutzer ist auch im Übrigen für die Einhaltung der jeweils aktuellen technischen Systemvoraussetzungen verantwortlich; diese sind auf der Website des Dienstleisters beschrieben sowie in den App Stores dargestellt.

(3) Der Nutzer hat sicherzustellen, dass auf seinem IT-System und seinen Endgeräten handelsübliche und dem Stand der Technik entsprechende Sicherheitsvorkehrungen (wie Anti-Viren-Programm und Firewall) installiert sind und dass diese und die verwendete System- und Anwendungssoftware regelmäßig aktualisiert werden. Er verpflichtet sich, auch im Übrigen alle erforderlichen Vorkehrungen zur regelmäßigen Sicherung seiner IT-Systeme und Daten einzurichten und aufrechtzuerhalten. Vor einem Upload von Daten und Inhalten auf die Plattform wird der Nutzer diese auf Virenfreiheit und Freiheit von sonstiger Schadsoftware prüfen.

(4) Der Nutzer ist verpflichtet, bei der Nutzung der Plattform die geltenden Gesetze, insbesondere zum Urheberrecht, Wettbewerbsrecht, Datenschutzrecht, Strafrecht, etc. einzuhalten und keine rechtswidrigen, gegen geltende Gesetze verstoßenden oder Rechte Dritter verletzenden Daten oder Inhalte auf der Plattform abzulegen oder über die Kommunikationsfunktionen der Plattform zu verbreiten.

(5) Der Nutzer verpflichtet sich, jedwede Tätigkeit zu unterlassen, die geeignet ist, den Betrieb der Plattform oder der dahinterstehenden technischen Infrastruktur zu beeinträchtigen und/oder übermäßig zu belasten. Insbesondere wird er sich an die Begrenzung des zur Verfügung stehenden bzw. von ihm hinzugebuchten Speicherplatzes halten.

(6) Der Nutzer räumt dem Dienstleister an den von ihm auf der Plattform hochgeladenen Daten und geschützten Inhalten (wie z.B. Formularen, Zeichnungen, Datenbanken, Bilder, Kennzeichen, Logos etc.) im Zeitpunkt des Uploads ein unentgeltliches, unterlizenzierbares, nicht ausschließliches, grundsätzlich auf die Dauer des Nutzungsvertrages begrenztes und räumlich unbeschränktes Nutzungsrecht ein. Soweit Daten und Inhalte von einem Nutzer für ein Projekt hochgeladen werden, das nicht vom Nutzer selbst angelegt wurde, räumt der Nutzer dem Dienstleister die vorgenannten Rechte für die Dauer des Nutzungsvertrages mit dem Inhaber des Projekts ein. Das Nutzungsrecht ist inhaltlich beschränkt auf eine Verwendung (insbesondere die Vervielfältigung durch Speicherung und die Zugänglichmachung über die Plattform) der Daten und Inhalte zu Zwecken der Erfüllung der betroffenen Nutzungsverträge, insbesondere des Nutzungsvertrages zwischen dem Dienstleister und dem Nutzer, der das entsprechende Projekt angelegt hat. Hierzu gehört auch das Recht, vom Nutzer hochgeladene Inhalte (z.B. Berichte, Formulare oder Bilder) automatisiert elektronisch auszuwerten und zu verschlagworten (z.B. um sie später schneller auffinden oder durchsuchen zu können); eine automatisierte elektronische Auswertung ausgewählter Daten und Inhalte – in anonymisierter Form – behält sich der Dienstleister auch über die Dauer des Nutzungsvertrages hinaus vor. Der Nutzer sichert zu, dass er über die hierfür notwendigen Rechte an den von ihm hochgeladenen Daten und Inhalten verfügt und die Nutzung der Daten und Inhalte durch den Dienstleister keine Rechte Dritter verletzt.

(7) Bei einem Verstoß des Nutzers gegen gesetzliche Vorschriften oder seine vertraglichen, insbesondere in dieser Ziffer 4 geregelten Pflichten sowie bei dem begründeten Verdacht einer rechtswidrigen oder missbräuchlichen Nutzung der Plattform, ist der Dienstleister berechtigt, den Zugang des Nutzers zur Plattform vorübergehend zu sperren. Bei der Entscheidung über die Sperrung wird der Dienstleister die berechtigten Interessen des Nutzers angemessen berücksichtigen. Der Dienstleister wird den Nutzer über die Sperre möglichst vor, spätestens jedoch unverzüglich nach der Sperrung unter Angabe der hierfür maßgeblichen Gründe, soweit dies rechtlich zulässig ist, per E-Mail unterrichten. Der Nutzer wird den Dienstleister von allen Schäden, Kosten und sonstigen Ansprüchen Dritter, die auf einer rechtswidrigen Nutzung der Plattform durch den Nutzer beruhen, freistellen; dies gilt nicht, sofern den Nutzer kein Verschulden trifft. Weitergehende Rechte des Dienstleisters bleiben unberührt.

5. Vertragslaufzeit

(1) Der unentgeltliche Nutzungsvertrag über die Basic-Version kommt mit Bestätigung der Registrierung durch den Dienstleister zustande und läuft auf unbestimmte Zeit. Der Vertrag über die Basic-Version kann vom Nutzer jederzeit, ohne Frist und ohne Grund gekündigt werden, insbesondere indem er seinen Account auf der Plattform löscht. Der Dienstleister kann den Vertrag über die Basic-Version mit einer Frist von einem (1) Monat zum (Kalender-)Quartalsende ordentlich kündigen.

(2) Vor Abschluss eines Vertrages über die Nutzung der Pro- oder der Premium-Version hat der Nutzer die Möglichkeit, die kostenpflichtige Version während einer Testphase unentgeltlich zu nutzen. Eine Kündigung der Testphase ist nicht erforderlich, insbesondere wandelt sich eine unentgeltliche Testphase nicht automatisch in einen kostenpflichtigen Vertrag um. Der Abschluss eines vergütungspflichtigen Vertrages liegt im freien Ermessen des Nutzers und bedarf seiner ausdrücklichen Zustimmung. Sofern der Nutzer diese Zustimmung bis zum Ende der Testphase nicht erteilt hat, fällt er automatisch zurück auf die kostenfreie Basic-Version.

(3) Der Vertrag über die Nutzung einer kostenpflichtigen Version der Plattform kommt erst mit Bestätigung des Vertragsabschlusses durch den Dienstleister zustande. Er läuft für die vereinbarte Vertragsdauer (ein Vertragsmonat oder ein Vertragsjahr). Der Vertrag über die Pro- oder Premium-Version verlängert sich jeweils automatisch um die bei Abschluss vereinbarte Vertragsdauer (Monat oder Jahr), sofern der Vertrag nicht zum Vertragsende unter Einhaltung einer Kündigungsfrist von einem (1) Monat (bei monatlicher Laufzeit) oder von drei (3) Monaten (bei jährlicher Laufzeit) von einem der Vertragspartner gekündigt wird.

(4) Das Recht beider Vertragspartner zu einer außerordentlichen Kündigung des Nutzungsvertrages aus wichtigem Grund bleibt von den vorstehenden Bestimmungen unberührt. Ein wichtiger Grund liegt für den Dienstleister insbesondere dann vor, wenn sich der Nutzer mit der Nutzungsgebühr für einen entgeltlichen Vertrag länger als zwei (2) Monate in Verzug befindet oder wenn er in sonstiger Weise gegen wesentliche Vertragspflichten verstößt und diesen Verstoß auch nach entsprechender Aufforderung durch den Dienstleister nicht innerhalb von einer (1) Woche einstellt. Kündigt der Dienstleister den Nutzungsvertrag wegen eines wichtigen Grundes aus dem Verantwortungsbereich des Nutzers, werden dem Nutzer vorausbezahlte Nutzungsgebühren nicht erstattet.

(5) Der Dienstleister kann den Nutzungsvertrag auch dann mit einer Frist von einem (1) Monat zum (Kalender-)Quartalsende außerordentlich kündigen, wenn er sich entschließt, das Craftnote-Angebot und die Plattform als Ganzes und endgültig einzustellen. Vorausgezahlte Nutzungsgebühren werden dem Nutzer in diesem Fall anteilig erstattet.

(6) Jede Kündigung kann schriftlich, per E-Mail an info@craftnote.de bzw. an die vom Nutzer bei seiner Registrierung angegebene E-Mail-Adresse oder innerhalb des Accounts Direkt auf der Plattform erklärt werden.

(7) Bis zur Beendigung des Nutzungsvertrages hat der Nutzer die Möglichkeit, die von ihm auf der zur Verfügung gestellten Hardware gespeicherten Daten und Inhalte per Download in einem maschinenlesbaren Format abzurufen und zu exportieren. Der Dienstleister ist – vorbehaltlich einer entsprechenden Gestattung in diesen AGB – weder berechtigt noch verpflichtet, die Daten und Inhalte des Nutzers über den genannten Zeitraum hinaus zu speichern, zu archivieren und/ oder für den Zugriff durch den Nutzer vorzuhalten. Spätestens nach Ablauf von 30 Tagen nach Beendigung des Nutzungsvertrages durch Löschung des Accounts können die Daten und Inhalte auch aus dem Backup-System des Dienstleisters nicht wiederhergestellt werden.

6. Preise und Zahlungsbedingungen

(1) Die Nutzung der Plattform im Rahmen der Basic-Version ist für den Nutzer kostenfrei.

(2) Die Höhe der vom Nutzer zu zahlenden Nutzungsgebühr für die Nutzung der Pro-Version oder der Premium-Version der Plattform sowie die Preise für die kostenpflichtigen erweiterten Services ergeben sich aus dem im Zeitpunkt des Abschlusses des entsprechenden Vertrages aktuellen Preisverzeichnis des Dienstleisters, das hier abgerufen werden kann: https://www.craftnote.de/preise. Die Höhe der Nutzungsgebühr wird dem Nutzer außerdem im Zeitpunkt der kostenpflichtigen Buchung angezeigt. Während der Laufzeit der initialen Testphase besteht keine Vergütungspflicht für die Pro- und die Premium-Version. Die Vergütungspflicht beginnt erst mit Abschluss des kostenpflichtigen Vertrages nach Ende der Testphase.

(3) Alle Preise verstehen sich zuzüglich der jeweils geltenden gesetzlichen Mehrwertsteuer. Die Zahlung für einen kostenpflichtigen Nutzungsvertrag erfolgt je nach vereinbarter Laufzeit des Vertrages entweder monatlich (bei monatlicher Laufzeit) oder jährlich (bei jährlicher Laufzeit) jeweils im Voraus zu Beginn der Vertragsperiode, und zwar entweder per Kreditkarte, (SEPA-)Lastschrift oder über weitere auf der Plattform ggf. zusätzlich angebotene Zahlungsmethoden.

(4) Der Dienstleister ist berechtigt, die vereinbarte Nutzungsgebühr mit Wirkung für die Zukunft entsprechend der seit der letzten Erhöhung eingetretenen Kostensteigerungen (z.B. der Rechenzentrumskosten) angemessen zu erhöhen, um seine belegbaren Mehrkosten abzudecken. Eine solche Preiserhöhung wird der Dienstleister dem Nutzer per E-Mail oder über die Plattform mit angemessener Vorlaufzeit ankündigen. Übersteigt die neue Nutzungsgebühr die bisherige Nutzungsgebühr um mehr als 10%, kann der Nutzer den Vertrag innerhalb einer Frist von zwei (2) Wochen ab Mitteilung der Preiserhöhung außerordentlich kündigen. Macht der Nutzer von seinem Kündigungsrecht keinen Gebrauch, setzt sich der Vertrag fort; die neue Nutzungsgebühr gilt dann ab Beginn der nächsten Vertragsperiode (Monat oder Jahr). Auf diese Wirkung wird der Dienstleister den Nutzer bei Mitteilung der Preiserhöhung hinweisen. Macht der Nutzer von seinem Kündigungsrecht Gebrauch, werden ihm vorausbezahlte Nutzungsgebühren anteilig erstattet.

7. Nutzungsrechte

(1) Die Eigentums-, Urheber- und sonstigen Schutzrechte an der zugrunde liegenden Software, der Craftnote-App und den durch den Dienstleister über die Plattform generierten oder dort zur Verfügung gestellten Daten, Inhalten (z.B. Formularen) und Datenbanken verbleiben im Verhältnis zum Nutzer ausschließlich beim Dienstleister bzw. seinen Lizenzgebern.

(2) Der Dienstleister räumt dem Nutzer für die Dauer des Nutzungsvertrages ein einfaches, räumlich unbeschränktes, nicht übertragbares Recht ein, die vom Dienstleister zur Erbringung seiner Dienste bereitgestellte Plattform über die Web-Applikation und die Craftnote-App bestimmungsgemäß nach Maßgabe dieser AGB für seine eigenen geschäftlichen Zwecke zu nutzen. Die bestimmungsgemäße Nutzung der Plattform ergibt sich im Übrigen aus der Beschreibung auf der Craftnote-Website; sie kann für unterschiedliche Arten von Nutzern (Rollen) und unterschiedliche Versionen der Plattform (Basic, Pro, Premium) unterschiedliche Reichweiten aufweisen bzw. Funktionen und Dienste beinhalten.

(3) Alle darüber hinausgehenden Rechte, insbesondere das Recht zur Vervielfältigung, zur Verbreitung (in jeder Form) einschließlich der Vermietung, zur Bearbeitung, zur öffentlichen Zugänglichmachung (im Intranet oder Internet) sowie zur Nutzung der Plattform für oder durch Dritte verbleiben beim Dienstleister bzw. seinen Lizenzgebern.

8. Datenschutz

(1) Der Dienstleister wird die personenbezogenen Daten des Nutzers zu Zwecken der Vertragserfüllung verarbeiten und nutzen. Eine Auswertung der Daten zur Analyse des Nutzerverhaltens und zur Verbesserung der Plattform und der über die Plattform angebotenen Dienste erfolgt ausschließlich nach Anonymisierung oder Aggregierung der Daten, die den Personenbezug entfallen lässt. Eine Weitergabe von personenbezogenen Daten des Nutzers an Dritte erfolgt ausschließlich zu Zwecken der Vertragserfüllung, sofern eine andere gesetzliche Legitimationsgrundlage die Weitergabe gestattet oder wenn der Nutzer zuvor seine Einwilligung erteilt hat.

(2) Übermittelt und verarbeitet der Nutzer im Rahmen seiner Nutzung der Plattform personenbezogene Daten Dritter (z.B. seiner Mitarbeiter, Lieferanten, Kunden, etc.), ist er insoweit Verantwortlicher im Sinne des Datenschutzrechts. Der Nutzer stellt sicher, dass die für die Übermittlung an und Verarbeitung durch den Dienstleister einschlägigen gesetzlichen Anforderungen erfüllt sind. Der Nutzer bestätigt, dass er autorisiert ist, den Dienstleister mit der Verarbeitung solcher personenbezogenen Daten zu beauftragen und dem Dienstleister diese Daten zu diesem Zweck zu überlassen. Er wird betroffene Personen, z.B. seine Mitarbeiter, Lieferanten, Kunden, etc., im gesetzlich notwendigen Rahmen über die Weitergabe und Verarbeitung ihrer Daten im Rahmen des Dienstes unterrichten.

(3) Da der Dienstleister personenbezogene Daten im Auftrag des Nutzers verarbeitet, schließen die Vertragspartner hierfür im Rahmen der Registrierung des Nutzers die einen integralen Bestandteil dieser AGB und des Nutzungsvertrages bildende Vereinbarung zur Auftragsverarbeitung (vgl. Anhang).

9. Mängelhaftung

(1) Der Dienstleister übernimmt die Gewähr dafür, dass die über die Plattform erbrachten Dienste der Beschreibung auf der Website entsprechen und frei von Schutzrechten Dritter sind, die den vertragsgemäßen Gebrauch der Plattform durch den Nutzer verhindern oder einschränken. Keinen Mangel stellen insbesondere solche Beeinträchtigungen der Plattform oder Dienste dar, die aus der Hardware- oder Softwareumgebung des Nutzers, fehlerhaften Daten, unsachgemäßer Benutzung oder aus sonstigen aus dem Verantwortungsbereich des Nutzers stammenden Umständen resultieren.

(2) Sollte ein (Sach- oder Rechts-)Mangel auftreten, wird der Nutzer den Dienstleister hierüber unterrichten. Mängel werden vom Dienstleister während der Laufzeit des Nutzungsvertrages innerhalb angemessener Frist (z.B. im Rahmen des nächsten Updates) behoben. Schlägt die Mängelbeseitigung endgültig fehl und stellt dies für den Nutzer einen wichtigen Grund dar, so ist er berechtigt, den Nutzungsvertrag ohne Einhaltung einer Kündigungsfrist außerordentlich zu kündigen. Weitergehende Ansprüche des Nutzers bleiben unberührt. Schadensersatz leistet der Dienstleister nur in den Grenzen der Ziffer 10 unten.

(3) Falls Dritte bezogen auf die vom Dienstleister zur Verfügung gestellten Dienste Ansprüche aus der Verletzung ihrer Schutzrechte gegen den Nutzer geltend machen, wird der Nutzer den Dienstleister hierüber unverzüglich unterrichten. Der Dienstleister ist berechtigt, die Auseinandersetzung mit dem Dritten gerichtlich und außergerichtlich allein zu führen. Macht der Dienstleister von dieser Berechtigung Gebrauch, was in seinem Ermessen liegt, wird der Nutzer den Dienstleister in angemessenem Umfang bei der Verteidigung gegen die Ansprüche des Dritten unterstützen. Der Nutzer wird von sich aus die Ansprüche des Dritten nicht anerkennen. Im Übrigen gilt Absatz 2 oben für Rechtsmängel entsprechend.

10. Haftung

(1) Leistungsstörungen aufgrund höherer Gewalt oder außerhalb seines Verantwortungsbereichs, insbesondere der Ausfall oder die Überlastung von Kommunikationsnetzen oder das Scheitern eines Uploads aufgrund unzureichender Internetverbindung des Nutzers, hat der Dienstleister nicht zu vertreten. Aus diesem Grund kann der Nutzer diesbezüglich auch keinen Schadensersatz verlangen.

(2) Der Dienstleister haftet nicht für die Richtigkeit, Vollständigkeit und Aktualität der über seine Plattform bereitgestellten und veröffentlichten Daten und Inhalte (z.B. die vom Dienstleister bereitgestellten Formulare). Für die Richtigkeit, Vollständigkeit und Aktualität der durch die Nutzer hochgeladenen Daten und Inhalte sind allein die Nutzer selbst verantwortlich. Der Dienstleister macht sich solche fremden Daten und Inhalte der Nutzer auch nicht zu Eigen. Der Dienstleister wird ferner die Authentizität der vom Nutzer hochgeladenen Daten und Inhalte nicht prüfen und übernimmt hierfür auch keine Gewähr (auch wenn er als Teil der Plattform z.B. Signaturfunktionen für bestimmte Dokumente anbietet).

(3) Für bereits bei Vertragsschluss vorhandene Mängel an mietweise überlassenen Gegenständen, haftet der Dienstleister abweichend von der gesetzlichen Regelung des § 536a BGB nur, wenn er solche Mängel zu vertreten hat.

(4) Erbringt der Dienstleister gegenüber dem Nutzer Leistungen, ohne dass hierfür eine Vergütung anfällt, z.B. die Gestattung der Nutzung der Plattform im Rahmen der Basic-Version, die Nutzung von Pro- oder Premium-Version während der unentgeltlichen Testphase, haftet der Dienstleister insoweit nur für vorsätzliche und grob fahrlässige Pflichtverletzungen.

(5) Im Übrigen leistet der Dienstleister Schadensersatz oder Ersatz vergeblicher Aufwendungen, gleich aus welchem Rechtsgrund, nur in folgendem Umfang:

(6) Bei einem verschuldeten Datenverlust haftet der Dienstleister nur für den Schaden, der auch bei regelmäßiger und ordnungsgemäßer elektronischer Datensicherung durch den Nutzer entstanden wäre, es sei denn der Dienstleister hat den Datenverlust vorsätzlich oder grob fahrlässig verursacht. Gehen Daten oder Inhalte bereits im Zuge des Uploads bzw. auf dem Weg zum Dienstleister verloren, übernimmt der Dienstleister hierfür keine Verantwortung.

(7) Die gesetzliche Haftung für Personenschäden nach dem Produkthaftungsgesetz sowie aufgrund sonstiger zwingender gesetzlicher Vorschriften bleibt von den vorstehenden Regelungen unberührt.

11. Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland, wobei die Geltung der Bestimmungen des UN-Kaufrechts ausgeschlossen wird. Die Geltung ggf. anwendbarer zwingender Verbraucherschutzvorschriften anderer Rechtsordnungen wird hierdurch nicht berührt.

(2) Ist der Nutzer Kaufmann, Unternehmer im Sinne von § 14 BGB, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, so ist Stuttgart ausschließlicher Gerichtsstand für alle Streitigkeiten aus dem Vertragsverhältnis.

(3) Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt.

(4) Eine Abtretung oder Übertragung von vertraglichen Rechten und Pflichten durch den Nutzer an Dritte bedarf der vorherigen schriftlichen Zustimmung des Dienstleisters. Eine Abtretung oder Übertragung von vertraglichen Rechten und Pflichten durch den Dienstleister an Dritte, insbesondere an verbundene Unternehmen im Sinne der §§ 15 ff. AktG, ist auch ohne Zustimmung des Nutzers möglich.

Version 4.0

Datum: 01.01.2021

Anhang: Auftragsverarbeitungsvereinbarung

Die folgenden Standardvertragsklauseln zur Auftragsverarbeitung gelten für die Nutzer der Plattform („Verantwortliche“), jedoch nicht unmittelbar für Lieferanten, Kunden, Mitarbeiter oder sonstige Dritte, die der Nutzer über die Plattform in seine Projekte einbindet.

Im Falle von Widersprüchen zwischen den folgenden Standardvertragsklauseln und sonstigen Klauseln der AGB haben die Standardvertragsklauseln Vorrang.

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich
  1. Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU)2016/679 des Europäischen Parlaments und des Rates vom 27.April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG sichergestellt werden.
  2. Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
  3. Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
  4. Die Anhänge I bis IV sind Bestandteil der Klauseln.
  5. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
  6. Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2

Unabänderbarkeit der Klauseln
  1. Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
  2. Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung
  1. Werden in diesen Klauseln die in der Verordnung (EU)2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
  2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU)2016/679 oder der Verordnung (EU)2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5

Koppelungsklausel
  1. Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
  2. Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.
  3. Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.1 Weisungen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
  2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

  1. Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
  2. Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6 Dokumentation und Einhaltung der Klauseln

  1. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
  2. Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU)2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
  4. Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
  5. Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

  1. Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 14 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
  2. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
  4. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
  5. Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche– im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist– das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8 Internationale Datenübermittlungen

  1. Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.
  2. Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8

Unterstützung des Verantwortlichen
  1. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
  2. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a) und b) befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
  3. Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b) zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
    1. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
    2. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
    3. Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
    4. Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
  4. Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

  1. bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
  2. bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
    1. die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

  1. bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

  1. eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
  2. Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
  3. die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

ABSCHNITT III – SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

  1. Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche– unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
  2. Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
  1. der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
  2. der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
  3. der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.
  1. Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b) verstoßen.
  2. Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

ANHANG I – LISTE DER PARTEIEN

Verantwortliche(r): Nutzer

Auftragsverarbeiter: myCraftnote Digital GmbH, Klaus-Fischer-Str. 1, 72178 Waldachtal vertreten durch den Geschäftsführer Dr. Kapil Kohli (im Folgenden auch „Craftnote“ oder „Dienstleister“)

Datenschutzbeauftragter des Auftragsverarbeiters: Dr. Oliver Meyer-van Raay, c/o V-Formation GmbH, om@v-formation.gmbh


ANHANG II – BESCHREIBUNG DER VERARBEITUNG

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden 

Zu den betroffenen Personen der Verarbeitung im Auftrag gehören der Verantwortliche (und seine Mitarbeiter) sowie Ansprechpartner von Kunden, Lieferanten und Interessenten des Verantwortlichen, deren Beschäftigte sowie sonstige Ansprechpartner, deren Daten der Verantwortliche über die Plattform verarbeitet.

Kategorien personenbezogener Daten, die verarbeitet werden

  1. Personenstammdaten (Name, Position),
  2. Kommunikationsdaten (z.B. Telefon und E-Mail-Adressen),
  3. Vertragsstammdaten (Vertragsbeziehungen),
  4. Kundenhistorie
  5. Inhalte der Chat-Kommunikation

Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen

.............................

Art der Verarbeitung

Craftnote stellt seinen Nutzern die Smartphone und Web-Applikation myCraftnote zur Verfügung. Über die Applikation können Nutzer Daten strukturiert erfassen, verarbeiten und dokumentieren. Die Daten der Nutzer werden im Rahmen der Nutzung von myCraftnote durch den Craftnote in einer Datenbank gehostet.

Eine zielgerichtete Verarbeitung der von den Nutzern eingestellten personenbezogenen Daten durch Craftnote ist nicht vorgesehen. Dennoch kann nicht vollständig ausgeschlossen werden, dass Craftnote im Rahmen von Wartungsarbeiten vereinzelt die Möglichkeit des Datenzugriffs hat und dadurch Kenntnis von personenbezogenen Daten bekommen kann.

.............................

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

Der Auftrag umfasst im Einzelnen:

.............................

Dauer der Verarbeitung: entspricht der Laufzeit des Nutzungsvertrages

Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: Vgl. insoweit Anhang IV


ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

  1. Der Auftragsverarbeiter ist verpflichtet, die Grundsätze ordnungsgemäßer Datenverarbeitung zu beachten und ihre Einhaltung zu überwachen. Er gewährleistet, dass er die Regelungen der Art. 25 und Art. 32 DSGVO einhält und beachtet.

  1. Hierzu wird der Auftragsverarbeiter insbesondere
  1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherstellen,
  2. die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu Ihnen bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen.

  1. Zur Gewährleistung des Datenschutzes setzt der Auftragsverarbeiter die folgenden technischen und organisatorischen Maßnahmen um:

  1. Zutrittskontrolle: Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu 
    Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:
  1. Ausgewählte Mitarbeiter besitzen einen Schlüssel zum Gebäude und Büroräumen. Die Vergabe der Schlüssel ist dokumentiert.
  2. In den Geschäftszeiten können Personen nur in den Empfangsbereich gelangen. Alle anderen Räume sind abgeschlossen.

  1. Zugangskontrolle: Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
  1. Der Benutzer und Administratorzugriff auf das System basiert auf einem Zugriffsberechtigungsmodell mit verschiedenen Rollen. Jeder Nutzer erhält persönliche Zugangsdaten, um sicherzustellen, dass alle Systemkomponenten nur von berechtigten Benutzern und Administratoren genutzt werden können.
  2. Einsatz von aktueller Anti-Virussoftware auf den Geräten von myCraftnote
  3. Schlüsselausgabedokumentation
  4. Einsatz einer Firewall

  1. Zugriffskontrolle: Zur Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
  1. Benutzerrechteverwaltung durch einen Administrator
  2. Es gilt das Prinzip der Minimalberechtigung. Jeder Benutzer erhält nur die Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen.

  1. Weitergabekontrolle und Pseudonymisierung: Maßnahmen zur Gewährleistung, dass personenbezogene Daten bei der elektronischen Übermittlung oder ihrer Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  1. Die Datenübertragung erfolgt über die verschlüsselten https-Verbindungen.
  2. Jeder Nutzer erhält eine anonymisierte ID.
  3. Die Speicherung personenbezogener Daten auf externen Speichermedien wie z. B. USB-Sticks ist Mitarbeitern untersagt.
  4. Regelmäßige Sensibilisierung und Schulung von Mitarbeitern in Datenschutzfragen.
  5. Mitarbeiter sind zur Gewährleistung der Datensicherheit bei Arbeit am Heimarbeitsplatz verpflichtet (Home-Office-Vereinbarung).

  1. Eingabekontrolle: Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob, zu welcher Zeit und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  1. Protokollierung der Löschung von Daten in Logfiles des Systems. Die Überwachung der Logfiles wird durch die Administratoren durchgeführt.
  2. Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten.

  1. Auftragskontrolle: Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
  1. Auswahl der Auftragnehmer unter Sorgfaltsgesichtspunkten.
  2. Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags.
  3. Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten.

  1. Verfügbarkeitskontrolle und Wiederherstellbarkeit: Maßnahmen, die dazu geeignet sind, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  1. Es werden täglich automatische Sicherungskopien und Backups aller Kundendaten erstellt.
  2. Sicherungskopien werden in einem separaten Rechenzentrum  gespeichert.

  1. Trennungsgebot: Maßnahmen, die dazu geeignet sind, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
  1. Trennung von Produktiv- und Entwicklungssystem.
  2. Logische Trennung der Kundendaten (softwarebasiert) nach Auftraggebern und nach deren Kunden.
  3. Zugriff auf Daten der Auftraggeber ist nur erlaubt, wenn dies erforderlich ist zur Beseitigung von Störungen oder Fehlern. Der Zugriff erfolgt nur durch die Administratoren des Systems.
  1. Datenträgerkontrolle: Maßnahmen zur Verhinderung des unbefugten Lesens, Kopierens und Veränderns von Datenträgern.
  1. Physischer Zugriff auf Datenträger ist nicht möglich, da diese sich ausschließlich in externen Rechenzentren befinden.
  2. Es werden in Bezug auf die Verarbeitung personenbezogener Daten keine externen Datenträger im Unternehmen zugelassen.

  1. Speicherkontrolle: Maßnahmen zur Verhinderung unbefugter Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.
  1. Personenbezogene Daten befinden sich auf gesicherten Servern.
  2. Der Zugriff ist nur für die Systemadministratoren möglich.

  1. Zuverlässigkeit: Maßnahmen zur Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
  1. Siehe hierzu die Security Measures unseres Subauftragnehmers Google, auf dessen Servern wir die Daten hosten (https://cloud.google.com/terms/data-processing-terms#appendix-2-security-measures).

  1. Datenintegrität: Maßnahmen zur Gewährleistung, dass gespeicherte personenbezogenen Daten nicht durch Fehlfunktionen des Systems beschädigt werden.
  1. Siehe hierzu die Security Measures unseres Subauftragnehmers Google, auf dessen Servern wir die Daten hosten (https://cloud.google.com/terms/data-processing-terms#appendix-2-security-measures).

  1. Der Auftraggeber kann Maßnahmen zur Qualitätssicherung oder Missbrauchserkennung durchführen und dabei auch Einsichtnahme in damit verbundene Daten der zugreifenden Mitarbeiter des Auftragsverarbeiters (z.B. individuelle Kennungen, Namen) erhalten. Der Auftragsverarbeiter stellt dies durch interne Maßnahmen, zu denen auch die Beteiligung der Mitarbeitervertretung gehören kann, sicher.

Ergänzend gelten die technischen und organisatorischen Sicherheitsmaßnahmen der eingesetzten Unterauftragsverarbeiter, insbesondere der Google Ireland Limited, die hier abgerufen werden können: https://cloud.google.com/terms/data-processing-terms


ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER

Die jeweils aktuelle Liste der vom Verantwortlichen gem. Ziff. 7.7 lit. a) genehmigten Unterauftragsverarbeiter ist hier abrufbar: https://www.craftnote.de/legal/subprocessors.html.

Soweit mit der Unterauftragsvergabe und der Verarbeitung von Daten durch einen der aufgelisteten Unterauftragsverarbeiter eine Übermittlung von Daten durch den Auftragsverarbeiter in ein Drittland einhergeht, erteilt der Verantwortliche hiermit die notwendige Weisung bezogen auf den entsprechenden Übermittlungsvorgang und die Verarbeitung der Daten durch den Unterauftragsverarbeiter.

Zur Änderung der Liste der Unterauftragsverarbeiter gelten die Anforderungen der Ziff. 7.7 lit. a).