Allgemeine Geschäftsbedingungen.
1. Vertragsgegenstand
1.1 Der Anbieter betreibt eine dezentrale Kommunikationssoftware für medizinische Zusammenarbeit (nachfolgend: „Softwaredienst“). Mit Hilfe des Softwaredienstes können Unternehmen aus dem Bereich des Gesundheitswesen ihren Mitarbeitern eine digitale Lösung für die Kommunikation sowie zum Austausch von Dokumenten zur Verfügung stellen. Hierzu wird eine Webapplikation auf einem dem jeweiligen Unternehmen zugeordneten Server installiert. Nutzer können dann über den Browser oder eine für verschiedene Betriebssysteme verfügbare Mobile App auf verschiedene Funktionen des Softwaredienstes zugreifen. Der Softwaredienst kann sowohl für die interne Kommunikation innerhalb eines Unternehmens als auch für die externe Kommunikation mit anderen Unternehmen und deren Mitarbeitern verwendet werden.
1.2 Der Anbieter stellt dem Kunden den Softwaredienst nach Maßgabe der nachfolgenden Bestimmungen zur Verfügung.
1.3 Entgegenstehende, von diesen Vertragsbedingungen abweichende oder ergänzende Bedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, der Anbieter hat ihrer Geltung ausdrücklich schriftlich zugestimmt. Die Zustimmung wird nicht bereits dadurch erteilt, dass der Anbieter in Kenntnis der Allgemeinen Geschäftsbedingungen des Kunden Aufträge entgegennimmt, Leistungen erbringt oder sich direkt oder indirekt auf Dokumente oder Nachrichten bezieht, welche die Allgemeinen Geschäftsbedingungen des Kunden oder Dritter enthalten oder auf diese verweisen.
2. Softwaredienst
2.1 Für die Nutzung des Softwaredienstes ist die Installation der vom Anbieter bereitgestellten Serversoftware und Webapplikation auf einem dem Kunden zugeordneten Server erforderlich.
2.2 Im Rahmen des Softwaredienstes stellt der Anbieter dem Kunden, insbesondere folgende Funktionen zur Verfügung:
2.2.1 Eine Chat-Lösung, mit der die Mitarbeiter des Kunden Textnachrichten, Bilder, Dokumente und Sprachnachrichten austauschen können.
2.3 Der Softwaredienst ist unter https://www.famedly.com/leistungsverzeichnis näher beschrieben.
3. Beschaffenheit
3.1 Die vom Anbieter zu erbringenden Leistungen entsprechen der gemäß Ziff. 2 dieses Vertrages vereinbarten Beschaffenheit. Die Beschreibung des Softwaredienstes in Ziff. 2 und die Beschreibung des Softwaredienstes unter https://www.famedly.com/leistungsverzeichnis in der jeweils bei Vertragsschluss aktuellsten Version ist abschließend, sofern die Parteien nicht ausdrücklich weitere Leistungsmerkmale vereinbaren.
3.2 Darstellungen des Softwaredienstes in öffentlichen Äußerungen (insbesondere Werbung) oder Äußerungen von Mitarbeitern des Anbieters stellen keine Angaben zur Beschaffenheit dar, es sei denn, die Geschäftsleitung des Anbieters hat dies ausdrücklich schriftlich bestätigt. Gleiches gilt für alle Garantien, die die Mitarbeiter des Anbieters vor Vertragsabschluss abgegeben haben.
3.3 Die Funktionen des Softwaredienstes können verbessert, erweitert, ersetzt und vom Anbieter an den technischen Fortschritt angepasst werden (nachfolgend: „fortlaufende Änderungen“). Sofern eine fortlaufende Änderung berechtigte Interessen des Kunden in erheblichem Maße beeinträchtigt (nachfolgend: „erhebliche Änderung“), ist der Kunde nach Maßgabe der nachfolgenden Bestimmungen zur Kündigung berechtigt:
- Hat der Anbieter den Kunden mindestens einen Monat und maximal drei Monate vor Umsetzung der geplanten fortlaufenden Änderung per Email über diese sowie den geplanten Zeitpunkt ihrer Umsetzung informiert und dabei auf das Kündigungsrecht nach vorliegender Bestimmung hingewiesen, so kann der Kunde innerhalb von einem Monat nach Erhalt der Mitteilung die Kündigung mit Wirkung zu dem in der Email genannten Zeitpunkt der Umsetzung erklären.
- Ist eine Information über eine erhebliche Änderung entsprechend der vorstehenden Bestimmung unterblieben, so kann der Kunde die Kündigung innerhalb von einem Monat nach Umsetzung der fortlaufenden Änderung mit sofortiger Wirkung erklären.
3.4 Der Anbieter stellt den Softwaredienst mit der in der Anlage 1 (Service-Level Agreement) genannten Verfügbarkeit zur Verfügung.
4. Nutzungsrechte des Kunden
4.1 Der Anbieter räumt dem Kunden während der Laufzeit vorbehaltlich der folgenden Bestimmungen das einfache nicht-übertragbare Recht zur Nutzung des Softwaredienstes ein. Die Einräumung des Nutzungsrechts erfolgt unter der aufschiebenden Bedingung, dass der Kunde das vereinbarte Nutzungsentgelt an den Anbieter gezahlt hat.
4.2 Der Kunde kann Mitarbeitern im vertraglich vereinbarten Umfang Zugriffsberechtigungen für den Softwaredienst erteilen (nachfolgend: „autorisierte Nutzer“).
4.3 Mit Registrierung eines autorisierten Nutzers für den Softwaredienst wird ein Nutzungsvertrag zwischen dem Anbieter und dem autorisierten Nutzer geschlossen. Für den Nutzungsvertrag gelten die unter https://www.famedly.com/nutzungsbedingungen abrufbaren Nutzungsbedingungen in der jeweils aktuellsten Fassung. Die Zugangsdaten für den Softwaredienst dürfen nicht mehrfach genutzt oder von mehreren Personen gleichzeitig verwendet werden. Der Kunde steht für Handlungen und Unterlassungen seiner autorisierten Nutzer, wie für eigene Handlungen und Unterlassungen ein und verpflichtet sie zur vertragsgemäßen Nutzung des Softwaredienstes. Im Übrigen ist es dem Kunden untersagt, den Softwaredienst unterzulizensieren, zu lizensieren, zu verkaufen, zu verleasen, zu vermieten oder anderweitig Dritten zur Verfügung zu stellen.
4.4 Der Anbieter kann den Zugang (insbesondere Benutzernamen und Kennwörter) des Kunden zu dem Softwaredienst vorübergehend zur Schadensabwehr begrenzen oder aussetzen, wenn und soweit eine hinreichende Wahrscheinlichkeit dafür besteht, dass sich eine weitere vertragswidrige Nutzung durch den Kunden, einen autorisierten Nutzer oder einen Dritten unter Verwendung der Zugangsdaten des Kunden nachteilig auf den Softwaredienst, andere Kunden oder Rechte Dritter in einer Weise auswirken könnte und daher ein unmittelbares Handeln zur Schadensabwehr erforderlich ist. Der Anbieter informiert den Kunden unverzüglich über eine solche Begrenzung oder Aussetzung. Soweit die Umstände dies gestatten, wird der Kunde vorab per E-Mail informiert. Der Anbieter schränkt die Begrenzung oder Aussetzung zeitlich und in einem Umfang ein, wie es nach den Umständen des Einzelfalls vertretbar ist.
4.5 Soweit der Softwaredienst Open-Source-Bestandteile beinhaltet, gelten für diese ergänzend die Lizenzbestimmungen der jeweiligen Open Source Lizenz.
4.6 Sofern der Anbieter während der Laufzeit des Vertrags neue Versionen, Upgrades oder Updates des Softwaredienstes vornimmt, gelten die vorstehenden Rechte auch für diese. Der Kunde ist dafür verantwortlich, in seinem Einflussbereich, d.h. insbesondere bei den autorisierten Nutzern, die technischen Voraussetzungen für die Nutzung der verfügbaren Funktionen zu schaffen
4.6 Sofern der Anbieter während der Laufzeit des Vertrags neue Versionen, Upgrades oder Updates des Softwaredienstes vornimmt, gelten die vorstehenden Rechte auch für diese. Der Kunde ist dafür verantwortlich, in seinem Einflussbereich, d.h. insbesondere bei den autorisierten Nutzern, die technischen Voraussetzungen für die Nutzung der verfügbaren Funktionen zu schaffen
5. Vergütung
5.1 Der Anbieter stellt dem Kunden die Vergütung nach Maßgabe des Angebots in Rechnung. Sofern nicht anders vereinbart, stellt der Anbieter die Leistungen am Ende eines jeden Monats in Rechnung.
5.2 Alle Preise verstehen sich netto zuzüglich der jeweils gültigen Mehrwertsteuer. Der Mehrwertsteuersatz und -betrag wird auf den Rechnungen gesondert ausgewiesen.
5.3 Die Vergütung ist innerhalb von 14 Tagen nach dem auf der Rechnung angegebenen Datum fällig. Die vereinbarte Vergütung wird mit Beginn eines jeden Abrechnungszeitraums fällig. Im Falle des Zahlungsverzugs des Kunden kann der Anbieter Zinsen in Höhe von 9 Prozentpunkten p.a. über dem jeweiligen Basiszinssatz berechnen, es sei denn, der Anbieter weist einen höheren Schaden nach. Weitere Rechte des Anbieters bleiben hiervon unberührt.
5.4 Befindet sich der Kunde in Zahlungsverzug, ist die Verpflichtung des Anbieters zur Leistungserbringung ausgesetzt, es sei denn, eine solche Aussetzung ist für den Kunden unzumutbar, z.B. wenn der ausstehende Betrag relativ gering ist. Für die Dauer des Zahlungsverzugs sind Fristen und Termine zu deren Einhaltung sich der Anbieter verpflichtet hat, unterbrochen bzw. ausgesetzt.
5.5 Der Kunde ist zur Aufrechnung nur berechtigt, wenn seine Gegenforderung (a) unbestritten oder (b) rechtskräftig festgestellt ist oder (c) mit der Forderung, gegen die der Kunde aufrechnet, wechselseitig (synallagmatisch) ist. Zur Ausübung seines Zurückbehaltungsrechts ist der Kunde nur berechtigt, wenn und soweit seine Gegenforderung entweder (a) unbestritten, (b) rechtskräftig festgestellt oder (c) auf dem gleichen Vertragsverhältnis beruht wie die Forderung.
5.6 Im Falle einer vorzeitigen Beendigung des Vertrages erstattet der Anbieter dem Kunden die vorausbezahlte Vergütung für den Zeitraum zwischen Beendigung des Hauptvertrages und Ende des betreffenden Abrechnungszeitraumes.
6. Pflichten des Kunden
6.1 Der Kunde muss alle notwendigen und zumutbaren Maßnahmen ergreifen, um Schäden, die durch die Nutzung der vom Anbieter angebotenen Leistungen verursacht werden, zu verhindern oder zu begrenzen. Dazu gehört auch die regelmäßige Sicherung von Daten, die im Falle einer nicht ordnungsgemäßen Bereitstellung der Leistungen gefährdet wären.
6.2 Der Kunde unterlässt jede Handlung, die geeignet ist, den reibungslosen Betrieb des Softwaredienstes zu beeinträchtigen. Der Kunde unterlässt es insbesondere, Änderungen an dem Softwaredienst vorzunehmen, die den reibungslosen Betrieb des Softwaredienstes oder andere Nutzer des Softwaredienstes beeinträchtigen können.
6.3 Der Kunde hat den Anbieter umgehend zu informieren, wenn es Anhaltspunkte dafür gibt, dass Login-Daten widerrechtlich von Dritten genutzt werden. Der Kunde wird in diesem Fall unverzüglich geeignete Maßnahmen (etwa Sperrung des Nutzerkontos oder Änderung der Zugangsdaten) ergreifen, um eine widerrechtliche Nutzung zu verhindern bzw. abzustellen.
6.4 Der Kunde wird den Anbieter bei der Erbringung der Leistungen in dem jeweils erforderlichen Umfang selbst sowie durch entsprechende Anweisung an die autorisierten Nutzer angemessen unterstützen. Der Kunde wird insbesondere
- unverzüglich auf nicht vertragsgemäß erbrachte Leistungen hinweisen;
- dem Anbieter alle Daten, Dateien, Schnittstellen und andere Informationen zur Verfügung stellen, die für die Leistungserbringung relevant sind;
- alle anderen Informationen zur Verfügung stellen, die der Anbieter für die ordnungsgemäße Leistungserbringung benötigt;
- die Einhaltung der Nutzungsbedingungen durch die autorisierten Nutzer sicherstellen und unverzüglich geeignete Maßnahmen (etwa Sperrung des Nutzerkontos oder Änderung der Zugangsdaten) ergreifen, um eine widerrechtliche Nutzung zu verhindern bzw. abzustellen.
6.5 Der Anbieter kann nach billigem Ermessen überprüfen, ob der Softwaredienst in Übereinstimmung mit den Bestimmungen der vertraglichen Vereinbarung genutzt wird. Der Kunde wird dem Anbieter auf Verlangen sämtliche hierfür erforderlichen Informationen zur Verfügung stellen.
6.6 Der Kunde trägt die Nachteile und Kosten, die sich aus der Verletzung seiner Mitwirkungs- und Bereitstellungspflichten ergeben. Kommt der Kunde mit der ordnungsgemäßen Erfüllung seiner Verpflichtungen in Verzug, ist der Anbieter berechtigt, solche Leistungen, die ohne Mitwirkung des Kunden nicht oder nur mit unverhältnismäßigem Mehraufwand erbracht werden können, für die Dauer des Verzugs auszusetzen. Weitergehende Rechte bleiben unberührt.
6.7 Der Kunde stellt den Anbieter von allen Verbindlichkeiten frei, welche den Anbieter infolge eines vertragswidrigen Verhaltens des Kunden oder eines autorisierten Nutzers treffen.
7. Bestehende Schutzrechte/ Background-IP
7.1 Der Anbieter und der Kunde verfügen jeweils über gewerbliche Schutz- und Urheberrechte sowie Know-How (nachfolgend: „Background-IP“).
7.2 Sofern die Parteien nicht ausdrücklich etwas anderes vereinbaren, erwirbt der Anbieter keine Rechte oder Anteile an Background-IP des Kunden, insbesondere
- an der Software des Kunden;
- an Dokumentation, Prozessen, Verfahren und sonstigen Anwendungen des Kunden sowie
- an Kundendaten oder Kundendatenbanken.
7.3 Sofern die Parteien nicht ausdrücklich etwas anderes vereinbaren, erwirbt der Kunde keine Rechte oder Anteile an Background-IP des Anbieters, insbesondere
- an der Software des Anbieters;
- an Dokumentation, Prozessen, Verfahren und sonstigen Anwendungen des Anbieters sowie
- an Algorithmen, Datenmodellen und Analysemethoden, Verfahren und Techniken sowie sonstigem Know-How.
8. Kundeninhalte
8.1 Sofern der Kunde oder ein autorisierter Nutzer Inhalte in den Softwaredienst einstellt oder solche Inhalte über den Softwaredienst nutzt (nachfolgend auch: „Kundeninhalte“), wird dem Anbieter das unentgeltliche und übertragbare Recht eingeräumt, diese Inhalte zum Zwecke der Leistungserbringung zu speichern, zu bearbeiten und zu vervielfältigen, soweit dies für die Nutzung des Softwaredienstes erforderlich ist.
8.2 Der Kunde ist für Kundeninhalte voll verantwortlich. Der Anbieter übernimmt keine Überprüfung der Inhalte auf Vollständigkeit, Richtigkeit, Rechtmäßigkeit, Aktualität, Qualität und Eignung für einen bestimmten Zweck.
8.3 Der Kunde gewährleistet, dass er der bzw. der jeweilige autorisierte Nutzer alleinige Inhaber sämtlicher Rechte an Kundeninhalten ist, oder aber anderweitig berechtigt ist (z.B. durch eine wirksame Erlaubnis des Rechteinhabers), diese im Rahmen des Softwaredienstes zu nutzen und zu kommunizieren.
9. Geheimhaltung
9.1 Die Parteien verpflichten sich, alle Informationen der jeweils anderen Partei, insbesondere technischer und wirtschaftlicher Art, sowie deren Absichten, Erfahrungen, Erkenntnisse, Konstruktionen und Unterlagen, die ihr aufgrund dieses Vertrages bekannt werden, Dritten gegenüber – auch über die Dauer des Vertrages hinaus – vertraulich zu behandeln, Dritten nicht zugänglich zu machen und vor dem Zugriff Dritter zu schützen. Diese Verpflichtung gilt für die Laufzeit des Vertrages und darüber hinaus bis zum Offenkundigwerden der Informationen. Weitere Anforderungen, welche sich insbesondere aus datenschutzrechtlichen Vorgaben nach Ziff. ergeben können, bleiben hiervon unberührt.
9.2 Diese Verpflichtung gilt nicht für solche Informationen, die den Parteien nachweislich bereits vor ihrer Mitteilung im Rahmen dieses Vertrages bekannt waren, von ihnen nachweislich unabhängig erarbeitet oder anderweitig rechtmäßig erlangt wurden oder die allgemein bekannt sind oder ohne Verstoß gegen diesen Vertrag allgemein bekannt werden.
9.3 Die Parteien werden in geeigneter Form dafür sorgen, dass die von ihnen bei der Durchführung dieses Vertrages zulässigerweise hinzugezogenen Mitarbeiter, freien Mitarbeiter und Unterauftragnehmer die vorstehende Vertraulichkeit wahren.
10. Datenschutz
10.1 Soweit die vom Anbieter erbrachten Leistungen die Verarbeitung oder sonstige Behandlung personenbezogener Daten des Kunden umfassen, werden beide Parteien die geltenden Datenschutzgesetze einhalten.
10.2 Soweit der Anbieter im Rahmen der Leistungserbringung i.S.d. Art. 28 DSGVO personenbezogene Daten im Auftrag des Kunden verarbeitet, richtet sich die Verarbeitung nach der separat zwischen den Parteien vereinbarten Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag (Anlage 2: „Auftragsverarbeitungsvertrag“). Die Parteien können einen von dem in Anlage 2 beschriebenen Auftragsverarbeitungsvertrag abweichenden Vertrag schließen. In diesem Fall ist dieser maßgeblich.
10.3 Soweit der Anbieter personenbezogene Daten im Rahmen des mit jedem Nutzer vereinbarten Nutzungsvertrags verarbeitet, ist der Anbieter selbst Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO.
11. Gewährleistung
11.1 Der Anbieter gewährleistet, dass die erbrachten Leistungen während der Vertragslaufzeit die vereinbarte Beschaffenheit aufweisen und der Softwaredienst bei vertragsgemäßer Nutzung durch den Kunden keine Rechte Dritter verletzt.
11.2 Geringfügige Abweichungen zwischen den erbrachten Leistungen und der vereinbarten Beschaffenheit oder eine geringfügige Beeinträchtigung ihrer Nutzbarkeit stellen keinen Mangel dar.
11.3 Der Anbieter beseitigt Sach- und Rechtsmängel nach Maßgabe von Ziff. 11.5. Für Schadensersatz wegen Mängeln gilt Ziff. 12. Die verschuldensunabhängige Haftung für bereits bei Vertragsabschluss vorhandene Mängel gemäß § 536a Abs. 1 Alt. 1 BGB ist ausgeschlossen.
11.4 Begeht der Anbieter im Rahmen der Vertragsdurchführung außerhalb des Bereichs der Sach- und Rechtsmängelhaftung sonstige Pflichtverletzungen, hat der Kunde dies gegenüber dem Anbieter schriftlich zu rügen und dem Anbieter eine angemessene Nachfrist einzuräumen, innerhalb derer der Anbieter Gelegenheit zur ordnungsgemäßen Erfüllung der Leistung hat oder dazu gegeben wird, in sonstiger Weise Abhilfe zu schaffen. Für Schadensersatz gilt Ziff. 12.
11.5 Der Anbieter beseitigt Mängel am Softwaredienst oder sonstigen Leistungsbestandteilen dadurch, dass der Anbieter nach eigener Wahl dem Kunden entweder einen neuen, mangelfreien Stand des Softwaredienstes oder der sonstigen Leistung zur Verfügung stellt oder den Mangel beseitigt. Die Mangelbeseitigung kann auch darin bestehen, dass der Anbieter dem Kunden zumutbare Möglichkeiten aufzeigt, die Auswirkungen des Mangels zu vermeiden. Bei Rechtsmängeln wird der Anbieter nach eigener Wahl dem Kunden entweder (i) das Recht verschaffen, den Softwaredienst oder weitere vertragliche geschuldete Leistungen vereinbarungsgemäß zu nutzen, oder (ii) den Softwaredienst oder weitere vertragliche geschuldete Leistungen ersetzen oder so ändern, dass der Verletzungsvorwurf aufgehoben ist, der vertragsgemäße Gebrauch des Kunden dadurch aber nicht unzumutbar beeinträchtigt wird, oder (iii) den Vertrag insoweit kündigen und dem Kunden vorausbezahlte Vergütung für die nach dem Kündigungsdatum verbleibende Laufzeit erstatten sowie Schadensersatz nach Maßgabe von Ziff. 12 leisten.
11.6 Gewährleistungsansprüche verjähren in einem Jahr, beginnend mit der Bereitstellung des Softwaredienstes oder einer sonstigen Leistung. Soweit der Anbieter den Softwaredienst, Teile davon oder sonstige Leistungsbestandteile verbessert oder ersetzt, tritt die Verjährung für eine solche Verbesserung oder einen solchen Ersatz mit Ablauf der Verjährungsfrist für den ursprünglich bereitgestellten Softwaredienst oder die ursprünglich erbrachte Leistung ein.
11.7 Die Gewährleistung gilt nicht:
11.7.1 soweit der Softwaredienst oder weitere Leistungsbestandteile zu Test- oder nicht produktiven Zwecken bereitgestellt werden;
11.7.2 soweit der Kunde selbst Veränderungen an dem Softwaredienst oder weiteren Leistungsbestandteilen vornimmt oder Änderungen durch Dritte veranlasst, die nach den geltenden Vertragsbestimmungen nicht zulässig sind, es sei denn, der Kunde weist nach, dass die Änderungen nicht die Ursache für den Mangel sind;
11.7.3 soweit der Softwaredienst oder weitere Leistungsbestandteile für Zwecke verwendet werden, für die sie nicht bestimmt sind;
11.7.4 soweit der Kunde den Softwaredienst in einer Umgebung nutzt, die nicht für die Systemanforderungen des Softwaredienstes geeignet ist.
11.8 Soweit der Softwaredienst oder sonstige Leistungsbestandteile unentgeltlich erbracht werden, gelten die gesetzlichen Gewährleistungs- und Haftungsbestimmungen der §§ 599, 600 BGB. In diesem Fall werden die gesetzlichen Gewährleistungs- und Haftungsbestimmungen durch diesen Vertrag nicht erweitert. Dies gilt auch dann, wenn der Kunde für die Erbringung weiterer Leistungen eine Vergütung schuldet.
12. Haftungsbeschränkung
12.1 Der Anbieter haftet für Vorsatz und grobe Fahrlässigkeit. Für leichte Fahrlässigkeit haftet der Anbieter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Im Falle der leicht fahrlässigen Verletzung wesentlicher Vertragspflichten ist die Haftung der Höhe nach begrenzt auf den typischen und vorhersehbaren Schaden. Der Haftungsausschluss gilt nicht für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie im Falle einer Garantieübernahme oder einer Haftung nach dem Produkthaftungsgesetz.
12.2 Der Anbieter haftet nicht, wenn die einen Schaden verursachenden Umstände auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruhen, auf das der Anbieter keinen Einfluss hat und dessen Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können. Der Anbieter haftet ferner nicht für Ausfälle oder Störungen in der außerhalb seines Verantwortungsbereichs liegenden technischen Infrastruktur.
12.3 Gilt nur für den Fall eines on-premise Betriebs: Für den Verlust von Daten haftet der Anbieter nur dann, wenn der Kunde regelmäßige und ausreichende Datensicherungen durchführt und hierdurch sicherstellt, dass verlorene Daten mit vertretbarem Aufwand wiederhergestellt werden können.
12.4 Schadensersatzansprüche gegen den Anbieter, sowie gegen Mitarbeiter oder Beauftragte des Anbieters verjähren grundsätzlich ein Jahr nach ihrer Entstehung. Dies gilt nicht für Schadensersatzansprüche (a), die durch vorsätzliche oder grob fahrlässige Pflichtverletzungen entstehen oder (b) die aus der Verletzung des Lebens, des Körpers oder der Gesundheit resultieren, oder (c) bei arglistigem Verschweigen eines Mangels oder der Übernahme einer Garantie für die Beschaffenheit, oder (d) nach dem Produkthaftungsgesetz.
12.5 Die Bestimmungen dieses Abschnitts gelten auch zugunsten der Mitarbeiter, Vertreter und Subunternehmer des Anbieters, auf die Aufgaben übertragen wurden.
13. Vertragslaufzeit und ordentliche Kündigung
13.1 Die Laufzeit des Vertrags ergibt sich aus dem Angebot. Sofern im Angebot keine Laufzeit genannt ist, läuft der Vertrag zunächst fest für einen Zeitraum von einem Jahr, gerechnet vom Zeitpunkt der Vertragsunterzeichnung. Nach Ablauf dieser Frist läuft der Vertrag auf unbestimmte Zeit, wenn er nicht mit einer Frist von zwei Monaten zum Ablauf des fest vereinbarten Zeitraumes oder danach jeweils zum Kalenderquartalsende gekündigt wird.
13.2 Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
13.3 Jede Kündigung bedarf der Schriftform.
14. Abschließende Bestimmungen
14.1 Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien vereinbaren bereits jetzt für diesen Fall, dass die ungültige Bestimmung durch eine wirksame Bestimmung ersetzt wird, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahe kommt. Entsprechendes gilt für etwaige Lücken der Vereinbarung.
14.2 Alle Mitteilungen im Zusammenhang mit dieser Vereinbarung erfolgen in Textform, sofern nicht anders vereinbart.
14.3 Sofern nach diesem Vertrag die Schriftform vereinbart ist, ist damit das gesetzliche Schriftformerfordernis gemäß § 126 Abs. 1 BGB gewollt.
14.4 Nur die Geschäftsleitung des Anbieters ist berechtigt, Änderungen oder Ergänzungen zu diesem Vertrag zu vereinbaren. Alle anderen vom Anbieter Bevollmächtigten im Sinne von § 54 Abs. 1 HGB sind daher in ihrer Vertretungsmacht beschränkt. Abweichungen hiervon können nur schriftlich vereinbart werden.
14.5 Der Kunde darf ohne vorherige Zustimmung des Anbieters keine Rechte oder Ansprüche aus dem Vertrag abtreten.
14.6 Diese Vereinbarung und ihre Auslegung sowie alle damit zusammenhängenden außervertraglichen Verpflichtungen unterliegen dem deutschen Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand für alle Rechtsstreitigkeiten ist Berlin. Der Anbieter ist zudem berechtigt, auch am allgemeinen Gerichtsstand des Kunden zu klagen.
Anlage 1 zu den Allgemeinen Geschäftsbedingungen: Service-Level-Agreement
1. Regelungsgegenstand
Die nachfolgenden Bestimmungen dieses Service-Level-Agreements (SLA) konkretisieren die vom Anbieter nach dem mit dem Kunden vereinbarten Vertrag über die Nutzung von Famedly (nachfolgend: „Hauptvertrag“) geschuldeten Leistungen.
2. Bezugssystem
Alle Leistungsangaben in diesem Service-Level-Agreement beziehen sich auf die vom Anbieter geschuldete Qualität des dem Kunden zur Nutzung angebotenen Softwaredienstes am Übergabepunkt des vom Anbieter betriebenen Datennetzes. Beeinträchtigungen im Bereich der Datenübertragung von diesem Übergabepunkt zum Kunden und/oder im Bereich der IT-Anlage des Kunden selbst bleiben außer Betracht.
3. Service Levels
3.1 Der Kunde kann für die Nutzung des Softwaredienstes zwischen den Verfügbarkeiten in den durch die Kategorien A, B, C und D definierten Zeiträumen wählen.
3.2 Stellt der Anbieter die Software nicht im Rahmen der vereinbarten Verfügbarkeit vertragsgemäß zur Verfügung, hat der Kunde Anspruch auf Wiederherstellung der Verfügbarkeit nach Maßgabe dieses SLAs.
4.Verfügbarkeit
4.1 Der Anbieter bietet die Nutzung des Softwaredienstes am Übergabepunkt mit der nachfolgend beschriebenen Verfügbarkeit an:
4.2 Außerhalb der vom Kunden beauftragten Zeiträume ist der Anbieter nicht verpflichtet, den Softwaredienst zur Nutzung bereitzustellen.
4.3 Die Verfügbarkeit ist nach folgenden Service-Kategorien definiert:
Service-Kategorie A 99 %
Service-Kategorie B 99 %
Service-Kategorie C 99 %
Service-Kategorie D 99 %
Service-Kategorie E 99 %
4.4 Die tatsächlich erreichte Verfügbarkeit berechnet sich auf der Grundlage des auf die jeweilige Service-Kategorie entfallenden Zeitraums auf täglicher Basis. Der Softwaredienst ist verfügbar, wenn auf ihn in dem jeweiligen Zeitraum entsprechend dem dazu vereinbarten prozentualen Anteil zugegriffen werden konnte.
4.5 Bei der Berechnung der tatsächlichen Verfügbarkeiten gelten dem Anbieter nicht zurechenbare Ausfallzeiten als verfügbare Zeiten. Diese unschädlichen Ausfallzeiten sind
- mit dem Kunden abgestimmte Wartungs- oder sonstige Leistungen, durch die ein Zugriff auf die Anwendungssoftware nicht möglich ist;
- unvorhergesehen erforderlich werdende Wartungsarbeiten, wenn diese Arbeiten nicht durch eine Verletzung der Pflichten des Anbieters zum Erbringen der Services verursacht wurden (höhere Gewalt, insbesondere nicht vorhersehbare Hardwareausfälle, Streiks, Naturereignisse etc);
- Ausfallzeiten aufgrund von Viren- oder Hackerangriffen, soweit der Anbieter die vereinbarten, mangels Vereinbarung die üblichen Schutzmaßnahmen getroffen hat;
- Ausfallzeiten aufgrund von Vorgaben des Kunden, aufgrund von Nichtverfügbarkeiten der Ausstattung des Kunden oder aufgrund anderer durch den Kunden verursachte Unterbrechungen (z.B. unterbleibende Mitwirkungsleistungen des Kunden);
- Ausfallzeitverlängerungen, die aufgrund einer Blockierung des Konsolen- bzw. Remote-Zugangs durch den Kunden verursacht wurden;
- Ausfallzeiten für das Einspielen von dringend notwendigen Security Patches;
- Ausfallzeiten aufgrund von Software-Fehlern in Kundenanwendungen oder aufgrund von durch Kundenanwendungen oder -daten ausgelösten Fehlern in der System- und System-nahen Software;
- Ausfallzeiten, die durch Dritte (nicht dem Anbieter zurechenbare Personen) verursacht werden.
Planmäßige Wartungsarbeiten und Datensicherungen werden nach vorheriger Ankündigung in der Zeit von 0:00 bis 2:00 Uhr durchgeführt. In dieser Zeit ist ein Betrieb nicht möglich.
4.6 Der Kunde übernimmt es als Obliegenheit, Beeinträchtigungen der Softwarenutzung dem Anbieter zu melden. Der Anbieter wird sich bemühen, die Beeinträchtigungen unverzüglich zu beseitigen. Ein Anspruch auf Wiederherstellung der Nutzbarkeit der Software besteht nicht, soweit die vereinbarte Verfügbarkeit gewährleistet ist.
5. Prioritäten
Entsprechen die Leistungen des Anbieters nicht den nach diesem Service-Level-Agreement festgelegten Werten, so soll der Anbieter im Falle der Beeinträchtigung sowohl der Verfügbarkeit als auch der Leistungsqualität, zunächst die Verfügbarkeit der Leistungen, dann den geschuldeten Datendurchsatz, das Antwortzeitverhalten, die Paketverzögerung und schließlich die Paketverlustrate wiederherstellen.
6. Störungsmeldung, Wiederherstellung der Leistungen
6.1 Der Kunde kann die Nichteinhaltung der Verfügbarkeit als Störung melden.
6.2 Der Kunde wird Meldungen zu Störungen, die nach diesem SLA behandelt werden sollen, wie folgt melden:
Per Online-Formular: famedly.atlassian.net/servicedesk
Per Mail: support@famedly.com
6.3 Störungsmeldungen können zu folgenden Servicezeiten erfolgen, werden jedoch lediglich in den folgenden Supportzeiten des Anbieters bearbeitet:
Arbeitstag (Montag bis Freitag ohne bundesweite Feiertage sowie Feiertage im Land Berlin) 9:00 bis 17:00 Uhr
6.4 Der Kunde wird Meldungen zu Störungen, die nach diesem SLA behandelt werden sollen, nur durch die hierzu geschulten und autorisierten Mitarbeiter abgeben. Meldet der Kunde eine Störung, so wird er dem Anbieter die Beschreibung der Störung gemäß Ziff. 6.5 angeben. Bei der Meldung der Störung hat der Kunde anzugeben, welche Personen dem Anbieter als Ansprechpartner beim Kunden für diese Störung zur Verfügung stehen und wie sie telefonisch zu erreichen sind. Die Ansprechpartner sind so zu benennen, dass der Anbieter sich während der Dauer der Störung zumindest innerhalb der Geschäftszeiten des Kunden stets und unmittelbar an einen der benannten Ansprechpartner wenden kann.
6.5 Störungen, die den Regelungen dieses SLA unterliegen, werden wie folgt klassifiziert:
6.6 Erreicht die Störung eine höhere Prioritätsstufe, so hat der Kunde dies dem Anbieter unverzüglich mitzuteilen. Die Reaktionszeit berechnet sich vom Eingang der Störungsmeldung des Kunden beim Anbieter an. Die Reaktionszeit läuft ausschließlich während der Servicezeiten des Anbieters (Ziff. 6.3). Maßgebend für die Zuordnung einer Störung zu einer Störungsklasse ist das Vorliegen der in der Störungs-Beschreibung angegebenen Merkmale.
6.7 Der Anbieter verpflichtet sich, bei Eingang einer ordnungsgemäßen Störungsmeldung des Kunden spätestens innerhalb der festgelegten Reaktionszeiten mit der Analyse und möglichst schon mit der Beseitigung der Störung zu beginnen. Die Arbeiten zur Störungsbeseitigung erfolgen im Rahmen der Möglichkeiten des Anbieters unter Beachtung seiner vertraglichen Pflichten. Ein Anspruch auf die Beseitigung der Störung innerhalb einer bestimmten Zeit folgt aus der Vereinbarung der Reaktionszeiten nicht.
6.8 Eine vom Anbieter zu behebende Störung liegt nicht vor bei Beeinträchtigungen der Datenübertragung außerhalb des vom Anbieter betriebenen Datennetzes, z.B. durch Leitungsausfall oder -störung bei anderen Anbietern oder Telekommunikationsanbietern, oder einer vertragswidrigen Inanspruchnahme der bereitgestellten Systemkapazitäten, z.B. durch eine überhöhte Zahl der Zugriffe durch den Kunden.
6.9 Die Behandlung von Störungen, die nicht in Ziff. 6.5 definiert sind, richtet sich allein nach dem Hauptvertrag.
7. Geltendmachung der Ansprüche
Dem Kunden stehen die Rechte nach den Ziff. 8 und 9 nur dann zu, wenn er ihre Geltendmachung unverzüglich, spätestens jedoch innerhalb von zwei Wochen nach Auftritt der Störung dem Anbieter schriftlich anzeigt.
8. Vergütungspflicht im Störungsfall
8.1 Die nachfolgenden Regelungen ergänzen die gesetzlichen Bestimmungen zur Gewährleistung, ohne sie zu verdrängen. Der Kunde ist jederzeit berechtigt, die ihm zustehenden Rechte wegen der Nichtgewährung der Softwarenutzung und der Pflichtverletzung bei der Durchführung der Service-Leistungen geltend zu machen. Macht er diese Rechte geltend, kann er die nachfolgenden Rechte nur in einem hierüber hinausgehenden Umfang geltend machen.
8.2 Für die Zeit, für die eine Störung der Priorität I vorliegt, ist der Kunde von der Entrichtung des für die Überlassung der Software vereinbarten Entgelts befreit.
8.3 Für die Zeit, für die eine Störung der Priorität II oder III vorliegt, ist der Kunde von der Entrichtung des Entgeltes für die Überlassung der Software in Höhe von 80 % befreit, es sei denn, er kann nachweisen, dass aufgrund der Mängelhaftungsverpflichtung des Anbieters eine darüber hinausgehende Befreiung von seiner Vergütungspflicht eingetreten ist.
9. Kündigung
Treten innerhalb eines Zeitraums von vier Wochen drei Störungen der Priorität I oder acht Störungen der Priorität II auf, so kann der Kunde den ASP-Vertrag mit einer von ihm zu bestimmenden Auslauffrist von bis zu acht Wochen kündigen.
10. Vergütung
Eine gesonderte Vergütung für die Erbringung der Services nach diesem SLA wird nicht erhoben. Hat der Kunde dem Anbieter jedoch eine Störung gemeldet und stellt sich nach einer Prüfung heraus, dass die Störung nicht innerhalb des Datennetzes des Anbieters aufgetreten ist, kann der Anbieter dem Kunden die zur Störungserkennung erbrachten Leistungen zu den für solche Leistungen geltenden Stundensätzen des Anbieters in Rechnung stellen, es sei denn, der Kunde hätte auch bei Anstrengung der erforderlichen Sorgfalt nicht erkennen können, dass die Störung nicht innerhalb des Datennetzes des Anbieters, aufgetreten ist.
Anlage 2: Auftragsverarbeitung gemäß Art. 28 der Verordnung (EU) 2016/679 („DSGVO“)
1. Vertragsgegenstand
Zwischen der Famedly GmbH, Prenzlauer Allee 221, 10405 Berlin (nachfolgend: „Auftragnehmer“) und dem diesen Vertrag schließenden Kunden (nachfolgend: „Auftraggeber“) besteht ein Vertrag (nachfolgend: „Hauptvertrag“) über die Nutzung einer dezentrale Kommunikationssoftware für medizinische Zusammenarbeit. Die Erfüllung des Hauptvertrages kann es erforderlich machen, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne des Art. 4 Ziff. 7 der Datenschutzgrundverordnung (VO (EU) 2016/679, nachfolgend: „DSGVO“) fungiert (nachfolgend: „Auftraggeber-Daten“).Dieser Vertrag konkretisiert die wechselseitigen datenschutzrechtlichen Rechte und Pflichten zwischen Auftraggeber und Auftragnehmer (nachfolgend gemeinsam: „Parteien“ bzw. jeder für sich: „Partei“) im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
2. Umfang der Beauftragung
2.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.
2.2 Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt hinsichtlich Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie der Kategorien betroffener Personen wie in Anlage 2a zu diesem Vertrag spezifiziert.
2.3 Soweit die Beschreibung der Verarbeitung in Anlage 1 nicht ausdrücklich etwas anderes vorsieht, findet die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.
3. Weisungsbefugnisse des Auftraggeber
3.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten gemäß den Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
3.2 Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens, in dem die Weisung zu dokumentieren und die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber zu regeln ist.
3.3 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Auftraggeber-Daten beim Auftraggeber liegt.
4. Verantwortlichkeit des Auftraggebers
4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.
4.2 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
4.3 Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.
4.4 Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.
5. Anforderungen an Personal
Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.
6. Sicherheit der Verarbeitung
6.1 Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. Ein Verzeichnis der derzeitigen technischen und organisatorischen Maßnahmen ergibt sich aus Anlage 2b.
6.2 Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.
7. Inanspruchnahme weiterer Auftragsverarbeiter
7.1 Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 2c. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.
7.2 Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Monaten zu kündigen.
7.3 Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.
8. Rechte der betroffenen Personen
8.1 Der Auftragnehmer wird den Auftraggeber mit technischen und organisatorischen Maßnahmen im Rahmen des Zumutbaren dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
8.2 Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
8.3 Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.
8.4 Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auftraggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.
8.5 Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten nach Art. 20 DSGVO besitzt, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei der Bereitstellung der Auftraggeber-Daten in einem gängigen und maschinenlesbaren Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.
9. Mitteilungs- und Unterstützungspflichten des Auftragnehmers
9.1 Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten unterstützen.
9.2 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
10. Datenlöschung
10.1 Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages löschen, sofern nicht gesetzlich oder vertraglich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.
10.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.
11. Nachweise und Überprüfungen
11.1 Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.
11.2 Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.
11.3 Zur Durchführung von Inspektionen nach Ziffer 11.2 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung gemäß Ziffer 11.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeber-Daten verarbeitet werden.
11.4 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Management- berichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.
11.5 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.
11.6 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.
11.7 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.
12 Vertragsdauer und Kündigung
Die Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
13. Haftung
13.1 Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüsse und -begrenzungen gemäß dem Hauptvertrag. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber den Auftragnehmer von diesen Ansprüchen auf erstes Anfordern frei.
14. Schlussbestimmungen
14.1 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.
14.2 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.
14.3 Es gilt deutsches Recht unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG) und des deutschen Kollisionsrechts. Ist der Auftraggeber Verbraucher und hat er seinen gewöhnlichen Aufenthalt in einem Mitgliedstaat der Europäischen Union, so gilt ebenfalls deutsches Recht, wobei zwingende Bestimmungen des Staates, in dem der Auftraggeber seinen gewöhnlichen Aufenthalt hat, unberührt bleiben.
14.4 Sofern es sich beim Auftraggeber um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder um ein öffentlich-rechtliches Sondervermögen handelt, ist Gerichtsstand für alle Streitigkeiten aus diesem Vertrag der Sitz des Auftragnehmers.
Anlage 2a:
Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art und Kategorie der Personenbezogenen Daten
1. Gegenstand und Dauer der Verarbeitung
Gegenstand und Dauer der Datenverarbeitung richten sich nach dem Hauptvertrag („Allgemeine Geschäftsbedingungen“).
2. Art und Zweck der Verarbeitung; Art und Kategorie der personenbezogenen Daten
2.1 Der Auftragnehmer betreibt eine dezentrale Kommunikationssoftware für medizinische Zusammenarbeit (nachfolgend: „Softwaredienst“).
Mit Hilfe des Softwaredienstes können Unternehmen aus dem Bereich der Gesundheitsversorgung ihren Mitarbeitern eine digitale Lösung für die Kommunikation sowie zum Austausch von Dokumenten zur Verfügung stellen. Hierzu werden eine Serversoftware und Webapplikation auf einem dem jeweiligen Unternehmen zugeordneten Server installiert. Für ausgewählte Funktionalitäten verbindet sich die Famedly-Serversoftware über das Internet mit der Famedly-Serversoftware anderer Kunden und der zentralen Famedly-Software. Dabei werden ebenfalls Kundeninhalte zum Zweck des Austausches mit anderen Famedly-Kunden auf die Server dieser anderen Kunden innerhalb der Famedly-Serversoftware repliziert. Nutzer können dann über den Browser oder eine für verschiedene Betriebssysteme verfügbare Mobile App auf verschiedene Funktionen des Softwaredienstes zugreifen.
2.2 Folgende personenbezogenen Daten werden im Rahmen des Softwaredienstes verarbeitet:
- Nutzungs- und Log-Informationen: Dazu zählen technische Informationen im Rahmen der Nutzung sowie Informationen für Diagnosezwecke und Performance- Informationen. Dies umfasst auch Informationen über die Nutzeraktivität (beispielsweise Nutzereinstellungen sowie Zeitpunkt, Häufigkeit und Dauer der Nutzeraktivitäten und -interaktionen), Log-Dateien sowie Diagnose-, Absturz- und Performance-Logs und ‑Berichte. Dies umfasst auch Informationen darüber, wann sich ein Nutzer für die Nutzung des Softwaredienstes registriert hat sowie Informationen über die konkret genutzten Funktionen. Die Übermittlung der Nutzungs- und Log-Informationen lässt sich vom Nutzer innerhalb der App deaktivieren.
- Geräte- und Verbindungsdaten: Dazu gehören Informationen zu dem vom jeweiligen Nutzer genutzten Hardware-Modell und Betriebssystem, App-Version, Informationen zum Browser, Sprache und Zeitzone sowie IP-Adresse, Informationen zum Gerätebetrieb und Kennungen wie Gerätekennungen.
- Inhalte von Nachrichten: Hierzu gehören Textnachrichten, Chats, Fotos, Videos, Sprachnachrichten und Dateien. Die Inhalte sind optional über eine Ende-zu-Ende-Verschlüsselung verschlüsselt und können dann vom Auftragnehmer nicht eingesehen werden.
- Kunden-Support: Im Rahmen von Supportanfragen werden Daten zum jeweiligen Nutzer sowie zu der konkreten Anfrage erhoben und verarbeitet.
2.3 Die personenbezogenen Daten werden dezentral gespeichert. Eine weitergehende Verarbeitung dieser Daten findet zu keinem Zeitpunkt statt. Eine Löschung der Daten erfolgt nach Beendigung der Vertragslaufzeit
Anlage 2b:
Verzeichnis der technischen und organisatorischen Maßnahmen
VERTRAULICHKEIT
Zutrittskontrolle
Der Auftragnehmer stellt mit einer mechanischen Schließanlage sicher, dass Unbefugte keinen Zutritt zu den Räumen haben, in welchen der Auftragnehmer seine EDV-Anlagen betreibt. Die Ausgabe von Schlüsseln wird streng überwacht und protokolliert. Der Auftragnehmer betreibt seine maßgeblichen EDV-Anlagen nicht selbst, sondern nutzt seinerseits ISO 27001 zertifizierte Unterauftragnehmer (siehe Anlage 3). Diesen verpflichtet er im Rahmen eines Auftragsdatenverarbeitungsvertrages zu geeigneten Maßnahmen der Zutrittskontrolle.
Maßnahmen durch Auftragnehmer:
- Physisches Sicherheitszonen Konzept: Physische Schlüssel für Zutritt nur im Besitz von berechtigten Mitarbeitenden
- Besuchsaufenthalte nur in Begleitung von Beschäftigten des Auftragnehmers.
Maßnahmen durch Unterauftragnehmer:
- Organisatorische Regelungen für den Zutritt berechtigter Personen und betriebsfremder Personen.
- Festlegung zutrittsberechtigter Personen
- Sichere Verwaltung der Zutrittsberechtigungen (Erteilung, Verändern, Entzug) mittels automatisiert geleiteten Workflows und vollständiger Überblick über die aktuellen Zutrittsberechtigungen durch regelmäßige Überprüfungen auf Aktualität der Berechtigungen.
- Restriktive Vergabe von Zutrittsberechtigungen: Zutritt haben nur Mitarbeitende am Standort, während standortfremde Personen bei Bedarf und nach Beantragung temporären Zutritt erhalten.
- Besucheraufenthalte nur in Begleitung von Beschäftigten des Auftragsnehmers.
- Ausweistragepflicht für externe Personen.
- Zutritt zum Gebäude wird während der Geschäftszeiten durch Portier sowie Sicherheitsschleusen überwacht.
- Zutrittskontrolleinrichtungen erfolgt durch ausgehändigten Transponder.
- Videoüberwachung und 24/7 durch eigenes Personal besetztes Gelände
Zugangskontrolle
Maßnahmen durch Auftragnehmer:
- Sichere Verwaltung der Benutzerzugänge (Erteilung, Verändern, Entzug).
- Personalisierte Benutzerzugänge für alle relevanten Systeme.
- Es besteht ein Rollen- und Rechtekonzept, welches regelmäßig überprüft wird.
- Vorgabe zur Festlegung von sicheren Passwörtern (Passwort-Policy).
Maßnahmen durch Unterauftragnehmer:
- Revisionssicheres Verfahren zur Vergabe von Benutzerzugängen.
Zugriffskontrolle
Maßnahmen durch Auftragnehmer:
- Vorgaben für die sichere Verwaltung von Passwörtern durch Awareness-Schulungen sowie Nutzung eines sicheren Passwort-Tools.
- Sperrung des Bildschirms bei Inaktivität nach einer in den Informationssicherheitsrichtlinien definierten Zeit.
- Verpflichtende Zwei-Faktor-Authentifizierung für alle Systeme.
- Regelmäßige und automatische Überprüfung der Zugangsberechtigungen zu Kundenumgebungen mit Dokumentation in den Logs für den Benutzerzugang zum Netzwerk bei jedem Update.
- Zonenkonzept auf Netzwerkbasis und Absicherung durch Firewalls.
Maßnahmen durch Auftragnehmer:
- Vorgaben für die sichere Verwaltung von Passwörtern durch Awareness-Schulungen sowie Nutzung eines sicheren Passwort-Tools.
- Sperrung des Bildschirms bei Inaktivität nach einer in den Informationssicherheitsrichtlinien definierten Zeit.
- Verpflichtende Zwei-Faktor-Authentifizierung für alle Systeme.
- Regelmäßige und automatische Überprüfung der Zugangsberechtigungen zu Kundenumgebungen mit Dokumentation in den Logs für den Benutzerzugang zum Netzwerk bei jedem Update.
- Zonenkonzept auf Netzwerkbasis und Absicherung durch Firewalls.
Weitergabekontrolle
Maßnahmen durch Auftragnehmer:
- Richtlinie zum Einsatz kryptographischer Verfahren nach aktuellem Stand der Technik
- Nutzung von aktuellen TLS-Versionen
- Nachrichteninhalte sind zusätzlich optional Ende-zu-Ende verschlüsselt
Personalsicherheitskontrolle
Maßnahmen durch Auftragnehmer:
- Geheimhaltungsvereinbarungen (NDAs) mit allen Mitarbeitenden.
- Regelmäßige Schulungen des eingesetzten Personals betreffend Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Datenverarbeitung
- Protokollierung von Datenerfassung und Datenzugriffen (z.B. durch Logging), Speicherung der Logfiles mit einer Frist von 6 Wochen.
INTEGRITÄT
Eingabekontrolle
- Automatisiertes sowie manuelles Monitoring und Protokollierung von Datenerfassungen und Datenzugriffen der Systemadministratoren (z.B. durch Logging), Aufbewahrung der Metadaten (Nutzeraktivität) im Monitoringstack mit einer Frist von 6 Wochen.
Datentrennungskontrolle
Maßnahmen durch Auftragnehmer:
- Getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobener Daten durch Bereitstellung einer eigenen virtuellen Maschine mit eigenem Betriebssystem für jeden Auftraggeber.
Protokollierungskontrolle
Maßnahmen durch Auftragnehmer:
- Zentrale Logging-Infrastruktur, die mit Alerting-Infrastruktur automatisiert ausgewertet wird.
- Alerts werden dem Infrastrukturteam des Auftragnehmers zugespielt.
- Lesezugriff nur für Systemadministration des Auftragnehmers.
- Authentisierte Transportverschlüsselung.
VERFÜGBARKEIT
Verfügbarkeitskontrolle
Maßnahmen durch Auftragnehmer:
- Regelmäßige Durchführung von Backups.
- Wahl einer ausreichend hohen Verfügbarkeitsgarantie beim Hosting-Anbieter.
- Aktives Monitoring aller relevanten Server und proaktives Vorbeugen von Downtimes.
- Unterhaltung eines Incidence Response Plans.
Maßnahmen durch Unterauftragnehmer:
- Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten.
- Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage.
- Eskalationskette für alle internen Systeme.
- Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
- Monitoring aller relevanten Server.
- Dauerhaft aktiver DDoS-Schutz.
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Maßnahmen durch Unterauftragnehmer:
- Für alle internen Systeme ist eine Eskalationskette definiert, die vorgibt, wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.
ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG
Maßnahmen durch Auftragnehmer:
- Bestellung eines externen Datenschutzbeauftragten sowie eines Informationssicherheitsbeauftragten.
- Unterhaltung eines Incidence Response Plans.
- Regelmäßige Unterweisung unserer Mitarbeiter im Datenschutzrecht sowie Schulung zu den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag.