Allgemeine Geschäftsbedingungen
ALLGEMEINE GESCHÄFTSBEDINGUNGEN DER TCDIAL GMBH FÜR DIE BEREITSTELLUNG VON CALL-CENTER-SOFTWARE-SERVICES VIA APPLICATION SERVICE PROVIDING
§ 1 Anwendungsbereich
Gegenstand dieser Allgemeinen Geschäftsbedingungen (im Folgenden: „AGB“) der TCdial GmbH, Maybachstr. 37, 51381 Leverkusen (im Folgenden: „TC“) sind Regelungen über eine befristete Bereitstellung des Call-Center Dialer-Services TC Dial (im Folgenden: „Software“) über das Internet durch TC zur Verwendung durch den Nutzer via Applikation Service Providing (im Folgenden: „ASP“).
§ 2 Leistungsgegenstand
(1) TC stellt dem Nutzer die Software in der jeweils aktuellen Version im Internet auf einem Server für eine Nutzung über das Internet am Zugangspunkt eines von TC genutzten Rechenzentrums (im Folgenden: „Übergabepunkt“) zur Verfügung. Zur Nutzung der Software durch den Nutzer ist es erforderlich, dass der Nutzer über einen eigenen Zugang zum Internet verfügt und über diesen Zugang auf die Software am Übergabepunkt zugreift.
(2) Die Software ermöglicht die automatisierte und gleichzeitige telefonische Anwahl von mehreren externen Rufnummern sowie die Verbindung von externen Teilnehmern bzw. angemeldeten Nutzern der Software für Telefonate. Daneben ermöglicht die Software unter anderem die Verwaltung sog. Anwahl Listen. Der Funktionsumfang der Software wird im Einzelnen beschrieben in der jeweils aktuellen Version der Funktionsbeschreibung der Software, welche TC dem Nutzer zur Verfügung stellt.
(3) TC hält für den Nutzer eine im Verhältnis zu der insgesamt auf dem von TC zur Leistungserbringung genutzten Server maximal möglichen Anzahl an virtuellen Arbeitsplätzen eine angemessene Anzahl an virtuellen Arbeitsplätzen vor. Falls der Nutzer eine garantierte Anzahl von verfügbaren virtuellen Arbeitsplätzen wünscht bzw. benötigt, ist dies mit TC ausdrücklich und gesondert zu vereinbaren.
(4) TC gewährleistet im Jahresmittel eine Verfügbarkeit der Software von 99,5%. Die Verfügbarkeit bezieht sich dabei auf die Bereitstellung der Funktionalitäten der Software ab dem Übergabepunkt.
§ 3 Anmeldung
Der Nutzer hat sich bei TC für die initiale Nutzung der Software über das Internet anzumelden. TC stellt dem Nutzer nach dessen Anmeldung persönliche Nutzerdaten für den Zugang zur Software (im Folgenden: „Nutzerdaten“) zur Verfügung und legt für den Nutzer ein Nutzerkonto (im Folgenden: „Nutzerkonto“) an.
§ 4 Vorleistungspflicht des Nutzers und Vergütungsmodalitäten
(1) Für die Vergütung für die Inanspruchnahme bzw. Verwendung der Software, wird dem Nutzer ein Zahlungsziel von 7 Tagen nach Rechnungsstellung eingeräumt. Gerät der Nutzer in Verzug ist TC berechtigt die Leistung unverzüglich einzustellen.
(2) Über das Nutzerkonto können den aktuellen Guthaben bzw. der aktuelle Kontostand sowie die Kontobewegungen der letzten 30 Tage abgerufen werden.
(3) TC stellt dem Nutzer Rechnungen in digitaler Form zur Verfügung. Der Nutzer stimmt der ausschließlich digitalen Rechnungsstellung ausdrücklich zu; Papier Rechnungen werden grundsätzlich nicht ausgestellt. Der Nutzer ist berechtigt, eine Rechnung binnen acht Wochen nach Zugang zu beanstanden, andernfalls gilt die Rechnung als genehmigt.
§ 5 Tarife und Entgelte
(1) Der Nutzer zahlt an TC ein Entgelt für jede angefangene Gesprächsminute, zu welcher der Nutzer über die Software mit einem externen Teilnehmer verbunden ist (im Folgenden: „aktive Verbindung“); ein gesondertes Entgelt für die Einräumung von Nutzungsrechten an Software im Sinne von § 69a Abs. 1 UrhG als solcher ist nicht vorgesehen. TC und der Nutzer stimmen überein, dass der Nutzer alle Leistungen, die von TC für den Nutzer kostenpflichtig erbracht werden, im Wege der Zahlung per Vorkasse auf Basis des Prepaid-Modells gemäß § 4 dieser AGB zu begleichen hat. Der Nutzer wird ausdrücklich darauf hingewiesen, dass eine Nutzung der Leistungen von TC nur für den Fall möglich ist, dass das Nutzerkonto des Nutzers ein hinreichendes positives Guthaben aufweist. Abweichende Abrechnungsverfahren bzw. Abrechnungsmodalitäten, z. B. Rechnungsverfahren, lässt TC im Einzelfall und nach freiem Ermessen zu, wobei dies in jedem Fall einer gesonderten und ausdrücklichen Vereinbarung zwischen TC und dem Nutzer bedarf.
(2) Die Höhe der Gesprächsentgelte richtet sich nach dem zugrunde liegenden Vertrag sowie – sofern im Vertrag in Bezug genommen – der Preisliste von TC.
(3) TC weist den Nutzer darauf hin, dass TC für die Durchführung eines Gesprächsaufbaus TK-Dienstleistungen von einem TK-Provider gegen Entgelt bezieht. TC ist bei eventuellen Preissteigerungen für den Bezug von TK-Leistungen durch den TK-Provider berechtigt, ab dem Zeitpunkt dieser Preissteigerungen die dem Nutzer gegenüber zukünftig abzurechnenden Gesprächsentgelte in gleichem Umfang zu erhöhen, sobald TC den Nutzer von der Erhöhung der Gesprächsentgelte in Textform informiert hat.
§ 6 Abrechnung und Protokollierung
(1) Es erfolgt softwareseitig eine Protokollierung der vom Nutzer über die Software geführten Telefonate, sowie allen Agenten und Admin Interaktionen innerhalb der Software. Dem Nutzer steht mittels betreffender Protokollierungsfunktion der Software eine Auflistung der vom Nutzer geführten Telefonate zur Verfügung. Die Protokollierung umfasst die näheren Umstände der Telefonate, d. h. den Zeitpunkt des Gesprächsaufbaus, die Zielrufnummer und die Länge des Telefongespräches.
(2) TC ist befugt, angefallene Gesprächsentgelte mit dem Guthaben des Nutzers auf seinem Nutzerkonto bereits während eines Telefongespräches zur Vermeidung eines Negativguthabens für jeweils eine Minute im Voraus unmittelbar zu verrechnen; nach Beendigung eines Telefonats werden etwaig überzahlte Anteile auf das Nutzerkonto des Nutzers erstattet.
§ 7 Pflichten des Nutzers
(1) Der Nutzer ist verpflichtet, TC unverzüglich über eine mangelnde Verfügbarkeit oder eine Fehlfunktion der Software zu informieren. Eine betreffende Information hat grundsätzlich in Textform zu erfolgen; in eiligen Fällen, in welchen eine Information zunächst auch telefonisch erfolgen kann, ist die Information unverzüglich in Textform nachzuholen.
(2) Der Nutzer ist zur Geheimhaltung seiner persönlichen Nutzerdaten gegenüber dritten Personen verpflichtet und wird sämtliche Passwörter unverzüglich ändern, wenn er vermutet, dass unberechtigte Dritte Kenntnis von seinen Nutzerdaten erlangt haben. Im Falle des Verlusts von Nutzerdaten oder einer unbefugten Kenntnisnahme durch Dritte hat der Nutzer TC unverzüglich zu informieren; § 7 Abs. 1 Satz 2 dieser AGB gilt entsprechend. Der Nutzer haftet für jegliche Nutzung der Software bzw. des Nutzerkontos durch Dritte, soweit der Nutzer nicht nachweist, dass ihm die Inanspruchnahme von Leistungen von TC nicht zugerechnet werden kann.
(3) Der Nutzer hat TC unverzüglich über jegliche Änderung seines Namens und/oder seiner Firmierung, seines Wohn- und/oder Geschäftssitzes, seiner Rechtsform oder seiner Bankverbindung zu informieren. § 7 Abs. 1 Satz 2 dieser AGB gilt entsprechend.
(4) Dem Nutzer ist es ausdrücklich untersagt, im Rahmen der Nutzung der Software gegen geltendes Recht zu verstoßen. Der Nutzer ist insbesondere verpflichtet, wettbewerbsrechtliche, datenschutzrechtliche und verbraucherschützende Vorschriften einzuhalten sowie das geistige Eigentum Dritter zu achten. Der Nutzer hat insbesondere sicherzustellen, dass werbliche Telefonanrufe gegenüber Verbrauchern ausschließlich bei Vorliegen einer den rechtlichen Anforderungen genügenden Einwilligung getätigt werden. Sollte ein Dritter gegen TC-Ansprüche im Zusammenhang mit der rechtswidrigen Nutzung der Software durch den Nutzer oder wegen eines sonstigen vertrags- oder rechtswidrigen Verhaltens des Nutzers erheben, für welche TC nicht verantwortlich ist, ist der Nutzer verpflichtet, TC von jeglicher Haftung, einschließlich der durch eine Inanspruchnahme entstehenden Kosten, freizustellen bzw. betreffende Kosten auf erstes Anfordern zu erstatten.
TC wird den Nutzer im Falle einer TC gegenüber erfolgenden Anspruchsauskunft durch Dritte unverzüglich in Kenntnis setzen. TC ist berechtigt, im Falle von Beanstandungen Dritter wegen einer rechtswidrigen Nutzung der Software durch den Nutzer oder wegen eines sonstigen vertrags- oder rechtswidrigen Verhaltens des Nutzers betreffenden Dritten sowie im Falle behördlicher und/oder gerichtlicher Anordnung die Kontaktdaten des Nutzers mitzuteilen; der Nutzer stimmt einer betreffenden Mitteilung der Kontaktdaten des Nutzers ausdrücklich zu.
(5) TC weist den Nutzer darauf hin, dass für das Aufzeichnen und/oder Speichern von Telefongesprächen mit externen Teilnehmern durch Nutzung der in die Software implementierten Aufnahmefunktion eine ausdrückliche Einwilligung des jeweils von einer Aufnahme betroffenen externen Teilnehmers erforderlich ist. Für die Einholung dieser Einwilligung ist ausschließlich der Nutzer verantwortlich. TC weist den Nutzer vorsorglich auf die einschlägigen strafrechtlichen Bestimmungen gemäß § 201 StGB hin. Der Nutzer hat etwaige Aufzeichnungen (im Folgenden: „QC-Files“) täglich zu sichern bzw. herunterzuladen und im Nachgang softwareseitig zu löschen.
(6) Der Nutzer hat im Rahmen seiner Anmeldung für die Nutzung der Software wahrheitsgemäß eine vollständige und ihm zugeteilte Rufnummer aus Deutschland anzugeben, welche TC im Falle der Nutzung der Software durch den Nutzer für die Herstellung von Telefonverbindungen mit externen Teilnehmern im Auftrag des Nutzers in das öffentliche Telefonnetz übermittelt. Bei dieser Rufnummer darf es sich in keinem Fall um Rufnummern für Auskunftsdienste, Massenverkehrsdienste, Neuartige Dienste oder Premium-Dienste sowie Nummern für Kurzwahl-Sprachdienste handeln (vgl. § 66j Abs. 2 Satz 2 TKG).
(7) TC ist zur Sicherstellung der Anforderungen gemäß § 66j TKG berechtigt, die Einhaltung der Pflichten des Nutzers gemäß § 7 Abs. 6 dieser AGB stichprobenartig zu prüfen. Für den Fall mangelnder Beachtung der diesbezüglichen Pflichten des Nutzers ist TC befugt, die Nutzung der Software für die telefonische Anwahl eines externen Teilnehmers durch den Nutzer zu sperren, bis der Nutzer seinen Pflichten gemäß § 7 Abs. 6 dieser AGB nachweislich nachkommt.
(8) Sofern der Nutzer eine Änderung der anzugebenden Rufnummer im Sinne von § 7 Abs. 6 dieser AGB wünschen sollte, hat er dies TC schriftlich (Fax oder E-Mail genügend) mitzuteilen; TC wird eine betreffende Umstellung schnellstmöglich vornehmen.
§ 8 Leistungsstörungen
(1) Störungen der Leistungen von TC werden nach Mitteilung der Störung in Textform durch den Nutzer von TC behoben. Die Behebung von Softwaremängeln erfolgt durch TC im Wege der Bereitstellung einer mangelfreien Version der Software als Webapplikation.
(2) Die Rechte und Ansprüche des Nutzers wegen Störungen bestehen nur und soweit der Nutzer TC unverzüglich in Textform und nachvollziehbar über aufgetretene Störungen unterrichtet.
(3) Die Rechte des Nutzers wegen Störungen bestehen nicht, wenn der Nutzer die Leistungen von TC außerhalb der vertraglichen Zwecke nutzt oder Bedienungsfehler oder äußere Einflüsse, die sich der Beherrschbarkeit durch TC entziehen, ursächlich für die Störungen sind.
§ 9 Haftung
(1) TC haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers, der Gesundheit oder von Garantien sowie bei Ansprüchen nach dem Produkthaftungsgesetz.
(2) Für leicht fahrlässig versursachte Schäden haftet TC im Übrigen nur, soweit TC eine wesentliche Vertragspflicht verletzt, wobei unter einer wesentlichen Vertragspflicht vertragliche Leistungspflichten zu verstehen sind, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens beschränkt.
(3) Eine etwaige verschuldensunabhängige Haftung von TC auf Schadensersatz (vgl. § 536 a BGB) für bei Vertragsschluss vorhandene Mängel wird vorsorglich ausgeschlossen. Die Haftung von TC wegen Betriebsunterbrechung, entgangenem Gewinn oder Mangelfolgeschäden ist im Falle des Vorliegens einfacher Fahrlässigkeit ebenfalls ausgeschlossen. § 9 Abs. 1 dieser AGB bleibt im Anwendungsbereich dieses § 9 Abs. 3 unberührt.
(4) TC bleibt es zudem unbenommen, sich auf die gesetzlichen Haftungsbeschränkungen gemäß § 44a TKG zu berufen.
(5) Die Haftung für Datenverlust wird auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und Gefahr entsprechender Anfertigung entsprechender Sicherungskopien eingetreten wäre.
§ 10 Nutzungsumfang
(1) TC räumt dem Nutzer zur Erfüllung der Zwecke dieses Vertrages ein nicht ausschließliches, nicht übertragbares, nicht unterlizenzierbares und auf die Laufzeit dieses Vertrages beschränktes Recht ein, die Software bestimmungsgemäß via ASP durch Einwahl über das Nutzerkonto zu nutzen.
(2) Eine Überlassung der ausführbaren Software in körperlicher Form an den Nutzer erfolgt nicht, insbesondere nicht als Datenträger oder online als Installations-Datei.
(3) Der Nutzer ist in keinem Fall berechtigt, (i) den Zugang zu der Software zu vermieten, zu verleasen, zu verleihen, weiterzuverkaufen oder in sonstiger Weise zu vertreiben oder weiterzugeben und/oder (ii) Dritten den ASP-Zugang zur Software zu überlassen bzw. Dritten einen betreffenden Zugang zu gewähren.
§ 11 Geheimhaltung
(1) Die Parteien sind verpflichtet, vertrauliche Informationen bis zum Ablauf von zwei Jahren nach Beendigung des Vertrages Dritten nicht zugänglich zu machen und nicht für andere Zwecke als für Zwecke dieses Vertrages zu verwenden. Als vertraulich gelten alle Informationen über die zwischen den Parteien vereinbarte Vergütung, über die Laufzeit des Vertrages, alle dem Nutzer zugänglich gemachten technischen Informationen und Know-how von TC sowie sonstige Informationen, die von einer der beiden Parteien als vertraulich gekennzeichnet werden.
(2) Die Geheimhaltungsverpflichtung gemäß § 11 Abs. 1 dieser AGB bezieht sich nicht auf Informationen, die ohne Geheimhaltungsverletzung einer Partei öffentlich bekannt geworden sind oder die aufgrund gesetzlicher, richterlicher oder behördlicher Anordnung Dritten zugänglich zu machen sind.
(3) Der Nutzer verpflichtet sich, für jeden Fall der schuldhaften Verletzung von Pflichten zur Geheimhaltung nach Maßgabe dieses § 11 dieser AGB zur Zahlung einer Vertragsstrafe in Höhe von EUR 5.000,00. Die Vertragsstrafe ist auf einen etwaigen Schadensersatzanspruch anzurechnen.
§ 12 Datenschutz
(1) Die Parteien sind verpflichtet, die gesetzlichen Vorgaben des Datenschutzes, insbesondere des Bundesdatenschutzgesetzes (BDSG) sowie des Telemediengesetzes (TMG), sowie sektorspezifische Datenschutz- und Geheimhaltungsverpflichtungen, insbesondere das Fernmeldegeheimnis gemäß § 88 TKG, einzuhalten.
(2) Der Nutzer erklärt sich damit einverstanden, dass die für das Vertragsverhältnis maßgeblichen Vertragsdaten bei TC elektronisch verarbeitet werden.
(3) Die Verkehrs- und Nutzungsdaten und weitere Vertragsdaten, insbesondere Daten über Tarifeinheiten, werden im erforderlichen Umfang zu Abrechnung- und Nachweiszwecken erhoben und verwendet, um die angefallenen Gesprächsentgelte zu ermitteln.
(4) Der Nutzer ist verpflichtet, seine Daten regelmäßig, mindestens wöchentlich, aus der Software zu exportieren und zu sicher zu archivieren. Die Pflichten des Nutzers zur Sicherung und softwareseitigen Löschung von QC-Files gemäß § 7 Abs. 5 Satz 3 dieser AGB bleiben unberührt.
(5) Weitere Einzelheiten zum Datenschutz sind mit Blick auf die auftragsgemäße Verarbeitung von personenbezogenen Daten des Nutzers durch TC in der gesonderten Anlage – Auftragsdatenverarbeitung geregelt, welche einen integralen Bestandteil des Vertrages bildet.
§ 13 Vertragslaufzeit, Kündigung und Vertragsende
(1) Sofern im Vertrag keine bestimmte Laufzeit vereinbart wird, gilt der Vertrag als auf unbestimmte Zeit geschlossen. Der Vertrag kann in diesem Fall von jeder der Parteien mit einer Frist von 14 Tagen ordentlich gekündigt werden.
(2) Das Recht zur Kündigung aus wichtigem Grund bleibt im Übrigen unberührt. Als wichtiger Grund für eine außerordentliche Kündigung durch TC, die auch ohne vorherige Abmahnung zulässig ist, gilt insbesondere ein wiederholter und/oder schwerwiegender Verstoß gegen die Verhaltenspflichten gemäß § 7 dieser AGB sowie die Bestimmungen über die Geheimhaltung gemäß § 11 dieser AGB; sonstige Rechte von TC bleiben insoweit unberührt.
(3) TC ist darüber hinaus berechtigt, den Vertrag ohne Einhaltung einer Frist zu beenden, sofern der Nutzer nach Anmeldung innerhalb einer Frist von vier Wochen sein Nutzerkonto nicht mit einem Guthaben von mindestens EUR 10,00 aufgeladen hat.
§ 14 Schlussbestimmungen
(1) Gerichtsstand ist Mönchengladbach. TC bleibt es vorbehalten, den Nutzer auch am allgemeinen Gerichtsstand des Nutzers zu verklagen.
(2) Die Vertragsbeziehung der Parteien unterliegt dem materiellen Recht der Bundesrepublik Deutschland unter Ausschluss des Kollisionsrechts sowie des UN-Kaufrechts.
(3) Änderungen und/oder Ergänzungen des Vertrages sowie dieser AGB bedürfen der Schriftform; dies gilt auch für die Änderung des Schriftformerfordernisses selbst; § 14 Abs. 4 dieser AGB bleibt unberührt.
(4) Sofern der Nutzer einem Angebot von TC zur Anpassungen und/oder Änderung des Vertrages bzw. dieser AGB nicht innerhalb von einem Monat nach Zugang des Angebots von TC schriftlich (Fax ausreichend) widerspricht, gilt das betreffende Angebot von TC als angenommen. In diesem Fall tritt die Änderung einen Monat nach Zugang des Angebots beim Nutzer in Kraft. Widerspricht der Nutzer dem Angebot form- und fristgerecht, gelten diese AGB bzw. die vertraglichen Leistungen zu den bislang geltenden Konditionen fort. TC wird den Nutzer auf die Anforderungen an den Widerspruch nach Maßgabe dieses § 14 Abs. 4 und die in diesem § 14 Abs. 4 bestimmten Rechtsfolgen hinweisen.
(5) Der Nutzer ist ohne vorherige schriftliche Zustimmung von TC in keinem Fall befugt, die Rechte und Pflichten aus diesem Vertrag auf Dritte zu übertragen.
(6) Die Anwendung von allgemeinen Geschäftsbedingungen des Nutzers ist ausgeschlossen. Abweichende, entgegenstehende oder ergänzende allgemeine Geschäftsbedingungen des Nutzers werden nur dann und in dem Umfang Bestandteil der Vertragsbeziehung der Parteien, als sich TC mit ihrer Geltung ausdrücklich schriftlich einverstanden erklärt hat.
(7) Sollten eine oder mehrere Bestimmungen dieser AGB ungültig sein oder werden, so wird die Gültigkeit der übrigen Regelungen dadurch nicht berührt; dies gilt entsprechend für etwaige Lücken in diesen AGB.
ANLAGE – AUFTRAGSDATENVERARBEITUNG
Präambel
Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Vertrag und in der Funktionsbeschreibung der vertragsgegenständlichen Software in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Mitarbeiter von TC oder durch TC beauftragte Dritte mit personenbezogenen Daten des Nutzers in Berührung kommen können. Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages.
§ 1 Definitionen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
(2) Datenverarbeitung im Auftrag ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch TC im Auftrag des Nutzers.
(3) Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) von TC mit personenbezogenen Daten gerichtete schriftliche Anordnung des Nutzers. Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Nutzer danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) TC verarbeitet personenbezogene Daten im Auftrag des Nutzers. Dies umfasst Tätigkeiten, die im Vertrag und der Funktionsbeschreibung der vertragsgegenständlichen Software konkretisiert sind. Anlässlich der Tätigkeiten von TC werden die in Anhang 1 – Datenkategorien und Betroffene bezeichneten Datenkategorien verarbeitet, wobei der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen ebenfalls in Anhang 1 –Datenkategorien und Betroffene wiedergegeben ist.
(2) Aufgrund datenschutzrechtlicher Verantwortlichkeit des Nutzers kann dieser auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen.
(3) Die Inhalte dieser Anlage gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird, und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (vgl. § 11 Abs. 5 BDSG).
§ 3 Pflichten von TC
(1) TC darf personenbezogene Daten nur im Rahmen des Auftrages und der Weisungen des Nutzers erheben, verarbeiten oder nutzen.
(2) TC wird im Verantwortungsbereich von TC die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. TC wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Nutzers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes (vgl. § 9 BDSG) entsprechen. Dies beinhaltet insbesondere
a. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),
b. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
c. dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
d. dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
e. dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
f. dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Nutzers verarbeitet werden können (Auftragskontrolle),
g. dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
h. dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).
Eine Maßnahme nach b bis d ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Eine Darstellung dieser technischen und organisatorischen Maßnahmen wird Anhang 2 – Mindestanforderungen zu dieser Anlage.
(3) TC stellt auf Anforderung dem Nutzer die für die Übersicht nach § 4g Abs. 2 Satz 1 BDSG notwendigen Angaben zur Verfügung.
(4) TC stellt sicher, dass die mit der Verarbeitung der Daten des Nutzers befassten Mitarbeiter gemäß § 5 Bundesdatenschutzgesetz (Datengeheimnis) sowie sonstiger einschlägiger Geheimhaltungspflichten (z. B. Fernmeldegeheimnis gemäß § 88 TKG) verpflichtet und in die Schutzbestimmungen insbesondere des Bundesdatenschutzgesetzes eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
(5) TC unterrichtet den Nutzer unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Nutzers.
(6) Überlassene Datenträger sowie sämtliche hiervon gefertigte Kopien oder Reproduktionen verbleiben im Eigentum des Nutzers. TC hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. TC ist verpflichtet, dem Nutzer jederzeit Auskünfte zu erteilen, soweit Daten und Unterlagen des Nutzers betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt TC gegen Entgelt auf Basis einer Einzelbeauftragung durch den Nutzer. In besonderen, vom Nutzer zu bestimmenden Fällen erfolgt eine entgeltliche Aufbewahrung bzw. Übergabe.
(7) Die Erfüllung der vorgenannten Pflichten von TC ist von TC zu kontrollieren und in geeigneter Weise nachzuweisen, in der Regel durch schriftliche Dokumentation und interne Qualitätssicherungsmaßnahmen.
§ 4 Pflichten des Nutzers
(1) Der Nutzer und TC sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen datenschutzrechtlichen Bestimmungen verantwortlich.
(2) Der Nutzer hat TC unverzüglich und vollständig zu informieren, wenn der Nutzer bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(3) Die Pflicht zur Führung des öffentlichen Verfahrensverzeichnisses gemäß § 4g Abs. 2 Satz 2 BDSG liegt beim Nutzer.
(4) Dem Nutzer obliegen die aus § 42a BDSG resultierenden Informationspflichten.
(5) Der Nutzer legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder Löschung der gespeicherten Daten nach Beendigung des Auftrages vertraglich oder durch Weisung fest.
§ 5 Anfragen Betroffener an den Nutzer
Ist der Nutzer auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird TC den Nutzer dabei unterstützen, diese Informationen bereitzustellen.
§ 6 Kontrollpflichten
(1) Der Nutzer überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen von TC und dokumentiert das Ergebnis. Hierfür kann er (i) Selbstauskünfte von TC einholen, (ii) sich auf eigene Kosten ein Testat eines Sachverständigen vorlegen lassen oder (iii) sich nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich überzeugen.
(2) TC verpflichtet sich, dem Nutzer auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind.
§ 7 Subunternehmer
(1) Die Weitergabe von Aufträgen an Subunternehmer durch TC bedarf der Zustimmung des Nutzers, soweit diese Subunternehmer Tätigkeiten den TC verrichten, die sich auf die Verarbeitung von personenbezogenen Daten beziehen.
(2) Der Nutzer ist damit einverstanden, dass TC zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen von TC zur Leistungserfüllung heranzieht bzw. verbundene Unternehmen mit Leistungen unterbeauftragt. Dem Nutzer ist zudem die Beauftragung der zum Zeitpunkt des Vertragsschlusses seitens TC eingesetzten technischen Dienstleister (Telekommunikationsprovider sowie Hosting-Provider von TC) bekannt.
(3) Erteilt TC-Aufträge an Unterauftragnehmer, so ist TC dafür verantwortlich, die TC obliegenden Pflichten aus dieser Anlage dem Unterauftragnehmer zu übertragen. Vorstehender Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Parteien des Vertrages. Dem Nutzer sind Kontroll- und Überprüfungsrechhte entsprechend § 6 einzuräumen. Durch schriftliche Aufforderung ist der Nutzer berechtigt, von TC-Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen eines Unterauftragnehmers zu erhalten.
§ 8 Informationspflichten, Schriftformklausel
(1) Sollten die Daten des Nutzers bei TC durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat TC den Nutzer unverzüglich darüber zu informieren. TC wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Nutzer als „verantwortlicher Stelle“ im Sinne des Bundesdatenschutzgesetzes liegen.
(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen von TC – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
ANHANG 1 – DATENKATEGORIEN UND BETROFFENE
1. Datenkategorien
Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind folgende Datenarten bzw. Datenkategorien:
_ Personenstammdaten
_ Kommunikationsdaten (Telefon)
_ Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
_ Kundenhistorie
_ Vertragsabrechnungs- und Zahlungsdaten
_ Planungs- und Steuerungsdaten
2. Betroffene
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst:
_ Kunden
_ Interessenten
_ Abonnenten
_ Beschäftigte i. S. d. § 3 Abs. 11 BDSG
_ Ansprechpartner
ANHANG 2 – MINDESTANFORDERUNGEN TTCHNISCHE / ORGANISATORISCHE MASSNAHMEN
Die Maßnahmen zur Umsetzung der Mindestanforderungen an technische und organisatorische Maßnahmen sind aus dem Katalog von Schutzmaßnahmen im Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnologie abzuleiten. Relevant ist Baustein 1.5 „Datenschutz“.
Insbesondere die nachfolgend (unter Anlehnung an § 9 BDSG sowie dessen Anlage) zusammengefassten Grundprinzipien sind zu wahren, die zur Konkretisierung mit Umsetzungsstrategien unterlegt sind.
1. Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.
Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:
_ Zutrittskontrollsystem
_ Schlüssel / Schlüsselvergabe
_ Türsicherung
2. Zugangskontrolle
Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.
Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:
_ Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge)
_ Automatische Sperrung (z. B. Kennwort oder Pausenschaltung)
_ Einrichtung eines einzigen Benutzerstammsatzes pro User
_ 2FA Authentifizierung im E-Mail-Verfahren
3. Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.
Bedarfsorientierte Ausgestaltung des Berrechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:
_ Differenzierte Berechtigungen (Profile, Rollen)
_ Auswertungen
_ Kenntnisnahme
_ Veränderung
_ Löschung
4. Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport und Übermittlungskontrolle.
Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:
_ Verschlüsselung
_ Protokollierung
5. Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:
_ Protokollierungs- und Protokollauswertungssysteme
6. Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten.
Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Nutzer und TC:
_ Kriterien zur Auswahl des Auftragnehmers
_ Kontrolle der Vertragsausführung
7. Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
Maßnahmen zur Datensicherung (physikalisch / logisch):
_ Backup-Verfahren
_ Getrennte Aufbewahrung
_ Virenschutz / Firewall
8. Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
_ „Interne Mandantenfähigkeit“