AGB

§ 1 Geltungsbereich und Vertragsgegenstand

(1) Die folgenden allgemeinen Geschäftsbedingungen gelten für die Geschäftsbeziehungen der pixelconcept GmbH, Friedrich-Ebert-Straße 79, 34119 Kassel (im Folgenden: Provider) mit ihren Kunden (im Folgenden: Kunde) bezüglich des Angebots PicDesigner in Gestalt einer browser- und App-basierten Software (im Folgenden: Anwendung) und eines ftp-Zugangs.

(2) Bei der Anwendung handelt es sich um zeitweise zur Nutzung zur Verfügung gestellte Standardsoftware (sogenannte „Software as a Service“, abgekürzt: SaaS) mittels derer Bildoptimierungsleistungen an Bildern von Kraftfahrzeugen vorgenommen werden. Der Leistungsgegenstand ergibt sich aus der Leistungsbeschreibung in der jeweils gültigen Fassung. Für die Zeit der Nutzung bietet der Provider zusätzlich Speicherplatz zum Ablegen der bei der Verwendung der Anwendung erzeugten und/oder zu deren Nutzung erforderlichen Daten (im Folgenden: Anwendungsdaten). Der Umfang der durch den Provider bereit zu stellenden Leistungen ergibt sich aus dem Umfang der Aufträge des Kunden.

(3) Der Kunde nutzt die Anwendung über eine Telekommunikationsverbindung mittels einer Zugriffssoftware in Gestalt eines Internet-Browsers, die der Provider dem Kunden nicht zur Verfügung stellt und die der Kunde auf sein eigenes Risiko nutzt oder mittels der Applikation für Mobilgeräte PicDesignerApp, die vom Provider zur Verfügung gestellt wird. Alternativ können Bildoptimierungen durch Upload auf den ftp-Server des Providers in Auftrag gegeben werden.

(4) Der Provider räumt dem Kunden die zur vertragsgemäßen Nutzung der Anwendung erforderlichen Nutzungsrechte ein und/oder vermittelt ihm diese.

(5) Der Kunde zahlt für die Leistungen des Providers das vereinbarte Entgelt.

(6) Der Provider schließt Verträge ausschließlich mit Kunden ab, die Unternehmer im Sinne von § 14 BGB sind.

§ 2 Bereitstellung der Anwendung und des ftp-Servers sowie Speicherplatz für Anwendungsdaten

(1) Der Provider hält ab dem in der Auftragsbestätigung mitgeteilten Zeitpunkt auf einer zentralen Datenverarbeitungsanlage oder mehreren Datenverarbeitungsanlagen (im Folgenden: Server) die Anwendung in der jeweils aktuellen Version zur Nutzung nach Maßgabe der folgenden Regelungen bereit. Weiterhin hält er einen ftp-Server bereit. Der Provider bedient sich zur Bereitstellung der Server auch Dienste Dritter. Der Kunde stimmt dem zu. Der Provider passt die Konfiguration der Datenverarbeitungsanlagen dem Stand der Technik an.

(2) Der Provider haftet dafür, dass die bereit gestellte Anwendung und der ftp-Server für die sich aus der diesbezüglichen Leistungsbeschreibung ergebenden Zwecke geeignet und während der gesamten Vertragslaufzeit frei von Mängeln sind, insbesondere frei von Viren und ähnlicher Schadsoftware, die die Tauglichkeit der Anwendung zum vertragsgemäßen Gebrauch aufheben.

(3) Der Provider übermittelt dem Kunden die zur Nutzung der Anwendung erforderlichen Zugangsdaten.

(4) Der Provider sorgt dafür, dass die von ihm zur Nutzung bereit gestellte Anwendung und der ftp-Server dem Stand der Technik entsprechen. Sofern und soweit mit der Bereitstellung einer neuen Version oder einer Änderung (im Folgenden: Änderung) von Funktionalitäten der Anwendung und des ftp-Servers, durch die Anwendung und den ftp-Server unterstützten Arbeitsabläufen des Kunden und/oder Beschränkungen in der Verwendbarkeit einhergehen, wird der Provider dies dem Kunden spätestens sechs Wochen vor dem Wirksamwerden einer solchen Änderung in Textform ankündigen unter Übersendung einer Liste mit den anstehenden Änderungen und/oder Beschränkungen (im Folgenden: Release Notes). Widerspricht der Kunde nicht in Textform innerhalb einer Frist von zwei Wochen ab Zugang der Release Notes, werden diese Vertragsbestandteil. Der Provider wird den Kunden bei jeder Ankündigung von Änderungen auf die vorgenannte Frist und die Rechtsfolgen ihres Verstreichens bei Nichtwahrung der Widerspruchsmöglichkeit aufmerksam machen. Hat der Kunde der Änderung widersprochen und teilt der Provider dem Kunden daraufhin mit, dass eine Fortsetzung des Vertrages ohne die Änderung für den Provider aus technischen oder wirtschaftlichen Gründen unzumutbar ist, kann der Kunde den Vertrag innerhalb eines Monats ab Zugang dieser Mitteilung in Textform kündigen. Die Änderung gilt als genehmigt, wenn der Kunde von diesem Kündigungsrecht keinen Gebrauch macht. Auf die Rechtsfolge einer unterbleibenden Kündigung in Textform weist der Provider den Kunden mit der Mitteilung über die Unzumutbarkeit der Fortsetzung des Vertragsverhältnisses hin.

(5) Die Anwendung und die Anwendungsdaten werden auf dem Server regelmäßig, mindestens an jedem zweiten Kalendertag, gesichert. Gleiches gilt für den ftp-Server. Die vom Kunden generierten und erstellten Anwendungsdaten werden durch den Provider für einen Zeitraum von maximal 90 Tagen gespeichert, soweit hinsichtlich einzelner Daten keine gesetzliche Löschungspflicht besteht. Nach Ablauf der Frist werden die Daten auch bei Fortbestehen des Vertrages vollständig gelöscht. Für die Einhaltung handels- und steuerrechtlicher Aufbewahrungsfristen ist der Kunde verantwortlich.

(6) Übergabepunkt für die Anwendung, den ftp-Server und die Anwendungsdaten ist der Routerausgang des Rechenzentrums des Providers.

(7) Der Kunde hält für die browserbasierte Nutzung der Anwendung des Providers einen dem Stand der Technik entsprechenden Personal Computer (PC) vor, auf dem eine geeignete Zugriffssoftware installiert ist. Gleiches gilt für die Nutzung des ftp-Servers. Für Änderungen am technischen System des Providers gilt die Widerspruchslösung des Abs. 4 entsprechend. Für die Beschaffenheit der erforderlichen Hard- und Software auf Seiten des Kunden sowie für die Telekommunikationsverbindung zwischen dem Kunden und dem Provider bis zum Übergabepunkt ist der Provider nicht verantwortlich.

§ 3 Zugriffssoftware

(1) Der Provider stellt dem Kunden für den browserbasierten Zugriff auf die Anwendung keine Zugriffssoftware zur Verfügung. Gleiches gilt für den Zugriff auf den ftp-Server.

(2) Der Kunde hält einen der folgenden kostenlos beziehbaren Internet-Browser in der aktuellen Version auf eigene Verantwortung zum browserbasierten Zugriff auf die Anwendung des Providers vor: Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Internet Explorer.

(3) Der mobile Zugriff auf die Anwendung des Providers findet auf dessen Kosten ausschließlich mittels der hierfür zu beziehenden PicDesignerApp statt, die der Kunde in der jeweils aktuellen Fassung vorhält und mit der jeweils aktuellen Version eines der mobilen Betriebssysteme iOS oder Android nutzt. Die Version für iOS wird über den Apple App Store und die Version für Android über den Google Play Store kostenlos vom Provider zum Download angeboten.

(4) Der Kunde hält eine dem Stand der Technik entsprechende Software für ftp-Zugriffe vor.

§ 4 Technische Verfügbarkeit der Anwendung und des Zugriffs auf die Anwendungsdaten, Reaktions- und Wiederherstellungszeiten

(1) Der Provider schuldet die vereinbarte Verfügbarkeit der Anwendung, des ftp-Servers und der Anwendungsdaten am Übergabepunkt. Unter Verfügbarkeit verstehen die Vertragspartner die technische Nutzbarkeit der Anwendung, des ftp-Servers und der Anwendungsdaten am Übergabepunkt zum Gebrauch durch den Kunden unter Verwendung der Zugriffssoftware.

(2) Es wird eine Verfügbarkeit von 99% bezogen auf ein Kalenderjahr zugesichert.

(3) Der Provider beseitigt innerhalb angemessener Frist nach folgender Maßgabe ihm gemeldete Mängel oder den Ausfall beziehungsweise Teilausfall der Anwendung und des ftp-Servers.
Auftretende Mängel werden von den Parteien einvernehmlich als betriebsverhindernde, betriebsbehindernde oder sonstige Mängel eingeordnet. Erzielen die Parteien kein Einvernehmen, entscheidet der Provider über die Einordnung unter angemessener Berücksichtigung der Interessen des Kunden.

(4) Je nach Einordnung eines Mangels gelten folgende Reaktions- und Wiederherstellungszeiten:

(a) Für einen betriebsverhindernden Mangel werden eine Reaktionszeit von 36 Stunden und eine Wiederherstellungszeit von 3 Tagen vereinbart. Ein betriebsverhindernder Mangel liegt vor, wenn die Nutzung der Anwendung und/oder des ftp-Servers beispielsweise aufgrund von Fehlfunktionen, falschen Arbeitsergebnissen oder Antwortzeiten unmöglich ist oder schwerwiegend eingeschränkt wird und dieser Mangel nicht mit zumutbaren organisatorischen Hilfsmitteln umgangen werden kann.

(b) Für einen betriebsbehindernden Mangel werden eine Reaktionszeit von 48 Stunden und eine Wiederherstellungszeit von 5 Tagen vereinbart. Ein betriebsbehindernder Mangel liegt vor, wenn die Nutzung der Anwendung und/oder des ftp-Servers beispielsweise aufgrund von Fehlfunktionen, falschen Arbeitsergebnissen oder Antwortzeiten zwar nicht unmöglich ist oder schwerwiegend eingeschränkt wird, die Nutzungseinschränkung(en) aber zugleich auch nicht nur unerheblich ist (sind) und mit zumutbaren organisatorischen oder sonstigen wirtschaftlichen zumutbaren Mitteln nicht umgangen werden kann (können). 

(c) Für einen sonstigen Mangel werden eine Reaktionszeit von 3 Werktagen und eine Wiederherstellungszeit von 14 Werktagen vereinbart. Ein sonstiger Mangel liegt vor, wenn die Nutzung der Anwendung und/oder des ftp-Servers nicht unmittelbar und/oder nicht erheblich beeinträchtigt wird, wie etwa bei ungünstig definierten Grundeinstellungen oder ausfallenden Funktionen, die für die Erfüllung des Zwecks der Software nebensächlich sind und/oder lediglich die Bedienung der Software erleichtern (so bezeichnete „Nice-to-have-Funktionen“). 

(d) Ein Mangel der Anwendung und/oder des ftp-Servers liegt vor, wenn 1) die bei vertragsgemäßen Einsatz die in der Produkt- und/oder Leistungsbeschreibung festgelegten Funktionalitäten nicht erbracht werden oder (2) wenn sich die Anwendung und/oder der ftp-Server für die nach dem Vertrag vorausgesetzte Verwendung nicht eignen oder (3) wenn sie sich für die gewöhnliche Verwendung nicht eignen und nicht die Beschaffenheit aufweisen, die bei Anwendungen und/oder ftp-Servern der gleichen Art üblich sind und der Kunde diese nach Art der Anwendung bzw. des ftp-Servers erwarten kann. Ein Mangel i.S. dieser Vorschrift liegt insbesondere dann nicht vor, wenn sich das Vorliegen einer der vorgenannten Voraussetzungen (a)-(c) nur unwesentlich auf die Nutzung der Anwendung und/oder des ftp-Servers auswirkt oder die Störung durch unsachgemäße Nutzung der Anwendung und oder des ftp-Servers im Sinne mvon § 7 Abs. 1 hervorgerufen wurde.

(5) Mängel meldet der Kunde dem Provider über das von diesem auf seiner Webseite betriebene Kundenportal.

(6) Art und Weise der Mängelbeseitigung stehen im billigen Ermessen des Providers. Bietet der Provider dem Kunden zur Vermeidung oder Beseitigung von Mängeln Patches, Bugfixes, eine neue Version, Softwareteile oder ähnliches an, so hat der Kunde diese, wenn und sobald es für ihn zumutbar ist, zu übernehmen. Die Beseitigung eines Mangels kann darüber hinaus auch in der Form von Handlungsanweisungen gegenüber dem Kunden erfolgen. Der Kunde hat derartige Handlungsanweisungen zu befolgen, es sei denn, diese sind ihm nicht zumutbar. Die Verpflichtung des Providers zur Mangelbeseitigung ist erfüllt, wenn kein Mangel im Sinne des Abs. 3 mehr vorliegt.

(7) Kann der Provider einen Mangel nicht innerhalb des vertraglich vereinbarten Zeitraums beseitigen, stellt er dem Kunden auf eigene Kosten eine vorübergehende Umgehungslösung zur Verfügung, soweit dies für ihn wirtschaftlich zumutbar ist. Die Verpflichtung des Providers zur dauerhaften Mangelbeseitigung bleibt durch die Lieferung der vorübergehenden Umgehungslösung unberührt.

(8) Die Bildoptimierung führt der Provider binnen 36 Stunden durch unter den Voraussetzungen des § 10.

(9) Zur Prüfung und Behebung von Fehleranzeigen und Fehlern genehmigt der Kunde schon mit Vertragsabschluss den Zugriff auf Anwendungsdaten. Der Zugriff durch den Provider wird nur soweit genommen, wie dies zur Fehlerprüfung und Fehlerbeseitigung erforderlich ist. Die Regelungen des § 10 und § 11 dieser Geschäftsbedingungen werden somit durch diese Regelung erweitert. 

§ 5 Nichterfüllung von Hauptleistungspflichten

(1) Kommt der Provider den in §§ 2 und 4 vereinbarten Verpflichtungen nicht vollständig nach, gelten die folgenden Regelungen.

(2) Gerät der Provider mit der erstmaligen Bereitstellung der Anwendung in Verzug, so ist er zum Rücktritt vom Vertrag berechtigt, wenn der Provider eine vom Kunden gesetzte zweiwöchige Nachfrist nicht einhält, das heißt innerhalb der Nachfrist nicht die vollvereinbarte Funktionalität der Anwendung zur Verfügung stellt.

(3) Kommt der Provider nach erstmaliger betriebsfähiger Bereitstellung einer Anwendung und/oder von Anwendungsdaten den vereinbarten Verpflichtungen ganz oder teilweise nicht nach, so verringert sich die monatliche Nutzungspauschale nach § 9 Abs. 1, 2 anteilig für die Zeit, in der die Anwendung und/oder die Anwendungsdaten dem Kunden nicht in dem vereinbarten Umfang beziehungsweise der Speicherplatz nicht in dem vereinbarten Umfang zur Verfügung standen.

(4) Ist eine Nutzung einer Anwendung nicht innerhalb der in § 4 vereinbarten Frist, nachdem der Provider vom Mangel Kenntnis erlangt hat, wiederhergestellt, so kann der Kunde unabhängig von dem Grund der Nichterfüllung, jedoch nicht, wenn ausschließlich höhere Gewalt vorliegt, das Vertragsverhältnis in Bezug auf die Nutzung der betroffenen Anwendung ohne Einhaltung einer Frist außerordentlich kündigen.

§ 6 Sonstige Leistungen des Providers

(1) Der Provider stellt dem Kunden eine elektronische, ausdruckbare, in deutscher Sprache abgefasstes Hilfe für die Anwendung zur Verfügung. Die Hilfe kann in dem vom Provider betriebenen Kundenportal auf dessen Webseite eingesehen und heruntergeladen werden. Im Fall einer Aktualisierung der Anwendung nach § 2 Abs. 4 wird die Hilfe entsprechend angepasst.

(2) Der Kunde ist berechtigt, die zur Verfügung gestellte Hilfe unter Aufrechterhaltung vorhandener Schutzrechtsvermerke zu speichern, auszudrucken und für Zwecke dieses Vertrags in angemessener Anzahl zu vervielfältigen. Im Übrigen gelten die unter § 7 für die Anwendung vereinbarten Nutzungsbeschränkungen für die Hilfe entsprechend

§ 7 Nutzungsrechte an und Nutzung der Anwendung, Rechte des Providers bei Überschreitung der Nutzungsbefugnisse

(1) Nutzungsrechte an der Anwendung 

(a) Der Kunde erhält an der Anwendung einfache, nicht unterlizenzierbare und nicht übertragbare auf die Laufzeit dieses Vertrags beschränkte Nutzungsrechte nach Maßgabe der nachstehenden Regelungen. 

(b) Eine physische Überlassung der Anwendung man den Kunden erfolgt nicht. Der Kunde darf die Anwendung nur für seine eigenen geschäftlichen Tätigkeiten durch eigenes Personal nutzen. 

(c) Der Kunde nutzt die jeweilige Anwendung nur durch die in der Leistungsbeschreibung angegebene Anzahl von Personen.

(d) Der Kunde ist nicht berechtigt, Änderungen an der Anwendung vorzunehmen. Dies gilt nicht für Änderungen, die für die Berichtigung von Fehlern notwendig sind, sofern der Provider sich mit der Behebung des Fehlers in Verzug befindet, die Fehlerbeseitigung ablehnt oder wegen der Eröffnung des Insolvenzverfahrens zur Fehlerbeseitigung außer Stande ist. 

(e) Sofern der Provider während der Laufzeit neue Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf die Anwendung vornimmt, gelten die vorstehenden Rechte auch für diese. 

(f) Rechte, die vorstehend nicht ausdrücklich dem Kunden eingeräumt werden, stehen dem Kunden nicht zu. Der Kunde ist insbesondere nicht berechtigt, die jeweilige Anwendung über die vereinbarte Nutzung hinaus zu nutzen oder von Dritten nutzen zu lassen oder die jeweilige Anwendung Dritten zugänglich zu machen. Insbesondere ist es nicht gestattet, die jeweilige Anwendung zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, insbesondere nicht zu vermieten oder zu verleihen.

(2) Verpflichtungen des Kunden zur sicheren Nutzung

(a) Der Kunde trifft die notwendigen Vorkehrungen, um die Nutzung der Anwendung durch Unbefugte zu verhindern. 

(b) Der Kunde haftet dafür, dass die Anwendung nicht zu rassistischen, diskriminierenden, pornographischen, den Jugendschutz gefährdenden, politisch extremen oder sonst gesetzeswidrigen oder gegen behördliche Vorschriften oder Auflagen verstoßenden Zwecken verwendet oder entsprechende Daten, insbesondere Anwendungsdaten, erstellt und/oder auf dem Server gespeichert werden.

(3) Verletzung der Bestimmungen nach Abs. 1 und 2 durch den Kunden 

(a) Verletzt der Kunde die Regelungen in Abs. 1 oder 2 aus von ihm zu vertretenden Gründen, kann der Provider den Zugriff des Kunden auf die Anwendung oder die Anwendungsdaten sperren, wenn die Verletzung hierdurch nachweislich abgestellt werden kann.

(b) Verstößt der Kunde rechtswidrig gegen Abs. 2 lit. b, ist der Provider berechtigt, die dadurch betroffenen Daten beziehungsweise Anwendungsdaten zu löschen. Im Fall eines rechtswidrigen Verstoßes durch Nutzer hat der Kunde dem Provider auf Verlangen unverzüglich sämtliche Angaben zur Geltendmachung der Ansprüche gegen den Nutzer zu machen, insbesondere dessen Namen und Anschrift mitzuteilen. 
Verletzt der Kunde trotz entsprechender Abmahnung des Providers in Textform weiterhin oder wiederholt die Regelungen in Abs. 1 oder 2, und hat er dies zu vertreten, so kann der Provider den Vertrag ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen. 

(c) Für jeden Fall, in dem der Kunde die Nutzung der Anwendung durch Dritte schuldhaft ermöglicht, hat der Kunde jeweils eine sofort fällige Vertragsstrafe in Höhe von EUR 250,00 zu zahlen. Die Geltendmachung von Schadensersatz bleibt vorbehalten; in diesem Fall wird die Vertragsstrafe auf den Schadensersatzanspruch angerechnet. Gleiches gilt im Fall der Verletzung der Pflichten nach § 10 Abs. 1 Nr. 11 durch den Kunden.

(4) Rechte des Kunden an etwa entstehenden Datenbanken/Datenbankwerken
Sofern und soweit während der Laufzeit dieses Vertrags, insbesondere durch Zusammenstellung von Anwendungsdaten, durch nach diesem Vertrag erlaubte Tätigkeiten des Kunden auf dem Server des Providers eine Datenbank, Datenbanken, ein Datenbankwerk oder Datenbankwerke entstehen, stellen alle Rechte hieran dem Kunden zu. Der Kunde bleibt auch nach Vertragsende Eigentümer der Datenbanken bzw. Datenbankwerke. 

§ 8 Haftung für Rechte Dritter

(1) Der Provider wird den Kunden von Rechten Dritter bzw. von deren Geltendmachung und von einer daraus resultierenden Beeinträchtigung der Erbringung vereinbarter Leistungen unverzüglich unterrichten und ihm in geeigneter Weise den vollen Zugriff auf die Anwendungsdaten ermöglichen.

(2) Der Kunde ist, sofern und soweit die Rechte Dritter ihn im Gebrauch der Anwendung beeinträchtigen, nicht zur Vergütung verpflichtet.

(3) Eine nicht vorhandene Nutzbarkeit der Anwendung und/oder der Anwendungsdaten aus rechtlichen Gründen nach Abs. 1 gilt als Nichtverfügbarkeit im Sinne dieser Vertragsbedingungen.

(4) Soweit der Provider nicht oder nicht mehr über die Rechte verfügt, die er benötigt, um den Vertrag ordnungsgemäß zu erfüllen, insbesondere über die notwendigen Nutzungsrechte an der Software und die Anwendung nicht gemäß diesen Vertragsbedingungen nutzbar ist, gilt § 5 Abs. 3 entsprechend.

(5) Der Provider hält den Kunden auf erstes Anfordern frei von sämtlichen Ansprüchen Dritter, die diese aus ihren Rechten gegen den die Anwendung vertragsgemäß nutzenden Kunden geltend machen. Die Vertragspartner werden sich unverzüglich in Textform benachrichtigen, falls ihnen gegenüber Ansprüche geltend gemacht werden. Die Regelungen des § 14 finden insoweit keine Anwendung.

(6) Der Provider haftet nicht für eine Verletzung der Rechte Dritter durch den Kunden, sofern und soweit sich diese Verletzung aus einer Überschreitung der nach diesem Vertrag eingeräumten Nutzungsrechte ergibt. In diesem Fall stellt der Kunde den Provider auf erstes Anfordern frei von sämtlichen Ansprüchen Dritter. 

§ 9 Entgelt

(1) Die Vergütung für die zu erbringenden Leistungen der Nutzungsgewährung bzgl. der Anwendung, des Zugangs zu dem ftp-Server, der Zurverfügungstellung von Speicherplatz einschließlich der Datensicherung und der Optimierung von Kraftfahrzeugbildern ergibt sich aus der jeweils aktuellen Preisliste des Providers, die auf der Webseite des Providers in der jeweils gültigen Fassung eingesehen werden kann.

(2) Anfallende monatliche Pauschalen für die Nutzung der Anwendung und/oder die Gewährung von Vorteilen im Rahmen der Beauftragung von Bildoptimierungen werden monatlich im Voraus abgerechnet und werden zum Monatsersten des Monats fällig, für den sie anfallen.

(3) Der Provider ist berechtigt, die vereinbarten Preise für die vertraglichen Leistungen zum Ausgleich von Personal- und sonstigen Kostensteigerungen angemessen zu erhöhen. Der Provider wird diese Preiserhöhungen dem Kunden in Textform bekannt geben; die Preiserhöhungen gelten nicht für die Zeiträume, für die Kunde bereits Zahlungen geleistet hat. Beträgt die Preiserhöhung mehr als 8 % des bisherigen Preises, so ist der Kunde berechtigt, den Vertrag im Ganzen mit einer Frist von 6 Wochen zum Ende eines Halbjahres zu kündigen; macht er von diesem Kündigungsrecht Gebrauch, so werden bis zum Wirksamwerden der Kündigung die nicht erhöhten Preise berechnet. Auf dieses Kündigungsrecht wird der Provider den Kunden zusammen mit jeder Ankündigung hinweisen.

(4) Die Vergütung für die Bildoptimierung ist gestaffelt nach Bildoptimierungs-Paketen. Ein Bildoptimierungs-Paket beinhaltet eine maximale Anzahl von Bildern, die zu dem Preis des jeweiligen Pakets optimiert werden.

(5) Mit Beauftragung eines Bildoptimierungs-Pakets fällt der jeweilige Preis an unabhängig davon, ob die maximale Anzahl der im Rahmen des Pakets optimierbaren Bilder mit der entsprechenden Beauftragung vom Kunden zur Bearbeitung durch Upload bereitgestellt werden. Soweit der Provider bei der Bearbeitung einzelner Bildoptimierungs-Pakete seine Pflicht nach § 4 Abs. 8 verletzt, entfällt die Vergütungspflicht des Kunden soweit dieser seiner diesbezüglichen Anzeigepflicht nach § 10 Abs. 2 nachkommt.

(6) Soweit der Provider dem Kunden freiwillig kostenlose Kontingente von Bildoptimierungs-Paketen gewährt, leitet sich für den Kunden hieraus kein Anspruch des Kunden für die künftige Gewährung kostenloser Bildoptimierungs-Pakete ab.

(7) Sonstige ausdrücklich als vergütungspflichtig vereinbarte Leistungen werden vom Provider nach Aufwand (Time & Material) zu den jeweils im Zeitpunkt der Beauftragung geltenden allgemeinen Listenpreisen des Providers erbracht.

(8) Vergütungen, gleich ob in Gestalt von monatlichen Pauschalen oder für die Beauftragung einzelner Bildoptimierungs-Pakete, werden zuzüglich MwSt. in der jeweils anfallenden gesetzlichen Höhe geschuldet.

(9) Die Zahlung erfolgt mittels SEPA-Lastschriftverfahren.

§ 10 Pflichten und Obliegenheiten des Kunden


(1) Der Kunde wird alle Pflichten und Obliegenheiten erfüllen, die zur Abwicklung des Vertrags erforderlich sind. Er wird insbesondere

1. die ihm zugeordneten Nutzungs- und Zugangsberechtigungen sowie vereinbarte Identifikations- und Authentifikations-Sicherungen geheim halten, vor dem Zugriff durch Dritte schützen und nicht an unberechtigte Nutzer weitergeben. Diese Daten sind durch geeignete und übliche Maßnahmen zu schützen. Der Kunde wird den Provider unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder Kennwörter nicht berechtigten Personen bekannt geworden sein könnten;

2. die vereinbarten Zugangsvoraussetzungen schaffen;

3. die Beschränkungen/Verpflichtungen im Hinblick auf die Nutzungsrechte nach § 7 einhalten, insbesondere

a. keine Informationen oder Daten unbefugt abrufen oder abrufen lassen oder in Programme, die von dem Provider betrieben werden eingreifen oder eingreifen lassen oder in Datennetze des Providers unbefugt eindringen oder ein solches Eindringen fördern;

c. den im Rahmen der Vertragsbeziehung und/oder unter Nutzung der Anwendung bzw. des ftp-Servers möglichen Austausch von elektronischen Nachrichten nicht missbräuchlich für den unaufgeforderten Versand von Nachrichten und Informationen an Dritte zu Werbezwecken nutzen;

d. den Provider von Ansprüchen Dritter freistellen, die auf einer rechtswidrigen Verwendung der Anwendung bzw. ftp-Servers durch ihn beruhen oder die sich aus vom Kunden verursachten datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der Anwendung und/oder des ftp-Servers verbunden sind;

e. die berechtigten Nutzer verpflichten, ihrerseits die für sie geltenden Bestimmungen dieses Vertrags einzuhalten;

4. dafür Sorge tragen, dass er (z. B. bei der Übermittlung von Texten/Daten Dritter auf den Server des Providers) alle Rechte Dritter an von ihm verwendetem Material beachtet;

5. nach § 11 Abs. 2 die erforderliche Einwilligung des jeweils Betroffenen einholen, soweit er bei Nutzung der Anwendung personenbezogene Daten erhebt, verarbeitet oder nutzt und kein gesetzlicher Erlaubnistatbestand eingreift;

6. vor der Versendung von Daten und Informationen an den Provider diese auf Viren prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einsetzen;

7. wenn er zur Erzeugung von Anwendungsdaten mit Hilfe der Anwendung und/oder dem ftp-Server dem Provider Daten übermittelt, diese regelmäßig und der Bedeutung der Daten entsprechend sichern und eigene Sicherungskopien erstellen, um bei Verlust der Daten und Informationen die Rekonstruktion derselben zu ermöglichen;

8. sofern und soweit ihm einvernehmlich die technische Möglichkeit dazu eröffnet wird, regelmäßig die auf dem Server gespeicherten Anwendungsdaten durch Download sichern; unberührt bleibt die Verpflichtung des Providers zur Datensicherung;

9. die einzelnen zu optimierenden Bilder in optimaler Ausgangsqualität anliefern, d. h. im Einzelnen

• mit einer Auflösung von mindestens 800 x 600 Pixeln,

• im Seitenverhältnis 4:3,

• fotografiert aus einer Entfernung von drei Metern zum dargestellten Fahrzeug mit einem Freiraum rund um das abgebildete Fahrzeug von 50 cm, in dem sich keine anderen Objekte befinden,

• ohne dass das abgebildete Fahrzeug von anderen Gegenständen und/oder Objekten verdeckt wird bzw. sich darauf Gegenstände und/oder Objekte befinden wie insbesondere Schnee, Regen und Laub und

• ohne dass auf dem Fahrzeug Spiegelungen zu sehen sind.

10. die jeweilige Beauftragung inhaltlich richtig vornehmen, d. h. im Einzelnen:

• bei Beauftragungen über die browserbasierte Version oder die App

• für die jeweilige Beauftragung eine für den Kunden nachvollziehbare Auftragsbezeichnung vergeben,

• den gewünschten Hintergrund für die Bearbeitung der hochzuladenden Bilder im Rahmen einer Beauftragung auswählen,

• ein Bildoptimierungspaket mit einer ausreichenden Anzahl von zu optimierenden Bildern wählen,

• im Fall des Auswählens von mehr Bildern als nach dem ausgewählten Bildoptimierungs-Paket vom Provider zu optimieren sind, diejenigen Bilder zur Optimierung zu markieren, die optimiert werden sollen,

• keine bereits optimierten Bilder erneut zur Optimierung beauftragen,

• zu optimierende Bilder von montags bis freitags bis spätestens 15:00 Uhr hochzuladen und zu beauftragen

• bei Beauftragungen mittels Upload auf den FTP-Server des Providers sicherzustellen, dass er

• die in der browserbasierten Anwendung angezeigten FTP-Zugangsdaten verwendet,

• in der browserbasierten Anwendung für die im Rahmen der Bildoptimierung mittels FTP-Zugangs zu optimierenden Bilder den gewünschten Bildhintergrund hinterlegt und das jeweils pro Bildoptimierung anzuwendende Bildoptimierungs-Paket,

• die zu optimierenden Bilder zu einem Bildoptimierungspaket auf dem FTP-Server in dem Ordner „in“ hinterlegt
oentweder unter Bezeichnung der Bilder mit einer eindeutigen Bezeichnung des darauf dargestellten Fahrzeugs (insbesondere durch VIN, Angebotsnummer oder Fahrzeugbezeichnung) unter mit einer durch einen Unterstrich danach abgetrennten fortlaufenden Nummerierung (z. B. M087231_1.jpg, M087231_2.jpg, usw.)
ooder in einem Verzeichnis mit einer eindeutigen Bezeichnung für die darin hinterlegten Bilder des darauf abgebildeten Fahrzeugs unter Herstellung einer fortlaufenden Nummerierung (z. B. /in/M087231/foto1.jpg, /in/M07231/foto2.jpg, usw.)

• nur maximal so viele Bilder eines Fahrzeugs hinterlegt, wie nach dem von ihm in der browserbasierten Anwendung hinterlegten Bildoptimierungs-Paket optimiert werden,

• im Fall der Hinterlegung von mehr Bildern als nach dem in der browserbasierten Anwendung hinterlegten Bildoptimierungs-Paket optimiert werden, die zu optimierenden Bilder der Reihenfolge nach als erste hinterlegt,

• im Fall der Trennung der FTP-Verbindung mittels der browserbasierten Anwendung hierdurch sämtliche noch im „in“-Ordner befindlichen, noch nicht vom Provider abgeholten Bildoptimierungsaufträge zur unverzüglichen Bearbeitung in Auftrag gibt

• einen einmal gestalteten Hintergrund für zu optimierende Bilder nur löschen, wenn er diesen nie wieder zu nutzen beabsichtigt;

11. die jeweilige Beauftragung vornehmen ohne die nach der Preisliste vorgesehene Vergütungsstaffel zu umgehen, insbesondere

• indem er wahrheitswidrig bei der Auswahl des Bildoptimierungs-Pakets ein solches für eine andere Fahrzeugart auswählt als diejenige, die das Fahrzeug auf dem von ihm hochgeladenen Bildern repräsentiert, insbesondere die Bildoptimierung von Automobil-Bildern, wenn er tatsächlich Bilder von einem Motorrad hochgeladen hat,

• indem Bilder von mehr als ein und demselben Fahrzeug im Rahmen eine Bildoptimierungs-Paketes zur Optimierung beauftragt;

12. den Erhalt von optimierten Bildern zu gewährleisten durch

• tägliche Prüfung, ob optimierte Bilder zum Download vom Provider bereit gestellt wurden, wahlweise im Download-Bereich der browserbasierten Anwendung oder dem „out“-Ordner auf dem FTP-Server

• unverzüglichen Download von bereit gestellten, optimierten Bildern, wobei der Kunde beachtet, dass bei Upload von mehr Bildern als zur Optimierung markiert wurden, die optimierten Bilder in der ursprünglichen Reihenfolge mit den nicht zu optimierenden Bildern zum Download zur Verfügung gestellt werden

(2) Mängel an Vertragsleistungen, insbesondere Mängel an den Leistungen nach §§ 4 bis 7 sind dem Provider unverzüglich anzeigen; im Fall der Verletzung der Pflicht des Providers nach § 4 Abs. 8 durch Betätigung des hierfür vorgesehenen Buttons „Reklamieren“ in der browserbasierten Anwendung binnen zwei Wochen nach Beauftragung des jeweiligen Bildoptimierungspakets. Unterlässt der Kunde die rechtzeitige Anzeige aus Gründen, die er zu vertreten hat, stellt dies eine Mitverursachung beziehungsweise ein Mitverschulden dar. Soweit der Provider infolge der Unterlassung oder Verspätung der Anzeige nicht Abhilfe schaffen konnte, ist der Kunde nicht berechtigt, die Pauschale nach § 9 Abs. 1, 2 des Vertrages ganz oder teilweise zu mindern, den Ersatz des durch den Mangel eingetretenen Schadens zu verlangen oder den Vertrag wegen des Mangels ohne Einhaltung einer Frist außerordentlich zu kündigen. Der Kunde hat darzulegen, dass er das Unterlassen der Anzeige nicht zu vertreten hat.

(3) Soweit insbesondere durch eine Verletzung der Pflichten nach Abs. 1 Rechte Dritter an von dem Kunden verwendetem Material (insbesondere Bild und Text) verletzt werden, stellt der Kunden den Provider auf erstes Anfordern von sämtlichen Ansprüchen Dritter frei.

§ 11 Datensicherheit, Datenschutz, Auftragsverarbeitung

(1) Die Vertragspartner werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen, datenschutzrechtlichen Bestimmungen beachten und ihre im Zusammenhang mit dem Vertrag und dessen Durchführung eingesetzten Beschäftigten auf die Einhaltung dieser Bestimmungen verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind.

(2) Verarbeitet der Kunde personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen, Bestimmungen berechtigt ist und stellt im Fall eines Verstoßes den Provider von Ansprüchen Dritter frei. Soweit die zu verarbeitenden Daten personenbezogene Daten sind, liegt eine Auftragsverarbeitung vor; hier gilt die Anlage Auftragsverarbeitung.

§ 12 Geheimhaltung/Referenznennung

(1) Vertraulich zu behandelnde Informationen sind die von dem informationsgebenden Vertragspartner ausdrücklich als vertraulich bezeichneten Informationen und solche Informationen, deren Vertraulichkeit sich aus den Umständen der Überlassung eindeutig ergibt. Durch den Provider vertraulich zu behandeln sind insbesondere die Anwendungsdaten, sollte er von ihnen Kenntnis erlangen. Keine vertraulich zu behandelnde Information liegt vor, soweit der die Information empfangende Vertragspartner nachweist, dass sie ihm vor dem Empfangsdatum bekannt oder allgemein zugänglich waren, der Öffentlichkeit vor dem Empfangsdatum bekannt oder allgemein zugänglich waren und/oder der Öffentlichkeit nach dem Empfangsdatum bekannt oder allgemein zugänglich wurden, ohne dass der informationsempfangende Vertragspartner hierfür verantwortlich ist.

(2) Die Vertragspartner werden über alle vertraulichen Informationen, die ihnen im Rahmen dieses Vertragsverhältnisses zur Kenntnis gelangt sind, Stillschweigen bewahren beziehungsweise diese nur im vorher in Textform hergestellten Einvernehmen des jeweils anderen Vertragspartners Dritten gegenüber – gleich zu welchem Zweck – verwenden.

(3) Öffentliche Erklärungen der Vertragspartner über eine Zusammenarbeit werden nur im vorherigen gegenseitigem Einvernehmen abgegeben.

(4) Die Verpflichtungen nach Abs. 2 bestehen auch über das Vertragsende hinaus auf unbestimmte Zeit, und zwar so lange, wie ein Ausnahmetatbestand nach Abs. 1 nicht nachgewiesen ist.

(5) Unbeschadet der voranstehenden Absätze ist der Provider berechtigt, den Kunden unter Angaben von dessen Namen, Adress- sowie Kontaktdaten und dessen Logo mit Verweis auf dessen Webseite, auch per Link, als Referenz zu nennen, auch über das Ende des Vertragsverhältnisses hinaus.

(6) Soweit der Kunde Inhalte zur Verfügung stellt, die zur Referenznennung bestimmt sind, insbesondere Texte, Bilder und Grafiken, versichert er befugt zu sein, diese Inhalte dem Provider zum Zweck seiner Referenznennung zur Benutzung zur Verfügung zu stellen.

(7) Der Kunde stellt die Agentur wegen einer unbefugten Nutzung von Ansprüchen Dritter frei einschließlich der deswegen anfallenden Kosten einer Rechtsverteidigung.

§ 13 Insolvenz bzw. drohende Insolvenz einer Vertragspartei

(1) Eine Partei hat die andere Partei unverzüglich davon in Kenntnis zu setzen, wenn

1. sie die Eröffnung des Insolvenzverfahrens beantragt hat oder dies in den kommenden 14 Kalendertagen beabsichtigt, 

2. die Eröffnung des Insolvenzverfahrens von Dritten beantragt worden ist,

3. sie auf Grund von Zahlungsschwierigkeiten die Zahlungen einstellen muss,

4. gegen sie im zeitlichen Zusammenhang mit Zahlungsschwierigkeiten Maßnahmen zur Befriedigung von Drittgläubigeransprüchen getroffen wurden, oder 

5. sie im zeitlichen Zusammenhang mit Zahlungsschwierigkeiten Vereinbarungen zur Befriedigung von Drittgläubigeransprüchen zugestimmt hat.

(2) Liegt einer der Umstände des Abs. 1 Nr. 3 bis 5 vor, so kann die andere Partei das Vertragsverhältnis ohne Einhaltung einer Frist außerordentlich kündigen.

§ 14 Haftung, Haftungsgrenzen und Vertragsstrafe

(1) Die Vertragspartner haften einander bei Vorsatz oder grober Fahrlässigkeit für alle von ihnen sowie ihren gesetzlichen Vertretern oder Erfüllungsgehilfen verursachten Schäden unbeschränkt.

(2) Bei leichter Fahrlässigkeit haften die Vertragspartner im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

(3) Im Übrigen haftet ein Vertragspartner nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Wesentliche Vertragspflichten sind solche Pflichten, die für die Erreichung des Vertragsziels von besonderer Bedeutung sind, ebenso alle diejenigen Pflichten, die im Fall einer schuldhaften Verletzung dazu führen können, dass die Erreichung des Vertragszwecks gefährdet wird. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schaden beschränkt. Die verschuldensunabhängige Haftung des Providers auf Schadensersatz (§ 536a BGB) für bei Vertragsschluss vorhandene Mängel wird ausgeschlossen; Abs. 1 und 2 bleiben unberührt.

(4) Ein Vertragspartner ist zur Zahlung einer Vertragsstrafe nur verpflichtet, wenn dies dieser Vertrag ausdrücklich vorsieht. Eine Vertragsstrafe braucht nicht vorbehalten zu werden. Die Aufrechnung mit ihr und gegen sie ist zulässig.

(5) Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

§ 15 Laufzeit, Kündigung

(1) Das Vertragsverhältnis beginnt mit Zustandekommen des Vertrages. Die Bereitstellung der Leistungen erfolgt ab dem mit der Auftragsbestätigung vereinbarten oder gesondert nach Annahme mitgeteilten Zeitpunkt.

(2) Der Vertrag wird, falls nichts anderes vereinbart ist, mit einer Laufzeit von 24 Monaten geschlossen. Ist der Vertrag auf bestimmte Zeit geschlossen oder wurde mit dem Kunden eine Mindestvertragslaufzeit vereinbart, so verlängert sich der Vertrag jeweils um die vereinbarte Zeit der Mindestlaufzeit, höchstens aber um ein Jahr, wenn er nicht mit einer Frist von einem Monat zum jeweiligen Ablauf der bestimmten Zeit oder Ablauf der Mindestvertragslaufzeit von einer Vertragspartei gekündigt wird.

(3) Der Provider kann den Vertrag ohne Einhaltung einer Frist kündigen, wenn der Kunde für zwei Bildoptimierungsaufträge mit der Bezahlung der anfallenden Kosten in Verzug ist oder wenn der Kunde für zwei aufeinander folgende Monate mit der Bezahlung der abgerechneten Kosten bzw. eines nicht unerheblichen Teils der abgerechneten Kosten oder in einem Zeitraum, der sich über mehr als zwei Monate erstreckt, mit der Bezahlung des Entgeltes in Höhe eines Betrages, der das Entgelt für zwei Monate erreicht in Verzug ist. Verzug tritt ein mit Fehlschlagen eines SEPA-Lastschrifteinzugs, spätestens aber 14 Tage nach Bereitstellung von optimierten Bildern eines Auftrags zum Download. Der Provider kann in diesem Fall zusätzlich einen sofort in einer Summe fälligen pauschalierten Schadensersatz in Höhe der bis zum Ablauf der regulären Vertragslaufzeit anfallenden monatlichen Entgelte verlangen. Dem Kunden bleibt vorbehalten, nachzuweisen, dass ein geringerer oder gar kein Schaden entstanden ist.

(4) Der Provider ist berechtigt den Vertrag außerordentlich zu kündigen, wenn der Kunde die Leistungen nicht oder nur geringfügig nutzt. Dieses Kündigungsrecht des Providers besteht, wenn über einen Zeitraum von zwei Monaten weniger als zwei Bildoptimierungen mit der Anwendung beauftragt werden. Dem Nutzer wird nach der Kündigung einmalig die Möglichkeit gegeben die Anwendung innerhalb einer Frist von einem Monat wieder zu aktivieren oder eine kostenpflichtige Datensicherung vorzunehmen, bevor die Anwendungsdaten dann gelöscht werden.

(5) Der Provider kann den Vertrag kündigen, wenn der Kunde seine nach §§ 7,8 und 10 bestehenden Obliegenheiten nach Abmahnung wiederholt schuldhaft verletzt.

(6) Jede Kündigung hat wenigstens in Textform zu erfolgen.

§ 16 Pflichten bei und nach Beendigung des Vertrages

Nach Vertragsbeendigung werden alle generierten Daten unbeschadet der Regelung des § 2 Abs. 5 noch für einen Monat vorgehalten. Eine darüber hinausgehende Speicherung durch den Provider erfolgt nicht. Der Kunde ist für eine fortlaufende Sicherung seiner Daten selbst verantwortlich.

§ 17 Änderung der Geschäftsbedingungen und der Leistungsbeschreibung 

(1) Diese Allgemeinen Geschäftsbedingungen und die Leistungsbeschreibung können durch entsprechende Vereinbarung zwischen dem Kunden und dem Provider geändert werden.

(2) Wünscht der Provider eine Änderung dieser Allgemeinen Geschäftsbedingungen oder der Leistungsbeschreibung, wird er dies dem Kunden mitteilen und ein Angebot auf Vertragsänderung unterbreiten. Widerspricht der Kunde diesem Angebot nicht innerhalb einer Frist von zwei Wochen nach Zugang des Angebots in Textform, gilt das Angebot als angenommen. In diesem Fall tritt die Vertragsänderung sechs Wochen nach Zugang des Angebots in Kraft. Widerspricht der Kunde hingegen gemäß vorstehendem Satz 2, so gilt der Vertrag zu den bisherigen Bedingungen ohne Änderung fort. Der Provider wird den Kunden mit dem Angebot auf Vertragsänderung über die besonderen Rechtsfolgen eines unterbleibenden wenigstens in Textform zu erklärenden Widerspruchs gesondert unterrichten.

(3) Hat der Kunde dem Angebot auf Vertragsänderung widersprochen und teilt der Provider dem Kunden daraufhin mit, dass eine Fortsetzung des Vertrages ohne die Vertragsänderung für den Provider aus technischen oder wirtschaftlichen Gründen unzumutbar ist, kann der Kunde den Vertrag innerhalb eines Monats ab Zugang dieser Mitteilung in Textform kündigen. Die geänderten Vertragsbedingungen gelten als genehmigt, wenn der Kunde von diesem Kündigungsrecht keinen Gebrauch macht. Auf die Rechtsfolge einer unterbleibenden Kündigung in Textform weist der Provider den Kunden mit der Mitteilung über die Unzumutbarkeit der Fortsetzung des Vertragsverhältnisses hin.

§ 18 Höhere Gewalt 

Keiner der Vertragspartner ist zur Erfüllung der vertraglichen Verpflichtungen im Fall und für die Dauer höherer Gewalt verpflichtet. Insbesondere folgende Umstände sind als höhere Gewalt in diesem Sinne anzusehen:

•von dem Vertragspartner nicht zu vertretende(s) Feuer/Explosion/Überschwemmung, 

•Krieg, Meuterei, Blockade, Embargo,

•über 6 Wochen andauernder und von dem Vertragspartner nicht schuldhaft herbeigeführter Arbeitskampf, 

•nicht von einem Vertragspartner beeinflussbare technische Probleme des Internets; dies gilt nicht, sofern und soweit der Provider die Telekommunikationsleistung mit anbietet. 

Jeder Vertragspartner hat den anderen über den Eintritt eines Falls höherer Gewalt unverzüglich in Textform in Kenntnis zu setzen.

§ 19 Schlussbestimmungen

(1) Auf das Vertragsverhältnis findet deutsches materielles Recht unter Ausschluss des UN-Kaufrechts Anwendung.

(2) Anhänge sind in ihrer jeweils gültigen Fassung Bestandteil dieses Vertrags.

(3) Nebenbestimmungen außerhalb dieser Vertragsbedingungen bestehen nicht.

(4) Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm zwingend einen anderen Gerichtsstand anordnet, das für Kassel zuständige Landgericht.

Anlage Auftragsverarbeitung

§ 1 Gegenstand und Dauer des Auftrags

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, welche der Auftragnehmer auf Basis der jeweiligen Leistungsvereinbarung oder auf Basis von einzelvertraglichen Vereinbarungen erbringt. Der Gegenstand des Auftrags ist in gesonderten Leistungsvereinbarungen beschrieben, die als Anlage Bestandteil dieser Vereinbarung werden.

(2) Der Auftrag ist unbefristet erteilt. Es gelten die Kündigungsfristen aus dem Hauptvertrag.

§ 2 Konkretisierung des Auftragsinhalts, Datenarten und Kreis der Betroffenen

(1) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind in den Leistungsvereinbarungen konkret beschrieben.

(2) Die Art der Daten und der Kreis der Betroffenen sind in der Leistungsvereinbarung konkret beschrieben.

(3) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Sollten Teile der Verarbeitungen durch Subunternehmen in Drittstaaten erfolgen, wird das angemessene Schutzniveau in den USA entweder durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO) festgestellt oder durch Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DS-GVO).

§ 3 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

(2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

(3) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

(4) Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

(5) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

(6) Der Auftraggeber wird die Betroffenen über die Übermittlung von Daten an den Provider als Datenempfänger informieren. Den Auftragnehmer trifft insbesondere keine Benachrichtigungspflicht gegenüber den Betroffenen.

(7) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

(8) Für die Ermöglichung von Kontrollen durch den Auftraggeber und die damit verbundenen Kosten kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

(9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

§ 4 Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer setzt die in der Anlage Technische und Organisatorische Maßnahmen aufgeführten Sicherheitsvorkehrungen um. Die dort dokumentierten Maßnahmen sind Grundlage des Auftrags. Soweit eine Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten siehe Anlage Technische und Organisatorische Maßnahmen].

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

(4) Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO).

§ 5 Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

§ 6 Rechte und Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Leistungsvereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

(2) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Eine physische Trennung ist nicht zwingend erforderlich.

(3) Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 34 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Der Auftragnehmer hat einen externen Datenschutzbeauftragten benannt: Stephan Moers, Datenschutzberatung Moers GmbH, Tel.: 05671 749 249 1, datenschutz@dsb-moers.de. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt.

b) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage Technische und Organisatorische Maßnahmen].

d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 3 dieses Vertrages.

(4) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO).

(5) Der Auftragnehmer hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und für eigene Zwecke zu nutzen. Unter Wahrung der Anonymität kann der Auftragnehmer die Daten zu statistischen Auswertungen, Benchmarking oder Produktoptimierungen nutzen. Der Auftraggeber hat jederzeit das Recht, der anonymisierten Nutzung der anfallenden Daten schriftlich zu widersprechen. In diesem Fall werden die anfallenden personenbezogenen Daten nicht mehr anonymisiert und für die genannten Zwecke ausgewertet.

§ 7 Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

(1) Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO.

(2) Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.

§ 8 Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen, sofern er eine solche Auslagerung dem Auftraggeber vorab schriftlich und mit angemessenem zeitlichen Vorlauf in Textform anzeigt. Der Auftraggeber kann der Auslagerung widersprechen. Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragnehmer zu erheben. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragnehmer nicht zumutbar ist – die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.

(3) Der Auftraggeber stimmt der Beauftragung der in der Anlage Unterauftragnehmer in der jeweils gültigen Fassung zum Zeitpunkt des Abschlusses der Rahmenvereinbarung zu.

(4) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(5) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

Die pixelconcept GmbH verarbeitet personenbezogene Daten im Auftrag ihrer Kunden (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, die gemäß den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen mit dem Kunden erbracht werden und die eine Auftragsverarbeitung darstellen.

Unter Beachtung der Regelungen in der „Rahmenvereinbarung zur Verarbeitung von Daten im Auftrag“ erteilt der Kunde die Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 EU-DSGVO in Anspruch zu nehmen. Weiterhin ist die pixelconcept GmbH berechtigt, die personenbezogenen Daten unter Beachtung der zwingend anwendbaren Vorschriften an Dienstleister in einem Drittland zu übermitteln.

Die aktuell eingesetzten Unterauftragsverarbeiter sowie die Information, an welche Dienstleister in welchem Drittland die Daten für welche Zwecke übermittelt werden, sind in der nachfolgenden Übersicht zu finden.

Hosting/ Rechenzentrum
PlusServer GmbH 
Hohenzollernring 72
50672 Köln

Bereitstellung Spamserver für Emailkommunikation
Spezial Host 
Max-Beckmann-Str. 21,
04109 Leipzig

Systemüberwachung/ Logfiles mit Nutzerdaten
New Relic, Inc.
188 Spear Street, Suite 1200
San Francisco, CA 94105 – USA

Bereitstellung CRM-System u. Campaigns
Zoho Corporation Pvt. Ltd.,
Estancia IT Park,
Plot No. 140 & 151, GST Road,
Vallancherry Village,
Chengalpattu Taluk,
Kanchipuram District 603 202, INDIA

§ 9 Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen

b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden

c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen

d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgeabschätzung

e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

§ 10 Löschung und Rückgabe von personenbezogenen Daten

(1) ​​Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 11 Zurückbehaltungsrecht

Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.

§ 12 Schlussbestimmungen

(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

(2) Für Nebenabreden ist die Schriftform erforderlich.

(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

Leistungsvereinbarung

§ 13 Gegenstand des Auftrags

Der Gegenstand umfasst die Optimierung von bereitgestellten Bildern.

§ 14 Datenkategorien

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenkategorien: Bilddaten, z.T. Adressdaten.

§ 15 Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffener Personen umfassen: Mitarbeiter, Kunden, Nutzer.

Technische und organisatorische Maßnahmen

Als nicht-öffentliche Stelle, die im Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, müssen wir technische und organisatorische Maßnahmen treffen, die erforderlich sind, um die Ausführung der Datenschutzvorschriften nach Art. 32 DGSVO zu gewährleisten. Insbesondere sind Vertraulichkeit, Integrität, Verfügbarkeit und Systembelastbarkeit im Zusammenhang mit der Datenverarbeitung sicherzustellen. Dieses Dokument beschreibt die hierzu getroffenen Maßnahmen. 

Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten für beiderlei Geschlecht. 

1 Übersicht der Sicherheitsarchitektur

Die Anwendungen der pixelconcept GmbH werden in besonders gesicherten Rechenzentren bereitgestellt. Die Server werden bei der Plusserver GmbH angemietet; das Rechenzentrum ist nach ISO 27001 zertifiziert. Der Zugriff erfolgt über ausnahmslos verschlüsselte Verbindungen mit starker Authentifizierung.

Am Stammsitz der pixelconcept GmbH werden Server zur Test- und Entwicklungszwecken betrieben. 

Diese Übersicht folgt den Vorgaben der EU-Datenschutzgrundverordnung nach Art. 32 DSGVO hinsichtlich der Sicherheitsvorkehrungen und wird ergänzt durch eine Übersicht, wie weitere Vorgaben der DSGVO umgesetzt werden.

2 Vertraulichkeit

2.1 Zutrittskontrolle/Gebäudeabsicherung am Standort Kassel

Die Zutrittskontrolle am Standort Kassel wird durch ständigen Verschluss der Räume sichergestellt. Besucher müssen klingeln; ein Nachvollzug des Zutritts ist durch schriftliche Ausgabe von Schließmedien und durch biometrische Zugangssperren gesichert. Das Reinigungspersonal ist sorgfältig ausgewählt. Außerhalb der Arbeitszeiten sind die Räume durch eine Alarmanlage gesichert, die auf einen Wachdienst aufgeschaltet ist.

2.2 Zutrittskontrolle/Gebäudeabsicherung im Rechenzentrum

Das Rechenzentrum der PlusServer GmbH ist durch Alarmanlagen und mehreren Sicherheitszonen geschützt. Es existiert ein elektronisches Zutrittskontrollsystem mit Protokollierung; die Schließmedien werden dokumentiert an Mitarbeiter ausgegeben. Es existieren Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude. Die Gebäude werden zudem videoüberwacht.

2.3  Zugangskontrolle/ Absicherung Systemzugang

Die Zugangskontrolle erfolgt durch den Einsatz von individuellen Benutzern und Zuordnung von Benutzerrechten nach verschiedenen Rechtskonzepten je nach Notwendigkeit des Systemzugriffs. Die Authentifizierung erfolgt mit Benutzername und Kennwort. Systemseitig werden dabei komplexe Kennwörter verlangt. Ein Bildschirmschoner mit Kennwortsperre wird zentral ausgerollt. Der Fernzugriff auf die IT-Infrastruktur erfolgt über VPN.

2.4 Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen 

Ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb der eingesetzten Systeme wird durch Umsetzung von Berechtigungskonzepten sichergestellt. Die Anzahl der besonders verpflichteten Administratoren ist auf das Notwendigste reduziert. Datenträger werden physisch vernichtet, mindestens nach DIN 66399 Stufe 3. Für die Absicherung der Zugriffe werden Anti-Viren-Software sowie Hard- und Softwarefirewalls eingesetzt

2.5 Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten

Daten, die zu unterschiedlichen Zwecken erhoben werden, sind teils physikalisch, teils durch virtuell getrennte Systeme separiert. Die Trennungskontrolle wird zudem durch die Arbeit nach einem Berechtigungskonzept, sowie letztendlich eine logische, softwareseitige Mandantentrennung umgesetzt.

2.6 Pseudonymisierung

Bei der Entwicklung der Produkte wird geprüft, wo Daten in pseudonymisierter Form verarbeitet werden können. Dies wird insbesondere in der Nutzeranalyse umgesetzt; die Zuordnung erfolgt auf einem getrennten, gesicherten System.

3 Integrität

3.1 Weitergabekontrolle/Sicherheit beim Datentransfer

Ein unbefugtes Lesen, Kopieren, Veränderung oder Entfernen von Daten bei elektronischer Übertragung oder Transport wird verhindert durch den Einsatz von VPN-Tunneln, verschlüsselte Datenübermittlungen via https oder SFTP und beim physischen Transport durch sichere Transportbehälter und sorgfältige Auswahl des Transportpersonals / geschlossene Fahrzeugaufbauten des Datenvernichtungsunternehmens.
Eine E-Mailverschlüsselung kann durch die Nutzung von verschlüsselten Anhängen umgesetzt werden.

3.2 Eingabekontrolle

Die Eingabekontrolle wird sichergestellt durch die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen), Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts und – soweit rechtlich zulässig – die Protokollierung der Eingabe, Änderung und Löschung von Daten auf den jeweiligen Systemen.

4 Verfügbarkeit und Belastbarkeit

4.1 Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust Standort Kassel

Die Daten am Standort Kassel werden abgesichert durch den Einsatz von unterbrechungsfreier Stromversorgung, Klimatisierung, Kohlenstoffdioxid-Feuerlöscher, Rauchmelder sowie Alarmsicherung des Serverraums.

4.2 Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust im Rechenzentrum

Die Daten im Rechenzentrum werden durch mehrstufige Klimatisierung, Stickoxid-Feuerlöschanlagen, zentrale unterbrechungsfreie Stromversorgung, Notstromaggregate und Notstromdiesel geschützt.

4.3 Weitere Maßnahmen der Verfügbarkeitskontrolle

Die Datenbestände werden durch mehrstufige Backuproutinen gesichert. Dabei werden Dateibestände, Datenbanken und Systemzustände gesichert. 

4.4
 Rasche Wiederherstellbarkeit

Eine rasche Wiederherstellung wird durch ein Backup- und Recovery-Konzept sowie ein Testen von Datenwiederherstellung sichergestellt.

5 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

5.1 Datenschutz-Management

Die Grundsätze zum Datenschutz (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten) sind einer unternehmensinternen Richtlinie festgelegt. Es ist ein Datenschutzbeauftragter (DSB) schriftlich benannt. Der DSB ist bei der Datenschutzfolgeabschätzung eingebunden. Die Mitarbeiter sind auf rechtskonformen Umgang mit personenbezogenen Daten verpflichtet und nachweislich geschult. Administratoren sind auf das Fernmeldegeheimnis verpflichtet. 

5.2 Störungsfallmanagement

Es ist ein Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Störungen in IT-Bereichen vorgesehen. 

5.3 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

In den internen Richtlinien sind Beachtung von Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen aufgenommen; im Entwicklungsprozess und Produktdesign fließen so die Vorgaben des Art. 25 DSGVO ein. 

5.4 Auftragskontrolle/Einbindung von Unter-Auftragsverarbeitern

Es erfolgt keine Auftragsdatenverarbeitung ohne entsprechende Weisung des Auftraggebers. Die Verträge sind eindeutig gestaltet, die Auswahl der (Unter-)Auftragsverarbeiter erfolgt unter Sorgfaltsgesichtspunkten, insbesondere hinsichtlich der Datensicherheit). Vor Beauftragung erfolgt einen Prüfung und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen. Gegenüber den Auftragsverarbeitern werden wirksame Kontrollrechte vereinbart. Der Auftragsverarbeiter und seine Tätigkeiten werden regelmäßig überprüft. Die Mitarbeiter des Auftragsverarbeiters sind auf die Vertraulichkeit beim Umgang mit personenbezogenen Daten verpflichtet.