AGB

§ 1 Geltungsbereich und Vertragsgegenstand

(1)
Die folgenden allgemeinen Geschäftsbedingungen gelten für die
Geschäftsbeziehungen der pixelconcept GmbH, Friedrich-Ebert-Straße 79,
34119 Kassel (im Folgenden: Provider) mit ihren Kunden (im Folgenden:
Kunde) bezüglich des Angebots PicDesigner in Gestalt einer browser- und
App-basierten Software (im Folgenden: Anwendung) und eines ftp-Zugangs.

(2)
Bei der Anwendung handelt es sich um zeitweise zur Nutzung zur
Verfügung gestellte Standardsoftware (sogenannte „Software as a
Service“, abgekürzt: SaaS) mittels derer Bildoptimierungsleistungen an
Bildern von Kraftfahrzeugen vorgenommen werden. Der Leistungsgegenstand
ergibt sich aus der Leistungsbeschreibung in der jeweils gültigen
Fassung. Für die Zeit der Nutzung bietet der Provider zusätzlich
Speicherplatz zum Ablegen der bei der Verwendung der Anwendung erzeugten
und/oder zu deren Nutzung erforderlichen Daten (im Folgenden:
Anwendungsdaten). Der Umfang der durch den Provider bereit zu stellenden
Leistungen ergibt sich aus dem Umfang der Aufträge des Kunden.

(3)
Der Kunde nutzt die Anwendung über eine Telekommunikationsverbindung
mittels einer Zugriffssoftware in Gestalt eines Internet-Browsers, die
der Provider dem Kunden nicht zur Verfügung stellt und die der Kunde auf
sein eigenes Risiko nutzt oder mittels der Applikation für Mobilgeräte
PicDesignerApp, die vom Provider zur Verfügung gestellt wird. Alternativ
können Bildoptimierungen durch Upload auf den ftp-Server des Providers
in Auftrag gegeben werden.

(4)
Der Provider räumt dem Kunden die zur vertragsgemäßen Nutzung der
Anwendung erforderlichen Nutzungsrechte ein und/oder vermittelt ihm
diese.

(5) Der Kunde zahlt für die Leistungen des Providers das vereinbarte Entgelt.

(6) Der Provider schließt Verträge ausschließlich mit Kunden ab, die Unternehmer im Sinne von § 14 BGB sind.

§ 2 Bereitstellung der Anwendung und des ftp-Servers sowie Speicherplatz für Anwendungsdaten

(1)
Der Provider hält ab dem in der Auftragsbestätigung mitgeteilten
Zeitpunkt auf einer zentralen Datenverarbeitungsanlage oder mehreren
Datenverarbeitungsanlagen (im Folgenden: Server) die Anwendung in der
jeweils aktuellen Version zur Nutzung nach Maßgabe der folgenden
Regelungen bereit. Weiterhin hält er einen ftp-Server bereit. Der
Provider bedient sich zur Bereitstellung der Server auch Dienste
Dritter. Der Kunde stimmt dem zu. Der Provider passt die Konfiguration
der Datenverarbeitungsanlagen dem Stand der Technik an.

(2)
Der Provider haftet dafür, dass die bereit gestellte Anwendung und der
ftp-Server für die sich aus der diesbezüglichen Leistungsbeschreibung
ergebenden Zwecke geeignet und während der gesamten Vertragslaufzeit
frei von Mängeln sind, insbesondere frei von Viren und ähnlicher
Schadsoftware, die die Tauglichkeit der Anwendung zum vertragsgemäßen
Gebrauch aufheben.

(3) Der Provider übermittelt dem Kunden die zur Nutzung der Anwendung erforderlichen Zugangsdaten.

(4)
Der Provider sorgt dafür, dass die von ihm zur Nutzung bereit gestellte
Anwendung und der ftp-Server dem Stand der Technik entsprechen. Sofern
und soweit mit der Bereitstellung einer neuen Version oder einer
Änderung (im Folgenden: Änderung) von Funktionalitäten der Anwendung und
des ftp-Servers, durch die Anwendung und den ftp-Server unterstützten
Arbeitsabläufen des Kunden und/oder Beschränkungen in der Verwendbarkeit
einhergehen, wird der Provider dies dem Kunden spätestens sechs Wochen
vor dem Wirksamwerden einer solchen Änderung in Textform ankündigen
unter Übersendung einer Liste mit den anstehenden Änderungen und/oder
Beschränkungen (im Folgenden: Release Notes). Widerspricht der Kunde
nicht in Textform innerhalb einer Frist von zwei Wochen ab Zugang der
Release Notes, werden diese Vertragsbestandteil. Der Provider wird den
Kunden bei jeder Ankündigung von Änderungen auf die vorgenannte Frist
und die Rechtsfolgen ihres Verstreichens bei Nichtwahrung der
Widerspruchsmöglichkeit aufmerksam machen. Hat der Kunde der Änderung
widersprochen und teilt der Provider dem Kunden daraufhin mit, dass eine
Fortsetzung des Vertrages ohne die Änderung für den Provider aus
technischen oder wirtschaftlichen Gründen unzumutbar ist, kann der Kunde
den Vertrag innerhalb eines Monats ab Zugang dieser Mitteilung in
Textform kündigen. Die Änderung gilt als genehmigt, wenn der Kunde von
diesem Kündigungsrecht keinen Gebrauch macht. Auf die Rechtsfolge einer
unterbleibenden Kündigung in Textform weist der Provider den Kunden mit
der Mitteilung über die Unzumutbarkeit der Fortsetzung des
Vertragsverhältnisses hin.

(5)
Die Anwendung und die Anwendungsdaten werden auf dem Server regelmäßig,
mindestens an jedem zweiten Kalendertag, gesichert. Gleiches gilt für
den ftp-Server. Die vom Kunden generierten und erstellten
Anwendungsdaten werden durch den Provider für einen Zeitraum von maximal
90 Tagen gespeichert, soweit hinsichtlich einzelner Daten keine
gesetzliche Löschungspflicht besteht. Nach Ablauf der Frist werden die
Daten auch bei Fortbestehen des Vertrages vollständig gelöscht. Für die
Einhaltung handels- und steuerrechtlicher Aufbewahrungsfristen ist der
Kunde verantwortlich.

(6) Übergabepunkt für die Anwendung, den ftp-Server und die Anwendungsdaten ist der Routerausgang des Rechenzentrums des Providers.

(7)
Der Kunde hält für die browserbasierte Nutzung der Anwendung des
Providers einen dem Stand der Technik entsprechenden Personal Computer
(PC) vor, auf dem eine geeignete Zugriffssoftware installiert ist.
Gleiches gilt für die Nutzung des ftp-Servers. Für Änderungen am
technischen System des Providers gilt die Widerspruchslösung des Abs. 4
entsprechend. Für die Beschaffenheit der erforderlichen Hard- und
Software auf Seiten des Kunden sowie für die
Telekommunikationsverbindung zwischen dem Kunden und dem Provider bis
zum Übergabepunkt ist der Provider nicht verantwortlich.

§ 3 Zugriffssoftware

(1)
Der Provider stellt dem Kunden für den browserbasierten Zugriff auf die
Anwendung keine Zugriffssoftware zur Verfügung. Gleiches gilt für den
Zugriff auf den ftp-Server.

(2)
Der Kunde hält einen der folgenden kostenlos beziehbaren
Internet-Browser in der aktuellen Version auf eigene Verantwortung zum
browserbasierten Zugriff auf die Anwendung des Providers vor: Google
Chrome, Mozilla Firefox, Apple Safari, Microsoft Internet Explorer.

(3)
Der mobile Zugriff auf die Anwendung des Providers findet auf dessen
Kosten ausschließlich mittels der hierfür zu beziehenden PicDesignerApp
statt, die der Kunde in der jeweils aktuellen Fassung vorhält und mit
der jeweils aktuellen Version eines der mobilen Betriebssysteme iOS oder
Android nutzt. Die Version für iOS wird über den Apple App Store und
die Version für Android über den Google Play Store kostenlos vom
Provider zum Download angeboten.

(4) Der Kunde hält eine dem Stand der Technik entsprechende Software für ftp-Zugriffe vor.

§ 4 Technische Verfügbarkeit der Anwendung und des Zugriffs auf die Anwendungsdaten, Reaktions- und Wiederherstellungszeiten

(1)
Der Provider schuldet die vereinbarte Verfügbarkeit der Anwendung, des
ftp-Servers und der Anwendungsdaten am Übergabepunkt. Unter
Verfügbarkeit verstehen die Vertragspartner die technische Nutzbarkeit
der Anwendung, des ftp-Servers und der Anwendungsdaten am Übergabepunkt
zum Gebrauch durch den Kunden unter Verwendung der Zugriffssoftware.

(2) Es wird eine Verfügbarkeit von 99% bezogen auf ein Kalenderjahr zugesichert.

(3)
Der Provider beseitigt innerhalb angemessener Frist nach folgender
Maßgabe ihm gemeldete Mängel oder den Ausfall beziehungsweise
Teilausfall der Anwendung und des ftp-Servers.
Auftretende Mängel
werden von den Parteien einvernehmlich als betriebsverhindernde,
betriebsbehindernde oder sonstige Mängel eingeordnet. Erzielen die
Parteien kein Einvernehmen, entscheidet der Provider über die Einordnung
unter angemessener Berücksichtigung der Interessen des Kunden.

(4) Je nach Einordnung eines Mangels gelten folgende Reaktions- und Wiederherstellungszeiten:

(a)
Für einen betriebsverhindernden Mangel werden eine Reaktionszeit von 36
Stunden und eine Wiederherstellungszeit von 3 Tagen vereinbart. Ein
betriebsverhindernder Mangel liegt vor, wenn die Nutzung der Anwendung
und/oder des ftp-Servers beispielsweise aufgrund von Fehlfunktionen,
falschen Arbeitsergebnissen oder Antwortzeiten unmöglich ist oder
schwerwiegend eingeschränkt wird und dieser Mangel nicht mit zumutbaren
organisatorischen Hilfsmitteln umgangen werden kann.

(b) Für
einen betriebsbehindernden Mangel werden eine Reaktionszeit von 48
Stunden und eine Wiederherstellungszeit von 5 Tagen vereinbart. Ein
betriebsbehindernder Mangel liegt vor, wenn die Nutzung der Anwendung
und/oder des ftp-Servers beispielsweise aufgrund von Fehlfunktionen,
falschen Arbeitsergebnissen oder Antwortzeiten zwar nicht unmöglich ist
oder schwerwiegend eingeschränkt wird, die Nutzungseinschränkung(en)
aber zugleich auch nicht nur unerheblich ist (sind) und mit zumutbaren
organisatorischen oder sonstigen wirtschaftlichen zumutbaren Mitteln
nicht umgangen werden kann (können). 

(c) Für einen sonstigen
Mangel werden eine Reaktionszeit von 3 Werktagen und eine
Wiederherstellungszeit von 14 Werktagen vereinbart. Ein sonstiger Mangel
liegt vor, wenn die Nutzung der Anwendung und/oder des ftp-Servers
nicht unmittelbar und/oder nicht erheblich beeinträchtigt wird, wie etwa
bei ungünstig definierten Grundeinstellungen oder ausfallenden
Funktionen, die für die Erfüllung des Zwecks der Software nebensächlich
sind und/oder lediglich die Bedienung der Software erleichtern (so
bezeichnete „Nice-to-have-Funktionen“). 

(d) Ein Mangel der
Anwendung und/oder des ftp-Servers liegt vor, wenn 1) die bei
vertragsgemäßen Einsatz die in der Produkt- und/oder
Leistungsbeschreibung festgelegten Funktionalitäten nicht erbracht
werden oder (2) wenn sich die Anwendung und/oder der ftp-Server für die
nach dem Vertrag vorausgesetzte Verwendung nicht eignen oder (3) wenn
sie sich für die gewöhnliche Verwendung nicht eignen und nicht die
Beschaffenheit aufweisen, die bei Anwendungen und/oder ftp-Servern der
gleichen Art üblich sind und der Kunde diese nach Art der Anwendung bzw.
des ftp-Servers erwarten kann. Ein Mangel i.S. dieser Vorschrift liegt
insbesondere dann nicht vor, wenn sich das Vorliegen einer der
vorgenannten Voraussetzungen (a)-(c) nur unwesentlich auf die Nutzung
der Anwendung und/oder des ftp-Servers auswirkt oder die Störung durch
unsachgemäße Nutzung der Anwendung und oder des ftp-Servers im Sinne
mvon § 7 Abs. 1 hervorgerufen wurde.

(5) Mängel meldet der Kunde dem Provider über das von diesem auf seiner Webseite betriebene Kundenportal.

(6)
Art und Weise der Mängelbeseitigung stehen im billigen Ermessen des
Providers. Bietet der Provider dem Kunden zur Vermeidung oder
Beseitigung von Mängeln Patches, Bugfixes, eine neue Version,
Softwareteile oder ähnliches an, so hat der Kunde diese, wenn und sobald
es für ihn zumutbar ist, zu übernehmen. Die Beseitigung eines Mangels
kann darüber hinaus auch in der Form von Handlungsanweisungen gegenüber
dem Kunden erfolgen. Der Kunde hat derartige Handlungsanweisungen zu
befolgen, es sei denn, diese sind ihm nicht zumutbar. Die Verpflichtung
des Providers zur Mangelbeseitigung ist erfüllt, wenn kein Mangel im
Sinne des Abs. 3 mehr vorliegt.

(7)
Kann der Provider einen Mangel nicht innerhalb des vertraglich
vereinbarten Zeitraums beseitigen, stellt er dem Kunden auf eigene
Kosten eine vorübergehende Umgehungslösung zur Verfügung, soweit dies
für ihn wirtschaftlich zumutbar ist. Die Verpflichtung des Providers zur
dauerhaften Mangelbeseitigung bleibt durch die Lieferung der
vorübergehenden Umgehungslösung unberührt.

(8) Die Bildoptimierung führt der Provider binnen 36 Stunden durch unter den Voraussetzungen des § 10.

(9)
Zur Prüfung und Behebung von Fehleranzeigen und Fehlern genehmigt der
Kunde schon mit Vertragsabschluss den Zugriff auf Anwendungsdaten. Der
Zugriff durch den Provider wird nur soweit genommen, wie dies zur
Fehlerprüfung und Fehlerbeseitigung erforderlich ist. Die Regelungen des
§ 10 und § 11 dieser Geschäftsbedingungen werden somit durch diese
Regelung erweitert. 

§ 5 Nichterfüllung von Hauptleistungspflichten

(1) Kommt der Provider den in §§ 2 und 4 vereinbarten Verpflichtungen nicht vollständig nach, gelten die folgenden Regelungen.

(2)
Gerät der Provider mit der erstmaligen Bereitstellung der Anwendung in
Verzug, so ist er zum Rücktritt vom Vertrag berechtigt, wenn der
Provider eine vom Kunden gesetzte zweiwöchige Nachfrist nicht einhält,
das heißt innerhalb der Nachfrist nicht die vollvereinbarte
Funktionalität der Anwendung zur Verfügung stellt.

(3)
Kommt der Provider nach erstmaliger betriebsfähiger Bereitstellung
einer Anwendung und/oder von Anwendungsdaten den vereinbarten
Verpflichtungen ganz oder teilweise nicht nach, so verringert sich die
monatliche Nutzungspauschale nach § 9 Abs. 1, 2 anteilig für die Zeit,
in der die Anwendung und/oder die Anwendungsdaten dem Kunden nicht in
dem vereinbarten Umfang beziehungsweise der Speicherplatz nicht in dem
vereinbarten Umfang zur Verfügung standen.

(4)
Ist eine Nutzung einer Anwendung nicht innerhalb der in § 4
vereinbarten Frist, nachdem der Provider vom Mangel Kenntnis erlangt
hat, wiederhergestellt, so kann der Kunde unabhängig von dem Grund der
Nichterfüllung, jedoch nicht, wenn ausschließlich höhere Gewalt
vorliegt, das Vertragsverhältnis in Bezug auf die Nutzung der
betroffenen Anwendung ohne Einhaltung einer Frist außerordentlich
kündigen.

§ 6 Sonstige Leistungen des Providers

(1)
Der Provider stellt dem Kunden eine elektronische, ausdruckbare, in
deutscher Sprache abgefasstes Hilfe für die Anwendung zur Verfügung. Die
Hilfe kann in dem vom Provider betriebenen Kundenportal auf dessen
Webseite eingesehen und heruntergeladen werden. Im Fall einer
Aktualisierung der Anwendung nach § 2 Abs. 4 wird die Hilfe entsprechend
angepasst.

(2) Der
Kunde ist berechtigt, die zur Verfügung gestellte Hilfe unter
Aufrechterhaltung vorhandener Schutzrechtsvermerke zu speichern,
auszudrucken und für Zwecke dieses Vertrags in angemessener Anzahl zu
vervielfältigen. Im Übrigen gelten die unter § 7 für die Anwendung
vereinbarten Nutzungsbeschränkungen für die Hilfe entsprechend

§ 7 Nutzungsrechte an und Nutzung der Anwendung, Rechte des Providers bei Überschreitung der Nutzungsbefugnisse

(1) Nutzungsrechte an der Anwendung 

(a)
Der Kunde erhält an der Anwendung einfache, nicht unterlizenzierbare
und nicht übertragbare auf die Laufzeit dieses Vertrags beschränkte
Nutzungsrechte nach Maßgabe der nachstehenden Regelungen. 

(b)
Eine physische Überlassung der Anwendung man den Kunden erfolgt nicht.
Der Kunde darf die Anwendung nur für seine eigenen geschäftlichen
Tätigkeiten durch eigenes Personal nutzen. 

(c) Der Kunde nutzt die jeweilige Anwendung nur durch die in der Leistungsbeschreibung angegebene Anzahl von Personen.

(d)
Der Kunde ist nicht berechtigt, Änderungen an der Anwendung
vorzunehmen. Dies gilt nicht für Änderungen, die für die Berichtigung
von Fehlern notwendig sind, sofern der Provider sich mit der Behebung
des Fehlers in Verzug befindet, die Fehlerbeseitigung ablehnt oder wegen
der Eröffnung des Insolvenzverfahrens zur Fehlerbeseitigung außer
Stande ist. 

(e) Sofern der Provider während der Laufzeit neue
Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf
die Anwendung vornimmt, gelten die vorstehenden Rechte auch für diese. 

(f)
Rechte, die vorstehend nicht ausdrücklich dem Kunden eingeräumt werden,
stehen dem Kunden nicht zu. Der Kunde ist insbesondere nicht
berechtigt, die jeweilige Anwendung über die vereinbarte Nutzung hinaus
zu nutzen oder von Dritten nutzen zu lassen oder die jeweilige Anwendung
Dritten zugänglich zu machen. Insbesondere ist es nicht gestattet, die
jeweilige Anwendung zu vervielfältigen, zu veräußern oder zeitlich
begrenzt zu überlassen, insbesondere nicht zu vermieten oder zu
verleihen.

(2) Verpflichtungen des Kunden zur sicheren Nutzung

(a) Der Kunde trifft die notwendigen Vorkehrungen, um die Nutzung der Anwendung durch Unbefugte zu verhindern. 

(b)
Der Kunde haftet dafür, dass die Anwendung nicht zu rassistischen,
diskriminierenden, pornographischen, den Jugendschutz gefährdenden,
politisch extremen oder sonst gesetzeswidrigen oder gegen behördliche
Vorschriften oder Auflagen verstoßenden Zwecken verwendet oder
entsprechende Daten, insbesondere Anwendungsdaten, erstellt und/oder auf
dem Server gespeichert werden.

(3) Verletzung der Bestimmungen nach Abs. 1 und 2 durch den Kunden 

(a)
Verletzt der Kunde die Regelungen in Abs. 1 oder 2 aus von ihm zu
vertretenden Gründen, kann der Provider den Zugriff des Kunden auf die
Anwendung oder die Anwendungsdaten sperren, wenn die Verletzung
hierdurch nachweislich abgestellt werden kann.

(b) Verstößt der
Kunde rechtswidrig gegen Abs. 2 lit. b, ist der Provider berechtigt, die
dadurch betroffenen Daten beziehungsweise Anwendungsdaten zu löschen.
Im Fall eines rechtswidrigen Verstoßes durch Nutzer hat der Kunde dem
Provider auf Verlangen unverzüglich sämtliche Angaben zur Geltendmachung
der Ansprüche gegen den Nutzer zu machen, insbesondere dessen Namen und
Anschrift mitzuteilen. 
Verletzt der Kunde trotz entsprechender
Abmahnung des Providers in Textform weiterhin oder wiederholt die
Regelungen in Abs. 1 oder 2, und hat er dies zu vertreten, so kann der
Provider den Vertrag ohne Einhaltung einer Kündigungsfrist
außerordentlich kündigen. 

(c) Für jeden Fall, in dem der Kunde
die Nutzung der Anwendung durch Dritte schuldhaft ermöglicht, hat der
Kunde jeweils eine sofort fällige Vertragsstrafe in Höhe von EUR 250,00
zu zahlen. Die Geltendmachung von Schadensersatz bleibt vorbehalten; in
diesem Fall wird die Vertragsstrafe auf den Schadensersatzanspruch
angerechnet. Gleiches gilt im Fall der Verletzung der Pflichten nach §
10 Abs. 1 Nr. 11 durch den Kunden.

(4) Rechte des Kunden an etwa entstehenden Datenbanken/Datenbankwerken
Sofern
und soweit während der Laufzeit dieses Vertrags, insbesondere durch
Zusammenstellung von Anwendungsdaten, durch nach diesem Vertrag erlaubte
Tätigkeiten des Kunden auf dem Server des Providers eine Datenbank,
Datenbanken, ein Datenbankwerk oder Datenbankwerke entstehen, stellen
alle Rechte hieran dem Kunden zu. Der Kunde bleibt auch nach
Vertragsende Eigentümer der Datenbanken bzw. Datenbankwerke. 

§ 8 Haftung für Rechte Dritter

(1)
Der Provider wird den Kunden von Rechten Dritter bzw. von deren
Geltendmachung und von einer daraus resultierenden Beeinträchtigung der
Erbringung vereinbarter Leistungen unverzüglich unterrichten und ihm in
geeigneter Weise den vollen Zugriff auf die Anwendungsdaten ermöglichen.

(2)
Der Kunde ist, sofern und soweit die Rechte Dritter ihn im Gebrauch der
Anwendung beeinträchtigen, nicht zur Vergütung verpflichtet.

(3)
Eine nicht vorhandene Nutzbarkeit der Anwendung und/oder der
Anwendungsdaten aus rechtlichen Gründen nach Abs. 1 gilt als
Nichtverfügbarkeit im Sinne dieser Vertragsbedingungen.

(4)
Soweit der Provider nicht oder nicht mehr über die Rechte verfügt, die
er benötigt, um den Vertrag ordnungsgemäß zu erfüllen, insbesondere über
die notwendigen Nutzungsrechte an der Software und die Anwendung nicht
gemäß diesen Vertragsbedingungen nutzbar ist, gilt § 5 Abs. 3
entsprechend.

(5)
Der Provider hält den Kunden auf erstes Anfordern frei von sämtlichen
Ansprüchen Dritter, die diese aus ihren Rechten gegen den die Anwendung
vertragsgemäß nutzenden Kunden geltend machen. Die Vertragspartner
werden sich unverzüglich in Textform benachrichtigen, falls ihnen
gegenüber Ansprüche geltend gemacht werden. Die Regelungen des § 14
finden insoweit keine Anwendung.

(6)
Der Provider haftet nicht für eine Verletzung der Rechte Dritter durch
den Kunden, sofern und soweit sich diese Verletzung aus einer
Überschreitung der nach diesem Vertrag eingeräumten Nutzungsrechte
ergibt. In diesem Fall stellt der Kunde den Provider auf erstes
Anfordern frei von sämtlichen Ansprüchen Dritter. 

§ 9 Entgelt

(1)
Die Vergütung für die zu erbringenden Leistungen der Nutzungsgewährung
bzgl. der Anwendung, des Zugangs zu dem ftp-Server, der
Zurverfügungstellung von Speicherplatz einschließlich der Datensicherung
und der Optimierung von Kraftfahrzeugbildern ergibt sich aus der
jeweils aktuellen Preisliste des Providers, die auf der Webseite des
Providers in der jeweils gültigen Fassung eingesehen werden kann.

(2)
Anfallende monatliche Pauschalen für die Nutzung der Anwendung und/oder
die Gewährung von Vorteilen im Rahmen der Beauftragung von
Bildoptimierungen werden monatlich im Voraus abgerechnet und werden zum
Monatsersten des Monats fällig, für den sie anfallen.

(3)
Der Provider ist berechtigt, die vereinbarten Preise für die
vertraglichen Leistungen zum Ausgleich von Personal- und sonstigen
Kostensteigerungen angemessen zu erhöhen. Der Provider wird diese
Preiserhöhungen dem Kunden in Textform bekannt geben; die
Preiserhöhungen gelten nicht für die Zeiträume, für die Kunde bereits
Zahlungen geleistet hat. Beträgt die Preiserhöhung mehr als 8 % des
bisherigen Preises, so ist der Kunde berechtigt, den Vertrag im Ganzen
mit einer Frist von 6 Wochen zum Ende eines Halbjahres zu kündigen;
macht er von diesem Kündigungsrecht Gebrauch, so werden bis zum
Wirksamwerden der Kündigung die nicht erhöhten Preise berechnet. Auf
dieses Kündigungsrecht wird der Provider den Kunden zusammen mit jeder
Ankündigung hinweisen.

(4)
Die Vergütung für die Bildoptimierung ist gestaffelt nach
Bildoptimierungs-Paketen. Ein Bildoptimierungs-Paket beinhaltet eine
maximale Anzahl von Bildern, die zu dem Preis des jeweiligen Pakets
optimiert werden.

(5)
Mit Beauftragung eines Bildoptimierungs-Pakets fällt der jeweilige
Preis an unabhängig davon, ob die maximale Anzahl der im Rahmen des
Pakets optimierbaren Bilder mit der entsprechenden Beauftragung vom
Kunden zur Bearbeitung durch Upload bereitgestellt werden. Soweit der
Provider bei der Bearbeitung einzelner Bildoptimierungs-Pakete seine
Pflicht nach § 4 Abs. 8 verletzt, entfällt die Vergütungspflicht des
Kunden soweit dieser seiner diesbezüglichen Anzeigepflicht nach § 10
Abs. 2 nachkommt.

(6)
Soweit der Provider dem Kunden freiwillig kostenlose Kontingente von
Bildoptimierungs-Paketen gewährt, leitet sich für den Kunden hieraus
kein Anspruch des Kunden für die künftige Gewährung kostenloser
Bildoptimierungs-Pakete ab.

(7)
Sonstige ausdrücklich als vergütungspflichtig vereinbarte Leistungen
werden vom Provider nach Aufwand (Time & Material) zu den jeweils im
Zeitpunkt der Beauftragung geltenden allgemeinen Listenpreisen des
Providers erbracht.

(8) Vergütungen,
gleich ob in Gestalt von monatlichen Pauschalen oder für die
Beauftragung einzelner Bildoptimierungs-Pakete, werden zuzüglich MwSt.
in der jeweils anfallenden gesetzlichen Höhe geschuldet.

(9) Die Zahlung erfolgt mittels SEPA-Lastschriftverfahren.

§ 10 Pflichten und Obliegenheiten des Kunden

(1)
Der Kunde wird alle Pflichten und Obliegenheiten erfüllen, die zur
Abwicklung des Vertrags erforderlich sind. Er wird insbesondere

1.
die ihm zugeordneten Nutzungs- und Zugangsberechtigungen sowie
vereinbarte Identifikations- und Authentifikations-Sicherungen geheim
halten, vor dem Zugriff durch Dritte schützen und nicht an unberechtigte
Nutzer weitergeben. Diese Daten sind durch geeignete und übliche
Maßnahmen zu schützen. Der Kunde wird den Provider unverzüglich
unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder
Kennwörter nicht berechtigten Personen bekannt geworden sein könnten;

2. die vereinbarten Zugangsvoraussetzungen schaffen;

3. die Beschränkungen/Verpflichtungen im Hinblick auf die Nutzungsrechte nach § 7 einhalten, insbesondere

a.
keine Informationen oder Daten unbefugt abrufen oder abrufen lassen
oder in Programme, die von dem Provider betrieben werden eingreifen oder
eingreifen lassen oder in Datennetze des Providers unbefugt eindringen
oder ein solches Eindringen fördern;

c. den im Rahmen der
Vertragsbeziehung und/oder unter Nutzung der Anwendung bzw. des
ftp-Servers möglichen Austausch von elektronischen Nachrichten nicht
missbräuchlich für den unaufgeforderten Versand von Nachrichten und
Informationen an Dritte zu Werbezwecken nutzen;

d. den Provider
von Ansprüchen Dritter freistellen, die auf einer rechtswidrigen
Verwendung der Anwendung bzw. ftp-Servers durch ihn beruhen oder die
sich aus vom Kunden verursachten datenschutzrechtlichen,
urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben,
die mit der Nutzung der Anwendung und/oder des ftp-Servers verbunden
sind;

e. die berechtigten Nutzer verpflichten, ihrerseits die für sie geltenden Bestimmungen dieses Vertrags einzuhalten;

4.
dafür Sorge tragen, dass er (z. B. bei der Übermittlung von
Texten/Daten Dritter auf den Server des Providers) alle Rechte Dritter
an von ihm verwendetem Material beachtet;

5.
nach § 11 Abs. 2 die erforderliche Einwilligung des jeweils Betroffenen
einholen, soweit er bei Nutzung der Anwendung personenbezogene Daten
erhebt, verarbeitet oder nutzt und kein gesetzlicher Erlaubnistatbestand
eingreift;

6. vor der Versendung von
Daten und Informationen an den Provider diese auf Viren prüfen und dem
Stand der Technik entsprechende Virenschutzprogramme einsetzen;

7.
wenn er zur Erzeugung von Anwendungsdaten mit Hilfe der Anwendung
und/oder dem ftp-Server dem Provider Daten übermittelt, diese regelmäßig
und der Bedeutung der Daten entsprechend sichern und eigene
Sicherungskopien erstellen, um bei Verlust der Daten und Informationen
die Rekonstruktion derselben zu ermöglichen;

8.
sofern und soweit ihm einvernehmlich die technische Möglichkeit dazu
eröffnet wird, regelmäßig die auf dem Server gespeicherten
Anwendungsdaten durch Download sichern; unberührt bleibt die
Verpflichtung des Providers zur Datensicherung;

9. die einzelnen zu optimierenden Bilder in optimaler Ausgangsqualität anliefern, d. h. im Einzelnen

• mit einer Auflösung von mindestens 800 x 600 Pixeln,

• im Seitenverhältnis 4:3,


fotografiert aus einer Entfernung von drei Metern zum dargestellten
Fahrzeug mit einem Freiraum rund um das abgebildete Fahrzeug von 50 cm,
in dem sich keine anderen Objekte befinden,

• ohne dass das
abgebildete Fahrzeug von anderen Gegenständen und/oder Objekten verdeckt
wird bzw. sich darauf Gegenstände und/oder Objekte befinden wie
insbesondere Schnee, Regen und Laub und

• ohne dass auf dem Fahrzeug Spiegelungen zu sehen sind.

10. die jeweilige Beauftragung inhaltlich richtig vornehmen, d. h. im Einzelnen:

• bei Beauftragungen über die browserbasierte Version oder die App

• für die jeweilige Beauftragung eine für den Kunden nachvollziehbare Auftragsbezeichnung vergeben,

• den gewünschten Hintergrund für die Bearbeitung der hochzuladenden Bilder im Rahmen einer Beauftragung auswählen,

• ein Bildoptimierungspaket mit einer ausreichenden Anzahl von zu optimierenden Bildern wählen,


im Fall des Auswählens von mehr Bildern als nach dem ausgewählten
Bildoptimierungs-Paket vom Provider zu optimieren sind, diejenigen
Bilder zur Optimierung zu markieren, die optimiert werden sollen,

• keine bereits optimierten Bilder erneut zur Optimierung beauftragen,

• zu optimierende Bilder von montags bis freitags bis spätestens 15:00 Uhr hochzuladen und zu beauftragen

• bei Beauftragungen mittels Upload auf den FTP-Server des Providers sicherzustellen, dass er

• die in der browserbasierten Anwendung angezeigten FTP-Zugangsdaten verwendet,


in der browserbasierten Anwendung für die im Rahmen der Bildoptimierung
mittels FTP-Zugangs zu optimierenden Bilder den gewünschten
Bildhintergrund hinterlegt und das jeweils pro Bildoptimierung
anzuwendende Bildoptimierungs-Paket,

• die zu optimierenden Bilder zu einem Bildoptimierungspaket auf dem FTP-Server in dem Ordner „in“ hinterlegt
oentweder
unter Bezeichnung der Bilder mit einer eindeutigen Bezeichnung des
darauf dargestellten Fahrzeugs (insbesondere durch VIN, Angebotsnummer
oder Fahrzeugbezeichnung) unter mit einer durch einen Unterstrich danach
abgetrennten fortlaufenden Nummerierung (z. B. M087231_1.jpg,
M087231_2.jpg, usw.)
ooder in einem Verzeichnis mit einer eindeutigen
Bezeichnung für die darin hinterlegten Bilder des darauf abgebildeten
Fahrzeugs unter Herstellung einer fortlaufenden Nummerierung (z. B.
/in/M087231/foto1.jpg, /in/M07231/foto2.jpg, usw.)

• nur maximal
so viele Bilder eines Fahrzeugs hinterlegt, wie nach dem von ihm in der
browserbasierten Anwendung hinterlegten Bildoptimierungs-Paket optimiert
werden,

• im Fall der Hinterlegung von mehr Bildern als nach dem
in der browserbasierten Anwendung hinterlegten Bildoptimierungs-Paket
optimiert werden, die zu optimierenden Bilder der Reihenfolge nach als
erste hinterlegt,

• im Fall der Trennung der FTP-Verbindung
mittels der browserbasierten Anwendung hierdurch sämtliche noch im
„in“-Ordner befindlichen, noch nicht vom Provider abgeholten
Bildoptimierungsaufträge zur unverzüglichen Bearbeitung in Auftrag gibt

• einen einmal gestalteten Hintergrund für zu optimierende Bilder nur löschen, wenn er diesen nie wieder zu nutzen beabsichtigt;

11. die jeweilige Beauftragung vornehmen ohne die nach der Preisliste vorgesehene Vergütungsstaffel zu umgehen, insbesondere


indem er wahrheitswidrig bei der Auswahl des Bildoptimierungs-Pakets
ein solches für eine andere Fahrzeugart auswählt als diejenige, die das
Fahrzeug auf dem von ihm hochgeladenen Bildern repräsentiert,
insbesondere die Bildoptimierung von Automobil-Bildern, wenn er
tatsächlich Bilder von einem Motorrad hochgeladen hat,

• indem Bilder von mehr als ein und demselben Fahrzeug im Rahmen eine Bildoptimierungs-Paketes zur Optimierung beauftragt;

12. den Erhalt von optimierten Bildern zu gewährleisten durch

• tägliche Prüfung, ob optimierte Bilder zum Download vom Provider bereit gestellt wurden, wahlweise im Download-Bereich der browserbasierten Anwendung oder dem „out“-Ordner auf dem FTP-Server

• unverzüglichen Download von bereit gestellten, optimierten Bildern, wobei der Kunde beachtet, dass bei Upload von mehr Bildern als zur Optimierung markiert wurden, die optimierten Bilder in der ursprünglichen Reihenfolge mit den nicht zu optimierenden Bildern zum Download zur Verfügung gestellt werden

(2) Mängel
an Vertragsleistungen, insbesondere Mängel an den Leistungen nach §§ 4
bis 7 sind dem Provider unverzüglich anzeigen; im Fall der Verletzung
der Pflicht des Providers nach § 4 Abs. 8 durch Betätigung des hierfür
vorgesehenen Buttons „Reklamieren“ in der browserbasierten Anwendung
binnen zwei Wochen nach Beauftragung des jeweiligen
Bildoptimierungspakets. Unterlässt der Kunde die rechtzeitige Anzeige
aus Gründen, die er zu vertreten hat, stellt dies eine Mitverursachung
beziehungsweise ein Mitverschulden dar. Soweit der Provider infolge der
Unterlassung oder Verspätung der Anzeige nicht Abhilfe schaffen konnte,
ist der Kunde nicht berechtigt, die Pauschale nach § 9 Abs. 1, 2 des
Vertrages ganz oder teilweise zu mindern, den Ersatz des durch den
Mangel eingetretenen Schadens zu verlangen oder den Vertrag wegen des
Mangels ohne Einhaltung einer Frist außerordentlich zu kündigen. Der
Kunde hat darzulegen, dass er das Unterlassen der Anzeige nicht zu
vertreten hat.

(3)
Soweit insbesondere durch eine Verletzung der Pflichten nach Abs. 1
Rechte Dritter an von dem Kunden verwendetem Material (insbesondere Bild
und Text) verletzt werden, stellt der Kunden den Provider auf erstes
Anfordern von sämtlichen Ansprüchen Dritter frei.

§ 11 Datensicherheit, Datenschutz, Auftragsverarbeitung

(1) Die
Vertragspartner werden die jeweils anwendbaren, insbesondere die in
Deutschland gültigen, datenschutzrechtlichen Bestimmungen beachten und
ihre im Zusammenhang mit dem Vertrag und dessen Durchführung
eingesetzten Beschäftigten auf die Einhaltung dieser Bestimmungen
verpflichten, soweit diese nicht bereits allgemein entsprechend
verpflichtet sind.

(2)
Verarbeitet der Kunde personenbezogene Daten, so steht er dafür ein,
dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen,
Bestimmungen berechtigt ist und stellt im Fall eines Verstoßes den
Provider von Ansprüchen Dritter frei. Soweit die zu verarbeitenden Daten
personenbezogene Daten sind, liegt eine Auftragsverarbeitung vor; hier
gilt die Anlage Auftragsverarbeitung.

§ 12 Geheimhaltung/Referenznennung

(1)
Vertraulich zu behandelnde Informationen sind die von dem
informationsgebenden Vertragspartner ausdrücklich als vertraulich
bezeichneten Informationen und solche Informationen, deren
Vertraulichkeit sich aus den Umständen der Überlassung eindeutig ergibt.
Durch den Provider vertraulich zu behandeln sind insbesondere die
Anwendungsdaten, sollte er von ihnen Kenntnis erlangen. Keine
vertraulich zu behandelnde Information liegt vor, soweit der die
Information empfangende Vertragspartner nachweist, dass sie ihm vor dem
Empfangsdatum bekannt oder allgemein zugänglich waren, der
Öffentlichkeit vor dem Empfangsdatum bekannt oder allgemein zugänglich
waren und/oder der Öffentlichkeit nach dem Empfangsdatum bekannt oder
allgemein zugänglich wurden, ohne dass der informationsempfangende
Vertragspartner hierfür verantwortlich ist.

(2)
Die Vertragspartner werden über alle vertraulichen Informationen, die
ihnen im Rahmen dieses Vertragsverhältnisses zur Kenntnis gelangt sind,
Stillschweigen bewahren beziehungsweise diese nur im vorher in Textform
hergestellten Einvernehmen des jeweils anderen Vertragspartners Dritten
gegenüber – gleich zu welchem Zweck – verwenden.

(3)
Öffentliche Erklärungen der Vertragspartner über eine Zusammenarbeit
werden nur im vorherigen gegenseitigem Einvernehmen abgegeben.

(4)
Die Verpflichtungen nach Abs. 2 bestehen auch über das Vertragsende
hinaus auf unbestimmte Zeit, und zwar so lange, wie ein
Ausnahmetatbestand nach Abs. 1 nicht nachgewiesen ist.

(5)
Unbeschadet der voranstehenden Absätze ist der Provider berechtigt, den
Kunden unter Angaben von dessen Namen, Adress- sowie Kontaktdaten und
dessen Logo mit Verweis auf dessen Webseite, auch per Link, als Referenz
zu nennen, auch über das Ende des Vertragsverhältnisses hinaus.

(6) Soweit
der Kunde Inhalte zur Verfügung stellt, die zur Referenznennung
bestimmt sind, insbesondere Texte, Bilder und Grafiken, versichert er
befugt zu sein, diese Inhalte dem Provider zum Zweck seiner
Referenznennung zur Benutzung zur Verfügung zu stellen.

(7)
Der Kunde stellt die Agentur wegen einer unbefugten Nutzung von
Ansprüchen Dritter frei einschließlich der deswegen anfallenden Kosten
einer Rechtsverteidigung.

§ 13 Insolvenz bzw. drohende Insolvenz einer Vertragspartei

(1) Eine Partei hat die andere Partei unverzüglich davon in Kenntnis zu setzen, wenn

1. sie die Eröffnung des Insolvenzverfahrens beantragt hat oder dies in den kommenden 14 Kalendertagen beabsichtigt, 

2. die Eröffnung des Insolvenzverfahrens von Dritten beantragt worden ist,

3. sie auf Grund von Zahlungsschwierigkeiten die Zahlungen einstellen muss,

4.
gegen sie im zeitlichen Zusammenhang mit Zahlungsschwierigkeiten
Maßnahmen zur Befriedigung von Drittgläubigeransprüchen getroffen
wurden, oder 

5. sie im zeitlichen Zusammenhang mit
Zahlungsschwierigkeiten Vereinbarungen zur Befriedigung von
Drittgläubigeransprüchen zugestimmt hat.

(2)
Liegt einer der Umstände des Abs. 1 Nr. 3 bis 5 vor, so kann die andere
Partei das Vertragsverhältnis ohne Einhaltung einer Frist
außerordentlich kündigen.

§ 14 Haftung, Haftungsgrenzen und Vertragsstrafe

(1)
Die Vertragspartner haften einander bei Vorsatz oder grober
Fahrlässigkeit für alle von ihnen sowie ihren gesetzlichen Vertretern
oder Erfüllungsgehilfen verursachten Schäden unbeschränkt.

(2)
Bei leichter Fahrlässigkeit haften die Vertragspartner im Fall der
Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

(3)
Im Übrigen haftet ein Vertragspartner nur, soweit er eine wesentliche
Vertragspflicht verletzt hat. Wesentliche Vertragspflichten sind solche
Pflichten, die für die Erreichung des Vertragsziels von besonderer
Bedeutung sind, ebenso alle diejenigen Pflichten, die im Fall einer
schuldhaften Verletzung dazu führen können, dass die Erreichung des
Vertragszwecks gefährdet wird. In diesen Fällen ist die Haftung auf den
Ersatz des vorhersehbaren, typischerweise eintretenden Schaden
beschränkt. Die verschuldensunabhängige Haftung des Providers auf
Schadensersatz (§ 536a BGB) für bei Vertragsschluss vorhandene Mängel
wird ausgeschlossen; Abs. 1 und 2 bleiben unberührt.

(4)
Ein Vertragspartner ist zur Zahlung einer Vertragsstrafe nur
verpflichtet, wenn dies dieser Vertrag ausdrücklich vorsieht. Eine
Vertragsstrafe braucht nicht vorbehalten zu werden. Die Aufrechnung mit
ihr und gegen sie ist zulässig.

(5) Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

§ 15 Laufzeit, Kündigung

(1)
Das Vertragsverhältnis beginnt mit Zustandekommen des Vertrages. Die
Bereitstellung der Leistungen erfolgt ab dem mit der Auftragsbestätigung
vereinbarten oder gesondert nach Annahme mitgeteilten Zeitpunkt.

(2)
Der Vertrag wird, falls nichts anderes vereinbart ist, mit einer
Laufzeit von 24 Monaten geschlossen. Ist der Vertrag auf bestimmte Zeit
geschlossen oder wurde mit dem Kunden eine Mindestvertragslaufzeit
vereinbart, so verlängert sich der Vertrag jeweils um die vereinbarte
Zeit der Mindestlaufzeit, höchstens aber um ein Jahr, wenn er nicht mit
einer Frist von einem Monat zum jeweiligen Ablauf der bestimmten Zeit
oder Ablauf der Mindestvertragslaufzeit von einer Vertragspartei
gekündigt wird.

(3) Der
Provider kann den Vertrag ohne Einhaltung einer Frist kündigen, wenn
der Kunde für zwei Bildoptimierungsaufträge mit der Bezahlung der
anfallenden Kosten in Verzug ist oder wenn der Kunde für zwei
aufeinander folgende Monate mit der Bezahlung der abgerechneten Kosten
bzw. eines nicht unerheblichen Teils der abgerechneten Kosten oder in
einem Zeitraum, der sich über mehr als zwei Monate erstreckt, mit der
Bezahlung des Entgeltes in Höhe eines Betrages, der das Entgelt für zwei
Monate erreicht in Verzug ist. Verzug tritt ein mit Fehlschlagen eines
SEPA-Lastschrifteinzugs, spätestens aber 14 Tage nach Bereitstellung von
optimierten Bildern eines Auftrags zum Download. Der Provider kann in
diesem Fall zusätzlich einen sofort in einer Summe fälligen
pauschalierten Schadensersatz in Höhe der bis zum Ablauf der regulären
Vertragslaufzeit anfallenden monatlichen Entgelte verlangen. Dem Kunden
bleibt vorbehalten, nachzuweisen, dass ein geringerer oder gar kein
Schaden entstanden ist.

(4)
Der Provider ist berechtigt den Vertrag außerordentlich zu kündigen,
wenn der Kunde die Leistungen nicht oder nur geringfügig nutzt. Dieses
Kündigungsrecht des Providers besteht, wenn über einen Zeitraum von zwei
Monaten weniger als zwei Bildoptimierungen mit der Anwendung beauftragt
werden. Dem Nutzer wird nach der Kündigung einmalig die Möglichkeit
gegeben die Anwendung innerhalb einer Frist von einem Monat wieder zu
aktivieren oder eine kostenpflichtige Datensicherung vorzunehmen, bevor
die Anwendungsdaten dann gelöscht werden.

(5)
Der Provider kann den Vertrag kündigen, wenn der Kunde seine nach §§
7,8 und 10 bestehenden Obliegenheiten nach Abmahnung wiederholt
schuldhaft verletzt.

(6) Jede Kündigung hat wenigstens in Textform zu erfolgen.

§ 16 Pflichten bei und nach Beendigung des Vertrages

Nach
Vertragsbeendigung werden alle generierten Daten unbeschadet der
Regelung des § 2 Abs. 5 noch für einen Monat vorgehalten. Eine darüber
hinausgehende Speicherung durch den Provider erfolgt nicht. Der Kunde
ist für eine fortlaufende Sicherung seiner Daten selbst verantwortlich.

§ 17 Änderung der Geschäftsbedingungen und der Leistungsbeschreibung 

(1)
Diese Allgemeinen Geschäftsbedingungen und die Leistungsbeschreibung
können durch entsprechende Vereinbarung zwischen dem Kunden und dem
Provider geändert werden.

(2)
Wünscht der Provider eine Änderung dieser Allgemeinen
Geschäftsbedingungen oder der Leistungsbeschreibung, wird er dies dem
Kunden mitteilen und ein Angebot auf Vertragsänderung unterbreiten.
Widerspricht der Kunde diesem Angebot nicht innerhalb einer Frist von
zwei Wochen nach Zugang des Angebots in Textform, gilt das Angebot als
angenommen. In diesem Fall tritt die Vertragsänderung sechs Wochen nach
Zugang des Angebots in Kraft. Widerspricht der Kunde hingegen gemäß
vorstehendem Satz 2, so gilt der Vertrag zu den bisherigen Bedingungen
ohne Änderung fort. Der Provider wird den Kunden mit dem Angebot auf
Vertragsänderung über die besonderen Rechtsfolgen eines unterbleibenden
wenigstens in Textform zu erklärenden Widerspruchs gesondert
unterrichten.

(3)
Hat der Kunde dem Angebot auf Vertragsänderung widersprochen und teilt
der Provider dem Kunden daraufhin mit, dass eine Fortsetzung des
Vertrages ohne die Vertragsänderung für den Provider aus technischen
oder wirtschaftlichen Gründen unzumutbar ist, kann der Kunde den Vertrag
innerhalb eines Monats ab Zugang dieser Mitteilung in Textform
kündigen. Die geänderten Vertragsbedingungen gelten als genehmigt, wenn
der Kunde von diesem Kündigungsrecht keinen Gebrauch macht. Auf die
Rechtsfolge einer unterbleibenden Kündigung in Textform weist der
Provider den Kunden mit der Mitteilung über die Unzumutbarkeit der
Fortsetzung des Vertragsverhältnisses hin.

§ 18 Höhere Gewalt 

Keiner
der Vertragspartner ist zur Erfüllung der vertraglichen Verpflichtungen
im Fall und für die Dauer höherer Gewalt verpflichtet. Insbesondere
folgende Umstände sind als höhere Gewalt in diesem Sinne anzusehen:

•von dem Vertragspartner nicht zu vertretende(s) Feuer/Explosion/Überschwemmung, 

•Krieg, Meuterei, Blockade, Embargo,

•über 6 Wochen andauernder und von dem Vertragspartner nicht schuldhaft herbeigeführter Arbeitskampf, 

•nicht
von einem Vertragspartner beeinflussbare technische Probleme des
Internets; dies gilt nicht, sofern und soweit der Provider die
Telekommunikationsleistung mit anbietet. 

Jeder
Vertragspartner hat den anderen über den Eintritt eines Falls höherer
Gewalt unverzüglich in Textform in Kenntnis zu setzen.

§ 19 Schlussbestimmungen

(1) Auf das Vertragsverhältnis findet deutsches materielles Recht unter Ausschluss des UN-Kaufrechts Anwendung.

(2) Anhänge sind in ihrer jeweils gültigen Fassung Bestandteil dieses Vertrags.

(3) Nebenbestimmungen außerhalb dieser Vertragsbedingungen bestehen nicht.

(4)
Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm zwingend
einen anderen Gerichtsstand anordnet, das für Kassel zuständige
Landgericht.

Anlage Auftragsverarbeitung

§ 1 Gegenstand und Dauer des Auftrags

(1) Der
Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des
Auftraggebers (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten,
welche der Auftragnehmer auf Basis der jeweiligen Leistungsvereinbarung
oder auf Basis von einzelvertraglichen Vereinbarungen erbringt. Der
Gegenstand des Auftrags ist in gesonderten Leistungsvereinbarungen
beschrieben, die als Anlage Bestandteil dieser Vereinbarung werden.

(2) Der Auftrag ist unbefristet erteilt. Es gelten die Kündigungsfristen aus dem Hauptvertrag.

§ 2 Konkretisierung des Auftragsinhalts, Datenarten und Kreis der Betroffenen

(1) Art
und Zweck der Verarbeitung personenbezogener Daten durch den
Auftragnehmer für den Auftraggeber sind in den Leistungsvereinbarungen
konkret beschrieben.

(2) Die Art der Daten und der Kreis der Betroffenen sind in der Leistungsvereinbarung konkret beschrieben.

(3)
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet
ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in
einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der
vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die
besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Sollten
Teile der Verarbeitungen durch Subunternehmen in Drittstaaten erfolgen,
wird das angemessene Schutzniveau in den USA entweder durch einen
Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO)
festgestellt oder durch Standarddatenschutzklauseln (Art. 46 Abs. 2 lit.
c und d DS-GVO).

§ 3 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

(1) Für
die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1
DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach
den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich.
Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen,
sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind,
unverzüglich an diesen weiterzuleiten.

(2) Änderungen
des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam
zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder
in einem dokumentierten elektronischen Format festzulegen.

(3) Der
Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der
Regel schriftlich oder in einem dokumentierten elektronischen Format.
Mündliche Weisungen sind unverzüglich schriftlich oder in einem
dokumentierten elektronischen Format zu bestätigen.

(4) Bei
einem Wechsel oder einer längerfristigen Verhinderung der
Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich
schriftlich oder elektronisch die Nachfolger bzw. die Vertreter
mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend
noch für drei volle Kalenderjahre aufzubewahren.

(5) Der
Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer
Überprüfungen durchzuführen oder durch im Einzelfall zu benennende
Prüfer durchführen zu lassen. Er hat das Recht, sich durch
Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von
der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen
Geschäftsbetrieb zu überzeugen.

(6) Der
Auftraggeber wird die Betroffenen über die Übermittlung von Daten an
den Provider als Datenempfänger informieren. Den Auftragnehmer trifft
insbesondere keine Benachrichtigungspflicht gegenüber den Betroffenen.

(7) Der
Auftragnehmer stellt sicher, dass sich der Auftraggeber von der
Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO
überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber
auf Anforderung die erforderlichen Auskünfte zu erteilen und
insbesondere die Umsetzung der technischen und organisatorischen
Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen, die nicht nur
den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate,
Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B.
Wirtschaftsprüfer, Revision, Datenschutzbeauftragter,
IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

(8) Für
die Ermöglichung von Kontrollen durch den Auftraggeber und die damit
verbundenen Kosten kann der Auftragnehmer einen Vergütungsanspruch
geltend machen.

(9)
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren,
wenn er der Meinung ist, eine Weisung verstoße gegen
Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die
Durchführung der entsprechenden Weisung solange auszusetzen, bis sie
durch den Auftraggeber bestätigt oder geändert wird.

§ 4 Technisch-organisatorische Maßnahmen

(1) Der
Auftragnehmer setzt die in der Anlage Technische und Organisatorische
Maßnahmen aufgeführten Sicherheitsvorkehrungen um. Die dort
dokumentierten Maßnahmen sind Grundlage des Auftrags. Soweit eine
Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist
dieser einvernehmlich umzusetzen.

(2) Der
Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO
insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO
herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen
um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko
angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der
Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei
sind der Stand der Technik, die Implementierungskosten und die Art, der
Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu
berücksichtigen [Einzelheiten siehe Anlage Technische und
Organisatorische Maßnahmen].

(3) Die
technischen und organisatorischen Maßnahmen unterliegen dem technischen
Fortschritt und der Weiterentwicklung. Insoweit ist es dem
Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen.
Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht
unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

(4)
Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber jährlich,
eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der
Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d
DS-GVO).

§ 5 Berichtigung, Einschränkung und Löschung von Daten

(1)
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden,
nicht eigenmächtig, sondern nur nach dokumentierter Weisung des
Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.
Soweit eine betroffene Person sich diesbezüglich unmittelbar an den
Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen
unverzüglich an den Auftraggeber weiterleiten.

(2)
Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf
Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach
dokumentierter Weisung des Auftraggebers unmittelbar durch den
Auftragnehmer sicherzustellen, wenn der Auftraggeber dies mittels einer
Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht
entgegenstehen.

§ 6 Rechte und Pflichten des Auftragnehmers

(1)
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im
Rahmen der getroffenen Leistungsvereinbarungen und nach Weisungen des
Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das
Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter
unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von
Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall
teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen
Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht
eine solche Mitteilung nicht wegen eines wichtigen öffentlichen
Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

(2) Der
Auftragnehmer verwendet die zur Verarbeitung überlassenen
personenbezogenen Daten für keine anderen, insbesondere nicht für eigene
Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne
Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im
Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die
vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert
zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen
Datenbeständen strikt getrennt werden. Eine physische Trennung ist nicht
zwingend erforderlich.

(3) Der
Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses
Auftrags gesetzliche Pflichten gemäß Art. 28 bis 34 DS-GVO; insofern
gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a)
Schriftliche Bestellung eines Datenschutzbeauftragten, der seine
Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Der Auftragnehmer hat
einen externen Datenschutzbeauftragten benannt: Stephan Moers,
Datenschutzberatung Moers GmbH, Tel.: 05671 749 249 1,
datenschutz@dsb-moers.de. Ein Wechsel des Datenschutzbeauftragten wird
dem Auftraggeber unverzüglich mitgeteilt.

b)
Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29,
32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der
Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet
und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz
vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer
unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen
diese Daten ausschließlich entsprechend der Weisung des Auftraggebers
verarbeiten einschließlich der in diesem Vertrag eingeräumten
Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung
verpflichtet sind.

c)
Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen
technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2
lit. c, 32 DS-GVO [Einzelheiten in Anlage Technische und
Organisatorische Maßnahmen].

d)
Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der
Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e)
Die unverzügliche Information des Auftraggebers über Kontrollhandlungen
und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag
beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines
Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung
personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer
ermittelt.

f)
Soweit der Auftraggeber seinerseits einer Kontrolle der
Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem
Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem
anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim
Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten
Kräften zu unterstützen.

g)
Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie
die technischen und organisatorischen Maßnahmen, um zu gewährleisten,
dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit
den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz
der Rechte der betroffenen Person gewährleistet wird.

h)
Nachweisbarkeit der getroffenen technischen und organisatorischen
Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse
nach § 3 dieses Vertrages.

(4) Bei
der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22
DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von
Verarbeitungstätigkeiten sowie bei erforderlichen
Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer
im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich
angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO).

(5)
Der Auftragnehmer hat das Recht, die von dieser Vereinbarung umfassten
personenbezogenen Daten zu anonymisieren und für eigene Zwecke zu
nutzen. Unter Wahrung der Anonymität kann der Auftragnehmer die Daten zu
statistischen Auswertungen, Benchmarking oder Produktoptimierungen
nutzen. Der Auftraggeber hat jederzeit das Recht, der anonymisierten
Nutzung der anfallenden Daten schriftlich zu widersprechen. In diesem
Fall werden die anfallenden personenbezogenen Daten nicht mehr
anonymisiert und für die genannten Zwecke ausgewertet.

§
7 Mitteilungspflichten des Auftragnehmers bei Störungen der
Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

(1)
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen,
Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen
sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag
getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen
oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten
mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und
Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34
DS-GVO.

(2)
Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei
seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen
(Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34
DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger
Weisung durchführen.

§ 8 Unterauftragsverhältnisse

(1)
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche
Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung
der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die
der Auftragnehmer z.B. als Telekommunikationsleistungen,
Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die
Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung
der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der
Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der
Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des
Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch
bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme
vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der
Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter)
beauftragen, sofern er eine solche Auslagerung dem Auftraggeber vorab
schriftlich und mit angemessenem zeitlichen Vorlauf in Textform anzeigt.
Der Auftraggeber kann der Auslagerung widersprechen. Der Einspruch
gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang
der Information über die Änderung gegenüber dem Auftragnehmer zu
erheben. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl
die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern
die Erbringung der Leistung ohne die beabsichtigte Änderung dem
Auftragnehmer nicht zumutbar ist – die von der Änderung betroffene
Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des
Einspruchs kündigen.

(3) Der
Auftraggeber stimmt der Beauftragung der in der Anlage
Unterauftragnehmer in der jeweils gültigen Fassung zum Zeitpunkt des
Abschlusses der Rahmenvereinbarung zu.

(4) Die
Weitergabe von personenbezogenen Daten des Auftraggebers an den
Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit
Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(5) Erbringt
der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des
EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit
durch entsprechende Maßnahmen sicher.

Die
pixelconcept GmbH verarbeitet personenbezogene Daten im Auftrag ihrer
Kunden (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, die gemäß
den Leistungsbeschreibungen und den jeweiligen vertraglichen
Vereinbarungen mit dem Kunden erbracht werden und die eine
Auftragsverarbeitung darstellen.

Unter Beachtung der Regelungen
in der „Rahmenvereinbarung zur Verarbeitung von Daten im Auftrag“
erteilt der Kunde die Genehmigung, weitere Auftragsverarbeiter im Sinne
des Art. 28 EU-DSGVO in Anspruch zu nehmen. Weiterhin ist die
pixelconcept GmbH berechtigt, die personenbezogenen Daten unter
Beachtung der zwingend anwendbaren Vorschriften an Dienstleister in
einem Drittland zu übermitteln.

Die aktuell eingesetzten
Unterauftragsverarbeiter sowie die Information, an welche Dienstleister
in welchem Drittland die Daten für welche Zwecke übermittelt werden,
sind in der nachfolgenden Übersicht zu finden.

Hosting/ Rechenzentrum
PlusServer GmbH 
Hohenzollernring 72
50672 Köln

Bereitstellung Spamserver für Emailkommunikation
Spezial Host 
Max-Beckmann-Str. 21,
04109 Leipzig

Systemüberwachung/ Logfiles mit Nutzerdaten
New Relic, Inc.
188 Spear Street, Suite 1200
San Francisco, CA 94105 – USA

Bereitstellung CRM-System u. Campaigns
Zoho Corporation Pvt. Ltd.,
Estancia IT Park,
Plot No. 140 & 151, GST Road,
Vallancherry Village,
Chengalpattu Taluk,
Kanchipuram District 603 202, INDIA

§ 9 Mitteilung bei Verstößen des Auftragnehmers

(1) Der
Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in
den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit
personenbezogener Daten, Meldepflichten bei Datenpannen,
Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu
gehören u.a.

a)
die Sicherstellung eines angemessenen Schutzniveaus durch technische
und organisatorische Maßnahmen, die die Umstände und Zwecke der
Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere
einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen
und eine sofortige Feststellung von relevanten Verletzungsereignissen
ermöglichen

b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden

c)
die Verpflichtung, dem Auftraggeber im Rahmen seiner
Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in
diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur
Verfügung zu stellen

d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgeabschätzung

e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

(2)
Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung
enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers
zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

§ 10 Löschung und Rückgabe von personenbezogenen Daten

(1) ​​Kopien
oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht
erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur
Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich
sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.

(2) Nach
Abschluss der vertraglich vereinbarten Arbeiten oder früher nach
Aufforderung durch den Auftraggeber – spätestens mit Beendigung der
Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz
gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse
sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis
stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung
datenschutzgerecht zu vernichten. Gleiches gilt für Test- und
Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung
vorzulegen.

(3)
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen
Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der
jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus
aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem
Auftraggeber übergeben.

§ 11 Zurückbehaltungsrecht

Die
Parteien sind sich darüber einig, dass die Einrede des
Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB
hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger
ausgeschlossen wird.

§ 12 Schlussbestimmungen

(1) Sollte
das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen
Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein
Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so
hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der
Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um
Daten handelt, die im Auftrag verarbeitet werden, unverzüglich
informieren.

(2) Für Nebenabreden ist die Schriftform erforderlich.

(3)
Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies
die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

Leistungsvereinbarung

§ 13 Gegenstand des Auftrags

Der Gegenstand umfasst die Optimierung von bereitgestellten Bildern.

§ 14 Datenkategorien

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenkategorien: Bilddaten, z.T. Adressdaten.

§ 15 Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffener Personen umfassen: Mitarbeiter, Kunden, Nutzer.

Technische und organisatorische Maßnahmen

Als
nicht-öffentliche Stelle, die im Auftrag personenbezogene Daten erhebt,
verarbeitet oder nutzt, müssen wir technische und organisatorische
Maßnahmen treffen, die erforderlich sind, um die Ausführung der
Datenschutzvorschriften nach Art. 32 DGSVO zu gewährleisten.
Insbesondere sind Vertraulichkeit, Integrität, Verfügbarkeit und
Systembelastbarkeit im Zusammenhang mit der Datenverarbeitung
sicherzustellen. Dieses Dokument beschreibt die hierzu getroffenen
Maßnahmen. 

Aus Gründen der besseren Lesbarkeit wird auf die
gleichzeitige Verwendung männlicher und weiblicher Sprachformen
verzichtet. Sämtliche Personenbezeichnungen gelten für beiderlei
Geschlecht. 

1 Übersicht der Sicherheitsarchitektur

Die
Anwendungen der pixelconcept GmbH werden in besonders gesicherten
Rechenzentren bereitgestellt. Die Server werden bei der Plusserver GmbH
angemietet; das Rechenzentrum ist nach ISO 27001 zertifiziert. Der
Zugriff erfolgt über ausnahmslos verschlüsselte Verbindungen mit starker
Authentifizierung.

Am Stammsitz der pixelconcept GmbH werden Server zur Test- und Entwicklungszwecken betrieben. 

Diese
Übersicht folgt den Vorgaben der EU-Datenschutzgrundverordnung nach
Art. 32 DSGVO hinsichtlich der Sicherheitsvorkehrungen und wird ergänzt
durch eine Übersicht, wie weitere Vorgaben der DSGVO umgesetzt werden.

2 Vertraulichkeit

2.1 Zutrittskontrolle/Gebäudeabsicherung am Standort Kassel

Die
Zutrittskontrolle am Standort Kassel wird durch ständigen Verschluss
der Räume sichergestellt. Besucher müssen klingeln; ein Nachvollzug des
Zutritts ist durch schriftliche Ausgabe von Schließmedien und durch
biometrische Zugangssperren gesichert. Das Reinigungspersonal ist
sorgfältig ausgewählt. Außerhalb der Arbeitszeiten sind die Räume durch
eine Alarmanlage gesichert, die auf einen Wachdienst aufgeschaltet ist.

2.2 Zutrittskontrolle/Gebäudeabsicherung im Rechenzentrum

Das
Rechenzentrum der PlusServer GmbH ist durch Alarmanlagen und mehreren
Sicherheitszonen geschützt. Es existiert ein elektronisches
Zutrittskontrollsystem mit Protokollierung; die Schließmedien werden
dokumentiert an Mitarbeiter ausgegeben. Es existieren Richtlinien zur
Begleitung und Kennzeichnung von Gästen im Gebäude. Die Gebäude werden
zudem videoüberwacht.

2.3  Zugangskontrolle/ Absicherung Systemzugang

Die
Zugangskontrolle erfolgt durch den Einsatz von individuellen Benutzern
und Zuordnung von Benutzerrechten nach verschiedenen Rechtskonzepten je
nach Notwendigkeit des Systemzugriffs. Die Authentifizierung erfolgt mit
Benutzername und Kennwort. Systemseitig werden dabei komplexe
Kennwörter verlangt. Ein Bildschirmschoner mit Kennwortsperre wird
zentral ausgerollt. Der Fernzugriff auf die IT-Infrastruktur erfolgt
über VPN.

2.4 Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen 

Ein
unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten
innerhalb der eingesetzten Systeme wird durch Umsetzung von
Berechtigungskonzepten sichergestellt. Die Anzahl der besonders
verpflichteten Administratoren ist auf das Notwendigste reduziert.
Datenträger werden physisch vernichtet, mindestens nach DIN 66399 Stufe
3. Für die Absicherung der Zugriffe werden Anti-Viren-Software sowie
Hard- und Softwarefirewalls eingesetzt

2.5 Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten

Daten,
die zu unterschiedlichen Zwecken erhoben werden, sind teils
physikalisch, teils durch virtuell getrennte Systeme separiert. Die
Trennungskontrolle wird zudem durch die Arbeit nach einem
Berechtigungskonzept, sowie letztendlich eine logische, softwareseitige
Mandantentrennung umgesetzt.

2.6 Pseudonymisierung

Bei
der Entwicklung der Produkte wird geprüft, wo Daten in
pseudonymisierter Form verarbeitet werden können. Dies wird insbesondere
in der Nutzeranalyse umgesetzt; die Zuordnung erfolgt auf einem
getrennten, gesicherten System.

3 Integrität

3.1 Weitergabekontrolle/Sicherheit beim Datentransfer

Ein
unbefugtes Lesen, Kopieren, Veränderung oder Entfernen von Daten bei
elektronischer Übertragung oder Transport wird verhindert durch den
Einsatz von VPN-Tunneln, verschlüsselte Datenübermittlungen via https
oder SFTP und beim physischen Transport durch sichere Transportbehälter
und sorgfältige Auswahl des Transportpersonals / geschlossene
Fahrzeugaufbauten des Datenvernichtungsunternehmens.
Eine E-Mailverschlüsselung kann durch die Nutzung von verschlüsselten Anhängen umgesetzt werden.

3.2 Eingabekontrolle

Die
Eingabekontrolle wird sichergestellt durch die Nachvollziehbarkeit von
Eingabe, Änderung und Löschung von Daten durch individuelle
Benutzernamen (nicht Benutzergruppen), Vergabe von Rechten zur Eingabe,
Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
und – soweit rechtlich zulässig – die Protokollierung der Eingabe,
Änderung und Löschung von Daten auf den jeweiligen Systemen.

4 Verfügbarkeit und Belastbarkeit

4.1 Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust Standort Kassel

Die
Daten am Standort Kassel werden abgesichert durch den Einsatz von
unterbrechungsfreier Stromversorgung, Klimatisierung,
Kohlenstoffdioxid-Feuerlöscher, Rauchmelder sowie Alarmsicherung des
Serverraums.

4.2 Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust im Rechenzentrum

Die
Daten im Rechenzentrum werden durch mehrstufige Klimatisierung,
Stickoxid-Feuerlöschanlagen, zentrale unterbrechungsfreie
Stromversorgung, Notstromaggregate und Notstromdiesel geschützt.

4.3 Weitere Maßnahmen der Verfügbarkeitskontrolle

Die
Datenbestände werden durch mehrstufige Backuproutinen gesichert. Dabei
werden Dateibestände, Datenbanken und Systemzustände gesichert. 

4.4
 Rasche Wiederherstellbarkeit

Eine
rasche Wiederherstellung wird durch ein Backup- und Recovery-Konzept
sowie ein Testen von Datenwiederherstellung sichergestellt.

5 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

​5.1 Datenschutz-Management

Die Grundsätze zum Datenschutz (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten) sind einer unternehmensinternen Richtlinie festgelegt. Es ist ein Datenschutzbeauftragter (DSB) schriftlich benannt. Der DSB ist bei der Datenschutzfolgeabschätzung eingebunden. Die Mitarbeiter sind auf rechtskonformen Umgang mit personenbezogenen Daten verpflichtet und nachweislich geschult. Administratoren sind auf das Fernmeldegeheimnis verpflichtet. 

5.2 Störungsfallmanagement

Es ist ein Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Störungen in IT-Bereichen vorgesehen. 

5.3 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

In den internen Richtlinien sind Beachtung von Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen aufgenommen; im Entwicklungsprozess und Produktdesign fließen so die Vorgaben des Art. 25 DSGVO ein. 

5.4 Auftragskontrolle/Einbindung von Unter-Auftragsverarbeitern

Es erfolgt keine Auftragsdatenverarbeitung ohne entsprechende Weisung des Auftraggebers. Die Verträge sind eindeutig gestaltet, die Auswahl der (Unter-)Auftragsverarbeiter erfolgt unter Sorgfaltsgesichtspunkten, insbesondere hinsichtlich der Datensicherheit). Vor Beauftragung erfolgt einen Prüfung und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen. Gegenüber den Auftragsverarbeitern werden wirksame Kontrollrechte vereinbart. Der Auftragsverarbeiter und seine Tätigkeiten werden regelmäßig überprüft. Die Mitarbeiter des Auftragsverarbeiters sind auf die Vertraulichkeit beim Umgang mit personenbezogenen Daten verpflichtet.

Stand 15.11.2019