Cozero
Rechtlich

Allgemeine Geschäftsbedinungen

1. Geltungsbereich

1.1 Die Cozero GmbH, Zionskirchstraße 73a, 10119 Berlin (im Folgenden "Cozero" genannt) betreibt eine Business-to-Business Software-as-a-Service Plattform, die es Geschäftskunden ermöglicht, Emissionsdaten zu sammeln, auszuwerten und zu verwalten, um ihre Klimabilanz und Nachhaltigkeitskommunikation zu optimieren.

1.2 Diese Allgemeinen Geschäftsbedingungen (im Folgenden "AGB" genannt) gelten für alle Verträge, die im Rahmen der Geschäftsbeziehung zwischen Cozero und seinen Geschäftskunden im Zusammenhang mit den von Cozero angebotenen Software-as-a-Service-Lösungen geschlossen werden.

1.3 Diese Bedingungen gelten ausschließlich. Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden nur insoweit Vertragsbestandteil, als Cozero ihrer Geltung ausdrücklich schriftlich zugestimmt hat. Dieses Zustimmungserfordernis gilt auch dann, wenn Cozero in Kenntnis der Allgemeinen Geschäftsbedingungen des Kunden die Leistungen vorbehaltlos erbringt.

1.4 Im Falle von Widersprüchen zwischen den Bestimmungen des Einzelvertrags und diesen Bedingungen sind die Bestimmungen des Einzelvertrags maßgebend.

2. Definitionen

Die in diesen Bedingungen verwendeten großgeschriebenen Begriffe haben die in dieser Klausel 2 definierte Bedeutung:

2.1. “​Zusätzliche Dienstleistungen” sind die zusätzlichen Dienstleistungen, die Cozero gegebenenfalls im Rahmen des Einzelvertrags zu erbringen hat.

2.2. “​Berechtigte Nutzer​” sind die Mitarbeiter des Kunden, die im Rahmen der vom Kunden erworbenen Nutzungsrechte zum Zugriff auf die SaaS-Dienste berechtigt sind.

2.3. “Co-Creation” bezeichnet den Zeitraum, der durch eine projektbasierte Zusammenarbeit zwischen Cozero und dem Kunden gekennzeichnet ist, um die SaaS-Plattform nach den Präferenzen und Anforderungen der Kundenorganisation und der zugrunde liegenden Geschäftsprozesse einzurichten.

2.4. “​Vertrauliche Informationen​” sind alle Informationen, die einer Partei von der anderen Partei schriftlich, elektronisch oder mündlich, digital oder in sonstiger Form offenbart werden, soweit sie (a) die nach § 2 Abs. 1 GeschGehG geschützten Betriebsgeheimnisse betreffen und/oder (b) die geschäftlichen Interessen der jeweiligen Partei oder mit ihr verbundener Unternehmen im Sinne des § 15 GeschGehG betreffen. 2 Abs. 1 GeschGehG geschützte Geschäftsgeheimnisse betreffen und/oder (b) sich auf die geschäftlichen Interessen und Angelegenheiten der jeweiligen Partei oder mit ihr verbundener Unternehmen im Sinne des § 15 AktG beziehen und ausdrücklich als "vertraulich" gekennzeichnet sind oder aufgrund der Art der Informationen oder der Umstände ihrer Offenlegung als vertraulich anzusehen sind. Zu den vertraulichen Informationen gehören unter anderem Informationen über Technologien, Erfindungen, Software und/oder Hardware, neue Produkte, geistiges Eigentum, Know-how, Marketingpläne, finanzielle Situationen, Geschäftsstrategien, Geschäftsbeziehungen, Geschäftspläne, Geschäftskalkulationen, Preispolitik oder Personalangelegenheiten einer der Parteien. Zu den vertraulichen Informationen gehört auch der Inhalt des zwischen dem Kunden und Cozero geschlossenen Einzelvertrags.

2.5. “Beratungsleistungen” sind individuell vereinbarte Beratungsleistungen, die Cozero auf der Grundlage eines Einzelvertrages für den Kunden erbringt.

2.6. “​Vertrag​” ist der Einzelvertrag einschließlich dieser Bedingungen.

2.7. “​Vertragliche Leistungen​” sind die SaaS-Leistungen und/oder Zusatzleistungen, die gemäß dem Einzelvertrag zu erbringen sind.

2.8. “​Kunde​” ist der im Einzelvertrag genannte Vertragspartner von Cozero.

2.9. “​Kundendaten​” sind alle Profilinformationen und -daten sowie andere Inhalte und Informationen, die der Kunde Cozero im Zusammenhang mit der Nutzung der SaaS-Dienste zur Verfügung stellt. Zu den Kundendaten gehören auch Emissionsdaten.

2.10. “Emissionsdaten” bezeichnet alle von Nutzern bereitgestellten nicht-personenbezogenen Informationen und Daten, die als Grundlage für die Berechnung und/oder Analyse des Fußabdrucks eines Kunden dienen, einschließlich der Informationen aus Logs, die der Kunde von Lieferanten und eigenen Kunden erhebt und/oder mittels der SaaS-Dienste verarbeitet.

2.11. “Feedback” bedeutet Meinungen, Kommentare oder Vorschläge des Kunden bezüglich einer möglichen Entwicklung, Änderung, Korrektur, Verbesserung oder Erweiterung der Software, Produkte und/oder Dienstleistungen von Cozero.

2.12. Unter "höherer Gewalt" sind Ereignisse oder Umstände zu verstehen, die zum Zeitpunkt des Vertragsabschlusses trotz angemessener Sorgfalt nicht vorhersehbar waren, die außerhalb des Einflussbereichs von Cozero liegen und die durch zumutbare Maßnahmen von Cozero nicht hätten vermieden oder überwunden werden können. Dazu gehören insbesondere, aber nicht ausschließlich a) Krieg und andere militärische Konflikte, Terroranschläge, Bürgerkrieg, Unruhen, Aufstände; b) Währungs- und Handelsbeschränkungen, Embargos; c) Explosionen und Brände, die nicht von Cozero verursacht wurden; d) Überschwemmungen, Erdbeben, Taifune und andere Naturkatastrophen oder extreme Naturereignisse; e) Epidemien/Pandemien und Krankheiten; f) nicht von Cozero verursachte Arbeitsunruhen, wie z. B. Arbeitskämpfe; g) Handlungen, Unterlassungen oder Maßnahmen einer Regierung oder behördliche Anordnungen; h) nicht von Cozero verursachte Störungen oder Ausfälle von Betriebseinrichtungen (oder Teilen davon), die für die Erfüllung des Vertrags erforderlich sind.

2.13. "DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

2.14. "Einzelvertrag" bezeichnet den zwischen dem Kunden und Cozero geschlossenen SaaS-Vertrag über die Bereitstellung von SaaS-Diensten und/oder Beratungsdiensten. Ein Einzelvertrag ist auch ein Vertrag, der ausschließlich online über die Website abgeschlossen wird. In diesen Fällen kommt der Einzelvertrag mit der Auftragsbestätigung von Cozero zustande.

2.15. "Personenbezogene Daten" sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.

2.16. "Plattform" bezeichnet die von Cozero betriebene Software-as-a-Service-Plattform, die über die Website zugänglich ist.

2.17. "SaaS-Dienste" bezeichnet die SaaS-basierten Dienste, die von Cozero über die Plattform mittels einer Software-as-a-Service-Lösung bereitgestellt werden, einschließlich Kundeninformations- und Kundenbindungsdienste.

2.18. "Supportleistungen" sind technische Supportleistungen, bei denen Cozero Fehler oder Störungen, die im SaaS-Service auftreten und Cozero gemeldet wurden, bearbeitet. Ein Fehler liegt insbesondere dann vor, wenn der SaaS-Service die im Einzelvertrag oder in der Leistungsbeschreibung genannten Funktionen nicht erfüllt. Ein Fehler liegt nicht vor, wenn die vorgenannten Störungen durch unsachgemäße Handhabung des SaaS-Dienstes und/oder durch Pflichtverletzungen des Kunden entstehen.

2.19. "Website" bezeichnet die von Cozero betriebene Website, die unter folgender Adresse zu finden ist: www.cozero.io.

3. Gegenstand des Vertrages, Vertragsabschluss, Änderungen der Bedingungen

3.1. Gegenstand des Vertrages ist die Erbringung der vom Kunden beauftragten und im Einzelvertrag vereinbarten SaaS-Dienste sowie die Erbringung von Zusatzleistungen, wenn und soweit diese im Einzelvertrag festgelegt sind.

3.2. Cozero behält sich das Recht vor, diese Bedingungen mit Wirkung für die Zukunft zu ändern oder zu ergänzen. Cozero wird den Kunden über Änderungen und Ergänzungen informieren, indem es dem Kunden den Inhalt der geänderten oder ergänzten Bestimmungen in Textform (z.B. per E-Mail oder durch Benachrichtigung beim Einloggen auf der Plattform) vorab und mit angemessener Frist, mindestens jedoch vier Wochen vor dem geplanten Inkrafttreten der Änderungen/Ergänzungen mitteilt. Die Änderungen/Ergänzungen gelten als vom Kunden angenommen, wenn er den Änderungen/Ergänzungen nicht innerhalb von vier Wochen nach Zugang der Mitteilung in Textform widerspricht. Widerspricht der Kunde jedoch nach Maßgabe des vorstehenden Satzes, so gilt der Vertrag unverändert zu den bisherigen Bedingungen fort. Cozero wird den Kunden in der Änderungsmitteilung auf sein Widerspruchsrecht und die vorgenannten Rechtsfolgen eines unterlassenen Widerspruchs gesondert hinweisen.

4. Umfang der Dienstleistung, Recht auf Änderung

4.1. Cozero stellt dem Kunden die vertragsgegenständlichen SaaS-Dienste zur vorübergehenden Nutzung mittels Fernzugriff über das Internet zur Verfügung. Zu diesem Zweck speichert Cozero die Plattform auf einem Server, auf den der Kunde über eine Internetverbindung zugreifen kann.

4.2. Der konkrete Leistungs- und Funktionsumfang der SaaS-Dienste sowie der Umfang der sonstigen vertraglichen Leistungen wird im Einzelvertrag festgelegt. Eine Beschreibung der SaaS-Dienste ist unter https://wiki.cozero.io/ verfügbar.

4.3. Dieser Vertrag umfasst weder den Anschluss des Kunden an das Internet und die Aufrechterhaltung des Netzanschlusses noch die Beschaffung und Bereitstellung der hierfür erforderlichen Hardware durch den Kunden. Der Kunde ist verpflichtet, die technischen Voraussetzungen für den Zugang zu den SaaS-Diensten in seinem Bereich auf eigene Kosten und Gefahr zu schaffen und zu unterhalten.

4.4. Die SaaS-Dienste können ohne zusätzliche Unterstützung durch Cozero genutzt werden. Möchte der Kunde Onboarding-Services oder andere Services im Zusammenhang mit der Konfiguration, Anpassung, Integration, Co-Creation, Schulung oder Adaption der SaaS-Services in Anspruch nehmen, ist eine gesonderte Beauftragung und eine gesonderte Vergütung erforderlich.

4.5. Cozero trifft geeignete Vorkehrungen gegen Datenverlust und zur Verhinderung des unbefugten Zugriffs Dritter auf Kundendaten, soweit dies mit vertretbarem finanziellen und technischen Aufwand möglich ist. Cozero wird insbesondere regelmäßige Backups durchführen und auf den Cozero-Servern dem Stand der Technik entsprechende Firewalls und regelmäßig aktualisierte Virenscanner installieren, um einen unbefugten Zugriff auf die Kundendaten zu verhindern und die Übertragung von Schadcode (Viren, Trojaner, Dialer etc.) zu unterbinden.

4.6. Cozero entwickelt und verbessert die SaaS-Dienste und die Plattform kontinuierlich weiter. Updates für das Kernprodukt werden dem Kunden stets kostenlos zur Verfügung gestellt. Bei umfangreichen Aktualisierungen und Erweiterungen des Funktionsumfangs (z.B. Hinzufügen von Modulen) der Plattform oder der SaaS-Dienste ist Cozero jedoch berechtigt, diese als neues Produkt oder Upgrade einzustufen und dem Kunden gegen eine zusätzliche Gebühr zur Verfügung zu stellen. Soweit Cozero solche Upgrades und Erweiterungen unentgeltlich zur Verfügung stellt, hat der Kunde keinen Rechtsanspruch auf deren Bereitstellung. Cozero wird den Kunden über die Einstellung der kostenlosen Dienste informieren.

4.7. Cozero behält sich Änderungen zur Anpassung der Plattform und der SaaS-Dienste an den Stand der Technik, Änderungen zu Optimierungszwecken (insbesondere zur Erhöhung der Benutzerfreundlichkeit) sowie Änderungen an Inhalten vor, soweit diese zur Fehlerbehebung, zur Aktualisierung und Vervollständigung von Inhalten, zur technischen Optimierung von Programmen oder aus lizenzrechtlichen Gründen erforderlich sind. Führt eine solche Änderung zu einer nicht nur unerheblichen Wertminderung der vertraglichen Leistungen, ist der Kunde berechtigt, entweder eine der Wertminderung entsprechende Herabsetzung der Vergütung zu verlangen oder den Vertrag fristlos zu kündigen. Dieses Kündigungsrecht kann innerhalb einer Frist von acht Wochen ab Eintritt der Änderung ausgeübt werden.

5. Benutzerkonto, Zugangsdaten

5.1. Der Zugang des Kunden zu den SaaS-Diensten erfolgt passwortgeschützt über die Plattform unter Verwendung der dem Kunden von Cozero zugewiesenen Zugangsdaten. Cozero stellt dem Kunden die Zugangsdaten für die im Einzelvertrag vereinbarte Anzahl von Nutzern zur Verfügung. Aus technischen Gründen werden die Zugangsdaten für ein persönliches Login nur per E-Mail mit einem verschlüsselten Link versandt. Aus diesem Grund muss der Kunde Cozero die entsprechenden E-Mail-Adressen der berechtigten Nutzer mitteilen. Die Zugangsdaten sind individualisiert und dürfen nur von dem betreffenden Kunden oder den berechtigten Nutzern verwendet werden. Der Kunde hat die autorisierten Nutzer anzuweisen, ein hinreichend sicheres Passwort zu wählen und ihre Zugangsdaten, einschließlich des Passworts, geheim zu halten und vor dem unberechtigten Zugriff Dritter zu schützen. Aus Sicherheitsgründen und zur Verhinderung von Missbrauch empfiehlt Cozero den Kunden, ihre Passwörter in regelmäßigen Abständen zu ändern.

5.2. Die Weitergabe von Zugangsdaten und die anderweitige Zulassung oder Ermöglichung der Nutzung von Benutzerkonten oder der SaaS-Dienste durch Dritte ist strengstens untersagt.

5.3. Der Kunde ist verpflichtet, Cozero unverzüglich zu informieren, wenn er Kenntnis von einem Missbrauch von Zugangsdaten oder Passwörtern hat oder diesen vermutet. Bei Missbrauch oder Missbrauchsverdacht ist Cozero berechtigt, den Zugang zur Plattform zu sperren, bis der Sachverhalt geklärt ist und der Missbrauch eingestellt wurde. Cozero behält sich ferner das Recht vor, die Zugangsdaten des Kunden aus Sicherheitsgründen zu ändern; in diesem Fall wird Cozero den Kunden unverzüglich informieren. Die Geltendmachung weitergehender Rechte und Ansprüche von Cozero, insbesondere von Schadensersatzansprüchen, bleibt hiervon unberührt.

6. Verfügbarkeit der SaaS-Dienste (Service-Level Agreement - SLA)

6.1. Während der Vertragslaufzeit stellt Cozero dem Kunden die SaaS-Dienste mit einer Verfügbarkeit von 99,5 % (pro Kalenderjahr) zur Verfügung. Dies bedeutet die Verfügbarkeit der SaaS-Dienste am Übergabepunkt, an dem das System mit dem Internet verbunden ist.

6.2. Die Verfügbarkeit wird nach der folgenden Formel berechnet: Verfügbarkeit = (Gesamtzeit - Gesamtausfallzeit) / (Gesamtzeit * 100 %)

6.3. Die folgenden Zeiten werden bei der Berechnung der Gesamtausfallzeit nicht berücksichtigt:

A. Zeiten der Nichtverfügbarkeit aufgrund von geplanten Wartungsarbeiten an der Plattform.

B. Zeiten der Nichtverfügbarkeit aufgrund notwendiger außerplanmäßiger Wartungsarbeiten, die zur Behebung von Störungen erforderlich sind; Cozero wird den Kunden nach Möglichkeit durch einen Hinweis auf der Website darüber informieren.

C. Zeiten der Nichtverfügbarkeit, die auf Internetstörungen oder andere Umstände zurückzuführen sind, die außerhalb der Kontrolle von Cozero liegen, insbesondere höhere Gewalt.

7. Supportleistungen

7.1. Cozero stellt dem Kunden während der Vertragslaufzeit Supportleistungen ohne zusätzliche Vergütung zur Verfügung. Je nach Wahl des Kunden werden die Supportleistungen vom dem Kunden zugewiesenen Customer Success Manager (per Telefon oder E-Mail) oder vom allgemeinen E-Mail-Support von Cozero (erreichbar unter: support@cozero.io) erbracht. Der dem Kunden zugewiesene Customer Success Manager wird über jeden Support-Fall informiert und hilft bei der Suche nach einer Lösung. Die Supportleistungen stehen von Montag bis Freitag von 9 Uhr bis 18 Uhr (MEZ) zur Verfügung. Dies gilt nicht an Tagen, die in Berlin gesetzliche Feiertage sind, sowie am 24. und 31. Dezember eines jeden Jahres. Anfragen, die außerhalb dieser Supportzeiten eingehen, gelten als am nächsten Werktag eingegangen. Während der Geschäftszeiten erfolgt die erste Beantwortung aller Supportanfragen innerhalb von maximal 24 Stunden. Alle Support-Anfragen werden so schnell wie möglich bearbeitet und nach dem folgenden Schweregrad der Störung priorisiert:

A. Erster Schweregrad: Kritischer Softwarefehler, der zu einem Totalausfall der SaaS-Dienste führt.

B. Zweiter Schweregrad: Die Nutzung der SaaS-Dienste ist erheblich eingeschränkt, da die wichtigsten Funktionen der SaaS-Dienste nicht verfügbar sind.

C. Dritter Schweregrad: Geringfügige Fehler, die nicht wesentliche Funktionen der SaaS-Dienste betreffen.

7.2. Die Supportleistungen umfassen keine Beratungsleistungen oder andere Zusatzleistungen, wie z.B. Anpassung, Integration, Co-Creation und Schulung oder Anpassung der Plattform und/oder SaaS Services.

7.3. Während des Zeitraums der Co-Creation-Phase werden keine Unterstützungsleistungen erbracht.

8. Beratungsdienste

8.1. Werden Beratungsleistungen in einem Einzelvertrag vereinbart, so gelten die Bestimmungen dieses Vertrages. Der konkrete Umfang der Beratungsleistungen und die Vergütung dafür werden im jeweiligen Einzelvertrag geregelt.

8.2. Cozero wird die Beratungsleistungen durch geeignete Mitarbeiter oder Unterauftragnehmer erbringen. Ein Anspruch auf die Erbringung der Leistungen durch bestimmte Personen besteht nicht. Der Kunde ist nicht berechtigt, den Mitarbeitern von Cozero Weisungen zu erteilen.

8.3. Cozero bestimmt die Art der Leistungserbringung selbst, sofern nichts anderes vereinbart ist. Der Kunde hat nur dann einen Anspruch auf eine bestimmte Form der Darstellung der Ergebnisse, wenn dies ausdrücklich vereinbart wurde.

9. Mitwirkungspflichten des Auftraggebers

9.1. Der Kunde wird die Durchführung des Vertrages durch aktive und angemessene Mitarbeit unterstützen. Insbesondere ist der Kunde dafür verantwortlich, in seiner Betriebssphäre unentgeltlich alle Voraussetzungen zu schaffen, die für die ordnungsgemäße Erbringung der Leistungen von Cozero erforderlich sind. Hierzu gehören insbesondere die im Einzelvertrag festgelegten Bedingungen sowie die in den nachfolgenden Ziffern 9.2 bis 9.4 genannten Bedingungen.

9.2. Der Kunde ist verpflichtet

A. die technischen Voraussetzungen für den Zugang zu den SaaS-Diensten in seinem Bereich zu schaffen und aufrechtzuerhalten, insbesondere im Hinblick auf die verwendete Hardware und Betriebssystemsoftware, die Anbindung an das Internet und die Aktualität seiner Browser-Software;

B. während der gesamten Vertragslaufzeit die notwendigen Vorkehrungen zur Sicherung seiner Systeme zu treffen, insbesondere die Standard-Sicherheitseinstellungen des Browsers zu verwenden und aktuelle Schutzmechanismen zum Schutz vor Schadsoftware einzusetzen;

C. dafür zu sorgen, dass die in seinem Benutzerkonto gespeicherten Daten stets auf dem neuesten Stand sind. Im Falle von Änderungen oder Ungenauigkeiten der gespeicherten Daten muss der Kunde diese Informationen unverzüglich und unaufgefordert aktualisieren oder korrigieren.

9.3. Unbeschadet der Verpflichtung von Cozero zur Datensicherung nach Ziffer 4.5 ist der Kunde für die Pflege und den Schutz der Kundendaten verantwortlich und verpflichtet sich, diese regelmäßig zu sichern. Jede Datensicherung durch den Kunden hat so zu erfolgen, dass die Wiederherstellung der Kundendaten jederzeit möglich ist. Der SaaS-Dienst stellt entsprechende Backup-Funktionalitäten zur Verfügung.

9.4. Der Kunde ist verpflichtet, Cozero über Leistungsstörungen (Leistungsmängel, mangelnde Verfügbarkeit) unverzüglich nach Kenntniserlangung in Textform zu informieren und Cozero bei der Beseitigung der Leistungsstörung nach besten Kräften zu unterstützen.

10. Weitere Pflichten des Kunden, verbotene Handlungen, Entschädigung

10.1. Der Kunde ist verpflichtet, die von Cozero zur Verfügung gestellten SaaS-Dienste nur im vertraglich vereinbarten Umfang und für den vertraglich vorgesehenen Zweck sowie im Rahmen der geltenden gesetzlichen Bestimmungen zu nutzen und alle Handlungen zu unterlassen, die den Betrieb der SaaS-Dienste gefährden oder stören könnten.

10.2. Der Kunde ist insbesondere verpflichtet

A. die SaaS-Dienste nicht zu nutzen, um pornografische, gewaltverherrlichende, diskriminierende, gesetzlich verbotene, jugendgefährdende, sittenwidrige oder gegen die öffentliche Ordnung und Sicherheit verstoßende Inhalte zu erstellen, zu speichern oder zu versenden;

B. bei der Nutzung der SaaS-Dienste keine Urheberrechte (z.B. für Fotos, Grafiken), Markenrechte (z.B. Logos) und sonstige Eigentumsrechte oder andere gesetzlich geschützte Güter von Cozero oder Dritten (z.B. Persönlichkeitsrechte) zu verletzen;

C. bei der Nutzung der SaaS-Dienste alle bestehenden gesetzlichen Informationspflichten (z.B. die Pflicht zur Angabe einer Anbieterkennzeichnung nach § 5 TMG) zu beachten und einzuhalten;

D. die SaaS-Dienste nicht zum Versenden unerwünschter Nachrichten zu nutzen, die als Spam angesehen werden könnten;

E. auf die SaaS-Dienste ausschließlich über die von Cozero bereitgestellten Schnittstellen zuzugreifen;

F. sicherzustellen, dass seine Informationen und Daten, die über die SaaS-Dienste übertragen werden, nicht mit Viren, Würmern oder Trojanern infiziert sind;

G. keine Vorrichtungen, Produkte oder andere Mittel zu verwenden, die dazu dienen, die von Cozero zur Verhinderung einer unbefugten Nutzung eingesetzten technischen Maßnahmen zu umgehen oder zu überwinden;

H. keine Web-Crawler, Robots, Spiders, Site-Such-/Retrieval-Anwendungen oder andere automatisierte Mittel oder vergleichbare Technologien zu verwenden, um auf die SaaS-Dienste zuzugreifen oder Inhalte abzurufen oder auszuwerten.

10.3. Der Kunde ist verpflichtet, die berechtigten Nutzer über die vorstehenden Bestimmungen zu informieren und für deren Einhaltung zu sorgen.

10.4. Der Kunde stellt Cozero von sämtlichen Ansprüchen frei, die Dritte gegen Cozero wegen der Verletzung ihrer Rechte oder wegen Rechtsverletzungen geltend machen, die durch vom Kunden unter Nutzung der SaaS-Dienste erstellte oder übermittelte Inhalte verursacht werden. Der Kunde trägt auch die notwendigen Kosten der Rechtsverteidigung von Cozero in diesem Zusammenhang, einschließlich Gerichts- und Anwaltskosten. Diese Haftungsfreistellung gilt nicht, wenn der Kunde die Rechtsverletzung nicht zu vertreten hat. Die Geltendmachung weitergehender Rechte und Ansprüche von Cozero, insbesondere das Recht zur außerordentlichen Kündigung aus wichtigem Grund und Schadensersatzansprüche, bleiben hiervon unberührt.

11. Geistiges Eigentum, Nutzungsrechte, Nennung von Referenzen

11.1. Die Plattform und die SaaS-Dienste, einschließlich des Homepage-Layouts, der verwendeten Grafiken und Bilder, der Inhalte insgesamt sowie einzelner Inhalte einschließlich der Systempräsentationstexte, sowie der den SaaS-Diensten und der Plattform zugrundeliegende Softwarecode und alle Arbeitsergebnisse von Zusatzdiensten von Cozero können ganz oder teilweise durch Urheberrechte oder andere geistige Eigentumsrechte geschützt sein. Alle Rechte liegen ausschließlich bei Cozero oder den Lizenzgebern von Cozero.

11.2. Insbesondere ist es dem Kunden untersagt

A. die Plattform oder die SaaS-Dienste zu reproduzieren, zu modifizieren, anzupassen, zu übersetzen, zu dekompilieren, zu disassemblieren oder abzuleiten, ein Reverse Engineering durchzuführen oder anderweitig zu versuchen, den den SaaS-Diensten oder der Plattform zugrunde liegenden Quellcode abzuleiten.

B. die Plattform oder die SaaS-Dienste zu nutzen, zu bewerten oder anzuzeigen, um eine Netzwerkumgebung, ein Programm, eine Infrastruktur oder Teile davon zu konstruieren, zu modifizieren oder anderweitig zu erstellen, deren Eigenschaften mit denen der SaaS-Dienste oder der Plattform vergleichbar sind.

Unberührt bleiben die zwingenden gesetzlichen Regelungen zur zulässigen Nutzung gemäß § 69d Abs. 2 und 3 und § 69e des Urheberrechtsgesetzes.

11.3. Der Kunde erhält nach Maßgabe des Einzelvertrags und der nachfolgenden Bestimmungen das nicht ausschließliche, nicht übertragbare und auf die Dauer des Einzelvertrags begrenzte Recht, auf die SaaS-Dienste und die Plattform zuzugreifen und Arbeitsergebnisse der Zusatzdienste zu nutzen. Dieses Nutzungsrecht ist auf die im Einzelvertrag angegebene Anzahl von autorisierten Nutzern beschränkt. Cozero ist berechtigt, technische Maßnahmen zu ergreifen, um eine Nutzung über den zulässigen Umfang hinaus zu verhindern, insbesondere Zugangssperren zu installieren.

11.4. In seiner Beziehung zu Cozero stehen dem Kunden alle Rechte an den Emissionsdaten zu. Der Kunde räumt Cozero jedoch das unwiderrufliche und kostenlose Recht ein, Emissionsdaten in anonymisierter Form zu sammeln, soweit dies gesetzlich zulässig ist, und diese zur Erstellung statistischer Berichte und Präsentationen, zur Bereitstellung und Verbesserung der Plattform und der SaaS-Dienste sowie zur Bereitstellung erweiterter Funktionen zu verwenden. Der Kunde hat keinerlei Rechte an den gesammelten Daten und Ergebnissen.

11.5. Cozero ist berechtigt, den Kunden in die Referenzliste von Cozero aufzunehmen und den Kunden in geeigneter Weise als Referenz auf der Website und in gedruckten und digitalen Marketing- und Werbematerialien zu nennen. Zu diesem Zweck räumt der Kunde Cozero unentgeltlich ein nicht ausschließliches, weltweites, nicht übertragbares Recht ein, den Firmennamen und das Logo des Kunden zu verwenden. Ist die Nutzung des Firmennamens und/oder des Logos an besondere Voraussetzungen geknüpft, so teilt der Kunde diese Cozero unaufgefordert mit. Der Kunde ist berechtigt, das eingeräumte Nutzungsrecht jederzeit mit Wirkung für die Zukunft durch eine entsprechende Mitteilung in Textform zu widerrufen.

12. Vergütung und Zahlungsbedingungen

12.1. Die vom Kunden geschuldete Vergütung für die vertraglichen Leistungen wird im Einzelvertrag festgelegt.

12.2. Die Vergütung für die vertraglichen Leistungen ist im Voraus für den im Einzelvertrag festgelegten Leistungs- bzw. Abrechnungszeitraum und die nachfolgenden Verlängerungszeiträume zu zahlen.

12.3. Sofern im Einzelvertrag nicht ausdrücklich etwas anderes vereinbart ist, sind die von Cozero ausgestellten Rechnungen innerhalb von 7 Tagen nach Erhalt durch den Kunden in voller Höhe zur Zahlung fällig. Cozero ist berechtigt, dem Kunden die Rechnungen per E-Mail zuzusenden oder sie ihm online zur Verfügung zu stellen.

12.4. Eine Aufrechnung von Forderungen des Kunden gegen Forderungen von Cozero ist nur möglich, soweit die Forderungen des Kunden rechtskräftig festgestellt oder unbestritten sind.

12.5. Alle Preise sind in Euro angegeben und verstehen sich - soweit sie nicht ausdrücklich als Bruttopreise bezeichnet sind - zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer. Sofern nicht ausdrücklich anders angegeben, ist der Kunde für alle anderen Steuern und Abgaben verantwortlich, die auf den Verkauf und die Nutzung der SaaS-Dienste und Zusatzdienste anfallen. Der Kunde zahlt Cozero für die SaaS-Dienste und Zusatzdienste ohne Abzug solcher Steuern und Abgaben. Wenn Cozero verpflichtet ist, solche Steuern und Abgaben zu erheben oder zu zahlen, stellt Cozero dem Kunden diese Steuern und Abgaben in Rechnung, es sei denn, der Kunde legt Cozero eine gültige Freistellungsbescheinigung des zuständigen Finanzamtes vor, aus der hervorgeht, dass keine Steuern erhoben werden müssen.

13. Einschränkung/Sperrung des Benutzerkontos

13.1. Cozero behält sich das Recht vor, die Nutzung der SaaS-Dienste durch den Kunden vorübergehend oder dauerhaft einzuschränken oder den Zugang des Kunden zu den SaaS-Diensten vorübergehend oder dauerhaft zu sperren, wenn

A. konkrete Anhaltspunkte dafür vorliegen, dass der Kunde einem unbefugten Dritten die Nutzung des Nutzerkontos oder der Zugangsdaten gestattet oder sonst vorsätzlich ermöglicht hat;

B. es liegen konkrete Anhaltspunkte dafür vor, dass eine der in den Ziffern 10.1 und 10.2 genannten Verpflichtungen verletzt wurde;

C. konkrete Anhaltspunkte für eine missbräuchliche, unbefugte oder betrügerische Nutzung des Nutzerkontos vorliegen oder eine solche Nutzung aufgrund konkreter Anhaltspunkte zu befürchten ist;

D. der Kunde die geschuldete Vergütung trotz Mahnung nicht innerhalb von 30 Tagen nach Fälligkeit zahlt;

E. der Kunde trotz einer Abmahnung wiederholt gegen andere Bestimmungen dieser Bedingungen verstößt;

F. andere Umstände vorliegen, die Cozero berechtigen, den Vertrag aus wichtigem Grund zu kündigen.

13.2. Cozero wird bei der Auswahl der Maßnahmen nach Ziffer 13.1 die eigenen betrieblichen Erfordernisse und Haftungsrisiken sowie die berechtigten Interessen etwaiger Anspruchsteller und des Kunden (z.B. Verschulden, Gewicht der Pflichtverletzung, Risiken, Erklärung des Kunden) angemessen berücksichtigen.

13.3. Cozero informiert den Kunden unverzüglich über jede vorübergehende oder dauerhafte Einschränkung oder Sperrung seines Benutzerkontos unter Angabe der Gründe.

14. Haftung

14.1. Cozero haftet unbeschränkt für Schäden nur bei Vorsatz und grober Fahrlässigkeit von Cozero, seinen Erfüllungsgehilfen und/oder gesetzlichen Vertretern. Für leicht fahrlässig verursachte Schäden haftet Cozero nur im Falle der Verletzung einer wesentlichen Vertragspflicht. Wesentliche Vertragspflichten sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Im Falle der Verletzung einer solchen wesentlichen Vertragspflicht ist die Haftung von Cozero auf den vertragstypischen Schaden begrenzt, den Cozero bei Vertragsschluss aufgrund der zu diesem Zeitpunkt bekannten Umstände vorhersehen konnte. Für den einzelnen Schadensfall ist die Haftung auf die Höhe der Vergütung pro Vertragsjahr, mindestens jedoch auf 10.000 Euro begrenzt.

14.2. Cozero haftet für den Verlust von Daten nach Maßgabe des vorstehenden Absatzes nur, wenn und soweit ein solcher Verlust vom Kunden nicht durch angemessene Datensicherungsmaßnahmen hätte vermieden werden können.

14.3. Die vorstehenden Haftungsbeschränkungen sowie alle sonstigen in diesen Bedingungen enthaltenen Haftungsbeschränkungen gelten nicht im Falle der Übernahme ausdrücklicher Garantien, bei Ansprüchen wegen des Fehlens zugesicherter Eigenschaften sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. In diesen Fällen haftet Cozero auch für leichte Fahrlässigkeit unbeschränkt. Unberührt bleibt auch die Haftung von Cozero nach dem Produkthaftungsgesetz.

15. Höhere Gewalt

15.1. Wenn Cozero durch höhere Gewalt ganz oder teilweise an der Erfüllung der vertraglichen Leistungen gehindert wird, ist Cozero für den Zeitraum und in dem Umfang, in dem die höhere Gewalt die Erfüllung verhindert, von diesen Verpflichtungen befreit.

15.2. Sobald Cozero von einer Situation höherer Gewalt Kenntnis erlangt, die Cozero ganz oder teilweise daran hindert, die vertraglichen Leistungen zu erbringen, ist Cozero verpflichtet, den Kunden unverzüglich zu benachrichtigen ("Benachrichtigung") und ihm innerhalb von 10 Arbeitstagen eine Einschätzung des Ausmaßes und der voraussichtlichen Dauer der Leistungsunfähigkeit zu geben, soweit dies vernünftigerweise möglich ist. Erfolgt die Mitteilung nicht unverzüglich, so ist Cozero erst ab dem Zeitpunkt der Mitteilung von seiner Leistungspflicht befreit.

15.3. Wenn Cozero sich auf höhere Gewalt beruft, wird Cozero alle wirtschaftlich vertretbaren Anstrengungen unternehmen, um das Ausmaß der durch die höhere Gewalt verursachten Folgen für die vertraglichen Leistungen zu minimieren. Cozero wird den Kunden regelmäßig in angemessener Weise über den aktuellen Stand sowie den Umfang und die voraussichtliche Dauer des Leistungshindernisses informieren.

15.4. Der Kunde ist von seiner Zahlungsverpflichtung befreit, soweit und solange Cozero aufgrund höherer Gewalt an der Erfüllung der vertraglichen Leistungen gehindert ist. Cozero erstattet dem Kunden alle bereits gezahlten Beträge zurück.

15.5. Sobald erkennbar wird, dass die vertraglichen Leistungen aufgrund höherer Gewalt länger als 3 Monate nicht oder nicht vollständig erbracht werden können, ist jede Partei berechtigt, den Vertrag mit sofortiger Wirkung zu kündigen.

16. Vertraulichkeit

16.1. In Bezug auf die vertraulichen Informationen der anderen Partei ist jede Partei verpflichtet

A. diese Informationen streng vertraulich behandeln und sie nur im Zusammenhang mit den vertraglichen Zwecken verwenden;

B. geeignete Vertraulichkeitsmaßnahmen ergreifen, um diese Informationen vor dem unbefugten Zugriff Dritter zu schützen. Dazu gehören auch technische Sicherheitsmaßnahmen, die dem Stand der Technik Rechnung tragen (Art. 32 DSGVO);

C. nur solchen Mitarbeitern und Organen sowie beauftragten Dienstleistern offenbaren oder weitergeben, die diese Informationen für die Durchführung des Vertrages kennen müssen und die einer Geheimhaltungsverpflichtung unterliegen, die mindestens das gleiche Schutzniveau wie diese Vereinbarung gewährleistet;

D. diese Informationen nicht an Dritte weitergeben, es sei denn, es handelt sich bei dem Dritten um einen Berater oder potenziellen Investor der empfangenden Partei, der einer Vertraulichkeitsverpflichtung unterliegt, die mindestens das gleiche Schutzniveau wie diese Vereinbarung gewährleistet, oder der bereits beruflich zur Geheimhaltung verpflichtet ist.

16.2. Die Vertraulichkeitsverpflichtungen gemäß Klausel 16.1 gelten nicht für vertrauliche Informationen, die nachweislich

A. vor der Mitteilung oder Übermittlung der Öffentlichkeit bekannt oder allgemein zugänglich waren oder zu einem späteren Zeitpunkt der Öffentlichkeit bekannt oder allgemein zugänglich werden, sofern keine Geheimhaltungspflicht verletzt wird;

B. der empfangenden Partei bereits vor der Offenlegung durch die offenlegende Partei bekannt gewesen sein, sofern keine Verletzung einer Geheimhaltungspflicht vorliegt;

C. von der empfangenden Partei unabhängig entwickelt worden sind, ohne die vertraulichen Informationen der offenlegenden Partei zu verwenden oder darauf Bezug zu nehmen;

D. der empfangenden Partei von einem befugten Dritten ausgehändigt oder zur Verfügung gestellt wurden, sofern keine Verletzung einer Geheimhaltungspflicht vorliegt; oder

E. aufgrund zwingender gesetzlicher Vorschriften oder einer Entscheidung eines Gerichts und/oder einer Behörde offengelegt werden müssen.

16.3. Die Vertraulichkeitsverpflichtungen nach dieser Ziffer 16 bleiben für einen Zeitraum von 2 Jahren nach Beendigung des Vertrags in Kraft.

17. Datenschutz

17.1. Cozero verarbeitet personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden und nur für die vertraglich vereinbarten Zwecke gemäß Art. 28(3) DSGVO und in Übereinstimmung mit der als Anlage AVV beigefügten AVV. Die AVV wird auch ohne gesonderte Unterschrift zum Vertragsbestandteil. Bei Unstimmigkeiten zwischen diesem Vertrag und der AVV ist die AVV maßgebend.

17.2. Der Kunde ist als Verantwortlicher im Sinne von Art. 4(7) DSGVO für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie für die Wahrung der Rechte seiner Mitarbeiter, Kunden und Lieferanten verantwortlich. Rückmeldung

17.3. Der Kunde kann Cozero jederzeit Feedback zu den Produkten und Dienstleistungen von Cozero übermitteln. Es besteht keine Verpflichtung zur Übermittlung von Feedback.

17.4. Der Kunde gewährt Cozero eine nicht-exklusive, unbefristete, unwiderrufliche, weltweite, übertragbare, gebührenfreie Lizenz mit dem Recht, Unterlizenzen auf mehreren Ebenen unter den jeweiligen geistigen Eigentumsrechten des Kunden zu erteilen, um das Feedback zu nutzen, zu veröffentlichen und offenzulegen und die Produkte oder Dienstleistungen von Cozero und seinen Unterlizenznehmern, die dieses Feedback enthalten, auf jede von Cozero gewählte Art und Weise und über jedes von Cozero gewählte Medium zu präsentieren, auszuführen, zu kopieren, herzustellen, herstellen zu lassen, zu verwenden, zu verkaufen und anderweitig verfügbar zu machen. Cozero kann das Feedback ohne jegliche Einschränkung oder Verpflichtung zur Zahlung einer Vergütung an den Kunden für jeden beliebigen Zweck verwenden.

18. Vertragslaufzeit, Folgen der Kündigung

18.1. Der Beginn des Vertrages, seine Dauer und etwaige ordentliche Kündigungsrechte werden im Einzelvertrag geregelt. Das Recht zur außerordentlichen Kündigung bleibt davon unberührt.

18.2. Enthält der Einzelvertrag keine Bestimmungen über Kündigungsrechte, kann der Vertrag mit einer Frist von sechs Monaten gekündigt werden.

18.3. Cozero wird den Zugang des Kunden zur Plattform unverzüglich nach Beendigung des Vertragsverhältnisses sperren und nach Wahl des Kunden spätestens einen Monat nach Beendigung des Vertragsverhältnisses alle Kundendaten und sonstigen Inhalte dauerhaft löschen oder zurückgeben. Gesetzliche Aufbewahrungsfristen und das Recht von Cozero, Emissionsdaten in anonymisierter Form zu nutzen, bleiben hiervon unberührt. Nach der Löschung kann der Inhalt nicht wiederhergestellt werden. Es obliegt dem Kunden, dafür Sorge zu tragen, dass er vor Beendigung des Vertragsverhältnisses alle von ihm benötigten Daten, insbesondere die Kundendaten, gesichert oder kopiert hat. Auf schriftliches Verlangen des Kunden wird Cozero den Kunden dabei gegen eine angemessene Vergütung unterstützen und dem Kunden die Daten auf einem üblichen Datenträger oder im Wege der Datenfernübertragung zur Verfügung stellen. Der Kunde hat sein Verlangen spätestens zum Zeitpunkt der Kündigung oder im Falle der Kündigung durch Cozero unverzüglich nach Zugang der Kündigung zu erklären.

19. Übertragung von Rechten und Pflichten

19.1. Mit Ausnahme der Bestimmungen in Ziffer 19.2 kann keine Partei ihre Rechte und Pflichten aus dem Vertrag ohne Zustimmung der anderen Partei auf einen Dritten übertragen.

19.2. Cozero ist berechtigt, den Vertrag als Ganzes auf ein mit Cozero verbundenes Unternehmen im Sinne von § 15 AktG sowie auf einen sonstigen Dritten zu übertragen, sofern dieser sonstige Dritte den gesamten Betrieb von Cozero oder einen wesentlichen Teil davon erwirbt. Cozero wird den Kunden mindestens vier Wochen im Voraus in Textform über eine geplante Übertragung informieren. Im Falle einer solchen Übertragungsmitteilung steht dem Kunden ein außerordentliches Kündigungsrecht zum Zeitpunkt des Wirksamwerdens der geplanten Übertragung zu. Auf dieses Recht wird Cozero den Kunden in der Übertragungsmitteilung gesondert hinweisen. Die Kündigung muss innerhalb von 14 Tagen nach Zugang der Übertragungsmitteilung beim Kunden in Textform bei Cozero eingehen.

20. Salvatorische Klausel

Sollte sich eine Bestimmung des Vertrages als ungültig, unwirksam oder undurchführbar erweisen, so berührt dies nicht die Gültigkeit, Wirksamkeit und Durchführbarkeit der übrigen Bestimmungen des Vertrages. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine rechtlich zulässige Bestimmung zu ersetzen, die dem Zweck der unwirksamen Bestimmung am nächsten kommt.

21. Anwendbares Recht und Gerichtsstand

21.1. Der Vertrag unterliegt dem deutschen Recht.

21.2. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag sind die Gerichte in Berlin.

Anlage AVV

1. Präambel, Regelungsgegenstand und Rangfolge

1.1. Allgemeines. Diese Auftragsverarbeitungsvereinbarung („AVV“) ist Teil der Rahmenvereinbarung zwischen Ihnen und Cozero in Bezug auf die Bereitstellung unserer Dienste (die "Vereinbarung").

1.2. Gegenstand der AVV. Diese AVV beschreibt, wie Cozero personenbezogene Daten, die Sie uns im Zusammenhang mit der Nutzung unserer Dienste zur Verfügung stellen, in Übereinstimmung mit den Anforderungen der Datenschutzgesetze verarbeiten wird.

1.3. Widersprüche. Im Falle eines Konflikts haben die Bestimmungen dieser AVV Vorrang vor den Bestimmungen des Abkommens.

2. Definitionen

In dieser AVV werden folgende Begriffe verwendet:

2.1. "Vereinbarung" bezeichnet die Vereinbarung zwischen Ihnen und Cozero in Bezug auf die Bereitstellung unserer Dienste, wie in unseren Servicebedingungen dargelegt.

2.2. "Kunde" oder "Sie" bezieht sich auf Sie, die Person, die die Vereinbarung (einschließlich dieser AVV) mit Cozero abschließt. Wenn Sie unsere Dienste im Namen einer Organisation nutzen, stimmen Sie diesen Bedingungen im Namen dieser Organisation zu und versichern, dass Sie dazu befugt sind, dies zu tun. In diesem Fall bezieht sich der Begriff "Kunde" oder "Sie" auf diese Organisation.

2.3. "Datenschutzgesetze" sind alle Gesetze und Verordnungen, einschließlich der Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedsstaaten, die auf die Verarbeitung personenbezogener Daten (auch im Zusammenhang mit der Erbringung von Telekommunikationsdiensten und der Durchführung von E-Mail-Marketing) anwendbar sind, insbesondere die DSGVO, das deutsche Telekommunikations- und Telemediendatenschutzgesetz (TTDSG).

2.4. "DSGVO" bezeichnet die EU-Datenschutz-Grundverordnung (EU) 2016/679.

2.5. "Verarbeitung" oder "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die von Cozero im Rahmen der Dienste an und/oder mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatischen Mitteln geschieht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Zugänglichmachen, Abgleichen oder Kombinieren, Sperren, Löschen oder Vernichten.

2.6. "Dienste" bezeichnet die Dienste, die wir über unsere Website anbieten, einschließlich unserer Emission Communication and Engagement Services.

2.7. "Website" bezeichnet unsere Website, www.cozero.io​ sowie die dazugehörige Plattform.

2.8. "Unterauftragsverarbeiter" bezeichnet einen von Cozero beauftragten dritten Unterauftragnehmer, der als Teil der Aufgabe des Unterauftragnehmers, die Dienste zu erbringen, personenbezogene Daten verarbeiten wird.

2.9. "Betroffener" bezeichnet jede identifizierte oder identifizierbare natürliche Person, die ein Angestellter, ein Lieferantenvertreter, ein Kundenvertreter oder ein Geschäftskontakt von Ihnen ist und die von Ihnen über unsere Website kontaktiert und/oder in den Kohlenstoffmanagementprozess einbezogen wurde oder wird.

2.10. "Personenbezogene Daten" sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Personenbezogene Daten können in den Kundendaten enthalten sein. Andere Begriffe haben die Definitionen, die für sie in der Vereinbarung oder in der Datenschutz-Grundverordnung vorgesehen sind, oder werden im Folgenden anders definiert.

3. Anwendungsbereich, Dauer, Art der Daten und Kategorien von betroffenen Personen

3.1. Allgemeiner Geltungsbereich. Gemäß den Bedingungen dieser AVV wird Cozero personenbezogene Daten im Namen des Kunden in Übereinstimmung mit Artikel 28 DSGVO verarbeiten.

3.2. Dauer. Diese AVV gilt für die Dauer der von Cozero im Rahmen der Vereinbarung erbrachten Dienstleistungen und endet automatisch bei Ablauf oder Kündigung der Vereinbarung aus irgendeinem Grund.

3.3. Umfang, Art und Zweck der Verarbeitung. Der Umfang, die Art und der Zweck der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung sind in der Vereinbarung und in unserer Datenschutzrichtlinie.

3.4. Arten von Daten. Die Verarbeitung kann die folgenden Arten/Kategorien personenbezogener Daten umfassen: personenbezogene Daten wie Name oder E-Mail-Adresse, Stellenbeschreibung, Zugehörigkeit zum Unternehmen, zur Verfügung gestellte persönliche Bilder, IP-Adresse, Nutzungsdaten, Gerätedaten, Empfehlungsdaten, Informationen aus Cookies und Page Tags.

3.5. Kategorien von betroffenen Personen. Die von der vorliegenden Verarbeitung betroffenen Personen werden den folgenden Kategorien zugeordnet: (i) Mitarbeiter des Kunden; (ii) Lieferanten des Kunden und (iii) Geschäftskontakte des Kunden.

3.6. Ausnahme. Während der Dauer der Mitgestaltungsphase ist diese AVV nur eingeschränkt anwendbar, da sich der Dienst von Cozero in einem frühen Entwicklungsstadium befindet. Spätestens mit dem Ende der Co-Creation-Phase tritt die AVV in vollem Umfang in Kraft.

4. Anweisungen für Kunden

4.1. Verarbeitungsanweisungen. Während unserer Dienstleistungen können Sie uns zusätzlich zu den in dieser AVV genannten Anweisungen, Anweisungen bezüglich der Verarbeitung personenbezogener Daten (jede solche Anweisung wird im Folgenden als "Verarbeitungsanweisung" bezeichnet) in Verbindung mit unseren Dienstleistungen erteilen. Jede Verarbeitungsanweisung muss schriftlich oder in elektronischer Form erfolgen. Wir werden Ihre personenbezogenen Daten gemäß Ihren Anweisungen verarbeiten.

4.2. Änderungsanträge. Jede Verarbeitungsanweisung, die die Bedingungen dieser AVV ändert oder von ihnen abweicht, stellt eine Änderungsanforderung dar und unterliegt den in Abschnitt 14 dargelegten Anforderungen. Wir verhandeln mit Ihnen nach Treu und Glauben über jede Änderung der Dienste und/oder Gebühren, die sich aus einer Verarbeitungsanweisung ergeben.

4.3. Übereinstimmung der Verarbeitungsanweisungen mit den Datenschutzgesetzen. Sie sind dafür verantwortlich, dass Ihre Verarbeitungsanweisungen mit den Datenschutzgesetzen übereinstimmen.

4.4. Benachrichtigung. Wenn wir der Meinung sind, dass eine Verarbeitungsanweisung gegen die DSGVO oder andere Datenschutzgesetze verstößt, werden wir Sie unverzüglich darüber informieren.

5. Pflichten und Rechte des Kunden

5.1. Kunde als Verantwortlicher. Sie sind der für die Verarbeitung Verantwortliche im Sinne von Artikel 4 Absatz 7 DSGVO. Sie tragen die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und der Mittel, mit denen Sie die personenbezogenen Daten erworben haben.

5.2. Aufzeichnung von Verarbeitungstätigkeiten. Sie führen ein Verzeichnis der Verarbeitungstätigkeiten unter Ihrer Verantwortung gemäß Artikel 30 DSGVO.

5.3. Meldepflicht. Sie werden uns unverzüglich jede Unregelmäßigkeit bei der Umsetzung der gesetzlichen Bestimmungen zum Datenschutz informieren.

6. Cozero-Verpflichtungen

6.1. Verarbeitung ausschließlich für die Erbringung von Dienstleistungen. Wir werden Ihre personenbezogenen Daten nur auf dokumentierte Anweisung von Ihnen und ausschließlich für die Erbringung der Dienstleistungen gemäß Artikel 28 Absatz 3 a) bis h) DSGVO verarbeiten und ansonsten (i) Ihre personenbezogenen Daten nicht für andere als die in der Vereinbarung oder dieser AVV festgelegten Zwecke verarbeiten oder nutzen oder (ii) Ihre personenbezogenen Daten an Dritte weitergeben, die keine Unterauftragsverarbeiter für die vorgenannten Zwecke sind, oder wenn dies nach dem Recht der Union oder eines Mitgliedstaats, dem wir unterliegen, erforderlich ist. In einem solchen Fall werden wir Sie vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.

6.2. Verarbeitung innerhalb und außerhalb der EU/EWR. In der Regel verarbeiten wir personenbezogene Daten innerhalb des Gebiets der Bundesrepublik Deutschland, eines Mitgliedstaats der Europäischen Union oder eines anderen Unterzeichnerstaats des Abkommens über den Europäischen Wirtschaftsraum. In einigen Fällen können wir personenbezogene Daten auch an unsere Drittdienstleister in den Vereinigten Staaten von Amerika übermitteln; Einzelheiten zu den von uns eingesetzten Drittdienstleistern entnehmen Sie bitte unserer Liste der Unterauftragsverarbeiter (abrufbar unter https://cozero.io/subprocessors). Sollte aus Sicht des Kunden bei der Verarbeitung personenbezogener Daten in einem Drittland die Durchführung einer Transfer-Folgenabschätzung erforderlich sein, wird Cozero den Kunden dabei in angemessenem Umfang und nach bestem Wissen und Gewissen unterstützen. Es besteht jedoch keine Verpflichtung für den Kunden, eine Transfer-Folgenabschätzung durchzuführen.

6.3. Personal von Cozero. Wir stellen sicher, dass unser Personal, das mit der Verarbeitung personenbezogener Daten befasst und dazu befugt ist, über die Vertraulichkeit der personenbezogenen Daten informiert ist und sich zur Vertraulichkeit verpflichtet hat oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegt.

6.4. Unser Datenschutzbeauftragter. Wir haben einen Datenschutzbeauftragten bestellt: Fabian Schwarzer, Cozero GmbH, Zionskirchstraße 73a, 10119 Berlin. Die Person ist per E-Mail erreichbar unter dpo@cozero.io.​

7. Technische und organisatorische Maßnahmen

7.1. Cozero TOM. Wenn wir personenbezogene Daten in Ihrem Auftrag verarbeiten, ergreifen wir alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen und haben bestimmte technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung dieser Daten eingeführt und werden diese beibehalten, wie in Anhang 1 beschrieben. Diese Maßnahmen sollen personenbezogene Daten vor versehentlichem oder unbefugtem Verlust, Zerstörung, Änderung, Offenlegung oder Zugriff sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung schützen.

7.2. Änderungen der TOM. Alle technischen und organisatorischen Sicherheitsmaßnahmen unterliegen dem technischen Fortschritt und der Entwicklung. Dementsprechend können wir unsere Sicherheitsmaßnahmen modifizieren und/oder alternative Sicherheitsmaßnahmen implementieren, sofern diese nicht hinter dem in Anlage 1 vertraglich vereinbarten Sicherheitsniveau zurückbleiben.

8. Audit-Rechte des Kunden

8.1. Kunden-Audits. Sie sind berechtigt, vor Beginn unserer Dienstleistungen und bis zu einmal pro Jahr während der Erbringung unserer Dienstleistungen die von Cozero implementierten technischen und organisatorischen Maßnahmen zu prüfen. Sie können häufigere Audits durchführen, soweit dies von den Datenschutzgesetzen verlangt werden.

8.2. Einzelheiten zu Audits. Im Rahmen eines solchen Audits können Sie insbesondere die folgenden Maßnahmen durchführen: (i) Sie können alle Informationen von Cozero einholen, die erforderlich sind, um die Einhaltung der in dieser AVV festgelegten Verpflichtungen nachzuweisen. (ii) Sie können Cozero auffordern, Ihnen eine bestehende Bescheinigung eines qualifizierten Drittprüfers vorzulegen. (iii) Sie können nach angemessener vorheriger Vereinbarung während der regulären Geschäftszeiten und ohne Beeinträchtigung des Geschäftsbetriebs von Cozero eine Vor-Ort-Inspektion derjenigen Teile der Geschäftseinrichtungen von Cozero durchführen, in denen personenbezogene Daten verarbeitet werden, vorbehaltlich der dann geltenden Sicherheitsrichtlinien von Cozero.

8.3. Vor-Ort-Inspektionen. Um eine Vor-Ort-Inspektion zu beantragen, müssen Sie uns mindestens zwei Wochen vor dem vorgeschlagenen Inspektionstermin einen Inspektionsplan vorlegen, in dem der vorgeschlagene Umfang, die Dauer und das Anfangsdatum der Inspektion beschrieben sind. Wir prüfen den Inspektionsplan und teilen Ihnen alle Bedenken oder Fragen mit (z. B. jede Anforderung von Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von Cozero gefährden könnten).

8.4. Bericht anstelle eines Audits. Wenn der geforderte Prüfungsumfang in einem SSAE 16/ISAE 3402 Typ 2, ISO, NIST oder ähnlichen Prüfungsbericht behandelt wird, der von einem qualifizierten externen Prüfer innerhalb der letzten zwölf Monate durchgeführt wurde, erklären Sie sich damit einverstanden, diese Feststellungen anstelle einer geforderten Prüfung der von dem Bericht erfassten Systeme zu akzeptieren.

8.5. Weitergabe von Berichten. Sie werden uns alle gemäß diesem Abschnitt erstellten Prüfberichte zur Verfügung stellen, sofern dies nicht gesetzlich verboten ist. Sie dürfen die Auditberichte nur dazu verwenden, um zu bestätigen, dass unsere technischen und organisatorischen Maßnahmen den Anforderungen dieser AVV entsprechen. Die Audit-Berichte sind vertrauliche Informationen der Parteien gemäß den Bedingungen der Vereinbarung.

8.6. Kosten für Audits. Alle Audits gehen zu Ihren Lasten. Jede Anfrage an Cozero, Unterstützung bei einer Prüfung zu leisten, wird als separate Dienstleistung betrachtet, wenn diese Prüfungsunterstützung den Einsatz von Ressourcen erfordert, die sich von denen unterscheiden, die für die Erbringung der Dienstleistungen erforderlich sind, oder diese ergänzen. Wir holen Ihre schriftliche Zustimmung und Ihr Einverständnis zur Zahlung der entsprechenden Gebühren ein, bevor wir eine solche Prüfungsunterstützung durchführen.

8.7. Prüfer von Dritten. Wenn eine dritte Partei die Prüfung durchführen soll, muss die dritte Partei von dem Kunden und Cozero einvernehmlich bestimmt werden und eine schriftliche Vertraulichkeitsvereinbarung unterzeichnen, die für Cozero akzeptabel ist, bevor die Prüfung durchgeführt wird.

9. Unterauftragsverarbeiter

9.1. Unterauftragsverarbeiter. Wir können Unterauftragsverarbeiter beauftragen, die uns bei der Verarbeitung Ihrer personenbezogenen Daten unterstützen. Indem Sie diese AVV mit uns abschließen, erteilen Sie uns Ihre vorherige allgemeine schriftliche Genehmigung für den Einsatz von Unterauftragsverarbeitern gemäß Artikel 28 Absatz 2 DSGVO. Eine Liste der Unterauftragsverarbeiter finden Sie unter https://cozero.io/subprocessors. Wenn wir beabsichtigen, einen Unterauftragsverarbeiter hinzuzufügen oder zu ersetzen, werden wir Sie über diese beabsichtigte Änderung informieren und Ihnen die Möglichkeit geben, dieser Änderung zu widersprechen. Wenn Sie nicht innerhalb von zwei Wochen nach unserer Benachrichtigung über den Wechsel eines Unterauftragsverarbeiters widersprechen, hat dies die gleiche Wirkung wie eine Einwilligung.

9.2. Unsere Vereinbarungen mit Unterauftragsverarbeitern. Wir stellen sicher, dass alle unsere Unterauftragsverarbeiter im Wesentlichen dieselben Verpflichtungen wie Cozero gemäß dieser AVV einhalten müssen, die für die Erbringung der Dienstleistungen gelten. Dies gilt insbesondere, aber nicht ausschließlich, für die Anforderungen in Ziffern 4, 7, 8 und 10 bis 13. Cozero bleibt jederzeit für die Einhaltung der Bedingungen dieser AVV durch alle Unterauftragsverarbeiter verantwortlich, die mit der Erbringung unserer Dienstleistungen für Sie beauftragt sind.

9.3. Soweit wir mit Freelancern zusammenarbeiten, die Zugang zu Ihren personenbezogenen Daten haben, stellen wir sicher, dass wir nur mit Freelancern zusammenarbeiten, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, so dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Person gewährleistet. Die Verarbeitung durch einen Freelancer wird durch eine AVV geregelt, die denselben Datenschutzstandard gewährleistet, auf den Sie und wir uns geeinigt haben. Eine Liste der Freelancer stellen wir Ihnen auf Anfrage zur Verfügung.

9.4. Kopien der relevanten Bedingungen. Sie haben das Recht, auf schriftlichen Antrag Kopien der relevanten Bedingungen der Vereinbarung zwischen Cozero und jedem Unterauftragsverarbeiter, der Ihre personenbezogenen Daten verarbeitet, zu erhalten, es sei denn, die Vereinbarung enthält vertrauliche Informationen; in diesem Fall kann Cozero eine geschwärzte Version der Vereinbarung bereitstellen.

9.5. Nebendienstleistungen. Dieser § 9 gilt nicht, soweit wir Dritte mit Nebenleistungen beauftragen; hierzu gehören insbesondere Telekommunikationsdienstleistungen, Post- und Versanddienstleistungen, Gebäudesicherheitsdienstleistungen, Facility Management Dienstleistungen sowie Dienstleistungen im Zusammenhang mit der Reinigung oder Entsorgung von Datenträgern.

10. Rechte der betroffenen Personen

10.1. Weiterleitung von Anfragen der betroffenen Person. Wenn eine betroffene Person uns auffordert, personenbezogene Daten zu berichtigen, zu löschen oder zu sperren, werden wir diese Aufforderung an Sie weiterleiten. Cozero wird ohne Ihre vorherige schriftliche Zustimmung nicht auf Anfragen von betroffenen Personen reagieren.

10.2. Unterstützung. Wenn eine betroffene Person Sie auffordert, personenbezogene Daten zu berichtigen, zu löschen oder zu sperren oder Auskunft über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Zusammenhang mit unseren Diensten zu erteilen, und Sie nicht in der Lage sind, der Aufforderung selbst über unsere Website nachzukommen, werden wir Sie bei der Beantwortung der Aufforderung und bei der Erfüllung der Aufforderung durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, vorausgesetzt, (i) Sie weisen uns schriftlich oder in Textform an, dies zu tun, und (ii) Sie erstatten uns die Kosten und Auslagen, die bei der Bereitstellung dieser Unterstützung entstehen.

11. Löschung von Daten und Rückgabe von Datenträgern

11.1. Keine Kopien oder Duplikate. Wir werden keine Kopien oder Duplikate Ihrer personenbezogenen Daten ohne Ihr vorheriges Wissen erstellen. Ungeachtet des vorstehenden Satzes können wir (i) Sicherungskopien erstellen, soweit dies für die ordnungsgemäße Verarbeitung personenbezogener Daten erforderlich ist, und (ii) Kopien personenbezogener Daten anfertigen und aufbewahren, wenn dies für uns zur Einhaltung gesetzlicher Aufbewahrungs- und Speicherpflichten erforderlich ist.

11.2. Löschung von Daten. Nach der Kündigung Ihres Kontos oder zu jedem früheren Zeitpunkt auf Ihre schriftliche Anfrage hin werden wir nach Ihrer Wahl entweder alle Kopien Ihrer personenbezogenen Daten innerhalb eines Monats aus unseren Systemen löschen oder Ihnen diese personenbezogenen Daten zurückgeben. Wir haften nicht für Verluste oder Schäden, die sich aus einer solchen Löschung oder Rückgabe ergeben, und es liegt in Ihrer Verantwortung, sicherzustellen, dass alle von Ihnen benötigten personenbezogenen Daten vor der Löschung oder Rückgabe gesichert oder repliziert werden.

11.3. Rückgabe von Datenträgern. Wenn wir im Zusammenhang mit unseren Diensten von Ihnen Datenträger erhalten haben, die personenbezogene Daten enthalten, geben wir Ihnen alle Datenträger zurück, die sich zum Zeitpunkt der Kündigung Ihres Kontos oder auf Ihre schriftliche Anfrage noch in unserem Besitz befinden.

11.4. Weiterverwendung für rechtliche Verpflichtungen. Ungeachtet des Vorstehenden werden wir nur diejenigen personenbezogenen Daten aufbewahren, die erforderlich sind, um unseren rechtlichen Verpflichtungen nachzukommen, Streitigkeiten beizulegen und unsere Vereinbarungen durchzusetzen.

12. Meldepflichten und weitere Unterstützung

12.1. Benachrichtigung über (behördliche) Durchsuchungen und Beschlagnahmen. Wir werden Sie unverzüglich informieren, wenn Ihre personenbezogenen Daten Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Beschlagnahme im Rahmen eines Konkurs- oder Insolvenzverfahrens oder ähnlicher Ereignisse oder Maßnahmen durch Dritte werden, während sie sich in unserer Kontrolle befinden. In einem solchen Fall werden wir alle an einer solchen Maßnahme beteiligten Parteien darüber informieren, dass alle davon betroffenen Daten in Ihrem alleinigen Eigentum und Verantwortungsbereich stehen, dass Sie über die Daten allein verfügen können und dass Sie die verantwortliche Stelle im Sinne der DSGVO sind.

12.2. Benachrichtigung über Vorfälle und Verstöße. Wir werden Sie unverzüglich informieren, wenn wir feststellen, dass (i) Ihre / oder persönliche Daten Gegenstand eines Sicherheitsvorfalls (auch durch einen Cozero-Mitarbeiter) waren oder (ii) dass Cozero (auch durch einen Cozero-Mitarbeiter) gegen Datenschutzgesetze verstoßen hat, die für die Erbringung unserer Dienstleistungen für Sie oder für eine oder mehrere der in dieser AVV festgelegten Bestimmungen gelten. In einem solchen Fall werden wir den Sicherheitsvorfall oder die Verletzung unverzüglich untersuchen und angemessene Maßnahmen ergreifen, um die Ursache zu ermitteln und eine Wiederholung zu verhindern.

12.3. Unterstützung. Für den Fall, dass Sie aufgrund des Sicherheitsvorfalls oder der Sicherheitsverletzung verpflichtet sind, Offenlegungspflichten gemäß Artikel 33 DSGVO zu erfüllen, werden wir Sie bei der Erfüllung dieser Pflichten unterstützen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform anweisen, dies zu tun, und (ii) Sie uns unsere angemessenen und dokumentierten Kosten und Auslagen für die Bereitstellung dieser Unterstützung erstatten.

12.4. Weitere Unterstützung. Zusätzlich zu unseren oben genannten Unterstützungsverpflichtungen unterstützen wir Sie bei der Einhaltung Ihrer Verpflichtungen gemäß Artikel 32 bis 36 DSGVO, wobei wir die Art der Verarbeitung und die uns zur Verfügung stehenden Informationen berücksichtigen, vorausgesetzt, dass (i) Sie uns schriftlich oder in Textform damit beauftragen und (ii) Sie uns unsere angemessenen und dokumentierten Kosten und Auslagen für diese Unterstützung erstatten.

13. Änderungen

Änderungen an diesen Bedingungen. Cozero kann diese Bedingungen jederzeit aus verschiedenen Gründen ändern, z. B. um Änderungen des geltenden Rechts zu berücksichtigen, um Aktualisierungen unserer Dienste oder der von uns eingesetzten technischen und/oder organisatorischen Maßnahmen zu berücksichtigen und um neue Dienste oder Funktionalitäten zu berücksichtigen.

14. Sonstiges

14.1. Gültigkeit. Sollten einzelne Bestimmungen dieser AVV ungültig oder nicht durchsetzbar sein, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser AVV davon nicht berührt.

14.2. Geltendes Recht und Gerichtsstand. Diese AVV unterliegt dem deutschen Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AVV sind die Gerichte in Berlin.

** Diese AVV wird zwischen den Parteien ohne gesonderte Unterschrift wie folgt verbindlich vereinbart: Bei einem Vertragsabschluss in Papierform durch einen ausdrücklichen Verweis auf die Nutzungsbedingungen; bei einem Online-Vertragsabschluss durch einen Link auf die Nutzungsbedingungen. **

Anhang - Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

1. Maßnahmen zur Gewährleistung der Vertraulichkeit

  • 1.1. Physische Zugangskontrolle

Maßnahmen, die Unbefugten den Zugang zu IT-Systemen und Datenverarbeitungsanlagen, die der Verarbeitung personenbezogener Daten dienen, sowie zu vertraulichen Dateien und Datenträgern physisch verwehren.

Beschreibung der physischen Zugangskontrolle:

  • Sicherheitsschlösser an Türen
  • Sorgfältige Auswahl des Reinigungspersonals
  • Zulassungsverwaltung: autorisiertes Personal und Umfang der Autorisierung sind vordefiniert
  • Sorgfältige Auswahl des Sicherheitspersonals
  • Weitere Maßnahmen des Dienstanbieters

1.2. Logische Zugangskontrolle

Maßnahmen zur Verhinderung der Verarbeitung oder Nutzung von datenschutzrechtlich geschützten Daten durch Unbefugte.

Beschreibung des logischen Zugangskontrollsystems:

  • Begrenzung der Anzahl der zugelassenen Mitarbeiter
  • Passwortverfahren, d. h. persönliche und individuelle Anmeldedaten bei der Anmeldung am System (z. B. Sonderzeichen, Mindestlänge, regelmäßige Änderung des Passworts)
  • Benutzerrechte werden restriktiv vergeben
  • Alle An- und Abmeldungen werden aufgezeichnet
  • Verwendung einer zentralen Passwortpolitik

1.3. Kontrolle des Datenzugriffs

Maßnahmen, die sicherstellen, dass Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, nur entsprechend ihren Zugriffsrechten auf personenbezogene Daten zugreifen können, so dass Daten während der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung der Datenzugriffskontrolle:

  • Begrenzung der Anzahl der zugelassenen Mitarbeiter
  • Passwortverfahren, d. h. persönliche und individuelle Anmeldedaten bei der Anmeldung am System (z. B. Sonderzeichen, Mindestlänge, regelmäßige Änderung des Passworts)
  • Alle Datenzugriffe werden automatisch protokolliert
  • Geringe Anzahl von Systemadministratoren
  • Aufzeichnungen und Protokolldateien werden regelmäßig ausgewertet

1.4. Trennungsregel

Maßnahmen, die sicherstellen, dass für verschiedene Zwecke erhobene Daten getrennt von anderen Daten und Systemen verarbeitet werden, so dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.

Beschreibung des Prozesses der Trennungskontrolle:

  • Die Systeme ermöglichen eine Trennung der Daten (Mandantenfähigkeit), die Daten werden nach Software getrennt.
  • Produktivsysteme und Testsysteme sind voneinander getrennt
  • Auf die Datensätze kann nur über die vordefinierten Anwendungen zugegriffen werden.
  • Datenbankbenutzerrechte werden zentral vergeben und verwaltet

1.5. Maßnahmen zur Pseudonymisierung

Maßnahmen, die den direkten Personenbezug bei der Verarbeitung so reduzieren, dass eine Zuordnung der Daten zu einer bestimmten Person nur unter Einbeziehung von Zusatzinformationen möglich ist. Die Zusatzinformationen müssen durch geeignete technische und organisatorische Maßnahmen vom Pseudonym getrennt gehalten werden.

Beschreibung der Pseudonymisierung:

  • keine aufgrund der Arbeit auf einem zentralen Serversystem

2. Maßnahmen zur Gewährleistung der Integrität

2.1. Übertragungs- und Transportkontrolle

Maßnahmen, die sicherstellen, dass die Vertraulichkeit und Integrität der Daten bei der Übermittlung personenbezogener Daten und beim Transport von Datenträgern geschützt ist. Ferner Maßnahmen, die sicherstellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten unter Verwendung von Datenübertragungseinrichtungen übermittelt oder zur Verfügung gestellt werden oder wurden.

Beschreibung der Übertragungs- und Transportkontrolle:

  • HTTPS
  • Unnötige Ausdrucke werden abgebrochen
  • Keine Verwendung von physischen Datenträgern
  • Umfassende Protokollierungsverfahren
  • Keine Nutzung von privaten Datenträgern am Arbeitsplatz

2.2. Eingabekontrolle

Maßnahmen, die sicherstellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder verändert wurden.

Beschreibung des Prozesses der Eingangskontrolle:

  • Protokollierung aller Systemaktivitäten und Aufbewahrung dieser Protokolle für mindestens sechs Monate
  • Nutzung einer zentralen Rechteverwaltung für die Eingabe, Änderung und Löschung von Daten

3. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit

3.1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Beschreibung des Verfügbarkeitskontrollsystems:

  • Es werden regelmäßig Backups erstellt
  • Sicherungs- und Wiederherstellungsplan ist vorhanden
  • Datensicherungsdateien werden an einem sicheren und entfernten Ort aufbewahrt, diverse zusätzliche Maßnahmen werden von den Lieferanten getroffen
  • Lokalisierung
  • Zusätzlich vielfältiges Maß an Serverdienstleistern

3.2. Schnelle Erholung

Maßnahmen, die sicherstellen, dass die Verfügbarkeit von und der Zugang zu personenbezogenen Daten und verwendeten Systemen im Falle eines physischen oder technischen Zwischenfalls schnell wiederhergestellt werden kann.

Beschreibung der Maßnahmen zur schnellen Wiederherstellung:

  • Verfahren zur Datensicherung

4. Maßnahmen zur regelmäßigen Prüfung und Bewertung der Sicherheit der Datenverarbeitung

Maßnahmen, die gewährleisten, dass die Daten sicher und im Einklang mit den Datenschutzvorschriften verarbeitet werden. Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden können.

Beschreibung der Maßnahmen zur Auftragskontrolle:

  • Einbindung der Datenschutzbeauftragten für alle datenschutzrelevanten Fragen
  • Formalisierte Prozesse für Datenschutzvorfälle