Allgemeine Geschäftsbedingungen (AGB)

Stand: Juli 2025

1. GEGENSTAND UND GELTUNGSBEREICH

   1. Diese Allgemeinen Geschäftsbedingungen ("AGB") werden Bestandteil aller Vertragsverhältnisse zwischen der HalloPetra GmbH ("Anbieter") und gewerblichen Kunden des Anbieters ("Kunden"), insbesondere bezüglich der Lizenzierung der KI-Softwarelösung "HalloPetra" des Anbieters ("Vertragssoftware").  

   2. Für die Nutzung der Vertragssoftware und der über die Vertragssoftware angebotenen Dienstleistungen gelten ausschließlich diese AGB. Allgemeine Geschäftsbedingungen des Kunden finden keine Anwendung.

   3. Diese AGB finden keine Anwendung auf Verträge mit Verbrauchern im Sinne des § 13 BGB. 

2. VERTRAGSSCHLUSS UND VERTRAGSGRUNDLAGEN

   1. Verträge mit dem Anbieter kommen durch ein Angebot des Anbieters und die vorbehaltlose Annahme des Kunden zustande ("Vertrag"). Angebote des Anbieters sind freibleibend und können bis zur Annahme des Kunden vom Anbieter jederzeit widerrufen werden, es sei denn, das Angebot wird ausdrücklich als verbindlich bezeichnet. Mit dem Kunden gilt der elektronische Kommunikationsweg als vereinbart. 

   2. Soweit nicht ausdrücklich etwas anderes vereinbart wurde, hat der Liefer- oder Leistungsgegenstand nur die vertraglich zugesicherten Eigenschaften aufzuweisen; diese stellen nur dann Garantieübernahmen dar, wenn der Anbieter ausdrücklich erklärt, verschuldensunabhängig hierfür einstehen zu wollen oder wenn sie vom Anbieter ausdrücklich als solche bezeichnet werden; Garantieerklärungen müssen schriftlich abgegeben werden, um wirksam zu sein.

   3. Qualitätsanforderungen oder sonstige Leistungsanforderungen (z.B. IT-Sicherheitsanforderungen, Compliance-Anforderungen, Programmieranforderungen, Dokumentationsanforderungen) werden nur dann Vertragsbestandteil, wenn sie bei Vertragsschluss ausdrücklich einbezogen und vom Anbieter vorbehaltlos bestätigt wurden. 

   4. Vom Anbieter herausgegebene Prospekte, Werbemittel oder Angaben auf Webseiten werden nur dann Vertragsbestandteil, sofern dies ausdrücklich vereinbart wurde. 

3. VERTRAGSSOFTWARE 

   1. Die im Angebot näher bezeichnete Vertragssoftware besteht vorwiegend aus einer Software mit Künstlicher Intelligenz ("KI"), die administrative telefonische Aufgaben in Handwerksund Dienstleistungsbetrieben unterstützen kann. Der konkrete Leistungs- und Funktionsumfang der Vertragssoftware ergibt sich aus dem jeweiligen Angebot. 

   2. Die Bereitstellung der Vertragssoftware erfolgt als Cloud-Anwendung ("SaaS"). Die Vertragssoftware umfasst nicht die Beschaffung oder Bereitstellung von Fremdsoftware, einschließlich Lizenzen für Betriebssysteme oder Standardsoftware von Drittherstellern und Weiter- und Neuentwicklung, einschließlich Patches, Updates und Upgrades vom Fremdsoftware. 

   3. Der Kunde ist sich bei Verwendung einer als "Betaversion" gekennzeichneten Vertragssoftware oder eines Dienstes/Services darüber bewusst, dass die Vertragssoftware bzw. der Dienst/Service noch fehlerhaft sein kann und Beschädigungen am System des Kunden unter Umständen sein können. Der Kunde nutzt Betaversionen daher in eigener Verantwortung. Der Anbieter übernimmt insoweit für durch Betaversionen verursachte Schäden keine Haftung, es sei denn, der Schaden beruht auf einer vorsätzlichen Pflichtverletzung des Anbieters.

4. NUTZUNGSRECHTE

   1. Der Anbieter räumt dem Kunden das einfache, widerrufliche, nicht übertragbare Recht ein, die Vertragssoftware während der Vertragslaufzeit zwischen dem Anbieter und dem Kunden bestimmungsgemäß zu nutzen. Der Kunde erhält insbesondere das Recht, die Vertragssoftware eigenen Mitarbeitern nach Maßgabe der Bestimmungen dieser AGB zur betrieblichen Nutzung zu überlassen und, sofern erforderlich, entsprechende Zugänge freizuschalten. Dieses Nutzungsrecht des Kunden ist nicht an Dritte unterlizenzierbar es sei denn, das Angebot sieht eine Weiterlizensierung z.B. an verbundene Unternehmen des Kunden vor. 

   2. Der Anbieter behält sich das Recht vor, die Vertragssoftware stetig weiterzuentwickeln und den Funktionsumfang zu erweitern oder in angemessenem Umfang anzupassen oder einzuschränken. 

   3. Die Erstellung individueller Anpassungen oder Konfigurationen der Vertragssoftware ("Customizings") sind vertraglich zu vereinbaren. Ohne vertragliche Vereinbarung besteht kein Anspruch auf Erstellung von Customizings. Der Anbieter behält sich sämtliche Rechte an Customizings vor, insbesondere das Recht, Customizings anderen Kunden zu lizensieren. Soweit der Anbieter für den Kunden Customizings vornimmt, gelten die nach diesen AGB eingeräumten Nutzungsrechte an der Vertragssoftware zugunsten des Kunden auch für Customizings.

   4. Unbeschadet der im Rahmen dieser AGB eingeräumten Nutzungsrechte behält der Anbieter alle Rechte an der Vertragssoftware.

5. BEREITSTELLUNG DER VERTRAGSSOFTWARE 

   1. Der Anbieter stellt dem Kunden die Vertragssoftware in ihrer jeweils aktuellen Version und für die vertragsgemäße Nutzung der Leistung ausreichenden Speicherplatz über das Internet als SaaS zur Verfügung und nimmt erforderliche Wartungsarbeiten vor. 

   2. Der Anbieter stellt die Vertragssoftware nicht mit garantierter durchgehender Verfügbarkeit bereit und ist daher nicht für eine störungs- und unterbrechungsfreie Verfügbarkeit der Vertragssoftware verantwortlich. Der Anbieter wird jedoch geeignete Maßnahmen ergreifen, um eine Verfügbarkeit von ca. 98 % im Jahresdurchschnitt zu erreichen. Unter Verfügbarkeit ist die Möglichkeit des Kunden zu verstehen, die geschuldeten Funktionalitäten der Vertragssoftware ohne Einschränkung zu nutzen. Ausfallzeiten aufgrund von Wartungsarbeiten gelten nicht als Einschränkung der Verfügbarkeit.

   3. Wartungsleistungen sind in der Vergütung für die Bereitstellung der Vertragssoftware enthalten. Zu den Wartungsleistungen gehören regelmäßige Überprüfungen der Vertragssoftware zur Sicherstellung der vertragsgemäßen Leistung und Sicherheit, einschließlich der Beseitigung von Fehlern und der Bereitstellung von Updates, Patches oder Releases. Der Anbieter wird auf die berechtigten Interessen des Kunden angemessen Rücksicht nehmen und den Kunden rechtzeitig über notwendige Wartungsarbeiten informieren. In der Regel wird der Anbieter die Wartungsarbeiten außerhalb der üblichen Geschäftszeiten durchführen.

6. UPDATES UND UPGRADES 

   1. Der Anbieter ist berechtigt, Inhalte und Funktionen der Vertragssoftware jederzeit zu aktualisieren und zu erweitern, um deren hohen Qualitätsstandard laufend zu gewährleisten ("Aktualisierung"). Während der Vertragslaufzeit wird der Anbieter die Aktualisierungen bereitstellen, die für den Erhalt der Vertragsmäßigkeit der Vertragssoftware erforderlich sind. 

   2. Falls eine Aktualisierung vom Kunden selbst installiert oder aktiviert werden muss und dieser die erforderliche Installation oder Aktivierung der Aktualisierung trotz Aufforderung vom Anbieter nicht vornimmt, übernimmt der Anbieter keine Verantwortung für einen Mangel der Vertragssoftware, der ursächlich auf das Fehlen dieser Aktualisierung zurückzuführen ist. 

   3. Verbesserungen, Neuerungen und Erweiterungen oder inhaltlich neue Funktionen der Vertragssoftware ("Upgrades") sind nicht von den vertraglich geschuldeten Wartungsleistungen erfasst. Die Bereitstellung von Upgrades erfolgt gegen gesonderte Vergütung auf der Basis einer gesonderten Vereinbarung. Dem Anbieter steht es jedoch frei, derartige Upgrades auch unentgeltlich zur Verfügung zu stellen.

7. FEHLERBEHEBUNG UND SUPPORTLEISTUNGEN 

   1. Der Kunde wird den Anbieter über auftretende Fehler oder Mängel der Vertragssoftware unverzüglich informieren. Der Anbieter wird in diesem Fall angemessene Anstrengungen unternehmen, um die Ausfall- und Behebungszeit so gering wie möglich zu halten. Fehler werden entsprechend ihrer Schwere kategorisiert und der Anbieter wird Priorität auf die Behebung schwerwiegender Fehler legen.

   2. Soweit gemeldete Fehler durch unsachgemäße oder vertragswidrige Nutzung der Vertragssoftware durch den Kunden oder dessen Nutzer entstanden sind, sind die für die Fehlerbehebung entstandenen Aufwände vom Kunden zu marktüblichen Konditionen zu vergüten.

   3. Supportleistungen und allgemeine Beratungsleistungen (z.B. Anwenderschulungen) erbringt der Anbieter nach entsprechender Vereinbarung und gegen gesonderte Vergütung. Es steht dem Anbieter jedoch frei, solche Support- und allgemeinen Beratungsleistungen unentgeltlich zu erbringen.

   4. Der Kunde ist eingeladen, Feedback zur Vertragssoftware und zu den Support- und Wartungsleistungen zu geben. Der Anbieter wird dieses Feedback berücksichtigen, um die Qualität seiner Dienstleistungen kontinuierlich zu verbessern. Der Kunde räumt dem Anbieter das unentgeltliche, zeitlich, räumlich und inhaltlich unbeschränkte Recht ein, das Feedback zur Verbesserung der Vertragssoftware oder sonstiger Leistungen des Anbieters einzusetzen.

8. PFLICHTEN DES KUNDEN 

   1. Der Kunde wird angemessene technische und organisatorische Maßnahmen treffen, um unbefugten Zugriff Dritter auf die Vertragssoftware zu verhindern. 

   2. Soweit spezielle Systemanforderungen für die Nutzung der Vertragssoftware genannt werden, hat der Kunde auf eigene Verantwortung sicherzustellen, dass diese durch sein System erfüllt werden.

9. VERBOTENE NUTZUNG DER VERTRAGSSOFTWARE  

Der Kunde stellt sicher, dass bei der Nutzung der Vertragssoftware folgende Nutzungsverbote eingehalten werden:

1. Die Vertragssoftware darf nicht zu anderen als den in der Leistungsbeschreibung definierten Zwecken verwendet werden.

2. Die Vertragssoftware darf nicht geändert, dekompiliert, zurückentwickelt ("Reverse Engineering") oder disassembliert werden. Außerdem darf nicht in sonstiger Weise versucht werden, den Quellcode der Vertragssoftware zu extrahieren.

3. Es dürften keine Inhalte in der Vertragssoftware gespeichert oder verbreitetet werden, die gegen anwendbare Gesetze, insbesondere berufsrechtliche Vorschriften, behördliche Anordnungen oder gegen Rechte Dritter (z.B. Urheberrechte, gewerbliche Schutzrechte, Persönlichkeitsrechte) verstoßen oder beleidigenden, rassistischen, diffamierenden oder verleumderischen Inhalt haben.

4. Es dürfen keine Inhalte (Dateien) in der Vertragssoftware gespeichert oder via der Vertragssoftware versandt werden, die Spam, schädlichen Code, Viren oder sonstige Schadsoftware bzw. andere Informationen, Dateien oder Programme enthalten, die die Funktionsfähigkeit von Soft- oder Hardware oder von Telekommunikationsvorrichtungen unterbrechen, zerstören und / oder einschränken können. 

5. Der Kunde darf die Vertragssoftware nicht als Wiederverkäufer nutzen. 

6. Die Vertragssoftware darf nicht in Anwendungsbereichen eingesetzt werden, die nach der Verordnung (EU) 2024/1689 über künstliche Intelligenz ("KI-Verordnung") (i) als verbotene KI-Systeme gemäß Art. 5 oder (ii) als Hochrisiko-KI-Systeme gemäß Art. 6 ff. eingestuft sind. Dies gilt insbesondere für den Einsatz zur sozialen Bewertung natürlicher Personen, zur manipulativen Beeinflussung von Personen, zur biometrischen Fernidentifikation sowie in sicherheits- oder gesundheitskritischen Bereichen.

7. Es dürfen keine Schutzvermerke, wie Copyright-Vermerke und andere Rechtsvorbehalte verändert, entfernt oder hinzugefügt werden.

10. VERANTWORTLICHKEIT DES ANBIETERS

    1. Der Anbieter nimmt keine inhaltliche oder fachliche Prüfung der vom Kunden in die Vertragssoftware eingegebenen Daten vor. Der Kunde ist allein verantwortlich für die Richtigkeit und Vollständigkeit der in der bereitgestellten Vertragssoftware eingegebenen Daten. Der Anbieter haftet nicht für Fehler, Verluste oder Schäden, die aus ungenauen, unvollständigen oder irreführenden Informationen resultieren. 

    2. Die Vertragssoftware liefert keine unfehlbaren Inhalte und Gesprächsprotokolle. Jede Ausgabe der Vertragssoftware muss vom Kunden überprüft und verifiziert werden.

    3. Der Anbieter haftet nicht für fehlerhafte, missverständliche oder unpassende Gesprächsinhalte, die durch die Vertragssoftware im Rahmen der Beantwortung von Anrufen generiert werden. Der Kunde ist verpflichtet, die generierten Gesprächsprotokolle regelmäßig zu überprüfen und haftet selbst für rechtsverbindliche Aussagen oder Zusagen, die im Rahmen der Nutzung der Vertragssoftware gemacht werden.

    4. Der Anbieter ist im Übrigen nicht verantwortlich für rechtsverletzende Inhalte, die vom Kunden in der Vertragssoftware gespeichert oder darüber verbreitet werden.

11. DATENSCHUTZ 

    1. Der Anbieter wird beim Umgang mit personenbezogenen Daten des Kunden die gesetzlichen Vorschriften zum Schutz personenbezogener Daten einhalten, insbesondere die der DSGVO und des BDSG. 

    2. Dem Anbieter und seinen Mitarbeiterinnen und Mitarbeitern bzw. Erfüllungsgehilfen ist es untersagt, personenbezogene Daten, die er im Kontext des Vertrags erlangt, zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten; dem Anbieter ist nicht gestattet, solche Daten Dritten bekannt zu geben oder zugänglich zu machen, außer dies ist zur Vertragserfüllung erforderlich.

    3. Der Kunde ist für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Vertragssoftware aus datenschutzrechtlicher Sicht verantwortlich. Der Kunde ist insbesondere dafür verantwortlich, dass die Nutzung der Vertragssoftware im konkreten Anwendungsfall den datenschutzrechtlichen Vorgaben entspricht, insbesondere den Vorschriften der DSGVO, des BDSG und ggf. des TDDDG. Der Anbieter übernimmt keine rechtliche Prüfung oder Verantwortung für die datenschutzrechtliche Zulässigkeit der durch den Kunden initiierten oder durchgeführten Verarbeitung personenbezogener Daten.

    4. Soweit für die Nutzung der Vertragssoftware oder einzelner Funktionen (z. B. Aufzeichnung oder Analyse von Gesprächen) eine Einwilligung betroffener Personen erforderlich ist, hat der Kunde sicherzustellen, dass diese Einwilligung wirksam eingeholt wird. Der Anbieter ist nicht verpflichtet, die Einholung oder den Nachweis solcher Einwilligungen zu prüfen. Der Kunde stellt den Anbieter insoweit von sämtlichen Ansprüchen Dritter frei.

    5. Der Anbieter wird hinsichtlich der Bereitstellung der Vertragssoftware für den Kunden aus datenschutzrechtlicher Sicht als Auftragsverarbeiter tätig. Vor diesem Hintergrund wird die Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO (Anlage 1) integraler Bestandteil dieser AGB. Im Falle von Widersprüchen zwischen der Auftragsverarbeitungsvereinbarung und diesen AGB gehen die Regelungen der Auftragsverarbeitungsvereinbarung vor.

12. SCHNITTSTELLEN ZU DRITTANBIETERN 

Die Vertragssoftware kann Schnittstellen zu Anwendungen und Produkten von Drittanbietern bieten. Der Anbieter ist nicht verantwortlich für die Verfügbarkeit, Leistung oder Genauigkeit solcher Drittanbieter-Software oder -Dienste. Der Kunde erkennt an, dass die Nutzung von Schnittstellen Dritter den Bedingungen der jeweiligen Drittanbieter unterliegt.

13. OPEN SOURCE SOFTWARE 

    1. Soweit die Vertragssoftware Open Source Software enthält und dies nach den jeweiligen Nutzungs- und Lizenzbestimmungen der Open Source Software erforderlich ist, wird der Anbieter dem Kunden den Quellcode und die jeweiligen Lizenzbedingungen zur Verfügung stellen.

    2. Die im Rahmen dieser AGB eingeräumten Nutzungsrechte gelten nicht für Open Source Bestandteile der Vertragssoftware, soweit dies nach den jeweiligen Nutzungs- und Lizenzbestimmungen der Open Source Software nicht zulässig ist. 

14. EINSATZ VON KÜNSTLICHER INTELLIGENZ 

    1. Der Anbieter setzt im Rahmen der Leistungserbringung Systeme mit Künstlicher Intelligenz ("KI-Systeme") ein. 

    2. Soweit im Rahmen des Einsatzes der Vertragssoftware Ergebnisse durch KI-Systeme generiert werden, ist der Anbieter für die Richtigkeit, Schutzrechtsfreiheit und Datenschutzkonformität dieser Ergebnisse nicht verantwortlich. 

    3. Die Vertragssoftware ersetzt keine fachkundige persönliche Kommunikation. Sie dient ausschließlich der Unterstützung einfacher, standardisierter Kommunikationsprozesse. Der Anbieter übernimmt keine Verantwortung für Schäden, die darauf beruhen, dass der Kunde Entscheidungen ausschließlich auf Grundlage der von der Vertragssoftware übermittelten Gesprächsinhalte trifft.

    4. Soweit Lieferungen oder Leistungen von Anbieter KI-Systeme beinhalten, die der EU KI-Verordnung oder sonstiger KI-Regulierung unterliegen, wird der Anbieter notwendige Unterstützungsleistungen zur Umsetzung der gesetzlichen Anforderungen (z. B. Dokumentationspflichten, Risikobewertungen) gegen gesonderte Vergütung anbieten.

15. VERTRAULICHKEIT 

    1. Die Parteien sind verpflichtet, alle im Rahmen des jeweiligen Vertrags erlangten vertraulichen Informationen und Betriebsgeheimnisse vertraulich zu behandeln, insbesondere nicht an Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu verwerten. "Vertrauliche Informationen" sind Informationen, die ein verständiger Dritter als schützenswert ansehen würde oder die als vertraulich gekennzeichnet sind.

    2. Die Parteien werden angemessene technische und organisatorische Vorkehrungen treffen, um einen Zugriff Dritter auf Vertrauliche Informationen zu vermeiden.

    3. Die Parteien verpflichten sich, mit allen Mitarbeitern und Subunternehmern eine den vorstehenden Absatz inhaltsgleiche Regelung zu vereinbaren.

    4. Anbieter darf nach Abstimmung mit dem Kunden mit der Kundenbeziehung zum Kunden werben, d.h. insbesondere den Kunden öffentlich als Kunden nennen, das Kunden-Logo auf der Anbieter-Website sowie im Rahmen von Social Media verwenden. 

16. LIZENZGEBÜHREN UND ZAHLUNGSBEDINGUNGEN 

    1. Der Kunde verpflichtet sich zur Zahlung von Lizenzgebühren für die Nutzung und Bereitstellung der Vertragssoftware. Einzelheiten zur Berechnung der Lizenzgebühr sowie zu den Zahlungsmodalitäten ergeben sich aus dem jeweiligen Angebot.

    2. Alle in den jeweiligen Angeboten angegebenen Preise verstehen sich zuzüglich der jeweils geltenden Mehrwertsteuer. Der Kunde ist verantwortlich für die Abführung etwaiger weiterer Steuern oder Abgaben, soweit sie anfallen.

17. GEWÄHRLEISTUNG 

    1. Der Anbieter wird die Vertragssoftware mit der branchenüblichen Sorgfalt pflegen und aktualisieren. Es wird keine Gewähr für die inhaltliche Richtigkeit, Vollständigkeit und Genauigkeit der Inhalte und sonstigen Leistungen übernommen. 

    2. Der Anbieter weist den Kunden darauf hin, dass es nach dem derzeitigen Stand der Technik nicht mit verhältnismäßigem Aufwand möglich ist, Softwareprodukte vollkommen frei von Fehlern zu halten. Der Anbieter wird die Vertragssoftware jedoch von solchen Mängeln freihalten, die ihre Tauglichkeit zur vertrags- oder bestimmungsgemäßen Nutzung mehr als nur unerheblich beeinträchtigen. Der Kunde hat dem Anbieter Art und Auftreten jeglicher Sachmängel unverzüglich anzuzeigen.

    3. Der Anbieter gewährleistet, dass die Vertragssoftware keine Rechte Dritter verletzt. Der Kunde wird den Anbieter unverzüglich über die Geltendmachung von Ansprüchen Dritter informieren, die diese aufgrund der vertragsgemäßen Nutzung der Vertragssoftware gegen ihn geltend machen. Der Anbieter ist berechtigt, aber nicht verpflichtet, die geltend gemachten Ansprüche auf eigene Kosten abzuwehren.

    4. Falls durch die Vertragssoftware Rechte Dritter verletzt werden und es sich dabei um einen Rechtsmangel handelt, wird der Anbieter nach eigener Wahl und auf eigene Kosten (a) dem Kunden ein entsprechendes Nutzungsrecht verschaffen oder (b) die Vertragssoftware rechtsverletzungsfrei umgestalten. Wenn der Anbieter keine Abhilfe herbeiführen kann, steht dem Anbieter ein Recht zur fristlosen Kündigung des Vertrags zu. Der Anbieter wird die Interessen des Kunden bei der Wahl der Abhilfemaßnahmen angemessen berücksichtigen.

    5. Die Gewährleistung ist für solche Mängel ausgeschlossen, die auf einer nicht vertrags- oder bestimmungsgemäßen Nutzung der Vertragssoftware beruhen. 

    6. Gewährleistungsansprüche verjähren nach zwölf (12) Monaten.

    7. Der Anbieter haftet nicht verschuldensunabhängig für anfängliche Mängel; § 536a Abs. 1 Alt. 1 BGB findet keine Anwendung. Im Übrigen gelten die Haftungsbegrenzungen dieser AGB.

18. HAFTUNG 

    1. Hat der Anbieter aufgrund der gesetzlichen Bestimmungen für einen Schaden aufzukommen, der leicht fahrlässig verursacht wurde, so haftet der Anbieter beschränkt: Die Haftung besteht in diesem Fall nur bei Verletzung vertragswesentlicher Pflichten; dies sind solche Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut und vertrauen darf. Die Haftung ist zudem auf den bei Vertragsabschluss vorhersehbaren typischen Schaden begrenzt, maximal jedoch auf die Höhe der für das gegenständliche Vertragsjahr anfallenden Vergütung. 

    2. Unabhängig von einem Verschulden vom Anbieter bleibt eine etwaige Haftung bei arglistigem Verschweigen eines Mangels, aus der Übernahme einer Garantie oder eines Beschaffungsrisikos nach dem Produkthaftungsgesetz unberührt. 

    3. Soweit gemäß vorstehenden Regelungen die Haftung vom Anbieter auf Schadensersatz ausgeschlossen oder beschränkt ist, erstreckt sich dies auch auf die persönliche Haftung der Organe, der Arbeitnehmer und sonstiger Mitarbeiter, der Vertreter und Erfüllungsgehilfen und gilt auch für die gesetzliche Haftung aus unerlaubter Handlung.

    4. Die Haftungsbeschränkungen dieser Ziffer 18 gelten nicht bei Vorsatz und grober Fahrlässigkeit sowie der Verletzung von Leben, Körper oder Gesundheit.

    5. Der Kunde stellt den Anbieter von jeglichen Ansprüchen Dritter frei, die aufgrund der Verletzung von Bestimmungen in diesen AGB ein Schaden entstanden ist. Der Anbieter behält sich vor, bei Verstoß gegen diese AGB das Konto des Kunden zu sperren und ggf. zu löschen sowie den Vertrag zu beenden. 

    6. Die Haftung für Datenverluste wird auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und gefahrenentsprechender Anfertigung von Sicherungskopien eingetreten wäre, vorbehaltlich der weiteren Regelungen der Ziffer 18.  Die Haftung für Datenverluste ist ausgeschlossen, wenn der Kunde keine regelmäßigen Backups durchgeführt hat.

19. LAUFZEIT UND KÜNDIGUNG 

    1. Die Vertragslaufzeit ergibt sich aus dem jeweiligen Angebot. Der Vertrag verlängert sich jeweils um die vereinbarte Vertragslaufzeit, wenn er nicht mit einer Frist von vierzehn (14) Kalendertagen zum jeweiligen Ende der Vertragslaufzeit ordentlich gekündigt wurde. 

    2. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. 

    3. Kündigungserklärungen bedürfen zu ihrer Wirksamkeit der Textform. 

    4. Mit Beendigung des Vertrages erlischt das Recht, die Vertragssoftware zu nutzen. 

20. PFLICHTEN MIT BEZUG AUF DIE VERTRAGSBEENDIGUNG 

    1. Die Beendigung des Vertrags entbindet die Parteien nicht von der Einhaltung der Verpflichtungen, die während der Vertragslaufzeit entstanden sind, einschließlich der Pflichten zur Vertraulichkeit und zum Datenschutz.

    2. Im Falle einer ordentlichen Kündigung des Vertrags oder einer berechtigten außerordentlichen Kündigung durch den Anbieter ist der Kunde verpflichtet, die Nutzung der Vertragssoftware zum Ende der Vertragslaufzeit unverzüglich einzustellen. Bereits gezahlte Lizenzgebühren werden anteilig erstattet.

21. AUFRECHNUNG UND ZURÜCKBEHALTUNGSRECHTE 

    1. Der Kunde darf nur gegen Forderungen vom Anbieter mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen.

    2. Der Kunde darf ein Leistungsverweigerungs- oder Zurückbehaltungsrecht nur aufgrund unbestrittener oder rechtskräftig festgestellter Ansprüche geltend machen.

22. ABTRETUNG 

Der Kunde darf seine Rechte aus den Verträgen mit dem Anbieter nur nach vorheriger Zustimmung vom Anbieter an Dritte abtreten. § 354a HGB bleibt hiervon unberührt.

23. SCHLUSSBESTIMMUNGEN 

    1. Der Anbieter kann für den Kunden zumutbare Änderungen dieser AGB vornehmen. Änderungen dieser AGB werden Vertragsinhalt, wenn die Änderungen dem Kunden per E-Mail mitgeteilt wurden, der Kunde nicht innerhalb von vier (4) Wochen nach Zugang der Mitteilung widerspricht und der Anbieter den Kunden in der Änderungsmitteilung ausdrücklich auf diese Folge hingewiesen hat. Widerspricht der Kunde den Änderungen fristgerecht, werden die Änderungen dem Kunden gegenüber nicht wirksam. Der Anbieter hat in diesem Fall das Recht, das Vertragsverhältnis mit einer Frist von einem (1) Monat zu kündigen, sofern eine Fortführung des Vertrages ohne die Änderungen für den Anbieter unmöglich oder unzumutbar ist. Etwaige andere Änderungsmöglichkeiten werden durch diese Ziffer nicht beschränkt.

    2. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein, oder sollte sich in diesem Vertrag eine Lücke befinden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. 

    3. Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des Kollisionsrechts. Die Bestimmungen des UN-Kaufrechts finden keine Anwendung. Erfüllungsort und ausschließlicher Gerichtsstand für alle aus dem Vertrag resultierenden Rechtsstreitigkeiten ist jeweils der Sitz des Anbieters.

Mitgeltende Dokumente

1. Auftragsverarbeitungsvereinbarung (Anlage 1) 

   
   

Anlage 1 

AuftragsverarbeitungsverEinbarung 

1. Allgemeiner Geltungsbereich 

   1. Diese Auftragsverarbeitungsvereinbarung ("AVV") ist integraler Bestandteil der AGB und kommt mit Abschluss des Vertrags zwischen HalloPetra und dem Kunden zustande ("Vertag"). HalloPetra wird nachfolgend als "Auftragsverarbeiter" und der Kunde als "Verantwortlicher" bezeichnet.

   2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 - Datenschutzgrundverordnung ("DSGVO"). 

2. Definierte Begriffe  

Die Definitionen aus der DSGVO gelten entsprechend in dieser AVV. Die in den AGB definierten Begriffe haben dieselbe Bedeutung in dieser AVV. Im Übrigen gelten folgende Definitionen:

1. "Daten des Verantwortlichen" bezeichnet alle personenbezogenen Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen auf der Grundlage dieser AVV verarbeitet. 

2. "Datenschutzgesetze" bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und verbindlichen Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, der Schweiz und des Vereinigten Königreichs, die für personenbezogener Daten im Rahmen der AVV gelten. 

3. "Drittland" bezeichnet jedes Land außerhalb eines Landes, in dem die Datenschutzgesetze die Übermittlung personenbezogener Daten an Bestimmungsorte außerhalb dieses Landes einschränken, es sei denn, die Datenschutzgesetze und die zuständigen Aufsichtsbehörden des Herkunftslandes haben einen Angemessenheitsbeschluss bezüglich der Datenschutzgesetze des Bestimmungslandes gefasst, so dass die Übermittlung personenbezogener Daten an dieses Bestimmungsland nicht eingeschränkt ist. 

4. "Geschäftstage" sind alle Wochentage, Samstage und Sonntage ausgenommen, an denen die Banken in Berlin für den normalenGeschäftsverkehr geöffnet sind.

3. Beschreibung der Datenverarbeitung

Die Auftragsverarbeitung auf der Grundlage dieser AVV hat folgenden Gegenstand

1. Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden: 

   1. Endkunden und potenzielle Interessenten des Kunden 

   2. Mitarbeitende des Kunden 

   3. Lieferanten und Geschäftspartner des Kunden 

   
   

2. Kategorien personenbezogener Daten, die verarbeitet werden:

   1. Identifikationsdaten (Name, Firma, Jobbezeichnung, Telefonnummer, Adresse) 

   2. Kommunikationsinhalte (Gesprächsinhalte, ggf. Sprachaufzeichnungen oder Transkripte) 

   3. Termin- oder Kalendereinträge 

   4. Metadaten der Anrufe (Zeit, Dauer, Rufnummer, ggf. technische Logs) 

3. Art, Zwecke und Dauer der Datenverarbeitung:

Die Datenverarbeitung erfolgt zur Vertragsdurchführung, um dem Kunden eine digitale KI-Assistentin zur Bürounterstützung für Telefonate zur Verfügung zu stellen. Die Verarbeitung umfasst Echtzeit-Spracherkennung, Protokollierung und Aufarbeitung der Telefoninhalte. Die Dauer der Datenverarbeitung richtet sich nach der Dauer des Vertrages. 

4. Rechte und Pflichten des Verantwortlichen 

   1. Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie die Wahrung der Rechte der betroffenen Personen verantwortlich. 

   2. Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder eine sonstigen, für den Verantwortlichen geltenden gesetzliche Meldepflicht besteht, ist der Verantwortliche für deren Einhaltung verantwortlich.

5. Weisungen

   1. Der Verantwortliche hat das Recht, dem Auftragsverarbeiter jederzeit Weisungen zu Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Die Weisungen sind in Textform (z.B. E-Mail) zu erteilen. Der Verantwortliche ist für die Rechtmäßigkeit der Weisungen verantwortlich. 

   2. Die Parteien können Personen in Textform benennen, die zur Erteilung bzw. zum Empfang von Weisungen befugt sind. Ändern sich diese befugten Personen, so teilen sich dies die Parteien gegenseitig in Textform mit.

   3. Soweit aufgrund einer Weisung des Verantwortlichen nicht unwesentliche Änderungen an den vertraglich vereinbarten Datenverarbeitungsvorgängen erforderlich wären und dadurch zusätzliche Aufwände oder Kosten für den Auftragsverarbeiter entstehen, werden die Parteien über eine angemessene Erhöhung der vertraglich vereinbarten Vergütung verhandeln. Sollten sich die Parteien nicht innerhalb einer angemessenen Frist auf eine Anpassung der Vergütung einigen, steht beiden Parteien ein außerordentliches Recht zur fristlosen Kündigung des Vertrags zu. 

   4. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich darüber, wenn eine vom Verantwortlichen erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. 

6. Pflichten des Auftragsverarbeiters

   1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Verantwortlichen erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragsverarbeiter ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach dieser AVV und/oder den Weisungen des Verantwortlichen. 

   2. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Verantwortlichen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten.

   3. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. 

   4. Für den Fall, dass eine betroffene Person ihre Rechte gemäß Art. 12 - 23 DSGVO gegenüber dem Auftragsverarbeiter geltend macht, die sich offensichtlich auf die Verarbeitung von Daten des Verantwortlichen beziehen, ist der Auftragsverarbeiter berechtigt, die betroffene Person darüber zu informieren, dass der Verantwortliche für die Datenverarbeitung verantwortlich ist. In diesem Zusammenhang kann der Auftragsverarbeiter der betroffenen Person die Kontaktdaten des Verantwortlichen mitteilen.

   5. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.

7. Unterauftragsverarbeiter 

   1. Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter Unterauftragsverarbeiter einsetzt. Die jeweils aktuell eingesetzten Unterauftragsverarbeiter für den Kunden auf Anfrage einsehbar. Vor Hinzuziehung oder Ersetzung der Unterauftragsverarbeiter nach Abschluss dieser AVV informiert der Auftragsverarbeiter den Verantwortlichen. 

   2. Der Verantwortliche kann innerhalb einer Frist von dreißig (30) Geschäftstagen, nachdem der Verantwortliche von dieser Änderung Kenntnis erlangt hat, gegen den Einsatz eines neuen Unterauftragsverarbeiters durch den Auftragsverarbeiter schriftlich Einspruch einlegen. Der Auftragsverarbeiter wird in diesem Fall alle wirtschaftlich vertretbaren Anstrengungen unternehmen, um dem Verantwortlichen eine Änderung der Produkte und/oder Dienste des Auftragsverarbeiters zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Änderung der Konfiguration oder der Nutzung der Produkte und/oder Dienste des Auftragsverarbeiters durch den Verantwortlichen zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Verantwortlichen unangemessen zu belasten. Ist der Auftragsverarbeiter innerhalb von dreißig (30) Geschäftstagen nach Einspruch des Verantwortlichen nicht in der Lage entsprechende Änderungen vorzunehmen, kann jede Partei den Vertrag ohne Verwirkung einer Vertragsstrafe außerordentlich und fristlos kündigen. Der Auftragsverarbeiter erstattet dem Auftragsverarbeiter etwaige im Voraus gezahlte Gebühren anteilig.

   3. Der Auftragsverarbeiter hat mit dem Unterauftragsverarbeiter einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 2 DSGVO zu schließen und dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzverpflichtungen aufzuerlegen, die nach dieser AVV gelten. 

   4. Nicht als Unterauftragsverhältnisse sind Dienstleistungen anzusehen, die der Auftragsverarbeiter bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragsverarbeiter ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen werden, um den Schutz personenbezogener Daten zu gewährleisten.

8. Ort der Datenverarbeitung

   1. Der Auftragsverarbeiter wird personenbezogene Daten vornehmlich in Mitgliedsstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten. Jede Übermittlung von Daten durch den Auftragsverarbeiter in ein Drittland erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der DSGVO in Einklang stehen.

   2. Der Verantwortliche erklärt sich mit einer Drittlandübermittlung von personenbezogenen Daten des Verantwortlichen einverstanden, wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten und der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der DSGVO sicherstellen können, etwa durch den Abschluss von Standardvertragsklauseln, die von der Kommission gemäß Artikel 46 Absatz 2 DSGVO erlassen wurden.

9. Dokumentation und Kontrollen

   1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Datenschutzverpflichtungen dieser AVV zur Verfügung.

   2. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter die Kontrolle der Einhaltung der Datenschutzverpflichtungen dieser AVV und trägt zu einer solchen Kontrolle bei. Bei der Entscheidung über die Durchführung einer Kontrolle hat der Verantwortliche einschlägige Zertifizierungen oder sonstige Nachweise des Auftragsverarbeiters zu berücksichtigen.

   3. Der Verantwortliche kann die Kontrolle in den Geschäftsräumen des Auftragsverarbeiters während der üblichen Geschäftszeiten nach vorheriger schriftlicher Anmeldung mit angemessener Vorankündigung durchführen. Der Verantwortliche wird den Geschäftsbetrieb des Auftragsverarbeiters durch die Kontrollen nicht unverhältnismäßig stören. Die Kontrollen können von einem unabhängigen, zur Verschwiegenheit verpflichteten Auditor durchgeführt werden. Der Auditor übermittelt dem Auftragsverarbeiter eine Kopie des Auditberichts zum gleichen Zeitpunkt wie dem Verantwortlichen. Soweit für die Durchführung der Prüfung Kosten anfallen, sind diese vom Verantwortlichen zu tragen.

   4. Bei der Durchführung der Kontrollen sind die Geheimhaltungsinteressen und Datenschutzrechte des Auftragsverarbeiters und dessen Kunden zu berücksichtigen. Diese dürfen durch die Ausübung der Kontrollrechte des Verantwortlichen nicht beeinträchtigt werden. Der Auftragsverarbeiter kann die Durchführung der Überprüfung von der Unterzeichnung einer Vertraulichkeitsverpflichtung abhängig machen, wobei diese es dem Verantwortlichen nicht unmöglich machen darf, im Bedarfsfall gegenüber der zuständigen Aufsichtsbehörde oder den betroffenen Personen einen Nachweis der Kontrollhandlungen bzw. ihren Ergebnissen zu führen.

10. Datensicherheit

    1. Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen, angemessene technische und organisatorische Maßnahmen zur Sicherheit personenbezogener Daten des Verantwortlichen zu treffen. Dies umfasst den Schutz personenbezogener Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt. Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

    2. Die vom Auftragsverarbeiter ergriffenen technischen und organisatorischen Maßnahmen sind in Annex 1 gelistet. Die Parteien sind sich darüber einig, dass Änderungen der technischen und organisatorischen Maßnahmen zur Anpassung an technische und rechtliche Gegebenheiten erforderlich werden können. Der Auftragsverarbeiter wird den Verantwortlichen über Änderungen der technischen und organisatorischen Maßnahmen informieren.

    3. Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu personenbezogenen Daten des Verantwortlichen, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter wird die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichten.

11. Rückgabe und Löschung von Daten des Verantwortlichen 

Nach Beendigung der AVV löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten oder gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

12. Laufzeit und Beendigung 

    1. Der AVV beginnt mit dem Abschluss des Vertrags und endet mit der Beendigung des Vertrags.

    2. Der Verantwortliche kann diese AVV und den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen die anzuwendenden Datenschutzvorschriften oder gegen die Pflichten aus dieser AVV vorliegt.

13. Schlussbestimmungen 

    1. Soweit gesetzlich oder vertraglich verpflichtende Mitwirkungshandlungen des Auftragsverarbeiters einen im Verhältnis zur vertraglich vereinbarten Vergütung unverhältnismäßigen Aufwand auslösen, kann der Auftragsverarbeiter hierfür von dem Verantwortlichen eine angemessene Entschädigung verlangen. 

    2. Sollten sich einzelne Bestimmungen dieser AVV als ungültig oder unwirksam erweisen, so bleiben die übrigen Bestimmungen dieser AVV davon unberührt. Die ungültige oder unwirksame Bestimmung ist durch eine andere gültige Bestimmung zu ersetzen, die dem Willen der Parteien am nächsten kommt.

    3. Für den AVV gilt das Recht der Bundesrepublik Deutschland.

Annex 1 - LISTE DER TECHNISCHEN UND  

ORGANISATORISCHEN MASSNAHMEN

1. Maßnahmen zur Sicherstellung der Vertraulichkeit

   1. Physische Zugangskontrolle

      1. Sicherheitsschlösser an den Türen

      2. Sorgfältige Auswahl des Reinigungspersonals

      3. Zutrittsmanagement: Berechtigte Personen und Umfang der Berechtigung sind vorab definiert

   2. Zugangskontrolle

      1. Begrenzung der Anzahl der berechtigten Mitarbeiter

      2. Passwortverfahren (z.B. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel)

      3. Restriktive Vergabe von Benutzerrechten

      4. Einsatz einer zentralen Passwort-Policy

   3. Datenzugriffskontrolle

      1. Zugriffsbeschränkung auf autorisierte Mitarbeiter

      2. Automatisierte Protokollierung aller Datenzugriffe

      3. Kleine Anzahl von Systemadministratoren

      4. Regelmäßige Analyse von Protokollen und Aufzeichnungen

   4. Trennungsregel

      1. Systemtechnisch erzwungene Datentrennung (softwarebasierte Trennung)

      2. Trennung von Produktiv- und Testsystemen

      3. Eingeschränkter Datenzugriff nur durch vordefinierte Anwendungen

      4. Zentrale Verwaltung von Datenbankzugriffsrechten

   5. Pseudonymisierungsmaßnahmen

      1. gesamte Datenverarbeitung auf sicheren Systemen

   6. Eingabekontrolle

      1. Protokollierung aller Systemaktivitäten mit Aufbewahrung der Protokolle für mindestens sechs Monate

      2. Zentrale Rechteverwaltung für die Eingabe, Änderung und Löschung von Daten

   7. Datenintegrität

      1. Prüfungen der Datenbankintegrität

      2. Prüfpfade für Datenänderungen

2. Maßnahmen zur Sicherstellung von Verfügbarkeit und Ausfallsicherheit

   1. Kontrolle der Verfügbarkeit

      1. Regelmäßige Backups für 120 Tage aufbewahren

      2. Backup- und Disaster-Recovery-Plan vorhanden

      3. Ausgelagerte und sichere Speicherung von Backups

      4. Lokalisierte Server-Infrastruktur mit Redundanz

      5. Server-Anbieter implementiert zusätzliche Sicherheitsmaßnahmen

   2. Schnelle Wiederherstellung

      1. Definierte Sicherungs- und Wiederherstellungsprozeduren

      2. Schnellwiederherstellungsprotokolle für kritische Systeme

3.  Organisatorische Maßnahmen

   1. Datenschutzschulungen und Sensibilisierungsprogramme für Mitarbeiter

   2. Interne Datenschutzrichtlinien und -verfahren

   3. Interne Audits und Überprüfung der Einhaltung der Vorschriften

4. Reaktion auf Vorfälle

   1. Definierter Plan zur Reaktion auf Vorfälle

   2. Tools zur Erkennung von Sicherheitsverletzungen und Warnsysteme

   3. Verfahren zur rechtzeitigen Meldung von Sicherheitsverletzungen

   4. Protokolle für die Überprüfung und Behebung nach einem Vorfall

5. Management von Anbietern und Drittanbietern

   1. Risikobewertungen für Auftragsverarbeiter/Unterauftragsverarbeiter

   2. Verbindliche Vertragsklauseln zur Gewährleistung der Einhaltung des Datenschutzes

   3. Regelmäßige Lieferantenaudits und Leistungsüberprüfungen

6. Datenminimierung und -aufbewahrung

   1. Richtlinien zur Beschränkung der Datenerfassung auf notwendige Informationen

   2. Zeitpläne für die Datenaufbewahrung und automatische Bereinigungssysteme

7. Überwachung und Prüfung

   1. Kontinuierliche Sicherheitsüberwachung

   2. Regelmäßige Schwachstellen-Scans