Allgemeine Geschäftsbedingungen v2

Stand: November 2020.

Allgemeine Geschäftsbedingungen für SaaS-Services.

Präambel

Die e-bot7 GmbH, Perusastraße 7, 80333 München („e-bot7“) hat einen Chatbot und eine KI-Plattform zur Erhöhung der Effizienz der Kundenkommunikation durch die Integration von künstlicher Intelligenz entwickelt. Das System analysiert eingehende Nachrichten, automatisiert Antworten und Prozesse, leitet sie an interne Abteilungen weiter und liefert Mitarbeitern Antwortvorschläge,

Der Kunde möchte den Chatbot und die KI-Plattform über das Internet im Wege des Software-as-a-Service (SaaS) nutzen. Zu diesem Zweck schließen die Parteien einen Vertrag auf Basis des Angebots der e-bot7 und den vorliegenden AGB.

Bei Widersprüchen zwischen dem Angebot und diesen AGB gelten die Regelungen des Angebots vorrangig.

1 SaaS-Bereitstellung

1.1 Gegenstand des Vertrages ist die Bereitstellung der gemäß Angebot bestellten Software (Chatbot und KI-Plattform, zusammenfassend auch „Software“ genannt) zur Nutzung durch den Kunden für dessen eigene Geschäftszwecke im Wege des SaaS während der Vertragslaufzeit. Die Bereitstellung erfolgt mit Vertragsbeginn.

1.1.1 Die Funktionalitäten des Chatbots und der KI- Plattform sind im Angebot und in der Dokumentation (https://docs.e-bot7.io/documentation.html) beschrieben.

1.1.2 e-bot7 entwickelt die Software fortlaufend weiter. Die Funktionalitäten des Chatbots und der KI-Plattform können sich deshalb während der Vertragslaufzeit erweitern und ändern, soweit mit den Änderungen keine wesentliche funktionale Verschlechterung gegenüber dem bei Vertragsschluss vorhandenen Stand verbunden ist.

1.1.3 Es wird ausdrücklich darauf hingewiesen, dass der Chatbot technisch bedingt nicht in allen Fällen (sinnvolle) Antworten auf Kundenanfragen geben kann. Der Chatbot ist daher nicht für zeitkritische Kommunikation oder Kommunikation mit hohem Schadenspotential geeignet oder vorgesehen.

1.2 e-bot7 sorgt für den technischen Betrieb der Software während der Vertragslaufzeit, einschließlich des Betriebs, der Wartung und der Instandhaltung der notwendigen Hosting- und Server-Infrastruktur. Übergabepunkt für die Software und Anwendungsdaten ist der Anschlusspunkt des Rechenzentrums der e-bot7 an das öffentliche Internet. Der Zugriff auf die Software am Anschlusspunkt über das Internet unterliegt der Verantwortung des Kunden.

1.3 Verfügbarkeit

1.3.1 Vertragsgegenstand ist die Bereitstellung der Software mit einer Verfügbarkeit von 98,7% pro Vertragsjahr während der Servicezeiten. Servicezeiten sind Montag bis Freitag 8:00 bis 18:00 Uhr mit Ausnahme bundeseinheitlicher gesetzlicher Feiertage. Verfügbarkeit bedeutet, dass die Software am Übergabepunkt zur Nutzung über das Internet erreichbar ist.

1.3.2 Ungeachtet der vertraglich geschuldeten Verfügbarkeit wird e-bot7 die Software nicht außerhalb der Servicezeiten abschalten, so dass diese üblicherweise rund um die Uhr erreichbar ist. e-bot7 ist zur Bereitstellung der Software außerhalb der Servicezeiten jedoch nicht verpflichtet.

1.3.3 e-bot7 wird bei vorhersehbarer Nichtverfügbarkeit außerhalb der Servicezeiten jeweils rechtzeitig über Zeitpunkt und Dauer informieren.

1.3.4 Für die Wartung und Pflege der Systeme einschließlich etwaiger Fehlerbeseitigungen wird e-bot7 nach Möglichkeit betriebsschwache Zeiten wählen und sich bemühen, die Behinderungen der Nutzer möglichst gering zu halten. Soweit Arbeiten aufgrund technischer oder organisatorischer Umstände innerhalb der Servicezeiten erfolgen müssen, werden sich die Parteien entsprechend abstimmen. Downtimes aufgrund vorab angekündigter Wartungsarbeiten während der Servicezeiten gelten nicht als Nichtverfügbarkeit im Sinne dieses Vertrages.

1.3.5 Hat e-bot7 das Nichterreichen der hier vereinbarten Verfügbarkeit zu vertreten, kann der Kunde von der Vergütung, die für das betreffende Jahr zu zahlen wäre, für jeweils 0,1% geringerer Verfügbarkeit einen Abzug in Höhe von 0,1% als pauschalen Schadensersatz vornehmen, maximal jedoch 20% der Jahresvergütung. Damit sind alle Ansprüche wegen der zeitweisen Nichtverfügbarkeit des Systems abgegolten, soweit e-bot7 diese nicht vorsätzlich oder grob fahrlässig verursacht hat.

2 Setup und Training

Während der Startphase werden folgende initiale Tätigkeiten durchgeführt, soweit im Angebot vereinbart. Die initialen Tätigkeiten sind nach Aufwand zu vergüten, soweit im Angebot nichts Abweichendes vereinbart ist.

2.1 Setup / Onboarding

2.1.1 Die KI des Chatbots kann mit vorhandenen Daten des Kunden trainiert und kalibriert werden. Dazu stellt der Kunde entsprechende Daten in einem von e-bot7 vorgegebenen Format (meist Excel) in ausreichender Menge bereit. e-bot7 unterstützt den Kunden auf Wunsch beim Datenexport und der Datenaufbereitung.

2.1.2 e-bot7 konfiguriert den Chatbot und die KI-Plattform nach den Vorgaben des Kunden im Rahmen der vorhandenen Konfigurationsmöglichkeiten und Funktionalitäten (z.B. Anlage von Agenten/Nutzern, Anpassungen von Text-Inhalten, Branding, Avatarerstellung). Dies beinhaltet nicht die Erstellung neuer Features oder die Programmierung von kundenspezifischen Anpassungen, Ergänzungen, Erweiterungen etc..

2.1.3 e-bot7 kann Schnittstellen zu den bestehenden CRM-, E-Mail- und Live-Chat-Systemen des Kunden konfigurieren, um einen Datenaustausch zu ermöglichen, sofern die Kundensysteme von e-bot7 im Standard unterstützt werden. Die jeweiligen Schnittstellen sind im Angebot aufgeführt. Die Entwicklung kundenindividueller Schnittstellen ist nicht Gegenstand des Vertrags.

2.2 Einbindung der Technologie beim Kunden

Der Chatbot wird in der Regel durch Verlinkung auf eine kundenspezifische URL (z.B. per iframe) in z.B. die Website des Kunden eingebunden. Der Kunde ist für die Einbindung des Chatbots selbst verantwortlich. e-bot7 unterstützt den Kunden auf Wunsch bei der Einbindung.

2.3 Schulungen

Soweit im Angebot vereinbart, führt e-bot7 Schulungen für Mitarbeiter des Kunden zur KI-Plattform und zum Chatbot durch. Basierend auf dem im Angebot ausgewiesenem Umfang werden die Schulungen werden remote (z.B. per Skype oder Webex) durchgeführt.

3 Laufzeit und Kündigung

3.1 Der Vertrag kommt mit Annahme des Angebots mit Wirkung zu dem im Angebot ausgewiesenen oder sonst vereinbarten Datum zustande. Soweit nicht anders vereinbart, hat der Vertrag eine Laufzeit von einem Jahr. Er verlängert sich automatisch jeweils um ein weiteres Jahr, wenn er nicht mit einer Partei mit einer Frist von 3 Monaten zum Vertragsende gekündigt wird.

3.2 Ein etwaiges Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

4 Nutzungsrechte

4.1 Dem Kunden steht an der gemäß Ziff. 1 bereitgestellten Software und der dazugehörigen Dokumentation während der Laufzeit dieses Vertrags das befristete, nicht ausschließliche, nicht übertragbare und nicht unterlizenzierbare Nutzungsrecht zur Nutzung der Software im Wege des SaaS für eigene Geschäftszwecke zu.

Die Nutzung der Software ist dabei wie im Angebot aufgeführt beschränkt (z.B. durch die Anzahl an Chats pro Monat, Anzahl an Live-Bots etc. ). Wenn die Anzahl an Chats das vereinbarte Limit in zwei aufeinanderfolgenden Monaten überschreitet, wird der Kunde automatisch in die nächsthöhere im Angebot ausgewiesene Lizenzstufe eingestuft und ist verpflichtet, von diesem Zeitpunkt an eine erhöhte SaaS-Gebühr gemäß Lizenzstufe zu zahlen.

4.2 Soweit e-bot7 dem Kunden Software zur lokalen Installation und Nutzung bereitstellt (z.B. Interfaces) oder für den Kunden im Rahmen der Vertragsdurchführung sonstige Software oder urheberrechtlich geschützte Werke bereitstellt, erstellt oder übergibt, erhält der Kunde daran auf die Laufzeit dieses Vertrags befristete, nicht ausschließliche, nicht übertragbare und nicht unterlizensierbare Nutzungsrecht zur Nutzung für eigene Geschäftszwecke, soweit die Nutzung dieser Werke im Zusammenhang mit der gemäß Ziff. 1 bereitgestellten Software erforderlich ist (Beispiel: von e-bot7 bereitgestellte Interfaces dürfen nur im Zusammenhang mit dem Chatbot bzw. der KI-Plattform genutzt werden).

4.3 Die Vermietung, der Verleih, sowie jede anderweitige zeitweise oder dauerhafte Übertragung von Nutzungsrechten an Dritte bzw. das Ermöglichen der Nutzung der Software durch oder für Dritte sind ausdrücklich untersagt. Zur Klarstellung: die bestimmungsgemäße Benutzung des Chatbots durch Dritte (d.h. Endkunden des Kunden) ist zulässig und davon nicht umfasst. Unzulässig ist beispielsweise die Erbringung von Dienstleistungen für Dritte.

4.4 Durch diesen Vertrag werden dem Kunden keinerlei Eigentumsrechte irgendwelcher Art oder dauerhafte bzw. über die Laufzeit des Vertrages und den dort definierten Einsatzzweck hinausgehende Nutzungsrechte eingeräumt. Alle Rechte an der Software im Original, in Kopie oder modifizierter Form verbleiben bei e-bot7. e-bot7 stehen die ausschließlichen, zeitlich und örtlich unbegrenzten, übertragbaren und unterlizenzierbaren Nutzungs- und Verwertungsrechte an allen Bearbeitungen, Verbesserungen, Erweiterungen oder Anpassungen an und im Zusammenhang mit der Software im Umfang des § 69b UrhG zu. Dies gilt auch für Bearbeitungen, Verbesserungen, Erweiterungen oder Anpassungen, die im Auftrag des Kunden von e-bot7 durchgeführt wurden.

5 Support

5.1 Supportkontakt. e-bot7 stellt während seiner Geschäftszeiten (Montag bis Freitag 8:00 bis 18:00 Uhr mit Ausnahme bundeseinheitlicher gesetzlicher Feiertage) einen Supportkontakt per E-Mail zur Verfügung. Der Supportkontakt ist Ansprechpartner des Kunden für Fehlermeldungen und technischen 2nd-Level-Support. Der Supportkontakt beantwortet zudem Fragen von Mitarbeitern des Kunden zur Bedienung der KI- Plattform oder des Chatbots.

5.2 Fehlerbehebung

Alle Fehler werden von e-bot7 priorisiert und gemäß ihrer Priorität behoben.

Ein Fehler der Priorität 1 liegt vor, wenn die Nutzung der Software unmöglich oder schwerwiegend eingeschränkt ist.

Ein Fehler der Priorität 2 liegt vor, wenn die Nutzung der Software erheblich eingeschränkt ist.

Ein Fehler der Priorität 3 liegt vor, wenn die Nutzung der Software ohne oder mit unwesentlichen Einschränkungen möglich ist.

e-bot7 beginnt mit der Bearbeitung der Fehlermeldung innerhalb der Geschäftszeiten:

– bei Fehlern der Priorität 1 am gleichen Tag, wenn die Fehlermeldung während der Geschäftszeiten eingegangen ist, andernfalls sofort am nächsten Werktag.

– bei Fehlern der Priorität 2 und 3 spätestens am nächsten Werktag nach Eingang der Fehlermeldung.

Die Fehlerbearbeitung ist in der SaaS-Gebühr enthalten.

5.3 2nd-Level-Support und Projektberatung

e-bot7 bietet auf Anforderung des Kunden technischen 2nd-Level-Support und Projektberatung, z.B. bei der Einbindung des Chatbots. Tätigkeiten des 2nd-Level-Supports und der Projektberatung sind nicht in der SaaS-Gebühr enthalten und nach Aufwand zu vergüten, soweit nicht Projektberatungsleistungen in der vereinbarten Lizenzstufe des Kunden enthalten sind.

5.4 Updates

e-bot7 entwickelt die Software regelmäßig weiter und stellt dem Kunden neue Versionen mit erweitertem Funktionsumfang als Updates automatisch bereit. Im Rahmen von Updates werden auch Anpassungen für Standard-Schnittstellen bereitgestellt, nicht jedoch für um kundenindividuelle Schnittstellen. e-bot7 wird Schnittstellen-Anpassungen auch für Standard-Schnittstellen nach eigenem Ermessen nicht oder nur gegen zusätzliche Vergütung durchführen, wenn und soweit

– der Hersteller des angebundenen Systems seine Schnittstellenspezifikationen nicht, zu unzumutbaren Bedingungen oder nur gegen zusätzliche Gebühren öffentlich zugänglich macht, oder

– eine Anpassung der Schnittstelle nur mit unverhältnismäßigem Aufwand möglich ist.

5.5 Entwicklungsleistungen

Sofern der Kunde Anpassungen und Erweiterungen der Software (z.B. neue Features) oder sonstige Entwicklungs- oder Beratungsleistungen wünscht, wird e-bot7 dem Kunden dafür auf Anforderung ein Angebot unterbreiten. e-bot7 ist zur Erstellung von derartigen Angeboten jedoch nicht verpflichtet. Das Angebot weist in der Regel den voraussichtlichen Aufwand, die Vergütung für die Realisierung und etwaige Auswirkungen auf die SaaS-Gebühr aus. Dem Kunden werden an beauftragten Anpassungs- und Entwicklungsleistungen (einschließlich neuer Features) nach deren Fertigstellung und vollständiger Vergütung nicht-ausschließliche, befristete Nutzungsrechte gemäß Ziff. 4.1 eingeräumt.

6 Vergütung

6.1 Für die Bereitstellung der Software gemäß Ziff. 1 zur Nutzung durch den Kunden erhält e-bot7 SaaS-Gebühren.

Die im Angebot ausgewiesene SaaS-Gebühr ist jährlich im Voraus zur Zahlung fällig, erstmals mit Vertragsbeginn.

6.2 Soweit nicht im Angebot etwas anderes vereinbart ist, werden die Leistungen gemäß Ziff. 2 nach Aufwand vergütet.

6.3 Soweit nichts anderes vereinbart ist, erfolgt die Abrechnung von Vergütungen nach Aufwand in der Regel monatlich auf Grundlage der Leistungsnachweise, die von den mit der Erbringung der Leistungen betrauten Mitarbeitern gefertigt wurden. Sofern der Kunde vorgelegten Leistungsnachweisen nicht binnen 14 Tagen widerspricht, gelten diese als genehmigt. Vergütungen nach Aufwand sind nach Abrechnung und Rechnungsstellung sofort fällig und ohne Abzug binnen 30 Tagen zahlbar.

6.4 Sämtliche Vergütungen verstehen sich zuzüglich der gesetzlichen Umsatzsteuer.

6.5 Die SaaS-Gebühr kann einmal pro Jahr mit einer Ankündigungsfrist von drei Monaten durch schriftliche Mitteilung von e-bot7 um jeweils maximal 15% angepasst werden. Ist der Kunde mit einer Erhöhung der Gebühren nicht einverstanden, kann er innerhalb von einem Monat nach Zugang der Änderungsmitteilung den Vertrag mit einer Frist von drei Monaten außerordentlich kündigen. Hat der Kunde entsprechend dieser Regelung gekündigt, verbleibt es bis zum Ablauf des Vertrages bei der ursprünglichen Vergütung.

6.6 Eine Aufrechnung mit Gegenansprüchen sowie die Geltendmachung eines Zurückbehaltungsrechtes durch den Kunden sind ausgeschlossen, soweit es sich nicht um unbestrittene oder rechtskräftig festgestellte Forderungen handelt.

6.7 Bei Zahlungsverzug des Kunden ist e-bot7 unbeschadet ihrer übrigen Rechte dazu berechtigt, die Leistungserbringung vorübergehend einzustellen, bis der Kunde alle ausstehenden Zahlungen geleistet hat.

7 Haftung

Für vorsätzlich oder grob fahrlässig verursachte Schäden und Aufwendungen sowie bei Verletzung des Lebens, des Körpers oder der Gesundheit oder bei einer Haftung nach dem Produkthaftungsgesetz haftet e-bot7 im Rahmen der gesetzlichen Bestimmungen. In allen anderen Fällen wird die Haftung von e-bot7 wie folgt begrenzt:

7.1 e-bot7 haftet nur bei schuldhaften Verletzungen wesentlicher Vertragspflichten, also solcher Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf, und auch in diesen Fällen nur bis zu dem Betrag, der als Schaden bei Anwendung aller notwendigen Sorgfalt vorhersehbar war.

7.2 Eine Haftung für Folgeschäden, deren Ausbleiben nicht von einer Zusicherung oder einer Garantie umfasst sind, ist ausgeschlossen.

7.3 Die Summe aller Schadensersatz- und Aufwendungsersatzleistungen gemäß Ziff. 7.1 und 7.2 wird auf einen Zahlungsanspruch von maximal € 25.000,- begrenzt.

7.4 Die hier geregelten Haftungsbeschränkungen gelten unabhängig vom Rechtsgrund, insbesondere auch im Hinblick auf vorvertragliche und deliktische Ansprüche. Sie gelten ebenso zugunsten der Erfüllungsgehilfen und Mitarbeiter von e-bot7.

8 Vertraulichkeit und Datenschutz

8.1 Die Parteien verpflichten sich gegenseitig, vertrauliche Informationen, die sie im Vorfeld und im Zuge der Durchführung dieses Vertrages austauschen, stets nur zur Durchführung des Vertrages zu verwenden, sie nicht ohne vorherige schriftliche Zustimmung der jeweils anderen Partei Dritten zugänglich zu machen und auch die Verkörperung solcher Informationen vor deren Zugriff zu schützen. Eine Weitergabe vertraulicher Informationen zum Zwecke der Vertragserfüllung an Konzernunternehmen oder Subunternehmer ist zulässig. Diese sind jedoch zur Wahrung der Geheimhaltung mindestens im hier geregelten Umfang zu verpflichten.

8.2 Die Verpflichtung zur Vertraulichkeit gilt auch nach dem Ende der vertraglichen Beziehungen der Parteien fort.

8.3 Die Verpflichtung zur Vertraulichkeit gilt nicht für Informationen, die e-bot7 bzw. dem Kunden bereits bekannt sind oder außerhalb dieses Vertrages und der in seinem Geltungsbereich abgeschlossenen Leistungsverträge und etwaigen sonstigen Vereinbarungen ohne Verstoß gegen eine Geheimhaltungsverpflichtung bekannt werden.

8.4 Übergebene vertrauliche Informationen werden die Parteien einander auf Verlangen jeweils unverzüglich zurückgewähren und sämtliche angefertigte Kopien, Abschriften etc. auf Verlangen vernichten oder ebenfalls herausgeben.

8.5 Es steht den Parteien frei, die jeweils andere Partei und das jeweilige Projekt zu Werbe- und Marketingzwecken als Referenz zu benennen. Beide Seiten haben das Recht in diesem Zusammenhang auch das jeweilige Unternehmenslogo zu verwenden, sofern mit der Darstellung keine Entstellung desselben verbunden ist. Weitergehende Veröffentlichungen bedürfen der inhaltlichen Abstimmung mit der jeweils anderen Partei.

8.6 Die Parteien schließen ergänzend zu diesem Vertrag eine Vereinbarung zur Auftragsverarbeitung gemäß Anlage. Der Kunde gestattet e-bot7 die anonymisierte Auswertung und Analyse der Nutzung des SaaS-Systems und dazu auch die Einbindung von Web-Analysetools in das SaaS-Backend zu Zwecken der Verbesserung und Weiterentwicklung der Produkte und Angebote der e-bot7.

9. Schlussbestimmungen

9.1 Es gilt ausschließlich deutsches Recht unter Ausschluss solcher Rechtsnormen, die auf andere Rechtsordnungen verweisen. Das einheitliche UN-Kaufrecht (UNCITRAL) findet keine Anwendung.

9.2 Erfüllungsort und ausschließlicher Gerichtsstand ist München.

9.3 Die Parteien sind sich darüber einig, dass neben diesem Vertrag keine allgemeinen Geschäftsbedingungen des Kunden in den Vertrag einbezogen sind und zur Anwendung gelangen. Dies gilt auch dann, wenn e-bot7 ihnen nicht ausdrücklich widerspricht.

9.4 Sämtliche Änderungen oder Ergänzungen dieses Vertrages bedürfen zu ihrer Wirksamkeit der Schriftform. Vertragsänderungen, durch die das Schriftformerfordernis aufgehoben wird, werden unwirksam, wenn sie nicht binnen einer Woche von beiden Parteien schriftlich bestätigt werden. Mündliche Nebenabreden bestehen nicht.

9.5 Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

Beide Vertragspartner verpflichten sich schon jetzt, unwirksame oder undurchführbare Bestimmungen durch andere zu ersetzen bzw. Regelungslücken durch angemessene Regelungen zu füllen, die dem wirtschaftlichen Zweck der unwirksamen Regelung am nächsten kommen, ihrerseits aber wirksam sind.

Console Dokumentation:
https://docs.e-bot7.io/en/documentation.html
Nutzer: legal@e-bot7.com
PW: g6oM@jW1

Anlage zu den AGB für SaaS-Services:

Vereinbarung zur Auftragsverarbeitung für SaaS-Services.

Präambel

Der Kunde hat die e-bot7 GmbH, Perusastraße 7, 80333 München („e-bot7“) mit dem SaaS-Betrieb eines KI-Chatbot-Systems beauftragt. Bei der Vertragsdurchführung erhält e-bot7 Zugriff auf personenbezogene Daten des Kunden. Art. 28 Datenschutz-Grundverordnung (DSGVO) stellt besondere Anforderungen an eine solche Auftragsvereinbarung. Zur Wahrung dieser Anforderungen schließen die Parteien die vorliegende Vereinbarung.

1 Vertragsgegenstand, Inhalt des Auftrags

1.1 e-bot7 erbringt die SaaS-Bereitstellung auf Grundlage der Beauftragung des Kunden gemäß Angebot der e-bot7 und den AGB für SaaS-Services („Hauptvertrag“).

1.2 Zur Konkretisierung der datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung zur Auftragsverarbeitung. Gegenstand und Dauer der Leistungserbringung durch e-bot7 richten sich nach dem Hauptvertrag. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

2 Umfang, Zweck und Durchführung der Datenverarbeitung; Art der Daten und Kreis der Betroffenen; Weisungsgebundenheit

2.1 Umfang und Zweck der Datenverarbeitung durch e-bot7 ergeben sich aus dem Hauptvertrag und der dazugehörigen Leistungsbeschreibung.

2.2 e-bot7 hat im Rahmen der Leistungserbringung potentiell Zugriff auf die im Chatbot gespeicherten Daten. Dabei handelt es sich um folgende Datenarten:

– Name und ggf. E-Mail-Adresse und Telefonnummer von Endkunden des Kunden

– Kundenservice-Korrespondenz, d.h. E-Mail- und Chat-Protokolle mit Endkunden des Kunden (einschließlich manuell von Mitarbeitern (Agenten) des Kunden als auch automatisch vom Chatbot erstellter Korrespondenz)

– Name und ggf. E-Mail-Adressen von Kundenservice-Mitarbeitern („Agenten“) des Kunden

– Protokolldaten bzgl. der Korrespondenz und der Aktivitäten der Kundenservice-Mitarbeiter

Betroffene sind Mitarbeiter und Endkunden des Kunden.

2.3 e-bot7 darf personenbezogene Daten des Kunden ausschließlich zu Zwecken der Erfüllung des Hauptvertrags im Auftrag des Kunden oder aufgrund von Einzelweisungen des Kunden verarbeiten. Sofern e-bot7 Daten aufgrund einer rechtlichen Verpflichtung im Sinne des Art. 28 Abs. 3 lit. a DSGVO verarbeitet, teilt e-bot7 dies dem Kunden vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.

2.4 e-bot7 hat Einzelweisungen des Kunden über die Erhebung, Verarbeitung oder Nutzung von Daten zu beachten und umzusetzen. Der Kunde ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst auch Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Ist e-bot7 der Ansicht, dass eine Weisung des Kunden gegen datenschutzrechtliche Bestimmungen verstößt, wird er den Kunden darauf hinweisen. Die angemessenen Kosten der Durchführung von Weisungen, die über die vertraglichen Leistungen des Hauptvertrags hinausgehen, werden vom Kunden nach Maßgabe der jeweils geltenden Stundensätze der e-bot7 erstattet.

3 Unterauftragsverhältnisse

3.1 e-bot7 ist zur Einschaltung von weiteren Auftragsverarbeitern („Subunternehmern“) berechtigt. Derzeit setzt e-bot7 die folgenden Subunternehmer ein:

Amazon Web Services EMEA SARL, Niederlassung Deutschland, Marcel-Breuer-Str. 12, 80807 München, Germany
Vertragliche Vereinbarungen mit Subunternehmern werden durch e-bot7 so gestaltet, dass sie den Bestimmungen der DSGVO entsprechen.

3.2 e-bot7 informiert den Kunden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer, wodurch der Kunde die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Sollte der Kunde begründete Einwände gegen den Einsatz eines solchen neuen Subunternehmers dahingehend haben, ist der Kunde berechtigt, gegenüber e-bot7 innerhalb von 14 Tagen nach Erhalt der Änderungsmitteilung Einspruch gegen den Einsatz des Subunternehmers zu erheben. Sofern e-bot7 daraufhin trotz berechtigten Einspruchs gegenüber dem Kunden erklärt, dass er nicht aufgrund des Einspruchs auf den Einsatz des Subunternehmers verzichtet, ist der Kunde berechtigt, den Hauptvertrag mit einer Frist von vier Wochen schriftlich zu kündigen.

3.3 Als Subunternehmerverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören insbesondere Nebenleistungen, die e-bot7 z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern in Anspruch nimmt. E-bot7 ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

4 Datengeheimnis und Vertraulichkeit

e-bot7 stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten eingesetzten Mitarbeiter zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung des Arbeitsverhältnisses zwischen dem Mitarbeiter und e-bot7 bestehen bleiben.

5 Schutzmaßnahmen und Kontrolle

5.1e-bot7 trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, insbesondere wie unter untenstehender Anlage: Technische und organisatorische Maßnahmen näher beschrieben. e-bot7 kann die technisch-organisatorischen Maßnahmen ändern und anpassen, insbesondere an Fortentwicklungen des Standes der Technik, sofern dadurch das anfängliche Sicherheitsniveau nicht unterschritten wird.

5.2 e-bot7 stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung, z.B. durch Vorlage geeigneter Dokumentation. e-bot7 ermöglicht zudem die Überprüfung durch den Kunden oder einen anderen von diesem beauftragten Prüfer. Zu diesem Zweck gestattet e-bot7 dem Prüfer, sich nach Anmeldung zu Prüfzwecken in den Betriebsräumen der e-bot7 zu den üblichen Geschäftszeiten ohne erhebliche Störung des Betriebsablaufes von der Einhaltung der für die Auftragsverarbeitung einschlägigen Pflichten zu überzeugen. Die angemessenen Kosten der Mitwirkung bei einer solchen Prüfung auf Seiten der e-bot7 werden vom Kunden nach Maßgabe der Stundensätze der e-bot7 erstattet.

5.3 Der Kunde verpflichtet sich, alle im Rahmen der vorgenannten Kontrollen und Auskünfte bekannt gewordenen oder von e-bot7 bekannt gegebenen Informationen, Unterlagen, Daten und Erkenntnisse streng vertraulich zu behandeln, ausschließlich für die datenschutzrechtliche Kontrolle zu verwenden und nicht anderweitig zu nutzen. Vom Kunden eingeschaltete Mitarbeiter oder externe Dritte sind, sofern sie nicht von Berufs wegen zur Verschwiegenheit verpflichtet sind, einer gleichwertigen Verschwiegenheitspflicht wie der hier festgelegten zu unterwerfen.

6 Informations- und Unterstützungspflichten

6.1 Wenn e-bot7 eine Verletzung des Schutzes personenbezogener Daten des Kunden bekannt geworden ist, meldet er diese unverzüglich dem Kunden. e-bot7 wird im Benehmen mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. e-bot7 unterstützt den Kunden bei der Erfüllung der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.

6.2 e-bot7 unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erstellung von Datenschutz-Folgenabschätzungen gemäß Art. 35, 36 DSGVO.

6.3 Sollten die Daten bei e-bot7 durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat e-bot7 den Kunden unverzüglich darüber zu informieren. e-bot7 wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden als „Verantwortlichem“ im Sinne der DSGVO liegen.

7 Löschung von Daten

7.1 Die Löschung der im Rahmen des Auftragsverhältnisses erhobenen, verarbeiteten und genutzten Daten erfolgt mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

7.2 Sofern im Zuge der Datenverarbeitung Datenträger vom Kunden überlassen worden sind, wird e-bot7 diese spätestens mit Beendigung des Hauptvertrages zurückgeben.

8 Rechte der betroffenen Personen

8.1 Soweit ein Betroffener sich unmittelbar an e-bot7 zwecks Wahrnehmung von Betroffenenrechten (z.B. bezüglich der Berichtigung, Sperrung bzw. Einschränkung der Verarbeitung oder Löschung von Daten) wenden sollte, wird e-bot7 dieses Ersuchen unverzüglich an den Kunden weiterleiten.

8.2 e-bot7 unterstützt den Kunden auf Anforderung bei der Wahrung dieser Rechte, z.B. im Hinblick auf die Informationspflichten (Benachrichtigung, Auskunftserteilung), Berichtigung, Sperrung bzw. Einschränkung der Verarbeitung und Löschung personenbezogener Daten. Die angemessenen Kosten der Unterstützung durch e-bot7 werden vom Kunden nach Maßgabe der Stundensätze der e-bot7 erstattet.

9 Laufzeit und Schlussbestimmungen

9.1 Die vorliegende Vereinbarung endet mit der Beendigung des Hauptvertrags. Sie bleibt auch über die Beendigung des Hauptvertrags hinaus solange in Kraft, wie e-bot7 über personenbezogene Daten des Kunden verfügt.

9.2 Die zwischen den Parteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Haftung zwischen den Parteien im Zusammenhang mit dieser Vereinbarung zur Auftragsverarbeitung.

9.3 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

9.4 Es gilt ausschließlich deutsches Recht unter Ausschluss solcher Rechtsnormen, die auf andere Rechtsordnungen verweisen. Das einheitliche UN-Kaufrecht (UNCITRAL) findet keine Anwendung.

Technische und organisatorische Maßnahmen der e-bot7 GmbH

Die e-bot7 GmbH trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO:

1. Vertraulichkeit

Zutrittskontrolle

Maßnahmen im Rechenzentrum (AWS Frankfurt): Der Zugang ist stark reguliert. Nur Personen die aus operativen Gründen physischen Zugang benötigen haben Zugang. Zutrittsrechte werden regelmäßig nach diesem Kriterium überprüft und Recht ggfs. unverzüglich entzogen. Externe Besucher haben keinen Zutritt zum Datencenter, die Sicherheit der Anlagen wird jedoch durch externe Auditoren zertifiziert. Die Anlagen sind rund um die Uhr videoüberwacht und die Anlage alarmgesichert. Das Wachpersonal ist sorgfältig selektiert worden und stets auf dem Gelände. Der Zugang zu dem Datencenter ist durch biometrische Zugangssperren beschränkt.

Maßnahmen am Firmensitz: Der Zugang ist reguliert. Besucher haben ohne Begleitung keinen direkten Zugang. Beschäftigte haben Zutritt durch Schlüssel. Die Ausgabe dieser ist geregelt und protokolliert. Die Zugänge sind rund um die Uhr videoüberwacht. Das Reinigungspersonal ist sorgfältig selektiert worden.

Zugangskontrolle

Zugängen zu Daten und Systemen werden nachdem “Principle of least privilege” vergeben: Mitarbeiter haben nur Zugriff auf Informationen, Daten und Systeme, die sie zwingend benötigen, um ihre Arbeit zu verrichten. Dies wird sichergestellt indem das Führungspersonal nur Zugänge zu Systemen und Berechtigungen in Systemen verteilt, wenn sie für die Ausführung der Tätigkeiten nötig sind. Diese Beurteilung erfolgt auf einer Fall-zu-Fall Basis. Die Erteilung und Entzug von Berechtigungen werden von unserem Führungspersonal protokolliert. Die Berechtigungen werden bei Veränderungen von Rollen und Verantwortlichkeiten neu evaluiert.

Der Zugang zu Systemen erfolgt grundsätzlich durch personenbezogene Accounts mit Username und Passwort. Es gibt Passwortvorgaben (u.a. Länge minimal 20 Zeichen), die technisch erzwungen wird. Zudem werden Mitarbeiter geschult Passwörter sicher zu wählen, so dass Attacken mit Hilfe von Wörterbüchern minimiert werden können. Die Passwörter müssen regelmäßig (alle 90 Tage) geändert werden. Dies wird technisch vorgegeben durch Verwendung eines Passwort-Management-Systems.

Alle relevanten Systeme inkl. Notebooks sind verschlüsselt mit einem starken Passwort (minimal 20 Zeichen, minimum alle 90 Tage gewechselt, Vorbeugung gegen Wörterbuchattacken). Ebenso sind mobile Datenträger verschlüsselt. Eine regelmäßiger Sicherheitscheck (u.a. Viren und Schadsoftware) wird durchgeführt.

Der Remote-Zugriff auf sicherheitsrelevante Systeme kann nur per VPN-Zugang erfolgen.

Diverse Systeme und Maßnahmen wie die Verwendung von Firewalls, restriktive Rechteverwaltung, Verschlüsselung, “Threat Detection Software” und “Intrusion Detection Systemen” werden in der Cloud eingesetzt um Zugriffe von Dritten auf die Server zu verhindern. Unsere sorgfältig ausgewählten Sub-Dienstleister die in Kontakt mit personenbezogenen Daten gelangen sind extern zertifiziert und haben einen ADV mit uns geschlossen.

Die Mitarbeiter werden angehalten per IT-Sicherheitsschulung, welche beim Mitarbeiter-Eintritt und in regelmäßigen Abständen darauf erfolgt, eine automatische Bildschirmsperre einzurichten und manuell den Bildschirm zu sperren beim Verlassen des Arbeitsplatzes.

Zugriffskontrolle

Zugängen zu Daten und Systemen werden nachdem “Principle of least privilege” vergeben: Beschäftigte haben nur Zugriff auf Informationen, Daten und Systeme, die sie zwingend benötigen, um ihre Arbeit zu verrichten. So wird die Anzahl der Zugriffsberechtigten und Administratoren in jedem System minimiert. Die Erteilung und Entzug von Berechtigungen werden vom Führungspersonal protokolliert. Die Berechtigungen werden bei Veränderungen von Rollen und Verantwortlichkeiten neu evaluiert.

Zugriffe auf lokale Systeme als auch Zugriffe auf Cloud-Server werden protokolliert. Grundsätzlich werden Speichermedium durch unsere zertifizierten Cloud-Anbieter gemanagt. Von uns verwaltete, nicht mehr verwendete Datenträger werden durch einen externen Anbieter sicher vernichtet. Im operativen Betrieb fallen keine analogen Unterlagen an.

Trennung

Kundendaten und sämtliche anderen Daten sind systemisch komplett isoliert. Innerhalb der Kundendaten-Datenbank werden durch technische Methoden wie “tagging”ein übergreifender Zugriff (von Kunden mit Zugang auf das System auf Daten anderer Kunden) ausgeschlossen.

Entwicklungs-, Test und Produktionsumgebungen sind komplett isoliert voneinander durch Verwendung von getrennten Umgebungen mit eigenständigen Ressourcen.

Pseudonymisierung & Verschlüsselung

Alle Daten werden im Transport durch moderne Verschlüsselungstechnologien (HTTPS, SSL/TLS) verschlüsselt. Ebenso werden alle Sicherungskopien verschlüsselt, um Datensicherheit zu gewährleisten. Protokollierte IP-Adressen werden anonymisiert.

2. Integrität

Eingabekontrolle

Durch gezielte Benutzerrollenvergabe kann nachvollzogen werden, welche Nutzer die Möglichkeit haben personenbezogenen Daten einzugeben, zu verändern oder zu löschen. Einzelne Aktionen innerhalb der Systeme werden nicht protokolliert.

Weitergabekontrolle

Alle Daten werden in einer digital verschlüsselten Übertragung nach modernen Sicherheitsstandards (HTTPS; SSL/TLS) transportiert. Ein physischer Transport der Daten findet nicht statt, da es sich um eine rein digitale Lösung handelt.

Nach Beendigung des Auftrags werden alle dem Auftraggeber zugeordneten Accounts gelöscht und sämtliche ihm zugehörigen Daten aus den Systemen gelöscht. Dies kann auf Wunsch des Auftraggebers schriftlich von e-bot7 bestätigt werden.

3. Verfügbarkeit und Belastbarkeit

Redundante Serversysteme an unterschiedlichen geographischen Orten (sogenannten Verfügbarkeitszonen) sorgen für eine hohe Verfügbarkeit. Die Serverräume sind klimatisiert und mit Feuer- und Rauchmeldeanlagen, Temparutur- und Feuchtigkeitssensoren, und Feuerlöschern ausgestattet. Zudem existiert eine USV. Der Zutritt zu den Serverräumen ist videoüberwacht und alarmgesichert.
Sämtliche Systeme und Datenbanken sind redundant aufgebaut, um einem Datenverlust vorzubeugen. Regelmäßige Datensicherungen sowohl in der Cloud (Anbieter: Amazon S3) als auch lokal sind die Grundlage für eine rasche Datenwiederherstellung im unwahrscheinlichen Fall eines kompletten Systemausfalls. Die Backups in der Cloud werden im 30 Minuten Intervall automatisch durchgeführt. Alle Datensicherungen werden verschlüsselt gelagert.

Es existiert ein IT Notfallplan.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Beschäftigte werden vertraglich zum sorgfältigen Umgang mit personenbezogenen Daten verpflichtet.

Ein externer Datenschutzbeautragter (Frau Doreen Michaelis, JusTech Berlin GmbH, Sigmaringer Str. 5a, 10713 Berlin, E-Mail: michaelis@justech-berlin.de) ist bestellt.

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

Sub-Unternehmer werden ausgewählt unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit). Es wird jeweils eine Vereinbarung zur Auftragsverarbeitung mit den Sub-Unternehmern geschlossen.