Rechtliches
1. Umfang
1.1. Die folgenden Allgemeinen Geschäftsbedingungen (im Folgenden "Nutzungsbedingungen") gelten für die kostenlose und kostenpflichtige Nutzung des Produkts "basebox", das von der basebox GmbH (im Folgenden "basebox GmbH", "wir") bereitgestellt wird, und regeln das rechtliche Verhältnis zwischen der basebox GmbH und ihren Kunden (im Folgenden der Einfachheit halber als "Kunde" bezeichnet).
1.2. Allgemeine Geschäftsbedingungen des Kunden, die von diesen Nutzungsbedingungen abweichen, gelten nicht, es sei denn, ihre Gültigkeit wurde ausdrücklich von der basebox GmbH bestätigt.
1.3. Die Nutzung des basebox-Produkts ist nur für Geschäftskunden innerhalb der Europäischen Union (EU) gestattet.
1.4. Abweichend von den folgenden Bestimmungen gelten für die Phase "Closed Beta" folgende Bedingungen:
1.4.1. Ungeachtet von 4.1 endet der Vertrag automatisch mit Ablauf der Phase "Closed Beta".
1.4.2. Während der Betaphase können die Leistungen von denen in Abschnitt 5 beschriebenen abweichen. Insbesondere können Fehler oder unerwartetes Systemverhalten auftreten.
1.4.3. Die Sprache des Vertrags ist Deutsch.
2. Begriffsbestimmungen
Für die Zwecke dieser Nutzungsbedingungen gelten die folgenden Definitionen:
2.1. " Administrator": Die natürliche Person, die die Organisation erstellt, Benutzer einlädt und verwaltet, Eingabeaufforderungen vorselektiert und die Organisation löschen kann. Die Rolle des Administrators kann nur von einer natürlichen Person wahrgenommen werden, die befugt ist, den Kunden ausschließlich in rechtlichen Transaktionen zu vertreten.
2.2. “ basebox”: bestehend aus einem bereitgestellten KI-Modell und einer zugehörigen Schnittstelle zur chatbasierten Nutzung des KI-Modells sowie zur Benutzer- und Abrechnungsverwaltung.
2.3. “ Registrierung”: Erstellung eines Benutzerkontos für eine Organisation auf Einladung des Administrators der Organisation.
2.4. " Chat": Ein Gespräch mit dem KI-Modell. Benutzer können so viele Chats mit dem KI-Modell führen, wie sie möchten, zu verschiedenen Themen.
2.5. “ Chatverlauf”: Chronologische Sammlung von Eingabeaufforderungen und Ausgaben innerhalb eines Chats.
2.6. “ Eingabeaufforderung”: Die Aufforderung, die der Benutzer über das Chatfenster an das KI-Modell sendet, einschließlich aller hochgeladenen Dateien, die analysiert werden sollen.
2.7. " KI-Apps": Eine vordefinierte Aufforderung, die der Benutzer auswählt und im Eingabefeld für die Aufforderung anzeigt. Der Benutzer kann diese Aufforderung bearbeiten und eigenen Text hinzufügen, bevor er sie an das Modell sendet.
2.8. “ KI-Modell”: Ein maschinelles Lernmodell, insbesondere ein großes Sprachmodell, das zur Generierung von Text verwendet werden kann und das zur Nutzung innerhalb von basebox bereitgestellt wird.
2.9. " Organisation": Eine virtuelle Benutzergruppe in basebox, die vom Kunden als Administrator erstellt und verwaltet wird. Benutzer, die vom Administrator eingeladen werden, sind Mitglieder dieser Organisation.
2.10. “ Ausgabe”: Die Antwort des KI-Modells auf die Anfrage des Benutzers.
2.11. “ Aufforderung”: Eine textliche Anfrage an ein KI-Modell, um eine Aufgabe auszuführen.
2.12. “ Registrierung”: Die Erstellung einer neuen Organisation.
2.13. “ Software”: Das basebox-System.
2.14. " Systemaufforderung": Aufforderungen, die von der basebox GmbH vordefiniert wurden und maximal 2000 Tokens umfassen, die automatisch zusammen mit jeder Eingabeaufforderung an das KI-Modell gesendet werden und die von den Benutzern nicht beeinflusst oder eingesehen werden können. Diese Systemaufforderungen werden verwendet, um das KI-Modell zu ermutigen, eine strukturierte und angemessene Ausgabe zu erzeugen.
2.15. " Token": Eine digitale Einheit zur Messung der Betriebskosten von KI-Modellen. Der Token-Verbrauch wird in Millionen (pro Million Tokens, "pmt") berechnet.
2.16. “ Benutzer”: Natürliche Personen, die ausdrücklich vom Administrator eingeladen wurden, sich auf Einladung bei basebox zu registrieren und deren Konten der Organisation zugewiesen sind und die berechtigt sind, basebox im Namen des Kunden zu nutzen.
2.17. “ Open Source-Software”: gemäß der Open Source-Definition der Open Source Initiative bedeutet Software, die von den jeweiligen Rechteinhabern jedem für umfassende lizenzfreie Nutzung lizenziert ist und deren Quellcode verfügbar ist.
3. Vertragsabschluss
3.1. Die Nutzung von basebox erfordert eine Kundenregistrierung, einschließlich der Erstellung einer Organisation. Die Registrierung ist kostenlos. Alle anderen Benutzer einer Organisation registrieren sich nicht unabhängig bei basebox; stattdessen werden sie ausdrücklich vom Administrator eingeladen, sich bei basebox zu registrieren und ein Passwort auszuwählen.
3.2. Eine E-Mail-Adresse muss während der Kundenregistrierung angegeben werden. Wenn die Registrierung für ein Unternehmen erfolgt, bestätigt die registrierende Person mit der Registrierung, dass sie befugt ist, dieses Unternehmen zu vertreten. Diese Person, die das Unternehmen registriert, erhält zunächst die Rolle “Administrator”.
3.3. Der Vertrag kommt zustande, wenn die Organisation sich unter signup.basebox.ai registriert, indem sie ihre E-Mail-Adresse angibt und diese gemäß den Informationen in der anschließend gesendeten E-Mail bestätigt, ein Passwort festlegt und einen Namen für die Organisation wählt und die Nutzungsbedingungen sowie die Datenschutzrichtlinie akzeptiert, indem sie das Kontrollkästchen aktiviert.
3.4. Der Text dieser Nutzungsbedingungen wird auch nach Abschluss des Vertrags unter basebox.ai/de/nutzungsbedingungen zum Download verfügbar sein.
4. Beendigung des Vertragsverhältnisses
4.1 Der Vertrag wird auf unbestimmte Zeit abgeschlossen.
4.2. Jede Partei kann den Vertrag mit einer Frist von 10 Tagen zum Ende des folgenden Kalendermonats kündigen. Die Kündigung kann vom Administrator auf der Website basebox.ai oder per E-Mail an support@basebox.ai erfolgen. Ein verbleibendes Guthaben wird nicht ausgezahlt, es sei denn, die Kündigung erfolgt durch die basebox GmbH.
4.3. Der Kunde kann den Vertrag ohne Frist kündigen, indem der autorisierte Administrator die Organisation in der Organisationsverwaltung löscht. Ein verbleibendes Guthaben wird nicht ausgezahlt.
5. Beschreibung der Dienstleistungen
5.1. basebox
basebox ist ein KI-Management-System, das die Nutzung von KI-Modellen in der sichersten Umgebung ermöglicht, wobei Aspekte des Datenschutzes berücksichtigt werden und das Ziel verfolgt wird, Geschäftsgeheimnisse und persönliche Rechte zu schützen. Derzeit bietet basebox nur große Sprachmodelle (LLMs) an.
5.2. Hosting in der Cloud oder lokale Betrieb
5.2.1. basebox wird auf Servern gehostet, die im Eigentum von basebox GmbH in Europa, vorzugsweise in Deutschland, stehen. Die basebox GmbH verlässt sich unter anderem auf OpenIDConnect und selbstgehostetes KeyCloak für die Authentifizierung, um den Kunden ein hohes Maß an Sicherheit zu bieten. Die Nutzung dieser Methoden und die Umsetzung dieser Konzepte liegen im Ermessen der basebox GmbH. Die basebox GmbH kann entscheiden, nur ein einziges Sprachmodell anzubieten. Die basebox GmbH garantiert jedoch keine absolute Sicherheit.
5.3. Nutzung von KI-Modellen
5.3.1. Die KI-Modelle werden von der basebox GmbH ausgewählt und betrieben. Die basebox GmbH behält sich das Recht vor, ein angebotenes KI-Modell jederzeit zu ändern, beispielsweise wenn leistungsstärkere KI-Modelle verfügbar werden.
5.3.2. Individuelle KI-Modelle können derzeit nicht in basebox betrieben werden.
5.3.3. Die Nutzung von KI-Modellen wird auf tokenbasierter Basis abgerechnet. Die basebox GmbH stellt eine grafische Übersicht über die Token-Nutzung mit regelmäßigen Updates zur Verfügung.
5.3.4. Das Ausgabeverhalten der KI-Modelle wird von der basebox GmbH mithilfe von Systemaufforderungen beeinflusst, die von den Kunden und ihren Nutzern nicht geändert oder verhindert werden können.
5.4. Aufforderungen und KI-App-Store
5.4.1. Die Nutzung des KI-Modells in basebox ist im Allgemeinen mit von den Kunden und ihren Nutzern speziell erstellten Aufforderungen möglich.
5.4.2. Die basebox GmbH bietet auch einen App-Store an, in dem fertige Aufforderungen in Form von KI-Apps zur Verfügung gestellt werden.
5.4.3. Diese KI-Apps repräsentieren individuelle Anwendungsfälle und sollen die Nutzung von Aufforderungen erleichtern. Die von den Nutzern ausgewählten Aufforderungen werden als Text im Eingabefenster des Chats angezeigt und können von den Nutzern vor der Verwendung bearbeitet werden.
5.5. Ausgabe
Die basebox GmbH hat keinen Einblick in die Eingabeaufforderungen und die von den KI-Modellen generierten Ausgaben. Die basebox GmbH überprüft die generierte Ausgabe nicht und garantiert weder die Richtigkeit noch die Qualität der Ergebnisse, noch dass diese frei von Rechten Dritter sind.
5.6. Benutzermanagement
Die basebox GmbH stellt eine rechte- und rollenbasierte Zugriffskontrolle für die organisatorische Verwaltung bereit, in der Administratoren ihre Nutzer selbst verwalten können.
Nutzungsbedingungen
Zuletzt aktualisiert: 1. Juni 2025
6. Preise, Zahlungsbedingungen
6.1. Die angegebenen Preise sind Nettopreise zuzüglich der gesetzlich vorgeschriebenen Mehrwertsteuer.
6.2. Der Zugang zu basebox und die Nutzung des organisatorischen und Rechnungsmanagements sind im Allgemeinen kostenlos.
6.3. Die Nutzung der in basebox bereitgestellten KI-Modelle wird auf der Grundlage des Tokenverbrauchs abgerechnet. Der Verbrauch wird pro Million Tokens ("pmt") berechnet. Der Tokenpreis ist variabel.
6.4. Um die bereitgestellten KI-Modelle nutzen zu können, muss der Administrator ein Budget laden, das dann für die tokenverbrauchsbasierte Abrechnung verwendet wird und allen Nutzern der Organisation zur Verfügung steht.
Beispiel : Der Tokenpreis könnte bei 19 € pmt liegen (d.h. 19 € für eine Million Tokens). Es wird ein Budget von 100 € geladen. Eine fiktive Eingabeaufforderung und die Ausgabe des Ergebnisses könnten 4.000 Tokens kosten. Die Transaktion würde daher mit 0,076 € belastet (19 € / 1.000.000 * 4.000). Nach der Transaktion würde das Budget 99,924 € betragen.
Die Tokens werden insbesondere verwendet, um die benötigte Rechenleistung zur Ausführung des Modells zu finanzieren. Der Preis für die von der basebox GmbH gekaufte Rechenleistung ist variabel. Daher ist auch der Tokenpreis variabel. Die basebox GmbH weist ausdrücklich darauf hin, dass die Anzahl der Tokens, die mit dem angegebenen Budget verwendet werden können, im Voraus nicht genau bestimmt werden kann.
6.5. Der aktuelle Tokenpreis (pmt) ist im Administrationsdashboard der Organisation sichtbar.
6.6. Für eine Interaktion mit einem KI-Modell werden eine Reihe von Eingabeaufforderungen ausgeführt: eine Systemaufforderung (max. 2000 Tokens), die ausgewählte Eingabeaufforderung einschließlich etwaiger hochgeladener Dokumente, die analysiert werden sollen, und die Generierung der Ausgabe. Die Anzahl der Tokens und damit die Grundlage für die Preisberechnung für eine Interaktion setzt sich aus diesen Eingabeaufforderungen zusammen und wird entsprechend berechnet, jedoch nicht separat offengelegt.
6.7. Die Zahlung erfolgt per Kreditkarte. Der Kunde definiert ein Budget für Tokens, das von der Kreditkarte abgebucht wird. Es gibt keinen Mindestbetrag, sodass der Kunde festlegen kann, wie viel Budget der Organisation zur Verfügung steht. Zusätzliches Budget kann jederzeit gekauft werden.
6.8. Wenn die Zahlung per Kreditkarte aufgrund unzureichender Mittel oder aufgrund nachlässigen Verhaltens des Kunden fehlschlägt, kann die basebox GmbH die Erstattung der von den beteiligten Banken und Zahlungsdienstanbietern erhobenen Rückbuchungsgebühren verlangen.
6.9. Mit dem Tokenbudget können die von der basebox GmbH bereitgestellten KI-Modelle über benutzerdefinierte Eingabeaufforderungen genutzt werden, und KI-Apps können verwendet werden.
6.10. Das Budget kann unbegrenzt genutzt werden.
6.11. Wenn das Budget erschöpft ist, wird die Nutzungsmöglichkeit auf eine Eingabeaufforderung pro Stunde reduziert, bis der Kunde ein neues Budget gekauft hat.
7. Datenschutz und Sicherheit
7.1. Ausgeführte Eingaben, die Inhalte hochgeladener Dateien und der Chatverlauf werden nur für einen Zeitraum von 30 Tagen im Browser des Benutzers gespeichert. Eingaben und die Inhalte hochgeladener Dateien werden auch an das KI-Modell gesendet, um die Dienste auszuführen.
7.2. Die basebox GmbH hat keinen Zugriff auf die Inhalte.
7.3. Die basebox GmbH wird alle wirtschaftlich angemessenen Maßnahmen ergreifen, um angemessene Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, insbesondere um unbefugten Zugriff auf die Dienste der basebox GmbH und die Daten des Kunden zu verhindern.
7.4. Die Modelle und die basebox werden auf Servern gehostet, die im Besitz der basebox GmbH sind. Zu diesem Zweck mietet die basebox GmbH Infrastruktur von Anbietern in Europa. Die basebox GmbH verwendet ausschließlich Server, die sich in Europa befinden, vorzugsweise in Deutschland.
7.5. Zur Erfüllung des Vertrags verarbeitet die basebox GmbH die personenbezogenen Daten des Kunden und seiner Benutzer. Die basebox GmbH analysiert auch die Nutzung der basebox durch den Kunden und nutzt die gewonnenen Informationen, um Fehler und Probleme zu identifizieren und die basebox zu verbessern. Im Rahmen der zu diesen Zwecken durchgeführten Verarbeitung ist die basebox GmbH grundsätzlich allein für den Datenschutz verantwortlich. Weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung, die unter basebox.ai/de/bedingungen#datenschutzerklaerung verfügbar ist.
7.6. In Fällen, in denen der Kunde oder seine Benutzer der basebox GmbH personenbezogene Daten zur Verarbeitung im Rahmen ihrer Nutzung der basebox bereitstellen (z. B. in Eingaben, im Chatverlauf oder durch hochgeladene Dokumente), verarbeitet die basebox GmbH personenbezogene Daten als Auftragsverarbeiter im Auftrag des Kunden. In diesem Zusammenhang gilt die Anlage ("Vertrag zur Auftragsverarbeitung") zu diesen Nutzungsbedingungen als integraler Bestandteil dieser Nutzungsbedingungen. Der Kunde ist nach den Datenschutzgesetzen für alle von ihm und seinen Benutzern verwendeten Inhalte und verarbeiteten Daten verantwortlich.
7.7. Die basebox GmbH behält sich das Recht vor, Filter zu implementieren, die verhindern, dass unangemessene und illegale Inhalte in den Ergebnissen erscheinen.
8. Nutzungsrechte und geistiges Eigentum
8.1. Durch die Registrierung gewährt die basebox GmbH dem Kunden, sofern erforderlich, das nicht-exklusive, nicht übertragbare Recht, das zeitlich auf die Dauer des Nutzervertrags beschränkt ist, die basebox-Software und die im Rahmen dieses Rahmens bereitgestellten Eingaben zu nutzen und sie Nutzern, die zur Nutzung von basebox eingeladen wurden, zur Verfügung zu stellen.
8.2. Die basebox-Software darf nur vom Kunden und seinen eingeladenen Nutzern im Rahmen ihrer eigenen Geschäftstätigkeiten verwendet werden.
8.3. Es ist nicht erlaubt, basebox an Dritte (andere natürliche oder juristische Personen außerhalb des Unternehmens des Kunden) weiterzugeben oder öffentlich verfügbar zu machen.
8.4. Soweit basebox zur Generierung potenziell urheberrechtlich geschützter Texte verwendet wird, erhebt die basebox GmbH keinen Anspruch auf das Urheberrecht an den generierten Ausgaben.
8.5. Der Kunde wird seine Nutzer anweisen, keine Eingaben zu verwenden, die darauf abzielen, urheberrechtlich geschützte Texte zum Vorteil Dritter zu reproduzieren, und der Kunde wird ebenfalls davon absehen.
8.6. Der Kunde übernimmt die Verantwortung für das Verhalten seiner Nutzer und stellt durch angemessene Überwachung und Schulung der Nutzer sicher, dass diese die Bestimmungen der Nutzungsbedingungen einhalten.
8.7. Es ist möglich, dass Nutzer aus verschiedenen Organisationen, die ähnliche Eingabeaufforderungen verwenden, ähnliche Ausgaben erhalten. Die basebox GmbH garantiert nicht, dass die von den KI-Modellen produzierten Ausgaben einzigartig sind oder nicht die Rechte Dritter verletzen. Die Nutzung und Überprüfung der Ausgaben obliegt dem Kunden.
8.8. Der Kunde wird sicherstellen, dass seine Nutzer nur Eingaben verwenden und nur Dokumente in das System eingeben, für die die notwendigen Rechte gewährt wurden. Der Kunde gewährt der basebox GmbH ein weltweites, widerrufliches, nicht exklusives, nicht unterlizenzierbares, nicht übertragbares Recht, begrenzt auf die Dauer dieses Vertragsverhältnisses, die Eingaben und Dokumente zur Erbringung der Dienstleistung zu verwenden. Der Kunde stellt die basebox GmbH von jeglicher Haftung für Ansprüche frei, die von Dritten gegen die basebox GmbH wegen Verletzung ihrer Rechte geltend gemacht werden, soweit diese aus den vom Kunden oder seinen Nutzern verwendeten Eingaben, den Ausgaben oder in basebox hochgeladenen Dateien entstehen.
9. Open Source
9.1. basebox enthält Komponenten unter Open-Source-Lizenzen. Diese unterliegen den jeweiligen Bedingungen der Open-Source-Lizenzen, die unter basebox.ai/opensource eingesehen werden können, abweichend von diesen Nutzungsbedingungen.
9.2. Der Kunde erhält ein nicht ausschließliches Nutzungsrecht für die verwendete Open-Source-Software von den jeweiligen Rechteinhabern gemäß den in den geltenden Lizenzbedingungen festgelegten Bedingungen. Diese Nutzungsbedingungen gelten nur für die Komponenten, die nicht als Open-Source-Software lizenziert sind.
9.3. Diese Nutzungsbedingungen schränken nicht die Nutzungsrechte und Benutzerfreiheiten ein, die in den Open-Source-Lizenzen für die Nutzung außerhalb von basebox gewährt werden. Die Open-Source-Lizenzen haben in dieser Hinsicht Vorrang vor diesen Nutzungsbedingungen.
9.4. Die Gewährleistung für Mängel unserer Produkte, die aus der Modifikation von Open-Source-Software resultieren, ist ausgeschlossen, wenn diese Mängel das Ergebnis der Modifikation sind. Der Kunde trägt die Beweislast dafür, dass ein Mangel an unserem Produkt auch ohne die Modifikation der enthaltenen Open-Source-Software aufgetreten wäre.
9.5. Die Haftungs- und Gewährleistungsbedingungen dieser Nutzungsbedingungen gelten für die gesamte Software im Verhältnis zum Lizenzgeber. Die Haftungs- und Gewährleistungsbedingungen der Open-Source-Lizenzen gelten nur im Verhältnis zu den jeweiligen Rechteinhabern.
10. Technische Anforderungen für die Nutzung
10.1. Um unsere Dienste zu nutzen, benötigen Sie ein geeignetes digitales Gerät, eine standardmäßige, ausreichend schnelle Internetverbindung und einen aktuellen Browser.
11. Verfügbarkeit und Garantie
11.1. Die basebox GmbH weist darauf hin, dass das Cloud-Angebot zu Einschränkungen oder Beeinträchtigungen der angebotenen Dienstleistungen führen kann, die außerhalb der Kontrolle der basebox GmbH liegen. Dies umfasst insbesondere Maßnahmen von Dritten, die nicht im Auftrag der basebox GmbH handeln, technische Internetbedingungen, die außerhalb der Kontrolle der basebox GmbH liegen, und höhere Gewalt.
11.2. Die basebox GmbH bemüht sich, eine Verfügbarkeit ihrer Systeme von 24 Stunden, 7 Tagen in der Woche sicherzustellen. Die basebox GmbH behält sich jedoch das Recht vor, Wartungsarbeiten nach angemessener Ankündigung durchzuführen und die Systeme vorübergehend für einen begrenzten Zeitraum herunterzufahren.
11.3. Die Hardware, Software und technische Infrastruktur, die vom Kunden verwendet wird, können ebenfalls die von der basebox bereitgestellten Dienstleistungen beeinflussen. Soweit solche Umstände die Verfügbarkeit oder Funktionalität der von der basebox GmbH bereitgestellten Dienstleistungen beeinträchtigen, hat dies keinen Einfluss auf die vertragliche Konformität der erbrachten Dienstleistungen.
11.4. Der Kunde ist verpflichtet, die basebox GmbH umgehend und so präzise wie möglich über jegliche Fehlfunktionen, Störungen oder Beeinträchtigungen der Software zu informieren. Unterlassung führt dazu, dass § 536c des Bürgerlichen Gesetzbuchs (BGB) entsprechend Anwendung findet.
11.5. Die gesetzlichen Bestimmungen über die Gewährleistung in Mietverträgen finden grundsätzlich Anwendung. § 536b des Bürgerlichen Gesetzbuchs (Wissen des Mieters über den Mangel bei Abschluss oder Annahme des Vertrages) und § 536c des Bürgerlichen Gesetzbuchs (Mängel, die während der Mietzeit auftreten; Mängelanzeigen durch den Mieter) finden Anwendung. Die Anwendung des § 536a (2) des Bürgerlichen Gesetzbuchs (Recht des Mieters zur Selbstvornahme) ist jedoch ausgeschlossen. Die Anwendung des § 536a (1) des Bürgerlichen Gesetzbuchs (Haftung des Vermieters für Schäden) ist ebenfalls ausgeschlossen, soweit die Vorschrift eine verschuldensunabhängige Haftung vorsieht.
11.6. Der Gewährleistungszeitraum bezüglich etwaiger Schadensersatzansprüche wird jedoch auf ein Jahr verkürzt, es sei denn, die Schadensersatzansprüche resultieren aus Mängeln, die auf das Fehlen einer garantierten Qualität des Leistungsgegenstands zurückzuführen sind, aus vorsätzlicher Körperverletzung, oder für die eine Haftung nach dem Produkthaftungsgesetz besteht.
12. Haftung
12.1. Die basebox GmbH haftet nur für Schäden, die dem Kunden durch die Nutzung von basebox entstehen, wenn sie vorsätzlich oder grob fahrlässig verursacht wurden, wenn sie das Ergebnis der Nichterfüllung einer garantierten Qualität der Dienstleistung sind, wenn sie auf einem schuldhaften Verstoß gegen wesentliche vertragliche Pflichten (siehe Abschnitt 5) basieren, wenn sie das Ergebnis einer schuldhaften Verletzung von Gesundheit, Körper oder Leben sind, oder für die eine Haftung nach dem Produkthaftungsgesetz vorgesehen ist. Im Falle eines bloß fahrlässigen Verstoßes gegen eine wesentliche vertragliche Pflicht (siehe Abschnitt 5) ist die Haftung der basebox GmbH auf solche Schäden beschränkt, deren Eintritt typischerweise und vorhersehbar im Rahmen der Erbringung der vereinbarten Leistungen zu erwarten ist. Diese Einschränkung gilt nicht für Schäden, die aus der Verletzung von Gesundheit, Körper oder Leben resultieren.
12.2. Wesentliche vertragliche Pflichten sind die in Abschnitt 5 enthaltenen vertraglichen Pflichten, deren Erfüllung für die ordnungsgemäße Durchführung des Vertrags unerlässlich ist und auf deren Einhaltung Sie regelmäßig vertrauen können, deren Verletzung hingegen das Erreichen des Vertragszwecks gefährdet.
12.3. Darüber hinaus ist die Haftung – unabhängig von der rechtlichen Grundlage – seitens der basebox GmbH und unserer Erfüllungsgehilfen ausgeschlossen.
12.4. Wenn die basebox GmbH für den Verlust von Daten des Kunden oder seiner Nutzer haftet, unter Berücksichtigung der oben genannten Bestimmungen, ist die Haftung auf die typischen Wiederherstellungskosten beschränkt, die angefallen wären, selbst wenn der Kunde oder seine Nutzer regelmäßig und risikogerecht Sicherungskopien erstellt hätten.
13. Verpflichtungen des Kunden und seiner Benutzer
Der Kunde ist verpflichtet, seine Benutzer anzuweisen, die folgenden Verpflichtungen einzuhalten und die Einhaltung zu überwachen. Jede Verletzung dieser Verpflichtungen durch Benutzer wird dem Kunden zugeschrieben. Der Kunde wird auch selbst diese Verpflichtungen einhalten.
13.1. Überprüfung der Ausgabe
Die Ausgabe von KI-Modellen kann unvollständig, veraltet oder fehlerhaft sein und ist oft unvorhersehbar. Es liegt daher in der Verantwortung des Kunden, seine Benutzer entsprechend anzuweisen.
um die Qualität der verwendeten Eingabeaufforderungen sicherzustellen,
um die Genauigkeit und Verwendbarkeit der generierten Ausgabe zu überprüfen, bevor sie verwendet oder verteilt wird,
um geeignete Spezifikationen in die Eingabeaufforderungen einzufügen, um das Ergebnis besser filtern oder anpassen zu können,
um die in der Ausgabe enthaltenen Informationen zu verifizieren und in jedem Fall die Ausgabe nicht als einzige Informationsquelle zu verwenden, nicht zu erwarten, dass sie harmlos und sprachlich sowie ethisch angemessen ist, oder sie als Ersatz für professionelle Beratung zu verwenden.
13.2. Nutzung der Basebox-Dienste
13.2.1. Der Kunde muss seine Benutzer anweisen, die Systeme der basebox GmbH nicht für illegale Zwecke zu verwenden, insbesondere nicht, um Dritten oder der basebox GmbH Schaden zuzufügen. Der Kunde wird auch selbst keine solchen Aktivitäten durchführen.
13.2.2. Der Kunde muss seine Benutzer anweisen, die Dienste der basebox GmbH nicht Dritten außerhalb seines Unternehmens zur Verfügung zu stellen oder sie für solche Dritte zu nutzen. Der Kunde wird auch selbst keine solchen Aktivitäten durchführen.
13.2.3. Der Kunde wird seine Benutzer anweisen, die Dienste der basebox GmbH nicht in einer Weise zu verwenden, die die Sicherheit, den ordnungsgemäßen Betrieb und die Integrität der Systeme der basebox GmbH gefährdet oder Sicherheitsmaßnahmen umgeht oder gefährdet. Insbesondere wird der Kunde seine Benutzer anweisen, keine schädlichen, gefährlichen Eingabeaufforderungen zu verwenden oder Eingabeaufforderungsinjektionsangriffe durchzuführen, um das Verhalten des Modells zu manipulieren oder Sicherheitsprüfungen, Penetrationstests oder ähnliche Tests durchzuführen. Der Kunde wird auch selbst von solchen Aktivitäten absehen.
13.2.4. Der Kunde muss seine Benutzer anweisen, die Rechte Dritter, insbesondere Urheberrechte, Markenrechte und Persönlichkeitsrechte sowie den Datenschutz, bei der Verwendung und Erstellung von Eingabeaufforderungen und dem Hochladen von Dateien auf die basebox GmbH zu respektieren und nur Eingabeaufforderungen zu verwenden und Dateien hochzuladen, für die der Kunde oder seine Benutzer alle erforderlichen Rechte besitzen. Der Kunde wird auch in Übereinstimmung mit diesen Anweisungen handeln.
13.3. Nutzung der Ausgabe
Der Kunde wird seine Benutzer anweisen, die mit den KI-Modellen erzeugte Ausgabe nicht als von einem Menschen erstellt darzustellen und die Ausgabe nicht zu verwenden, wenn Grund zur Annahme besteht, dass die Verwendung der Ausgabe die Rechte Dritter verletzen könnte.
13.4. Hinweis auf Risiken
Der Kunde ist dafür verantwortlich, seine Benutzer über die potenziellen Risiken der Nutzung von basebox zu informieren, insbesondere hinsichtlich der Verwendung der von dem KI-Modell bereitgestellten Ausgabe und der Verwendung sensibler Daten für die Eingabeaufforderung.
14. Änderungen dieser Nutzungsbedingungen
Wenn die basebox GmbH diese Nutzungsbedingungen ändern möchte, wird die basebox GmbH dem Kunden eine Benachrichtigung zusammen mit den geänderten Nutzungsbedingungen per E-Mail an die angegebene Verwaltungsadresse senden und um die Zustimmung des Kunden bitten. Wenn der Kunde den geänderten Nutzungsbedingungen nicht zustimmt, behält sich die basebox GmbH das Recht vor, den Vertrag unter Einhaltung der vereinbarten Kündigungsfrist zu beenden.
15. Sonstige Bestimmungen
15.1. Das Recht der Bundesrepublik Deutschland findet auf diesen Benutzervertrag Anwendung, mit Ausnahme des UN-Übereinkommens über Verträge über den internationalen Warenverkauf und des deutschen sowie europäischen Kollisionsrechts.
15.2. Ist der Kunde Kaufmann, eine juristische Person des öffentlichen Rechts oder ein Sondervermögen des öffentlichen Rechts, oder hat der Kunde keinen allgemeinen Gerichtsstand in der Bundesrepublik Deutschland, so ist der ausschließliche Gerichtsstand für alle Ansprüche aus dem Vertragsverhältnis Landsberg am Lech. basebox GmbH kann den Kunden jedoch auch an seinem allgemeinen Gerichtsstand verklagen.
15.3. basebox GmbH ist weder verpflichtet noch bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle im Falle eines Streits mit dem Kunden teilzunehmen.
15.4. Vertragstext und Vertragssprache: Der Vertrag zwischen dem Kunden und der basebox GmbH wird im Allgemeinen nicht in einem separaten Vertragstext niedergelegt, auf den Sie später zugreifen könnten. Der Inhalt des Vertrags ergibt sich aus diesen Nutzungsbedingungen und dem Gegenstand des geschlossenen Vertrags. Deutsch und Englisch stehen für den Vertragsabschluss zur Verfügung.
Landsberg am Lech, 1. Juni 2025. basebox Nutzungsbedingungen v.0.2.
Geheimhaltungspflicht
Anhang
Verpflichtung zur Wahrung des Berufsgeheimnisses (Paragraph 203 des deutschen Strafgesetzbuches)
1. Anwendungsbereich
1.1 Dieser Anhang „Verpflichtung zur Wahrung des Berufsgeheimnisses (§ 203 StGB)“ (nachfolgend „Zusatzvereinbarung“) wird zwischen dem Kunden und der basebox GmbH abgeschlossen, wenn der Kunde oder für den Kunden tätige Personen der beruflichen Vertraulichkeit im Sinne des § 203 StGB unterliegen.
1.2 Die Parteien vereinbaren, dass diese Zusatzvereinbarung die Nutzungsbedingungen ergänzt. Im Falle eines Konflikts haben die Bestimmungen dieses Anhangs Vorrang. Alle verwendeten und nicht definierten Begriffe haben die gleiche Bedeutung wie in den Nutzungsbedingungen.
2. Anleitung und Verpflichtung
2.1 Um den Vertrag zu erfüllen, können Daten und Informationen verarbeitet werden, die unter das berufliche Geheimhaltungsprivileg im Sinne von § 203 des deutschen Strafgesetzbuches fallen. Die basebox GmbH wird daher wie folgt beauftragt:
Wenn die basebox GmbH ein drittanbieter Geheimnis offenbart, das ihr im Rahmen oder im Zusammenhang mit ihren Tätigkeiten bekannt geworden ist, nämlich ein Geheimnis, das zur persönlichen Sphäre oder ein Handels- oder Geschäftsgeheimnis gehört, das den Fachleuten des Auftraggebers anvertraut wurde, kann dies mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe bestraft werden (§ 203 Abs. 1, Abs. 4 Satz 1 StGB). Die Androhung der Strafe gilt auch für Personen, die für die basebox GmbH bei der Erbringung von Dienstleistungen tätig sind (§ 203 Abs. 4 Satz 1 StGB).
Geheimnisse sind alle Informationen, die nur einer begrenzten Personengruppe bekannt sind und an deren Vertraulichkeit die Person, auf die sich die Informationen beziehen (Geheimnisträger), ein berechtigtes Interesse hat. Dazu gehören insbesondere alle Informationen über Kunden-, Patienten- und/oder Kundenbeziehungen.
Die Strafe gilt für natürliche Personen, die für die basebox GmbH tätig sind.
Im Falle der Einbeziehung Dritter (z.B. Subunternehmer) macht sich die basebox GmbH oder die in ihrem Auftrag handelnde Person strafbar mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe, wenn der Dritte ein Geheimnis, das ihm im Rahmen oder im Zusammenhang mit seiner Arbeit bekannt geworden ist, unbefugt offenbart und die basebox GmbH nicht sichergestellt hat, dass der Dritte zur Wahrung der Vertraulichkeit verpflichtet wurde (§ 203 Abs. 1, Abs. 4 Satz 2 Nr. 2 StGB).
Die Strafe dafür beträgt bis zu zwei Jahre Freiheitsstrafe oder eine Geldstrafe, wenn der Täter gegen Entgelt handelt oder mit der Absicht, sich selbst zu bereichern oder einen anderen durch die Tat zu schädigen (Abschnitt 203 (6) StGB). Das Gleiche gilt, wenn der Täter unbefugt ein einem Drittanbieter anvertrautes Geheimnis nutzt (Abschnitt 204 StGB).
2.2 In diesem Bewusstsein ist die basebox GmbH wie folgt verpflichtet:
Die basebox GmbH handelt als Dienstleister für die Tätigkeiten der beruflichen Geheimnisträger, die einer professionellen Geheimhaltungsverpflichtung unterliegen. Die basebox GmbH ist sich der strafrechtlichen Folgen eines Verstoßes gegen die Geheimhaltung bewusst und wahrt die Vertraulichkeit der ihr zugänglich gemachten Geheimnisse Dritter.
Die basebox GmbH ist befugt, andere Personen (Dritte) in die Erfüllung des Vertrags einzubeziehen. Bei der Einschaltung Dritter (z.B. weiteren Verarbeitern) ist die basebox GmbH verpflichtet, sie schriftlich zur Geheimhaltung zu verpflichten und sie über die strafrechtlichen Folgen eines Pflichtverstoßes zu informieren, soweit diese Dritten im Rahmen ihrer Aktivitäten Kenntnis von Geheimnissen Dritter erlangen könnten. Die basebox GmbH wird den Kunden über jede geplante Einbeziehung weiterer Dritter informieren. In gerechtfertigten Einzelfällen kann der Kunde eine solche Einbeziehung untersagen.
Die basebox GmbH ist verpflichtet, Kenntnisse über Geheimnisse Dritter nur insoweit zu erlangen, wie es zur Erfüllung des Vertrags erforderlich ist. Die basebox GmbH wird angemessene organisatorische und technische Maßnahmen zum Schutz von Geheimnissen Dritter und vertraulichen Informationen ergreifen und anerkannte Sicherheitsstandards gemäß dem aktuellen Stand der Technik anwenden.
Die Geheimhaltungsverpflichtung besteht unbegrenzt weiter, auch nach Beendigung der vertraglichen Beziehung.
Die Geheimhaltungspflicht gemäß den obigen Absätzen gilt nicht, wenn die basebox GmbH aufgrund einer amtlichen oder gerichtlichen Anordnung zur Offenlegung der vertraulichen Informationen des Kunden verpflichtet ist. Sofern in Einzelfällen zulässig und möglich, wird die basebox GmbH den Kunden im Voraus über die Offenlegungspflicht informieren.
Die basebox GmbH ist verpflichtet sicherzustellen, dass die Dienstleistung nur von einer Gruppe von Personen erbracht wird, die zur Geheimhaltung verpflichtet sind.
Datenschutzerklärung
Allgemeine Informationen
Die folgenden Informationen bieten einen einfachen Überblick darüber, was mit Ihren persönlichen Daten passiert, wenn Sie diese Website besuchen. Personendaten sind alle Daten, die dazu verwendet werden können, Sie persönlich zu identifizieren. Detaillierte Informationen zum Thema Datenschutz finden Sie in unserer Datenschutzerklärung, die unten in diesem Text aufgeführt ist.
Detaillierte Informationen zum Thema Datenschutz finden Sie in unserer Datenschutzrichtlinie, die unten in diesem Text aufgeführt ist. Die Datenschutzrichtlinie ist die Grundlage unseres Handelns und Teil der Geschäftsbeziehung mit Kunden, Vertragspartnern, Nutzern und/oder Dritten und gilt für unsere Website, mobile Anwendungen und alle unsere externen Online-Präsenzen (z.B. unsere Social-Media-Profile) sowie im Rahmen der Bereitstellung unserer Dienste.
Datensammlung auf dieser Website
Wer ist für die Datenerhebung auf dieser Website verantwortlich?
Die Datenverarbeitung auf dieser Website erfolgt durch den Betreiber der Website, die basebox GmbH (kurz basebox). Kontaktinformationen finden Sie im Impressum.
Wie erfassen wir Ihre Daten?
Einerseits werden Ihre Daten erfasst, wenn Sie sie uns zur Verfügung stellen. Dies können beispielsweise Daten sein, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch von unseren IT-Systemen erfasst, wenn Sie die Website besuchen. Dies sind in erster Linie technische Daten (z. B. Internetbrowser, Betriebssystem oder Zeitpunkt des Seitenaufrufs). Diese Daten werden automatisch erfasst, sobald Sie diese Website betreten.
Daten werden auch erfasst, wenn Sie sich für unsere Dienste registrieren, z. B. Ihre E-Mail-Adresse und Ihren Namen sowie alle Abrechnungs- und Zahlungsdaten.
Wofür verwenden wir Ihre Daten?
Einige der Daten werden gesammelt, um sicherzustellen, dass die Website fehlerfrei bereitgestellt wird. Andere Daten können verwendet werden, um Ihr Nutzerverhalten zu analysieren. Wir verarbeiten die Daten, die wir im Rahmen Ihrer Registrierung erheben, um unsere vertraglichen Leistungen zu erbringen.
Welche Rechte haben Sie in Bezug auf Ihre Daten?
Sie haben das Recht, jederzeit kostenlos Informationen über die Herkunft, den Empfänger und den Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben auch das Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Bei weiteren Fragen zum Thema Datenschutz können Sie uns jederzeit unter der im Impressum angegebenen Adresse kontaktieren. Sie haben auch das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen.
Sie haben auch das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Weitere Einzelheiten entnehmen Sie bitte der Datenschutzrichtlinie unter „Recht auf Einschränkung der Verarbeitung“.
Analysetools und Werkzeuge von Drittanbietern
Wenn Sie diese Website besuchen, kann Ihr Surfverhalten statistisch ausgewertet werden. Dies geschieht hauptsächlich mit Hilfe von Cookies und sogenannten Analyseprogrammen. Die Analyse Ihres Surfverhaltens ist in der Regel anonym; das Surfverhalten kann Ihnen nicht zugeordnet werden.
Sie können dieser Analyse widersprechen oder sie verhindern, indem Sie bestimmte Werkzeuge nicht verwenden. Detaillierte Informationen zu diesen Werkzeugen und Ihren Widerspruchsmöglichkeiten finden Sie in der folgenden Datenschutzerklärung.
Hosting
Externe Speicherung
Der Hoster wird zum Zweck der Erfüllung des Vertrags mit unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO) genutzt. Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie es zur Erfüllung seiner Leistungspflichten erforderlich ist und um unseren Anweisungen bezüglich dieser Daten zu folgen.
Abschluss eines Vertrags über die Datenverarbeitung
Um eine datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Auftragsverarbeitungsvertrag mit unserem Hoster abgeschlossen.
Genutzte Dienstleistungen und Dienstleister
Google Irland Ltd. Google Gebäude Gordon House, Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland
Website: https://cloud.google.com/vertex-ai
Datenschutzrichtlinie: https://cloud.google.com/terms/service-terms#panel0-1
Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Website: https://www.hetzner.com/
Datenschutzrichtlinie: https://www.hetzner.com/de/legal/privacy-policy
Allgemeine Hinweise und Pflichtinformationen
Data protection
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre persönlichen Daten vertraulich und entsprechend den gesetzlichen Datenschutzbestimmungen sowie dieser Datenschutzerklärung. Wenn Sie diese Website nutzen, werden verschiedene persönliche Daten erfasst. Personenbezogene Daten sind Informationen, die verwendet werden können, um Sie persönlich zu identifizieren. Diese Datenschutzerklärung erklärt, welche Daten wir erheben und wofür wir sie verwenden. Sie erklärt auch, wie und zu welchem Zweck dies geschieht.
Wir möchten darauf hinweisen, dass die Datenübertragung über das Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitsanfälligkeiten unterliegen kann. Ein vollständiger Schutz der Daten gegen den Zugriff durch Dritte ist nicht möglich.
Verantwortliche Person
Die für die Datenverarbeitung auf dieser Website verantwortliche Stelle ist:
basebox GmbH
Bahnhofplatz 3
D-86919 Utting am Ammersee
Telefon: +49 8806 9590600
E-Mail: support@basebox.ai
Der Verantwortliche ist die natürliche oder juristische Person, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen usw.) bestimmt.
Wir haben für unser Unternehmen einen Datenschutzbeauftragten benannt. Der Unternehmensdatenschutzbeauftragte von basebox kann unter der oben genannten Adresse, zu Händen des Datenschutzbeauftragten, oder per E-Mail unter datenschutz@basebox.ai. erreicht werden.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsoperationen sind nur mit Ihrer ausdrücklichen Zustimmung möglich. Sie können Ihre Zustimmung jederzeit widerrufen. Alles, was Sie tun müssen, ist, uns eine informelle E-Mail zu senden. Die Rechtmäßigkeit der bis zum Widerruf durchgeführten Datenverarbeitung bleibt von diesem Widerruf unberührt.
Recht, der Erhebung von Daten in besonderen Fällen und der Direktwerbung zu widersprechen (Art. 21 DSGVO)
WENN DIE DATENVERARBEITUNG AUF ART. 6 ABS. 1 LIT. E ODER F DER DSGVO BERUHT, HABEN SIE DAS RECHT, JEDERZEIT AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, DER VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN ZU WIDERSPRECHEN; DIES GILT AUCH FÜR PROFILIERUNG, DIE AUF DIESEN BESTIMMUNGEN BASIERT. DIE JEWEILIGE RECHTLICHE GRUNDLAGE, AUF DER DIE VERARBEITUNG BASIERT, IST IN DIESER DATENSCHutzerklärung ZU FINDEN. WENN SIE WIDERSPRECHEN, WERDEN WIR IHRE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE LEGITIME GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN, ODER DIE VERARBEITUNG DIENT DER FESTSTELLUNG, AUSÜBUNG ODER VERTEIDIGUNG RECHTLICHER ANSPRÜCHE (WIDERSPRUCH GEMÄSS ART. 21 ABS. 1 DSGVO).
WENN IHRE PERSONENBEZOGENEN DATEN ZUM ZWECK DER DIREKTVERMARKTUNG VERARBEITET WERDEN, HABEN SIE DAS RECHT, JEDERZEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN, DIE SIE BETREFFEN, ZU DIESEM ZWECK ZU WIDERSPRECHEN; DIES GILT AUCH FÜR PROFILIERUNG, SOWEIT SIE MIT SOLCHER DIREKTVERMARKTUNG IN ZUSAMMENHANG STEHT. WENN SIE WIDERSPRECHEN, WERDEN IHRE PERSONENBEZOGENEN DATEN FOLGEND NICHT MEHR ZUM ZWECK DER DIREKTVERMARKTUNG VERWENDET (WIDERSPRUCH GEMÄß ART. 21 ABS. 2 DSGVO).
Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) haben die betroffenen Personen das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, insbesondere in dem Mitgliedstaat, in dem sie ihren Wohnsitz, ihren Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes haben. Das Recht, eine Beschwerde einzureichen, lässt andere administrative oder gerichtliche Rechtsbehelfe unberührt.
Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die wir automatisch auf der Grundlage Ihrer Zustimmung oder zur Erfüllung eines Vertrages verarbeiten, in einem gängigen, maschinenlesbaren Format an Sie oder an einen Dritten zu übertragen. Wenn Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen anfordern, erfolgt dies nur, wenn dies technisch machbar ist. SSL- oder TLS-Verschlüsselung
Diese Website verwendet aus Sicherheitsgründen SSL- oder TLS-Verschlüsselung, um die Übertragung vertraulicher Inhalte, wie Bestellungen oder Anfragen, die Sie uns als Betreiber der Website senden, zu schützen. Sie können eine verschlüsselte Verbindung daran erkennen, dass sich die Adresszeile des Browsers von „http://“ zu „https://“ ändert und durch das Vorhängeschloss-Symbol in Ihrem Browser.
Wenn die SSL- oder TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, von Dritten nicht gelesen werden.
Information, Löschung und Berichtigung
Im Rahmen der geltenden gesetzlichen Bestimmungen haben Sie jederzeit das Recht auf kostenlose Auskunft über Ihre gespeicherten persönlichen Daten, deren Herkunft und Empfänger sowie den Zweck der Datenverarbeitung und gegebenenfalls auf Berichtigung oder Löschung dieser Daten. Bei weiteren Fragen zum Thema personenbezogene Daten können Sie uns jederzeit unter der im Impressum angegebenen Adresse kontaktieren.
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Dazu können Sie uns jederzeit unter der im Impressum angegebenen Adresse kontaktieren. Das Recht auf Einschränkung der Verarbeitung besteht in den folgenden Fällen:
Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Überprüfung haben Sie das Recht, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken.
Wenn die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig war/ist, können Sie die Einschränkung der Datenverarbeitung anstelle der Löschung verlangen.
Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie diese jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten anstelle der Löschung zu verlangen.
Wenn Sie Widerspruch gemäß Art. 21 (1) DSGVO eingelegt haben, müssen Ihre Interessen und unsere Interessen abgewogen werden. Solange nicht bereits festgestellt wurde, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – abgesehen von ihrer Speicherung – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte eines anderen natürlichen oder juristischen Persons oder aus Gründen des wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
Widerspruch gegen Werbe-E-Mails
Wir widersprechen hiermit der Verwendung von Kontaktdaten, die im Rahmen unserer Pflicht zur Bereitstellung eines rechtlichen Hinweises veröffentlicht wurden, zum Zwecke der Zusendung von unaufgeforderter Werbung und Informationsmaterial. Die Betreiber dieser Website behalten sich ausdrücklich das Recht vor, rechtliche Schritte im Falle der unaufgeforderten Zusendung von Werbeinformationen, wie z.B. Spam-E-Mails, einzuleiten.
Datensammlung auf dieser Website
Kekse
Einige Internetseiten verwenden sogenannte Cookies. Cookies schädigen Ihren Computer nicht und enthalten keine Viren. Cookies werden verwendet, um unsere Website benutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert und von Ihrem Browser gespeichert werden.
Die meisten der von uns verwendeten Cookies sind sogenannte „Sitzungscookies“. Sie werden am Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie sie löschen. Diese Cookies ermöglichen es uns, Ihren Browser bei Ihrem nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser so einstellen, dass Sie über die Verwendung von Cookies informiert werden und Cookies nur in bestimmten Fällen erlauben, die Annahme von Cookies für bestimmte Fälle oder allgemein ausschließen und die automatische Löschung von Cookies beim Schließen des Browsers aktivieren. Wenn Cookies deaktiviert sind, kann die Funktionalität dieser Website eingeschränkt sein.
Cookies, die erforderlich sind, um den elektronischen Kommunikationsprozess durchzuführen oder bestimmte Funktionen bereitzustellen, die Sie angefordert haben (z. B. Warenkorb-Funktion), werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Anbieter der Website hat ein berechtigtes Interesse an der Speicherung von Cookies für die technisch fehlerfreie und optimierte Bereitstellung seiner Dienste. Wenn eine entsprechende Einwilligung eingeholt wurde (z. B. Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung kann jederzeit widerrufen werden.
Soweit andere Cookies (z. B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung separat behandelt.
Serverprotokolldateien
Der Anbieter der Seiten sammelt und speichert automatisch Informationen in sogenannten Serverprotokolldateien, die Ihr Browser uns automatisch überträgt. Diese sind
Browsertyp und Browserversion
Verwendetes Betriebssystem
Referrer-URL
Hostname des zugreifenden Computers
Zeit der Serveranfrage
IP-Adresse
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.
Diese Daten werden auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfasst. Der Webseitenbetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung seiner Webseite – die Serverprotokolldateien müssen zu diesem Zweck erfasst werden.
Die Protokolldateien werden nach 90 Tagen gelöscht.
Kontaktiere uns
Wenn Sie uns Anfragen über das Kontaktformular senden, werden Ihre Angaben aus dem Anfrageformular, einschließlich der dort angegebenen Kontaktdaten, von uns gespeichert, um die Anfrage zu bearbeiten und im Falle von Rückfragen. Wir werden diese Daten ohne Ihre Zustimmung nicht weitergeben.
Diese Daten werden auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet, wenn Ihre Anfrage mit der Erfüllung eines Vertrags in Zusammenhang steht oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen anderen Fällen basiert die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Zustimmung (Art. 6 Abs. 1 lit. a DSGVO), sofern diese angefordert wurde.
Wir werden die von Ihnen im Kontaktformular angegebenen Daten bis zu Ihrer Aufforderung zur Löschung, der Widerrufung Ihrer Zustimmung zur Speicherung oder dem Wegfall des Zwecks der Speicherung aufbewahren (z.B. nach Erledigung Ihrer Anfrage). Gesetzliche Pflichtangaben – insbesondere Aufbewahrungsfristen – bleiben unberührt.
Anfrage per E-Mail oder Telefon
Wenn Sie uns per E-Mail oder Telefon kontaktieren, speichern und verarbeiten wir Ihre Anfrage, einschließlich aller personenbezogenen Daten (Name, Anfrage), um Ihr Anliegen zu bearbeiten. Wir geben diese Daten nicht ohne Ihre Zustimmung weiter.
Diese Daten werden auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet, wenn Ihre Anfrage mit der Erfüllung eines Vertrags verbunden ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen anderen Fällen basiert die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und/oder unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), da wir ein berechtigtes Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen haben.
Die Daten, die Sie uns über Kontaktanfragen senden, bleiben bei uns, bis Sie uns bitten, sie zu löschen, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck der Datenspeicherung nicht mehr zutrifft (z. B. nachdem Ihre Anfrage bearbeitet wurde). Gesetzliche Vorschriften, insbesondere gesetzliche Aufbewahrungsfristen, bleiben unberührt.
Verarbeitung von Daten (Kunden- und Vertragsdaten)
Wir erheben, verarbeiten und nutzen personenbezogene Daten nur insoweit, als es für die Begründung, den Inhalt oder die Änderung des Rechtsverhältnisses (Bestandsdaten) erforderlich ist. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erlaubt. Wir erheben, verarbeiten und nutzen personenbezogene Daten über die Nutzung dieser Website (Nutzungsdaten) nur insoweit, als dies erforderlich ist, um dem Benutzer die Nutzung des Dienstes zu ermöglichen oder ihn dafür in Rechnung zu stellen.
Die erfassten Kundendaten werden nach Abschluss der Bestellung oder Beendigung der Geschäftsbeziehung gelöscht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.
Übertragung und Offenlegung personenbezogener Daten
Im Rahmen unserer Verarbeitung personenbezogener Daten können die Daten an andere Stellen, Unternehmen, rechtlich unabhängige Organisationseinheiten oder Personen übertragen oder offengelegt werden. Die Empfänger dieser Daten können beispielsweise Zahlungsinstitute im Rahmen von Zahlungstransaktionen, mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Dienstleistungen und Inhalten, die in eine Website integriert sind, umfassen. In solchen Fällen beachten wir die gesetzlichen Anforderungen und schließen insbesondere entsprechende Verträge oder Vereinbarungen mit den Empfängern Ihrer Daten ab, die dem Schutz Ihrer Daten dienen. Datenverarbeitung in Drittländern
Wenn wir Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder wenn die Verarbeitung im Rahmen der Nutzung von Dienstleistungen Dritter oder der Offenlegung oder Übertragung von Daten an andere Personen, Stellen oder Unternehmen erfolgt, geschieht dies nur in Übereinstimmung mit den gesetzlichen Anforderungen.
Vorbehaltlich ausdrücklicher Zustimmung oder Übertragungen, die aufgrund von Verträgen oder Gesetzen erforderlich sind, verarbeiten wir oder lassen die Daten in Drittländern nur mit einem anerkannten Niveau an Datenschutz, einschließlich US-Prozessoren, die unter dem „Data Privacy Framework“ zertifiziert sind, oder auf der Grundlage besonderer Garantien, wie vertraglichen Verpflichtungen durch sogenannte Standardschutzklauseln der EU-Kommission, dem Vorhandensein von Zertifizierungen oder verbindlichen internen Datenschutzvorschriften (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de).
Analysetools und Werbung
Semrush
Für Analysen und Optimierung, insbesondere für die SEO-Optimierung, verwenden wir Semrush vom Dienstanbieter: Semrush Inc, 800 Boylston Street, Suite 2475, Boston, MA 02199, USA. Insbesondere werden die folgenden Informationen verarbeitet: IP-Adresse und Geräte-ID.
Die Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Analyse und Optimierung unserer Website.
Website: https://de.semrush.com, Datenschutzrichtlinie: https://de.semrush.com/company/legal/privacy-policy/
Google Tag Manager
Google Tag Manager ist eine Lösung, mit der wir sogenannte Website-Tags über eine Schnittstelle verwalten können (und so Google Analytics und andere Google-Marketingdienste in unser Online-Angebot integrieren können, zum Beispiel). Der Tag Manager selbst (der die Tags implementiert) verarbeitet keine personenbezogenen Daten der Nutzer. Hinsichtlich der Verarbeitung personenbezogener Daten der Nutzer verweisen wir auf die folgenden Informationen zu Google-Diensten. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Webseite: https://marketingplatform.google.com; Datenschutzrichtlinie: https://policies.google.com/privacy; Privacy Shield (Gewährleistung des Datenschutzniveaus bei der Verarbeitung von Daten in den USA): https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active.
Google Analytics
Google Analytics verwendet sogenannte „Cookies“. Dies sind Textdateien, die auf Ihrem Computer gespeichert werden und die Nutzung der Website analysieren. Die durch das Cookie erzeugten Informationen über Ihre Nutzung dieser Website werden in der Regel an einen Google-Server in den USA übertragen und dort gespeichert.
Die Speicherung der Google Analytics-Cookies und die Nutzung dieses Analysetools basieren auf Art. 6 Abs. 1 lit. f DSGVO. Der Webseitenbetreiber hat ein berechtigtes Interesse an der Analyse des Benutzerverhaltens, um sowohl seine Website als auch seine Werbung zu optimieren. Wenn eine entsprechende Einwilligung angefordert wurde (z. B. die Zustimmung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung kann jederzeit widerrufen werden.
Die folgende Tabelle beschreibt alle Cookies, die von gtag.js gesetzt werden. Weitere Informationen zu den in Analytics gesammelten Daten finden Sie unter https://support.google.com/analytics/answer/6004245.
Wenn Sie Ihre Zustimmung zur Verwendung von Cookies zu Marketingzwecken gegeben haben, wird Google Ads auf dieser Website verwendet. Google Ads ermöglicht es uns, Anzeigen in der Google-Suchmaschine oder auf Drittanbieter-Websites anzuzeigen, wenn der Benutzer bestimmte Suchbegriffe bei Google eingibt (Keyword-Targeting). Darüber hinaus können gezielte Anzeigen basierend auf den bei Google verfügbaren Benutzerdaten (z. B. Standortdaten und Interessen) angezeigt werden (Zielgruppen-Targeting). Wir können diese Daten quantitativ auswerten, indem wir beispielsweise analysieren, welche Suchbegriffe zur Anzeige unserer Anzeigen geführt haben und wie viele Anzeigen zu entsprechenden Klicks geführt haben. Insofern Daten außerhalb der EU/EEA verarbeitet werden, haben wir auch die geltenden Standardvertragsklauseln der Europäischen Union mit Google im Rahmen unseres Auftragsverarbeitungsvertrages abgeschlossen, um ein angemessenes Niveau an Datenschutz zu gewährleisten.
Google Ads wird von Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland bereitgestellt. Google kann Unterauftragsverarbeiter einsetzen, die Daten außerhalb der EU/EEA verarbeiten, wobei das Schutzniveau möglicherweise nicht den europäischen Standards entspricht.
Die rechtliche Grundlage ist Ihre Zustimmung gemäß § 25 Abs. I S. 1, 2 TTDSG, Art.6 Abs.1 S.1 lit. a) DSGVO.
Sie können Ihre Zustimmung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie auf die Cookie-Einstellungen zugreifen und Ihre Auswahl dort ändern. Dies berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf Grundlage der Zustimmung bis zur Widerrufung durchgeführt wurde.
Wir haben in diesem Zusammenhang keine personenbezogenen Daten gespeichert.
Name
_ga
_ga_<Container-ID>
Laufzeit
2 Jahre
2 Jahre
Domäne
basebox.ai |
basebox.ai |
Beschreibung
Wird verwendet, um zwischen einzelnen Benutzern zu unterscheiden. |
Wurde verwendet, um den Sitzungsstatus zu speichern. |
Posthog
Wir nutzen die Dienste von PostHog Inc, 2261 Market Street #4008, San Francisco, CA 94114, USA (im Folgenden als „PostHog“ bezeichnet). Posthog sammelt bestimmte Daten, um das Verhalten der Nutzer auf unserer Website zu analysieren und uns Informationen zu liefern, wie wir unsere Website verbessern können. Die von Posthog gesammelten Daten umfassen die IP-Adresse des Nutzers, Datum und Uhrzeit des Zugriffs, Browsertype und -version, das Betriebssystem des Nutzers, die Referrer-URL, den Hostnamen des zugreifenden Computers und Ereignisdaten, die wir selbst definieren (z.B. Klicks, Besuche).
PostHog überträgt und speichert die Daten ausschließlich auf Servern in der EU, ist jedoch ein US-Unternehmen. Wir haben daher mit Posthog Standardvertragsklauseln der Europäischen Kommission als geeignete Garantien abgeschlossen, damit ein angemessenes Schutzniveau bei der Verarbeitung Ihrer Daten gewährleistet ist. Sie können die Standardvertragsklauseln unter https://docs.google.com/document/d/1xfpP1SCFoI1qSKM6rEt9VqRLRUEXiKj9_0Tvv2mP928/edit und unter https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de. einsehen.
Die Verarbeitung der Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können diese Einwilligung jederzeit widerrufen. Die von Posthog gesammelten Daten werden so lange gespeichert, wie es zur Erfüllung des Zwecks, zu dem sie gesammelt wurden, notwendig ist. Die Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist gesetzlich erforderlich oder für die Durchführung eines Vertrags notwendig.
Sie haben das Recht auf Auskunft über die bei uns gespeicherten Daten, die Berichtigung unrichtiger Daten und die Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Sie haben auch das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen und der Verarbeitung Ihrer Daten zu widersprechen. Wenn Sie Ihre Rechte ausüben möchten, kontaktieren Sie uns bitte.
Newsletter
Newsletter-Daten
Wenn Sie den Newsletter unseres Unternehmens abonnieren, werden die Daten in der jeweiligen Eingabemaske an den Verantwortlichen übermittelt. Das Abonnieren unseres Newsletters erfolgt in einem sogenannten Double-Opt-In-Verfahren. Das bedeutet, dass Sie nach der Registrierung eine E-Mail erhalten, in der Sie aufgefordert werden, Ihre Registrierung zu bestätigen. Diese Bestätigung ist notwendig, damit sich niemand mit den E-Mail-Adressen anderer Personen registrieren kann. Bei der Registrierung für den Newsletter werden die IP-Adresse des Nutzers sowie das Datum und die Uhrzeit der Registrierung gespeichert. Dies dient dazu, Missbrauch der Dienste oder der E-Mail-Adresse der betroffenen Person zu verhindern. Die Daten werden nicht an Dritte weitergegeben. Eine Ausnahme gilt, wenn es eine rechtliche Verpflichtung zur Weitergabe der Daten gibt. Die Daten werden ausschließlich zum Versand des Newsletters verwendet. Das Abonnieren des Newsletters kann von der betroffenen Person jederzeit beendet werden. Die Einwilligung zur Speicherung personenbezogener Daten kann ebenfalls jederzeit widerrufen werden. Zu diesem Zweck gibt es einen entsprechenden Link in jedem Newsletter. Die rechtliche Grundlage für die Verarbeitung von Daten nach der Registrierung für den Newsletter durch den Nutzer ist Art. 6 Abs. 1 lit. a) DSGVO, sofern der Nutzer seine Einwilligung gegeben hat. Die rechtliche Grundlage für den Versand des Newsletters im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen ist § 7 Abs. 3 UWG.
Nutzung von Rapidmail
Beschreibung und Zweck: Wir verwenden rapidmail, um Newsletter zu versenden. Der Anbieter ist rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg, Deutschland. Unter anderem wird rapidmail verwendet, um den Versand von Newslettern zu organisieren und zu analysieren. Die Daten, die Sie zum Zweck der Anmeldung zum Newsletter eingeben, werden auf den Servern von rapidmail in Deutschland gespeichert. Wenn Sie nicht von rapidmail analysiert werden möchten, müssen Sie sich vom Newsletter abmelden. Zu diesem Zweck stellen wir in jeder Newsletter-Nachricht einen entsprechenden Link zur Verfügung. Zum Zweck der Analyse enthalten die mit rapidmail versandten E-Mails ein sogenanntes Tracking-Pixel, das sich mit den rapidmail-Servern verbindet, wenn die E-Mail geöffnet wird. Auf diese Weise kann festgestellt werden, ob eine Newsletter-Nachricht geöffnet wurde. Wir können auch mit rapidmail bestimmen, ob und welche Links in der Newsletter-Nachricht angeklickt wurden. Optional können Links in der E-Mail als Tracking-Links gesetzt werden, mit denen Ihre Klicks gezählt werden können.
Rechtsgrundlage: Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. a) DSGVO.
Empfänger: Der Empfänger der Daten ist die rapidmail GmbH.
Übertragung in Drittländer: Daten werden nicht in Drittländer übertragen.
Dauer: Die von uns im Rahmen Ihrer Zustimmung zum Zweck des Newsletters gespeicherten Daten werden von uns gespeichert, bis Sie sich vom Newsletter abmelden, und nach Ihrer Abmeldung sowohl von unseren Servern als auch von den Servern von rapidmail gelöscht. Daten, die wir zu anderen Zwecken (z.B. E-Mail-Adressen für den Mitgliederbereich) gespeichert haben, bleiben hiervon unberührt.
Widerrufsoption: Sie haben die Möglichkeit, Ihre Einwilligung zur Datenverarbeitung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt von dem Widerruf unberührt.
Nutzung von sozialen Medien
Wir haben Profile in sozialen Netzwerken. Unsere Social-Media-Konten ergänzen unsere Website und bieten Ihnen die Möglichkeit, mit uns zu interagieren. Sobald Sie auf unsere Social-Media-Profile in den sozialen Netzwerken zugreifen, gelten die Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien der jeweiligen Betreiber. Die Daten, die über Sie gesammelt werden, wenn Sie die Dienste nutzen, werden von den Netzwerken verarbeitet und können auch in Länder außerhalb der Europäischen Union übertragen werden, in denen kein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten besteht. Grundsätzlich haben wir keinen Einfluss auf die Datenverarbeitung in den sozialen Netzwerken, da wir, wie Sie, Nutzer des Netzwerks sind. Informationen darüber und welche Daten von den sozialen Netzwerken verarbeitet werden und zu welchen Zwecken die Daten verwendet werden, finden Sie in der Datenschutzerklärung des jeweiligen unten aufgeführten Netzwerks. Wir nutzen die folgenden sozialen Netzwerke:
Unsere Webseite ist verfügbar unter: https://www.facebook.com/profile.php?id=61555336381194
Der Betreiber des Netzwerks ist: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland.
Datenschutzrichtlinie des Netzwerks: https://www.facebook.com/about/privacy Datenschutzrichtlinie des Netzwerks: https://privacycenter.instagram.com/
Unsere Website ist verfügbar unter: https://www.linkedin.com/company/basebox/
Der Betreiber des Netzwerks ist: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland.
Datenschutzrichtlinie des Netzwerks: www.linkedin.com/legal/privacy-policy
Unsere Website ist verfügbar unter: https://www.reddit.com/user/baseboxio/
Der Betreiber des Netzwerks ist: Reddit, Inc., 1455 Market Street, Suite 1600, San Francisco, CA 94103, Vereinigte Staaten
Datenschutzrichtlinie des Netzwerks: https://www.reddit.com/policies/privacy-policy
X
Unsere Website ist verfügbar unter: https://twitter.com/basebox_ai
Der Betreiber des Netzwerks ist: Twitter International Unlimited Company, One Cumberland Place, Fenian Street Dublin 2
Datenschutzrichtlinie des Netzwerks: https://twitter.com/de/privacy
Geteilte Verantwortung
Zwecke:
Wir verarbeiten personenbezogene Daten als unser eigener Verantwortlicher, wenn Sie uns Anfragen über die sozialen Medienprofile senden. Wir verarbeiten diese Daten, um auf Ihre Anfragen zu antworten. Darüber hinaus sind wir gemeinsam Verantwortliche mit den folgenden Netzwerken und gemeinsam verantwortlich für die folgenden Verarbeitungsvorgänge (Art. 26 DSGVO). Im Rahmen des Besuchs unseres Profils im LinkedIn-Netzwerk sowie auf Facebook und Instagram sammelt das Netzwerk aggregierte Statistiken („Insights-Daten“), die aus bestimmten Ereignissen erstellt werden, die von ihren Servern protokolliert werden, wenn Sie mit unseren Profilen und verwandten Inhalten interagieren. Wir erhalten diese aggregierten und anonymen Statistiken vom Netzwerk über die Nutzung unseres Profils. Im Allgemeinen sind wir nicht in der Lage, die Daten bestimmten Benutzern zuzuordnen. Bis zu einem gewissen Grad können wir die Kriterien definieren, nach denen das Netzwerk diese Statistiken für uns erstellt. Wir verwenden diese Statistiken, um unsere Profile interessanter und informativer für Sie zu gestalten.
Weitere Informationen zu dieser Datenverarbeitung bei LinkedIn finden Sie im gemeinsamen Verantwortlicher-Abkommen unter https://legal.linkedin.com/pages-joint-controller-addendumlegal.linkedin.com/pages-joint-controller-addendum. Andernfalls ist das Netzwerk allein verantwortlich für die Verarbeitung Ihrer Daten.
Weitere Informationen zu dieser Datenverarbeitung durch Facebook und Instagram finden Sie im gemeinsamen Verantwortlicher-Abkommen unter: https://www.facebook.com/legal/terms/information_about_page_insights_data
Rechtsgrundlage:
Die Verarbeitung erfolgt auf der Grundlage unseres berechtigen Interesses (Art. 6 Abs. 1 lit. f DSGVO). Das Interesse liegt im jeweiligen Zweck.
Speicherdauer:
Wir speichern im Rahmen der gemeinsamen Verantwortung keine personenbezogenen Daten. Für Kontaktanfragen außerhalb des Netzwerks gelten die obigen Informationen zur Kontaktaufnahme entsprechend.
Plugins und Werkzeuge
YouTube mit verbessertem Datenschutz
Diese Website integriert Videos von YouTube. Der Betreiber der Seiten ist Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublin 4, Irland.
Wir verwenden YouTube im erweiterten Datenschutzmodus. Laut YouTube bedeutet dieser Modus, dass YouTube keine Informationen über Besucher dieser Website speichert, bevor sie das Video ansehen. Die Übertragung von Daten an YouTube-Partner ist jedoch durch den erweiterten Datenschutzmodus nicht unbedingt ausgeschlossen. Beispielsweise stellt YouTube unabhängig davon, ob Sie ein Video ansehen, eine Verbindung zum Google DoubleClick-Netzwerk her.
Sobald Sie ein YouTube-Video auf dieser Website starten, wird eine Verbindung zu den YouTube-Servern hergestellt. Dies teilt dem YouTube-Server mit, welche unserer Seiten Sie besucht haben. Wenn Sie in Ihr YouTube-Konto eingeloggt sind, ermöglichen Sie es YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Sie können dies verhindern, indem Sie sich von Ihrem YouTube-Konto abmelden.
Darüber hinaus kann YouTube nach dem Start eines Videos verschiedene Cookies auf Ihrem Endgerät speichern. Mit Hilfe dieser Cookies kann YouTube Informationen über Besucher dieser Website erhalten. Diese Informationen werden unter anderem genutzt, um Videostatistiken zu erfassen, die Benutzerfreundlichkeit zu verbessern und Betrugsversuche zu verhindern. Die Cookies verbleiben auf Ihrem Gerät, bis Sie sie löschen.
Nach dem Start eines YouTube-Videos können weitere Datenverarbeitungen ausgelöst werden, auf die wir keinen Einfluss haben.
Die Nutzung von YouTube liegt im Interesse einer ansprechenden Präsentation unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Sofern eine entsprechende Einwilligung eingeholt wurde (z. B. Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung kann jederzeit widerrufen werden.
Weitere Informationen zum Datenschutz bei YouTube finden Sie in deren Datenschutzerklärung unter: https://policies.google.com/privacy?hl=de.
Eigene Dienstleistungen
Verarbeitung von Bewerberdaten
Wir bieten Ihnen die Möglichkeit, sich bei uns zu bewerben (z. B. per E-Mail, Post oder über das Online-Bewerbungsformular). Im Folgenden informieren wir Sie über den Umfang, den Zweck und die Verwendung Ihrer im Rahmen des Bewerbungsprozesses erfassten personenbezogenen Daten. Wir versichern Ihnen, dass Ihre Daten in Übereinstimmung mit dem geltenden Datenschutzrecht und allen anderen gesetzlichen Bestimmungen erfasst, verarbeitet und verwendet werden und dass Ihre Daten streng vertraulich behandelt werden.
Zweck und Umfang der Datenerhebung
Wenn Sie uns eine Bewerbung senden, verarbeiten wir Ihre damit verbundenen personenbezogenen Daten (z. B. Kontakt- und Kommunikationsdaten, Bewerbungsunterlagen, während von Vorstellungsgesprächen vorgenommene Notizen usw.), soweit dies erforderlich ist, um über die Begründung eines Arbeitsverhältnisses zu entscheiden. Die rechtliche Grundlage dafür ist § 26 BDSG nach deutschem Recht (Initiierung eines Arbeitsverhältnisses), Art. 6 Abs. 1 lit. b DSGVO (allgemeine Vertragsinitiierung) und – sofern Sie Ihre Einwilligung gegeben haben – Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit widerrufen werden. Ihre personenbezogenen Daten werden nur innerhalb unseres Unternehmens an Personen weitergegeben, die an der Bearbeitung Ihrer Bewerbung beteiligt sind.
Wenn die Bewerbung erfolgreich ist, werden die von Ihnen übermittelten Daten auf Grundlage von § 26 BDSG-neu und Art. 6 Abs. 1 lit. b DSGVO in unseren Datenverarbeitungssystemen zum Zweck der Umsetzung des Arbeitsverhältnisses gespeichert.
Datenaufbewahrungsfrist
Wenn wir Ihnen kein Jobangebot machen können, Sie ein Jobangebot ablehnen oder Ihre Bewerbung zurückziehen, behalten wir uns das Recht vor, die von Ihnen übermittelten Daten auf der Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) bis zu 6 Monate nach Ende des Bewerbungsprozesses (Ablehnung oder Rückzug der Bewerbung) zu speichern. Die Daten werden dann gelöscht und die physischen Bewerbungsunterlagen vernichtet. Die Speicherung dient insbesondere als Nachweis im Falle eines Rechtsstreits. Wenn absehbar ist, dass die Daten nach Ablauf der 6-Monats-Frist benötigt werden (z. B. aufgrund eines drohenden oder laufenden Rechtsstreits), werden die Daten nur gelöscht, wenn der Zweck für die weitere Speicherung nicht mehr gilt.
Daten können auch länger gespeichert werden, wenn Sie Ihre Einwilligung gegeben haben (Art. 6 Abs. 1 lit. a DSGVO) oder wenn gesetzliche Aufbewahrungspflichten eine Löschung verhindern.
Datenverarbeitungsvertrag
Der Kunde — wie in den Nutzungsbedingungen definiert — nachfolgend "Kunde" — und die basebox GmbH, Bahnhofplatz 3, 86919 Utting am Ammersee — nachfolgend "basebox" — einer von ihnen nachfolgend "die Partei"; beide zusammen nachfolgend "die Parteien" — haben die folgende Vereinbarung zur Datenverarbeitung (DPA) getroffen, um ihren Verpflichtungen gemäß Art. 28 (3) DSGVO nachzukommen.
Präambel
Die Parteien haben vereinbart, Dienstleistungen im Zusammenhang mit der Bereitstellung und Nutzung von KI-Modellen, entweder in der Cloud oder On-Premise, bereitzustellen und haben einen vertraglichen Vertrag in Form von Nutzungsbedingungen (das „Abkommen“) abgeschlossen. Um die Dienstleistungen wie vereinbart bereitzustellen, ist es notwendig, dass basebox personenbezogene Daten im Auftrag des Kunden und nach dessen Anweisung verarbeitet. Zweck dieser Datenverarbeitungsvereinbarung (das „Abkommen“) ist es, die Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch basebox als Auftragsverarbeiter im Auftrag des Kunden als Verantwortlichen zu definieren.
1. Standardvertragsklauseln
1.1 Die Parteien stimmen den anliegenden Standardvertragsklauseln in **Anhang 1 gemäß dem Durchführungsbeschluss der Europäischen Kommission vom 4. Juni 2021 [C(2021) 3701 final] zu.
1.2 Soweit die Übertragung personenbezogener Daten durch basebox an den Kunden eine Übertragung personenbezogener Daten in ein Drittland außerhalb der EU darstellt, zum Beispiel weil der Kunde außerhalb der EU ansässig ist, stimmen die Parteien den Standardvertragsklauseln für die Übertragung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 zu, wie sie von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 vereinbart wurden und die diesem Vertrag als Anhang 2 beigefügt sind (die „Internationalen Standardvertragsklauseln“). Die Anhänge I (I.A „SCC International“), II (I.B. „SCC International“), III (II. „SCC International“) und IV (III. „SCC International“) von Anhang 1 finden entsprechende Anwendung.
1.3 Die Standardvertragsklauseln und die internationalen Standardvertragsklauseln werden durch die Bestimmungen dieses Datenverarbeitungsvereinbarungs ergänzt.
1.4 Soweit eine Bestimmung in dieser Datenverarbeitungsvereinbarung oder anderen Bedingungen zwischen den Parteien den Bestimmungen der Standardvertragsklauseln oder den internationalen Standardvertragsklauseln widerspricht, haben die Bestimmungen der Standardvertragsklauseln oder der internationalen Standardvertragsklauseln Vorrang vor den anderen Bestimmungen. Soweit eine Bestimmung der Standardvertragsklauseln aus Abschnitt 1.1 den internationalen Standardvertragsklauseln aus Abschnitt 1.2 widerspricht, haben die internationalen Standardvertragsklauseln Vorrang.
2. Ergänzende Bestimmungen
2.1 Anweisungen und Pflichten des Kunden
2.1.1 Die Anweisungen werden zunächst durch den Vertrag und diese Vereinbarung (einschließlich Anhänge und Beilagen) definiert und können später schriftlich oder in elektronischer Form (Textform, z.B. per E-Mail) an basebox (einzelne Anweisung) geändert, ergänzt oder ersetzt werden. Anweisungen, die im zugrunde liegenden Vertrag nicht vorgesehen sind, werden als Antrag auf Änderung der Leistung betrachtet. Mündliche Anweisungen müssen ohne unangemessene Verzögerung schriftlich oder in Textform bestätigt werden.
2.1.2 basebox hat das Recht, die in der Vereinbarung zur Datenverarbeitung und ihren Anhängen und Beilagen festgelegten technischen und organisatorischen Maßnahmen jederzeit zu ergänzen oder zu ändern, wobei das Sicherheitsniveau jedoch nicht unter das ursprünglich vereinbarte Niveau fallen darf.
2.1.3 Der Kunde muss basebox unverzüglich und vollständig informieren, wenn er Fehler oder Unregelmäßigkeiten in Bezug auf die Datenschutzbestimmungen bei der Verarbeitung personenbezogener Daten feststellt.
2.1.4 Die als Administrator für den Kunden registrierte Person wird als Ansprechpartner für basebox für datenschutzrechtliche Fragen fungieren, die im Zusammenhang mit dem Vertrag und der Vereinbarung entstehen.
2.2 Übertragung von Daten in ein Drittland
Die Genehmigung der Verwendung eines Subunternehmers gilt auch als Anweisung im Sinne von Punkt 7.8.
2.3 Inspektionen
2.3.1 Sollten Inspektionen durch den Kunden oder einen autorisierten Prüfer in Einzelfällen notwendig sein, werden diese während der regulären Geschäftszeiten ohne Beeinträchtigung des Betriebs, nach Anmeldung und mit angemessener Vorlaufzeit durchgeführt.
2.3.2 Sollte basebox beschließen, einen kompetenten, unabhängigen externen Prüfer oder Auditor zu beauftragen, stimmt der Kunde diesem Auftrag zu, unter der Bedingung, dass er eine Kopie des Berichts erhält.
2.4 Haftung und Schadensersatz
2.4.1 Die Haftungsbestimmungen des Vertrags gelten, sofern nicht ausdrücklich anders vereinbart.
2.4.2 Im Falle einer Forderung gegen den Kunden durch eine betroffene Person bezüglich von Ansprüchen nach Art. 82 DS-GVO hat der Kunde basebox schadlos zu halten, soweit basebox nicht für den zugrunde liegenden Verstoß gegen Datenschutzvorschriften verantwortlich ist.
2.5 Verschiedenes
2.5.1 Änderungen und Ergänzungen dieser AGB und aller ihrer Komponenten – einschließlich aller Garantien des Auftragnehmers – erfordern eine schriftliche Vereinbarung, die auch in elektronischer Form (Textform) erfolgen kann, sowie einen ausdrücklichen Verweis darauf, dass es sich um eine Änderung oder Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses formale Erfordernis.
2.5.2 Das im zugrunde liegenden Vertrag gewählte Recht findet Anwendung.
Anhang 1
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Umfang
a) Diese Standardvertragsklauseln (im Folgenden als „Klauseln“ bezeichnet) sollen die Einhaltung von: Artikel 28 Absatz 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG gewährleisten.
b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absatz 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absatz 3 und 4 der Verordnung (EU) 2018/1725 sicherzustellen.
(c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten wie im Anhang II angegeben.
(d) Die Anhänge I bis IV sind ein integraler Bestandteil der Klauseln.
(e) Diese Klauseln lassen die Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 unterliegt, unberührt.
(f) Diese Klauseln gewährleisten für sich genommen nicht die Einhaltung der Verpflichtungen in Bezug auf internationale Übermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725.
Klausel 2
Unveränderlichkeit der Klauseln
a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, um Informationen, die in den Anhängen bereitgestellt werden, zu ergänzen oder zu aktualisieren.
b) Dies soll die Parteien nicht davon abhalten, die in diesen Klauseln festgelegten standardmäßigen vertraglichen Klauseln in einen größeren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, vorausgesetzt, diese widersprechen nicht direkt oder indirekt den Klauseln oder untergraben die grundlegenden Rechte oder Freiheiten der betroffenen Personen.
Klausel 3
Interpretation
(a) Wo die in der Verordnung (EU) 2016/679 definierten Begriffe in diesen Klauseln verwendet werden, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
(c) Diese Klauseln dürfen nicht so ausgelegt werden, dass sie den Rechten und Pflichten, die in der Verordnung (EU) 2016/679 vorgesehen sind, zuwiderlaufen oder die grundlegenden Rechte oder Freiheiten der betroffenen Personen beeinträchtigen.
Klausel 4
Primat
Im Falle eines Konflikts zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen, die bestehen oder zwischen den Parteien abgeschlossen oder eingegangen werden sollen, haben diese Klauseln Vorrang.
Klausel 5 {gelöscht}
SEKTION II – VERPFLICHTUNGEN DER PARTEIEN
Klausel 6
Beschreibung der Verarbeitung
Details der Verarbeitungsoperationen, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
Klausel 7
Verpflichtungen der Parteien
7.1 Anweisungen
(a) Der Verarbeiter darf personenbezogene Daten nur auf dokumentierte Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, er ist gemäß dem Recht der Union oder des Mitgliedstaates, dem der Verarbeiter unterliegt, dazu verpflichtet. In einem solchen Fall muss der Verarbeiter den für die Verarbeitung Verantwortlichen über diese rechtliche Anforderung informieren, bevor die Verarbeitung erfolgt, es sei denn, das betreffende Gesetz verbietet dies aus Gründen des wichtigen öffentlichen Interesses. Der für die Verarbeitung Verantwortliche kann während der Verarbeitung personenbezogener Daten weitere Anweisungen geben. Solche Anweisungen müssen stets dokumentiert werden.
b) Der Verarbeiter muss den für die Verarbeitung Verantwortlichen unverzüglich informieren, wenn er der Meinung ist, dass Anweisungen des für die Verarbeitung Verantwortlichen gegen die Verordnung (EU) 2016/679 oder geltende Vorschriften zum Datenschutz der Union oder des Mitgliedstaates verstoßen.
7.2 Zweckbindung
Der Verarbeiter darf die personenbezogenen Daten nur für die in Anhang II festgelegten spezifischen Zwecke verarbeiten, es sei denn, er erhält weitere Anweisungen vom für die Verarbeitung Verantwortlichen.
7.3 Dauer der Verarbeitung personenbezogener Daten
Die Daten dürfen vom Verarbeiter nur für die in Anhang II angegebene Dauer verarbeitet werden.
7.4 Sicherheit der Verarbeitung
a) Der Verarbeiter muss mindestens die in Anhang III festgelegten technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört der Schutz der Daten gegen eine Sicherheitsverletzung, die, ob unbeabsichtigt oder rechtswidrig, zur Zerstörung, zum Verlust, zur Veränderung oder unbefugten Offenlegung von oder Zugang zu den Daten führt (nachfolgend als "Verletzung personenbezogener Daten" bezeichnet). Bei der Beurteilung des angemessenen Schutzniveaus müssen die Parteien die neuesten Erkenntnisse, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Risiken für die betroffenen Personen berücksichtigen.
b) Der Verarbeiter gewährt nur dem eigenen Personal Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, soweit dies zur Durchführung, Verwaltung und Überwachung des Vertrages unbedingt erforderlich ist. Der Verarbeiter gewährleistet, dass die Personen, die zum Verarbeiten der erhaltenen personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
7.5 Sensible Daten
Wenn die Verarbeitung personenbezogene Daten betrifft, die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft offenbaren, oder genetische Daten, biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachfolgend "sensible Daten"), so muss der Verarbeiter spezifische Einschränkungen und/oder zusätzliche Schutzmaßnahmen anwenden.
7.6 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.
b) Der Verarbeiter muss Anfragen des für die Verarbeitung Verantwortlichen bezüglich der Verarbeitung von Daten unter diesen Klauseln unverzüglich und angemessen bearbeiten.
c) Der Verarbeiter muss dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung stellen, die notwendig sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen und die sich direkt aus der Verordnung (EU) 2016/679 ergebenden Verpflichtungen nachzuweisen. Auf Anfrage des für die Verarbeitung Verantwortlichen muss der Verarbeiter auch eine Prüfung der Verarbeitungstätigkeiten durchführen und dazu beitragen, die von diesen Klauseln abgedeckt sind, in angemessenen Intervallen oder wenn Anzeichen für eine Nichterfüllung vorliegen. Bei der Entscheidung, ob eine Prüfung oder Inspektion durchgeführt werden soll, kann der für die Verarbeitung Verantwortliche relevante Zertifizierungen des Verarbeiters berücksichtigen.
d) Der für die Verarbeitung Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen der Geschäftsräume oder physischen Einrichtungen des Verarbeiters umfassen und sind, wo angemessen, mit angemessener Vorankündigung durchzuführen.
e) Die Parteien müssen die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen.
7.7 Verwendung von Subverarbeitern
a) Der Verarbeiter hat die allgemeine Zustimmung des für die Verarbeitung Verantwortlichen zur Ernennung von Subverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Verarbeiter muss den für die Verarbeitung Verantwortlichen ausdrücklich schriftlich mindestens drei Wochen im Voraus über beabsichtigte Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Subverarbeitern informieren, um dem für die Verarbeitung Verantwortlichen ausreichend Zeit zu geben, um gegen solche Änderungen vorzugehen, bevor die entsprechenden Subverarbeiter engagiert werden. Der Verarbeiter muss dem für die Verarbeitung Verantwortlichen die notwendigen Informationen zur Verfügung stellen, um dem für die Verarbeitung Verantwortlichen die Ausübung seines Widerspruchsrechts zu ermöglichen.
(b) Soweit der Verarbeiter einen Subverarbeiter zur Durchführung spezifischer Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen) einsetzt, erfolgt diese Beauftragung durch einen Vertrag, der dem Subverarbeiter im Wesentlichen die gleichen Datenschutzverpflichtungen auferlegt wie die, die dem Verarbeiter unter diesen Klauseln auferlegt sind. Der Verarbeiter muss sicherstellen, dass der Subverarbeiter die Verpflichtungen erfüllt, denen der Verarbeiter unter diesen Klauseln und unter der Verordnung (EU) 2016/679 unterliegt.
(c) Der Verarbeiter muss dem für die Verarbeitung Verantwortlichen auf dessen Anfrage eine Kopie eines solchen Subvertrag und etwaiger nachfolgender Änderungen zur Verfügung stellen. Soweit es notwendig ist, um Geschäftsgeheimnisse oder andere vertrauliche Informationen, einschließlich personenbezogener Daten, zu schützen, kann der Verarbeiter den Text des Vertrags vor der Bereitstellung einer Kopie redigieren.
(d) Der Verarbeiter haftet dem für die Verarbeitung Verantwortlichen vollumfänglich für die Erfüllung der durch den mit dem Verarbeiter geschlossenen Vertrag auferlegten Verpflichtungen durch den Subverarbeiter. Der Verarbeiter muss den für die Verarbeitung Verantwortlichen informieren, wenn der Subverarbeiter seinen vertraglichen Verpflichtungen nicht nachkommt.
e) Der Verarbeiter muss mit dem Subverarbeiter eine Klausel über Dritte vereinbaren, nach der der für die Verarbeitung Verantwortliche im Falle der tatsächlichen oder rechtlichen Nichtexistenz des Verarbeiters oder Insolvenz das Recht hat, den Vertrag mit dem Subverarbeiter zu kündigen und den Subverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8 Internationale Datenübertragungen
a) Jede Übertragung von Daten durch den Verarbeiter in ein Drittland oder an eine internationale Organisation darf nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen oder zur Einhaltung einer spezifischen Bestimmung des Rechts der Union oder des Mitgliedstaates, dem der Verarbeiter unterliegt, erfolgen und muss die Anforderungen des Kapitels V der Verordnung (EU) 2016/679 erfüllen.
b) Der für die Verarbeitung Verantwortliche stimmt dem zu, dass in Fällen, in denen der Verarbeiter gemäß Klausel 7.7 einen Subverarbeiter zur Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen) einsetzt und diese Verarbeitungstätigkeiten eine Übertragung personenbezogener Daten im Sinne des Kapitels V der Verordnung (EU) 2016/679 beinhalten, der Verarbeiter und der Subverarbeiter die Einhaltung des Kapitels V der Verordnung (EU) 2016/679 sicherstellen können, indem sie die von der Kommission gemäß Artikel 46(2) der Verordnung (EU) 2016/679 angenommenen Standardvertragsklauseln verwenden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8
Hilfe für den Verantwortlichen
a) Der Auftragsverarbeiter soll den Verantwortlichen unverzüglich über jede Anfrage informieren, die er vom betroffenen Personen erhalten hat. Er darf auf die Anfrage selbst nicht antworten, es sei denn, der Verantwortliche hat ihm dies erlaubt.
b) Unter Berücksichtigung der Art der Verarbeitung soll der Auftragsverarbeiter den Verantwortlichen unterstützen, seiner Verpflichtung nachzukommen, auf Anfragen von betroffenen Personen zu reagieren, um deren Rechte auszuüben. Bei der Erfüllung seiner Verpflichtungen gemäß den Punkten (a) und (b) hat der Auftragsverarbeiter die Anweisungen des Verantwortlichen zu befolgen.
(c) Abgesehen von der Verpflichtung des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8(b) zu unterstützen, soll der Auftragsverarbeiter, unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen, auch den Verantwortlichen dabei unterstützen, die folgenden Verpflichtungen einzuhalten:
1) die Verpflichtung, eine Bewertung der Auswirkungen der geplanten Verarbeitungsmaßnahmen auf den Schutz personenbezogener Daten (im Folgenden als "Datenschutz-Folgenabschätzung" bezeichnet) durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;
2) die Verpflichtung, die zuständige Aufsichtsbehörde oder die zuständigen Aufsichtsbehörden vor der Verarbeitung zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung ein hohes Risiko darstellt, wenn der Verantwortliche keine Maßnahmen zur Minderung des Risikos ergreift;
3) die Pflicht sicherzustellen, dass personenbezogene Daten genau und aktuell sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich informiert, wenn er Kenntnis davon erlangt, dass die von ihm verarbeiteten personenbezogenen Daten ungenau oder veraltet sind;
4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
d) Die Parteien sollen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen festlegen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen bei der Anwendung dieser Klausel zu ergreifen hat, sowie den Umfang und das Maß der erforderlichen Unterstützung.
Klausel 9
_Benachrichtigung über eine Verletzung personenbezogener Daten
Im Falle einer Verletzung personenbezogener Daten wird der Verarbeiter mit dem Verantwortlichen zusammenarbeiten und Unterstützung leisten, um dem Verantwortlichen zu ermöglichen, seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachzukommen, wobei die Art der Verarbeitung und die dem Verarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.
9.1 Verletzung personenbezogener Daten betreffend die vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung personenbezogener Daten in Bezug auf die vom Verantwortlichen verarbeiteten Daten wird der Verarbeiter den Verantwortlichen unterstützen, indem er:
a) die Verletzung personenbezogener Daten ohne unnötige Verzögerung der zuständigen Aufsichtsbehörde meldet, nachdem der Verantwortliche von der Verletzung Kenntnis erlangt hat, soweit relevant (es sei denn, die Verletzung personenbezogener Daten ist voraussichtlich nicht mit einem Risiko für die Rechte und Freiheiten natürlicher Personen verbunden);
b) die folgenden Informationen, die in der Mitteilung des Verantwortlichen gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 bereitgestellt werden müssen und mindestens Folgendes enthalten sollen:
1) die Art der personenbezogenen Daten, soweit möglich, mit einer Angabe der Kategorien und der ungefähren Anzahl betroffener Personen sowie der Kategorien und der ungefähren Anzahl betroffener personenbezogener Datensätze;
2) die voraussichtlichen Folgen der Verletzung personenbezogener Daten;
3) die Maßnahmen, die der Verantwortliche ergriffen hat oder vorschlägt, um die Verletzung personenbezogener Daten zu beheben, einschließlich, falls angemessen, Maßnahmen zur Milderung etwaiger nachteiliger Auswirkungen.
Wenn und soweit nicht alle diese Informationen gleichzeitig bereitgestellt werden können, besteht die ursprüngliche Mitteilung aus den Informationen, die zu diesem Zeitpunkt verfügbar sind, wobei weitere Informationen unverzüglich nachgereicht werden, sobald sie verfügbar sind;
c) die Verpflichtung gemäß Artikel 34 der Verordnung (EU) 2016/679 zu erfüllen, die betroffene Person ohne unangemessene Verzögerung über die Verletzung personenbezogener Daten zu informieren, sofern die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2 Verletzung personenbezogener Daten der vom Verarbeiter verarbeiteten Daten
Im Falle einer Verletzung personenbezogener Daten in Bezug auf die vom Verarbeiter verarbeiteten Daten wird der Verarbeiter den Verantwortlichen unverzüglich benachrichtigen, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Mitteilung muss mindestens die folgenden Informationen enthalten:
a) eine Beschreibung der Art der Verletzung (sofern möglich, unter Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der ungefähren Anzahl der betroffenen Datensätze);
b) die Kontaktdaten einer Ansprechperson, von der weitere Informationen über die Verletzung personenbezogener Daten erhältlich sind;
(c) die voraussichtlichen Folgen und die Maßnahmen, die ergriffen wurden oder vorgeschlagen werden, um die Verletzung personenbezogener Daten zu beheben, einschließlich Maßnahmen zur Milderung etwaiger nachteiliger Auswirkungen.
Wenn und soweit nicht alle diese Informationen gleichzeitig bereitgestellt werden können, besteht die ursprüngliche Mitteilung aus den Informationen, die zu diesem Zeitpunkt verfügbar sind, wobei weitere Informationen unverzüglich nachgereicht werden, sobald sie verfügbar sind.
Die Parteien werden im Anhang III weitere Informationen spezifizieren, die der Verarbeiter dem Verantwortlichen zur Unterstützung bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 zur Verfügung stellen wird.
SECTION III – SCHLUSSBESTIMMUNGEN
Klausel 10
Verstöße gegen die Klauseln und Kündigung des Vertrags
a) Für den Fall, dass der Auftragsverarbeiter seinen Verpflichtungen aus diesen Klauseln nicht nachkommt, kann der Verantwortliche, unbeschadet der Bestimmungen der Verordnung (EU) 2016/679, den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diesen Klauseln nachkommt oder die Vereinbarung beendet wird. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er aus irgendeinem Grund nicht in der Lage ist, diesen Klauseln nachzukommen.
b) Der Verantwortliche hat das Recht, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten unter diesen Klauseln betrifft, wenn
1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Punkt (a) ausgesetzt hat und die Einhaltung dieser Klauseln innerhalb eines angemessenen Zeitraums nicht wiederhergestellt wurde, und in jedem Fall innerhalb eines Monats nach der Aussetzung;
2) der Auftragsverarbeiter in erheblichem oder andauerndem Verstoß gegen diese Klauseln ist oder seinen Verpflichtungen gemäß Verordnung (EU) 2016/679 nicht nachkommt;
3) der Auftragsverarbeiter eine verbindliche Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde hinsichtlich seiner Verpflichtungen aus diesen Klauseln oder der Verordnung (EU) 2016/679 nicht einhält.
c) Der Auftragsverarbeiter ist berechtigt, die Vereinbarung insoweit zu kündigen, als sie die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche darauf besteht, seinen Anweisungen zu folgen, nachdem der Auftragsverarbeiter darauf hingewiesen wurde, dass seine Anweisungen geltende gesetzliche Anforderungen gemäß Klausel 7.1 Buchstabe b verletzen.
d) Bei Beendigung des Vertrags hat der Auftragsverarbeiter, nach Wahl des Verantwortlichen, alle personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden, zu löschen und dem Verantwortlichen zu bescheinigen, dass dies erfolgt ist, oder alle personenbezogenen Daten an den Verantwortlichen zurückzugeben und bestehende Kopien zu löschen, es sei denn, es besteht eine Verpflichtung nach Unions- oder nationalem Recht, die personenbezogenen Daten zu speichern. Bis die Daten gelöscht oder zurückgegeben sind, stellt der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln sicher.
ANHANG I – LISTE DER PARTEIEN
Verantwortlicher: [Identität und Kontaktdaten des Verantwortlichen und, sofern anwendbar, des Datenschutzbeauftragten des Verantwortlichen].
Der Verantwortliche ist der Kunde:
Der Kunde, wie in den Nutzungsbedingungen definiert.
Auftragsverarbeiter: [Identität und Kontaktdaten des Auftragsverarbeiters und, falls zutreffend, des Datenschutzbeauftragten des Auftragsverarbeiters].
basebox GmbH
Kontaktdaten des Datenschutzbeauftragten des Auftragsverarbeiters:
Bahnhofsplatz 3
86919 Utting am Ammersee
Deutschland
Telefon: +49 8806 9590600
E-Mail: contact@basebox.ai
ANHANG II — BESCHREIBUNG DER VERARBEITUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden
Der Kunde
Von dem Kunden eingeladene Benutzer
Personen, deren Daten in den Eingabeaufforderungen enthalten sind, die der Kunde oder seine Benutzer durch das KI-Modell verarbeitet haben.
Kategorien von personenbezogenen Daten, die verarbeitet werden
Die Verarbeitung relevanter personenbezogener Daten umfasst:
Namen,
Geschäftsadressen,
E-Mail-Adressen,
Telefonnummern,
Bankverbindungen,
Andere Daten, die in den Eingabeaufforderungen enthalten sind,
Soweit Installation und/oder Unterstützung bereitgestellt wird, alle Datenkategorien, mit denen der Auftragsverarbeiter in Kontakt kommt.
RAG-Daten
Verarbeitete sensible Daten (sofern zutreffend) und die angewandten Einschränkungen oder Sicherheitsmaßnahmen, die der Natur der Daten und den damit verbundenen Risiken Rechnung tragen, wie strikte Zweckbindung, Zugangsrestriktionen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung abgeschlossen haben), Protokollierung des Zugangs zu den Daten, Einschränkungen bei der Offenlegung oder zusätzliche Sicherheitsmaßnahmen.
Die Verarbeitung sensibler Daten im Zusammenhang mit der Bereitstellung der vereinbarten Dienste findet nicht statt. Soweit der Verantwortliche die Dienste des Auftragsverarbeiters zur Verarbeitung sensibler Daten nutzt, wird der Verantwortliche den Auftragsverarbeiter entsprechend informieren.
Art der Verarbeitung
Der Auftragsverarbeiter stellt dem Verantwortlichen die vereinbarten Dienste zur Verfügung. Die Art der Verarbeitung personenbezogener Daten umfasst alle Verarbeitungen, die erforderlich sind, damit der Auftragsverarbeiter diese Dienste für den Kunden bereitstellen kann. Dazu gehört insbesondere das Erheben, Organisieren, Strukturieren, Speichern und Bereitstellen personenbezogener Daten, kann aber auch andere Vorgänge wie Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung, Abstimmung oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten umfassen.
Zweck, für den personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden.
basebox in der Cloud
Der Prozessor verarbeitet personenbezogene Daten, um seine Dienste gemäß der Vereinbarung mit dem Verantwortlichen bereitzustellen. Dies umfasst insbesondere die Bereitstellung von basebox für die Nutzung der angebotenen KI-Modelle und das Vertragsmanagement.
basebox On-Premise
Der Prozessor verarbeitet personenbezogene Daten zum Zweck der Bereitstellung seiner Dienste, wie im Vertrag mit dem Verantwortlichen vereinbart. Dies kann insbesondere die Installation und Wartung der basebox-Software sowie die Bereitstellung von Support umfassen.
Dauer der Verarbeitung
Die Verarbeitung wird so lange fortgesetzt, wie der Prozessor seine Dienste für den Verantwortlichen bereitstellt und endet, wenn der Vertrag gekündigt wird.
ANLAGE III – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN, EINSCHLIESSLICH DEREN, UM DIE SICHERHEIT DER DATEN ZU GEWÄHRLEISTEN
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten
Schutz von Geheimschlüsseln mit starken Passwörtern
Verschlüsselung (asymmetrisch/symmetrisch) nach dem Stand der Technik
Verschlüsselung von Systemen
Verschlüsselung von Speichermedien
Verschlüsselung von Datenträgern
Verschlüsselung der Kommunikation (z.B. E-Mail-Verschlüsselung)
Maßnahmen zur Gewährleistung der fortdauernden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungs-systemen und -diensten
Dokumentation der Autorisierungen
Verwendung von Authentifizierungsverfahren
Gesichertes WLAN
Individuelle Anmelde- und Passwortverfahren
Besondere Schutzmaßnahmen für den Serverraum (Hetzner, Google)
Verwendung von starken Passwörtern (z.B. mindestens 10 Zeichen)
Verhinderung der Auswahl schwacher Passwörter für Anwendungen
Vertraulichkeitsverpflichtungen der Mitarbeiter
Administrationsaktivitäten auf den Servern dürfen nur von entsprechend geschulten Personen durchgeführt werden
Verwendung geeigneter Firewalls
Verwendung von Protokollierungs- und Bewertungssystemen, die die Rückverfolgbarkeit und Dokumentation der Datenverwaltung sicherstellen
Verwendung von Zwei- oder Mehrfaktor-Authentifizierungsverfahren für risikobehaftete Verarbeitungsaktivitäten
Erstellung von Rollenprofilen/Definition der funktionalen Verantwortlichkeiten
Verwendung von Zugriffsrechten
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen.
Sicherungsverfahren
Geeignete Datensicherungsmaßnahmen: Backups werden an verschiedenen Orten gespeichert und je nach Anwendung unterschiedlich lange aufbewahrt
Spiegelung von Festplatten
Substitutionsregeln
Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung
Penetrationstests (umfassende Sicherheitstests von einzelnen Computern oder Netzwerken)
Regelmäßige Sensibilisierungsschulungen für Mitarbeiter (mindestens einmal im Jahr)
Regelmäßige Tests, um sicherzustellen, dass alle relevanten Daten im Backup-Prozess enthalten sind und dass die Wiederherstellung funktioniert
Überprüfung der Wirksamkeit technischer Maßnahmen (mindestens einmal im Jahr)
Maßnahmen zur Benutzeridentifikation und -autorisierung
Anleitung für alle Mitarbeiter zur Verwendung von Authentifizierungsverfahren und -mechanismen
Regulierter Prozess für die zentrale Verwaltung von Benutzeridentitäten, insbesondere für die Erstellung (z. B. neuer Mitarbeiter), Änderung (z. B. Namensänderung nach der Heirats) und Löschung (z. B. Abgang von Mitarbeitern)
Zuweisung eindeutiger Identifikatoren für jeden Benutzer
Vermeidung von Gruppenidentifikatoren
Maßnahmen zum Schutz von Daten während der Übertragung
Bereitstellung über verschlüsselte Verbindungen: z.B. Nutzung von HTTPS gemäß dem Stand der Technik
SSL-Zertifikat von vertrauenswürdigen Zertifizierungsstellen
Daten-Hashing (Transformation personenbezogener Daten in eine spezifische Zeichensequenz)
Verwendung kryptographischer Werkzeuge
Maßnahmen zum Schutz von Daten während der Speicherung
Schutz geheimer Schlüssel mit starken Passwörtern
Verschlüsselung (asymmetrisch/symmetrisch) mit modernster Technologie
Verschlüsselung von Systemen
Verschlüsselung von Speichermedien
Verschlüsselung von Datenträgern
Verschlüsselung der Kommunikation (z.B. E-Mail-Verschlüsselung)
Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden.
Es gibt ein Konzept für Zugangsvorschriften und für die physische Zugangskontrolle (Perimeterschutz)
Klare Regeln für den Umgang mit Besuchern (z.B. Begleitung, Sicherheitszonen, Besucherausweise, Protokollierung, Mitarbeiter, der für Besucher verantwortlich ist) als Teil des Konzepts
Sichere Schließsysteme einschließlich dokumentierter Schlüsselverwaltung
Feuerfeste Schränke/Safes zur Aufbewahrung wichtiger Komponenten (z.B. Sicherungsbänder, wichtige Originaldokumente)
Maßnahmen zur Sicherstellung der Protokollierung von Ereignissen
Protokollierung und Blockierung von Indikatoren für Kompromittierungen (IOCs)
Protokollierung auf Firewall-Ebene, um auch unbefugten Zugriff zwischen Netzwerken zu erkennen und zu analysieren
Protokollierung von Besuchern
Protokollierung von Dateneingaben, -änderungen und -löschungen
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
Automatische Installation von Sicherheitsupdates für das Betriebssystem und installierte Software
Regelmäßige Datenwiederherstellungstests und Protokollierung der Ergebnisse
Regelmäßige Auswertung von Informationen zu Sicherheitsanfälligkeiten der verwendeten Software
Regelmäßige, ungeforderte Auswertung von Protokolldateien zur Erkennung ungewöhnlicher Einträge
Maßnahmen zur internen Governance und Verwaltung von IT und IT-Sicherheit
Rollenprofile für Mitarbeiter, einschließlich der Einträge im Verzeichnis der Verarbeitungstätigkeiten
Regelmäßige Überprüfung (einmal im Jahr), ob die Zuweisungen von Rollen die Anforderungen erfüllen und ob die Rollen weiterhin den Anforderungen der Geschäftstätigkeit entsprechen
Keine Administrator-IDs für Benutzer, die keine administrativen Aufgaben ausführen
Die Verwendung von Superusern (z. B. root unter Linux) wird nach Möglichkeit vermieden
Bestimmung von Ansprechpartnern und verantwortlichen Projektmanagern für den spezifischen Auftrag
Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungsschulungen für bestehendes Personal)
Implementierung interner unternehmensinterner Datenschutzrichtlinien
Konsequente Einbeziehung der Datenschutzbeauftragten (DPO) in Sicherheitsangelegenheiten
Kenntnis der zuständigen Datenschutzaufsichtsbehörde und Kenntnis der Meldpflicht nach Art. 33 und 34 DSGVO
Relevante Richtlinien (z. B. zur Nutzung von E-Mail/Internet, Verwendung von Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar
Verpflichtung der Mitarbeiter zur Datensicherung
Vorhandensein einer geeigneten organisatorischen Struktur für Informationssicherheit
Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
Regelmäßige Sensibilisierung der Mitarbeiter (mindestens einmal jährlich)
Regelmäßige Tests, um sicherzustellen, dass alle relevanten Daten im Backup-Prozess enthalten sind und die Wiederherstellung funktioniert
Überprüfung der Wirksamkeit technischer Maßnahmen (mindestens einmal jährlich)
Maßnahmen zur Gewährleistung der Datenminimierung
Reduzierung von Attributen
Reduzierung der Verarbeitungsoptionen in Verarbeitungsprozessen
Festlegung von Standard-Einstellungen für betroffene Personen, die die Verarbeitung ihrer Daten auf das beschränken, was für den Zweck der Verarbeitung erforderlich ist. Standard-Einstellungen)
Festlegung und Implementierung eines Löschkonzepts
Maßnahmen zur Sicherstellung der Datenqualität
Entfernen oder Korrigieren von falschen, duplizierten und unvollständigen Datenaufzeichnungen
Verwendung von Softwaretools, die Dateneinträge überprüfen, um sicherzustellen, dass sie bestimmten Standards oder Formaten entsprechen
Anwendung einheitlicher Formate und Konventionen über alle Datenquellen hinweg, um Konsistenz zu gewährleisten
Schulung und Sensibilisierung der Mitarbeiter hinsichtlich der Bedeutung der Datenqualität und des ordnungsgemäßen Datenmanagements
Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung
Sammlen und speichern Sie nur die Daten, die unbedingt für den beabsichtigten Zweck erforderlich sind*
Setzen Sie eine klare Ablaufzeit für die Datenspeicherung fest, nach der die Daten automatisch gelöscht oder anonymisiert werden
Führen Sie regelmäßige Prüfungen durch, um sicherzustellen, dass Daten nach Ablauf ihrer Aufbewahrungsfrist zuverlässig gelöscht werden.
Stellen Sie sicher, dass alle Maßnahmen zur Datenspeicherung den lokalen Datenschutzgesetzen und -vorschriften entsprechen.
Maßnahmen zur Sicherstellung der Rechenschaftspflicht
Es wird ein Verzeichnis der Verarbeitungstätigkeiten geführt.
Konzepte zur Löschung und Aufbewahrung werden aufrechterhalten.
Regelmäßige Überprüfung der Wirksamkeit technischer und organisatorischer Maßnahmen gemäß dem PDCA-Zyklus (Plan-Do-Check-Act).
Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungsschulungen für bestehendes Personal)
Umsetzung interner Unternehmensrichtlinien zum Datenschutz.
Konsequente Einbeziehung der Datenschutzbeauftragten (DPO) in sicherheitsrelevante Angelegenheiten.
Kenntnis der zuständigen Datenschutzaufsichtsbehörde und Kenntnis der Meldepflicht gemäß Art. 33 und 34 DSGVO.
Relevante Richtlinien (z.B. für E-Mail/Internetteilnahme, Einsatz von Verschlüsselungstechniken) werden auf dem neuesten Stand gehalten und sind leicht zu finden.
Verpflichtung der Mitarbeiter zur Wahrung der Datensicherheit.
Maßnahmen zur Ermöglichung der Datenportabilität und zur Sicherstellung der Löschung
Aufbewahrungs- und Löschkonzepte werden aufrechterhalten.
Ein klarer Ablaufzeitraum für die Speicherung von Daten wird festgelegt, nach dem die Daten automatisch gelöscht oder anonymisiert werden.
Regelmäßige Audits werden durchgeführt, um sicherzustellen, dass Daten nach Ablauf der Aufbewahrungsfrist zuverlässig gelöscht werden.
Keine Speicherung von Archivdaten in produktiven Datenbanken, sondern Übertragung von Archivdaten von produktiven Systemen zu Archivsystmen.
Archivdaten müssen nach Ablauf der Aufbewahrungsfrist effektiv gelöscht werden.
Durchführung von Schulungen zum Datenschutz für alle Mitarbeiter.
TOMs der beschäftigten Unterauftragsverarbeiter:
Der Prozessor verwendet Subprozessoren, um seine Dienste bereitzustellen (siehe Anhang IV). Alle Subprozessoren implementieren angemessene technische und organisatorische Maßnahmen. Weitere Informationen finden Sie unter:
ANHANG IV – LISTE DER UNTERBELEGER
Der Controller hat die Nutzung der folgenden Subunternehmer genehmigt:
Unterauftragnehmer
Hetzner Online GmbH Industriestraße 25 91710 Gunzenhausen
Google Ireland Ltd. Google Gebäude Gordon House, Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland
Art der Verarbeitung
Hosting und Bereitstellung des Basebox-Produkts, einschließlich der darin verarbeiteten Kundendaten.
Hosting des Modells und Verarbeitung der eingegebenen Eingaben sowie Erstellung und Übertragung der Antworten.
Anhang 2
MODUL VI: Übertragung von Prozessoren zu Controllern
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Umfang
a) Diese Standardvertragsklauseln sollen die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten gewährleisten und die Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) 1 aufheben, wenn personenbezogene Daten in ein Drittland übertragen werden.
b) Die Parteien:
i) die natürliche oder juristische Person(en), Behörde(n), Agentur(en) oder andere Stelle(n), die im Anhang IA aufgeführt sind (nachfolgend als „Stelle(n)“ bezeichnet), die die personenbezogenen Daten überträgt (nachfolgend als „Datenexporteur“ bezeichnet), und
(ii) die in einem Drittland aufgeführten Einheit oder Einheiten im Anhang I.A, an die die personenbezogenen Daten direkt oder indirekt durch eine andere Einheit, die ebenfalls Partei dieser Klauseln ist, offengelegt werden (jede eine „Datenimporteur“),
haben vereinbart, sich an diese Standardvertragsklauseln (die „Klauseln“) zu halten.
c) Diese Klauseln gelten für die Übertragung personenbezogener Daten, wie im Anhang I.B angegeben.
d) Der Anhang zu diesen Klauseln, einschließlich der darin enthaltenen Anhänge, ist ein wesentlicher Bestandteil dieser Klauseln.
Klausel 2
Wirkung und Unveränderlichkeit der Klauseln
a) Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, wie in Artikel 46(1) und Punkt (c) von Artikel 46(2) der Verordnung (EU) 2016/679 gefordert, und in Bezug auf Übertragungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, die in Artikel 28(7) der Verordnung (EU) 2016/679 genannten Standardvertragsklauseln, vorausgesetzt, dass diese nicht geändert werden, außer bei der Auswahl des relevanten Moduls oder der Module oder der Hinzufügung oder Aktualisierung von Informationen im Anhang. Dies hindert die Parteien nicht daran, die in diesen Klauseln enthaltenen Standardvertragsklauseln in einen größeren Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, solange sie nicht unmittelbar oder mittelbar mit diesen Klauseln in Konflikt stehen oder die Grundrechte oder Freiheiten der betroffenen Personen beeinträchtigen.
(b) Diese Klauseln lassen die Verpflichtungen des Datenexporteurs gemäß der Verordnung (EU) 2016/679 unberührt.
Klausel 3
Dritte Partei Begünstigte
(a) Betroffene Personen können sich auf diese Klauseln berufen und diese als Drittbegünstigte gegen den Datenexporteur und/oder den Datenimporteur durchsetzen, mit der Ausnahme der folgenden: (i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
(ii) Klausel 8 – Modul eins: Klausel 8.5 e und Klausel 8.9 b Modul zwei: Klausel 8.1 b, Klausel 8.9 a, c, d, e Modul drei: Klausel 8.1 a, c, d, und Klausel 8.9 a, c, d, e, f, g Modul vier: Klausel 8.1(b) und Klausel 8.3(b)
(iii) Klausel 9 – Modul zwei: Klausel 9(a), (c), (d) und (e) Modul drei: Klausel 9(a), (c), (d) und (e)
(iv) Klausel 12 – Modul eins: Klausel 12(a) und (d) Module zwei und drei: Klausel 12(a), (d) und (f)
(v) Klausel 13
(vi) Klausel 15.1(c), (d) und (e)
(vii) Klausel 16(e)
(viii) Klausel 18 – Module eins, zwei und drei Klausel 18(a) und (b) Modul vier: Klausel 18
(b) Die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679 werden durch Punkt (a) nicht berührt.
Klausel 4
Interpretation
(a) Wo Begriffe, die in der Verordnung (EU) 2016/679 definiert sind, in diesen Klauseln verwendet werden, haben diese Begriffe die gleiche Bedeutung wie in dieser Verordnung.
(b) Diese Klauseln sind im Licht der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten steht, die in der Verordnung (EU) 2016/679 festgelegt sind.
Klausel 5
_Ablösung
Im Falle eines Konflikts zwischen diesen Klauseln und den Bestimmungen der zwischen den Parteien zum Zeitpunkt der Vereinbarung oder des Inkrafttretens dieser Klauseln bestehenden Vereinbarungen haben diese Klauseln Vorrang.
Klausel 6
Beschreibung der Datenübertragung(en)
Die Einzelheiten der Datenübertragungen, insbesondere die Kategorien personenbezogener Daten, die übertragen werden, und der Zweck(e), für den(e) sie übertragen werden, sind in Anhang I.B aufgeführt.
Abschnitt 7 – Optional
Kopplungsklausel
(a) Zu jeder Zeit kann eine Organisation, die nicht Partei dieser Klauseln ist, mit Zustimmung der Parteien diesen Klauseln beitreten, entweder als Datenexporteur oder als Datenimporteur, indem sie den Anhang ausfüllt und Anhang I.A unterschreibt.
(b) Nach dem Ausfüllen des Anhangs und der Unterzeichnung des Ergänzungsdokuments I.A wird die einhaltende Entität Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs, je nach den Angaben im Ergänzungsdokument I.A.
(c) Die einhaltende Entität hat keine Rechte oder Pflichten gemäß diesen Klauseln für den Zeitraum vor ihrem Beitritt als Partei.
SEKTION II – VERPFLICHTUNGEN DER PARTEIEN
Klausel 8
Datenschutzmaßnahmen
Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur — durch Implementierung entsprechender technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.
8.1 Anweisungen
a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisungen des Datenimporteurs, der als dessen Datenverantwortlicher agiert.
b) Der Datenexporteur wird den Datenimporteur unverzüglich informieren, wenn er diesen Anweisungen nicht folgen kann, einschließlich, wenn eine solche Anweisung gegen die Verordnung (EU) 2016/679 oder andere Vorschriften zum Datenschutz der Union oder der Mitgliedstaaten verstoßen würde.
(c) Der Datenimporteur wird von jeglichen Maßnahmen absehen, die den Datenexporteur daran hindern würden, seinen Verpflichtungen aus der Verordnung (EU) 2016/679 nachzukommen, einschließlich in Bezug auf Subverarbeitung oder Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
d) Nach Wahl des Datenimporteurs wird der Datenexporteur nach Beendigung der Datenverarbeitungsdienste alle personenbezogenen Daten, die im Auftrag des Datenimporteurs verarbeitet wurden, löschen und dem Datenimporteur bestätigen, dass dies geschehen ist, oder alle personenbezogenen Daten, die im Auftrag des Datenimporteurs verarbeitet wurden, an den Datenimporteur zurückgeben und bestehende Kopien löschen.
8.2 Sicherheit der Verarbeitung
a) Die Parteien haben angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich während der Übertragung, sowie zum Schutz vor einer Sicherheitsverletzung, die, ob unbeabsichtigt oder rechtswidrig, zur Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung oder zum Zugriff auf die personenbezogenen Daten führt (im Folgenden „Verletzung personenbezogener Daten“). Bei der Bewertung des angemessenen Schutzniveaus haben sie den Stand der Technik, die Kosten der Umsetzung, die Art der personenbezogenen Daten 2, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Risiken, die durch die Verarbeitung für betroffene Personen entstehen, zu berücksichtigen und insbesondere die Verschlüsselung oder Pseudonymisierung zu prüfen, auch während der Übertragung, sofern dies dem Zweck der Verarbeitung gerecht werden kann.
b) Der Datenexporteur wird den Datenimporteur dabei unterstützen, eine angemessene Sicherheit der Daten gemäß Punkt a zu gewährleisten. Im Falle einer Verletzung personenbezogener Daten, die personenbezogene Daten betrifft, die der Datenexporteur im Rahmen dieser Klauseln verarbeitet hat, wird der Datenexporteur den Datenimporteur unverzüglich nach Kenntnisnahme der Verletzung darüber informieren und den Datenimporteur bei der Behebung der Verletzung unterstützen.
c) Der Datenexporteur garantiert, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
8.3 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.
b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung seiner Verpflichtungen aus diesen Klauseln nachzuweisen, und ermöglicht und trägt zu Prüfungen bei.
Klausel 9 [gestrichen]
Klausel 10
Rechte der betroffenen Personen
Die Parteien werden sich gegenseitig bei der Beantwortung von Anfragen und Forderungen der betroffenen Personen gemäß den geltenden lokalen Gesetzen des Datenimporteurs oder, hinsichtlich der Datenverarbeitung durch den Datenexporteur in der Union, gemäß der Verordnung (EU) 2016/679 unterstützen. Klausel 11
Wiedergutmachung
a) Der Datenimporteur muss die betroffenen Personen in transparenter und leicht zugänglicher Weise durch individuelle Benachrichtigungen oder eine Website mit einem Kontaktpunkt über einen autorisierten Kontaktpunkt zur Bearbeitung von Beschwerden informieren. Er muss alle von einer betroffenen Person erhaltenen Beschwerden umgehend bearbeiten.
Paragraph 12
Haftung
a) Jede Partei ist der anderen Partei(en) für Schäden, die sie der anderen Partei(en) durch eine Verletzung dieser Klauseln zufügt, verantwortlich.
b) Jede Partei ist dem Betroffenen gegenüber verantwortlich, und der Betroffene hat das Recht, von dieser Partei für alle tatsächlichen oder Folgeschäden, die diese Partei dem Betroffenen aufgrund einer Verletzung der Rechte dieser Partei als Drittbegünstigten aus diesen Klauseln zufügt, Schadenersatz zu verlangen. Dies geschieht unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
c) Wenn mehr als eine Partei für Schäden, die dem Betroffenen durch eine Verletzung dieser Klauseln entstanden sind, verantwortlich ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und der Betroffene hat das Recht, rechtliche Schritte gegen jede der Parteien einzuleiten.
d) Die Parteien stimmen zu, dass eine Partei, die gemäß Absatz c haftbar gemacht wird, das Recht hat, von der anderen Partei(en) für den Teil des Schadens, der der Verantwortung dieser Partei für den Schaden entspricht, einen Beitrag zu verlangen.
e) Der Datenimporteur kann sich nicht auf das Verhalten eines Prozessors oder Unterprozessors berufen, um seiner eigenen Haftung zu entgehen.
Klausel 13 (gelöscht)
ABSCHNITT III – ÖRTLICHE GESETZE UND VERPFLICHTUNGEN BEZÜGLICH DES ZUGANGS DER REGIERUNG ZU DATEN
Klausel 14
Lokale Gesetze und Praktiken, die die Compliance beeinflussen
a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken, die die Verarbeitung personenbezogener Daten durch den Datenimporteur im Drittland des Bestimmungsortes regeln, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugriff auf solche Daten ermöglichen, den Datenimporteur daran hindern werden, seinen Verpflichtungen aus diesen Klauseln nachzukommen. Es wird verstanden, dass diese Klauseln keine Gesetzgebung oder Praktiken ausschließen, die das Wesen der grundlegenden Rechte und Freiheiten respektieren und die nicht über das hinausgehen, was notwendig und angemessen ist, um eines der in Artikel 23(1) der Verordnung (EU) 2016/679 genannten Ziele in einer demokratischen Gesellschaft zu gewährleisten.
(b) Die Parteien erklären, dass sie insbesondere die folgenden Aspekte berücksichtigt haben, um die Zusicherung in Punkt (a) zu erteilen:
(i) die spezifischen Umstände der Übertragung, einschließlich der Länge der Verarbeitungs Kette, der Anzahl der beteiligten Akteure und der genutzten Übertragungswege, beabsichtigte Weiterübertragungen von Daten, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übertragenen personenbezogenen Daten, der Sektor, in dem die Übertragung erfolgt, der Standort der übertragenen Daten;
(ii) die relevanten Gesetze und Praktiken des Drittlandes des Bestimmungsortes (inklusive solcher, die die Offenlegung oder den Zugang zu Daten erfordern oder erlauben), die für die besonderen Umstände der Übertragung relevant sind, sowie die geltenden Einschränkungen und Schutzmaßnahmen; 3
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Schutzmaßnahmen, die zur Ergänzung der Schutzmaßnahmen gemäß diesen Klauseln implementiert wurden, einschließlich der während der Übertragungen und zur Verarbeitung personenbezogener Daten im Bestimmungsland angewandten Maßnahmen.
c) Der Datenimporteur garantiert, dass er sich nach besten Kräften bemüht hat, im Rahmen seiner Bewertung gemäß Absatz b, relevante Informationen an den Datenexporteur bereitzustellen, und stimmt zu, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln sicherzustellen.
d) Die Parteien vereinbaren, die in Punkt (b) genannte Bewertung zu dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.
e) Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, nach dem Erteilen seiner Zustimmung zu diesen Klauseln, dass er gesetzlicher Regelung oder Praktiken unterliegt, die nicht den Anforderungen entsprechen, die in Punkt (a) genannt werden, einschließlich einer Änderung der Gesetzgebung des Drittlandes oder einer Handlung, wie z.B. einer Anfrage zur Offenlegung, die sich auf die Anwendung dieser Gesetzgebung bezieht, die nicht den in Punkt (a) genannten Anforderungen entspricht. Bei einer Mitteilung gemäß Absatz (e) oder wenn der Datenexporteur sonstig davon Kenntnis erlangt, dass der Datenimporteur voraussichtlich seinen Verpflichtungen aus diesen Klauseln nicht nachkommen kann, wird der Datenexporteur unverzüglich geeignete Maßnahmen, wie technische und organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit, ergreifen, die von dem Datenexporteur und/oder dem Datenimporteur zur Behebung der Situation zu treffen sind. Der Datenexporteur wird die Datenübertragung aussetzen, wenn er glaubt, dass für eine solche Übertragung keine geeigneten Schutzmaßnahmen bereitgestellt werden können oder wenn er von der zuständigen Aufsichtsbehörde aufgefordert wird, dies zu tun. In einem solchen Fall hat der Datenexporteur das Recht, den Vertrag insofern zu kündigen, als er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Wenn mehr als zwei Parteien in dem Vertrag sind, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die verantwortliche Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wenn der Vertrag gemäß dieser Klausel beendet wird, sind Klausel 16(d) und (e) anzuwenden.
Klausel 15
Verpflichtungen des Datenimporteurs im Falle des Zugriffs auf die Daten durch öffentliche Behörden
15.1 Benachrichtigung
a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, wo möglich, die betroffene Person (mit der Unterstützung des Datenexporteurs, falls angemessen) unverzüglich zu benachrichtigen, wenn er eine rechtlich verbindliche Anfrage zur Offenlegung von personenbezogenen Daten, die gemäß diesen Klauseln an eine Behörde, einschließlich einer gerichtlichen Behörde, übermittelt wurden, erhält, in Übereinstimmung mit den Gesetzen des Bestimmungslandes (eine solche Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die anfragende Behörde, die rechtlichen Grundlagen für die Anfrage und die bereitgestellte Antwort enthalten); oder
(ii) er Kenntnis davon erlangt, dass eine Behörde gemäß den Gesetzen des Bestimmungslandes direkten Zugang zu personenbezogenen Daten, die unter diesen Klauseln übermittelt wurden, hat; eine solche Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
b) Wenn das Recht des Bestimmungslandes den Datenimporteur daran hindert, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, alle ihm möglichen Anstrengungen zu unternehmen, um die Aufhebung des Verbots zu beantragen, damit so viele Informationen wie möglich so schnell wie möglich bereitgestellt werden. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um diese auf Anfrage des Datenexporteurs nachweisen zu können.
c) Soweit dies die Gesetze des Bestimmungslandes zulassen, verpflichtet sich der Datenimporteur, so viele relevante Informationen wie möglich über die erhaltenen Anfragen bereitzustellen (einschließlich, aber nicht beschränkt auf, die Anzahl der Anfragen, die Art der angeforderten Daten, die anfragende Behörde oder Behörden, ob eine Anfrage angefochten wurde und das Ergebnis einer solchen Anfechtung) und dies regelmäßig während der Laufzeit des Vertrages dem Datenexporteur mitzuteilen.
d) Der Datenimporteur verpflichtet sich, die in den Buchstaben a) bis c) erwähnten Informationen während der Laufzeit des Vertrages aufzubewahren und sie auf Anfrage der zuständigen Aufsichtsbehörde bereitzustellen.
e) Die Absätze a) bis c) lassen die Verpflichtungen des Datenimporteurs gemäß Klausel 14 e) und Klausel 16 unberührt, den Datenexporteur unverzüglich zu informieren, wenn er diesen Klauseln nicht nachkommen kann.
15.2 Gesetzlichkeit und Datenminimierungskontrollen
a) Der Datenimporteur verpflichtet sich, die Gesetzlichkeit der Anfrage zur Offenlegung zu überprüfen, insbesondere ob die Anfrage innerhalb der Befugnisse liegt, die der anfragenden Behörde übertragen wurden, und die Anfrage anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass erhebliche Gründe vorliegen, die darauf schließen lassen, dass die Anfrage gegen die Gesetze des Bestimmungslandes, anwendbare völkerrechtliche Verpflichtungen und die Grundsätze der internationalen Höflichkeit verstößt. In einem solchen Fall wird der Datenimporteur alle verfügbaren Rechtsmittel anstreben. Wenn er eine Anfrage anfechtet, wird der Datenimporteur vorläufige Maßnahmen beantragen, um die Wirkung der Anfrage auszusetzen, bis eine Entscheidung über die Sachlage durch die zuständige gerichtliche Behörde getroffen wird. Er wird die angeforderten personenbezogenen Daten nicht offenlegen, solange dies nicht entsprechend den anwendbaren Verfahrensanforderungen erforderlich ist. Diese Anforderungen lassen die Verpflichtungen des Datenimporteurs gemäß Klausel 14(e) unberührt.
b) Der Datenimporteur verpflichtet sich, seine rechtliche Bewertung und jede Anfechtung der Anfrage zur Offenlegung zu dokumentieren und diese Dokumente dem Datenexporteur zur Verfügung zu stellen, soweit dies die Gesetze des Bestimmungslandes zulassen. Auf Anfrage wird er diese Dokumente auch der zuständigen Aufsichtsbehörde zur Verfügung stellen.
c) Der Datenimporteur verpflichtet sich, die Mindestinformation bereitzustellen, die vernünftigerweise erforderlich ist, um auf eine Anfrage zur Offenlegung zu reagieren.
ABSCHNITT IV — SCHLUSSBESTIMMUNGEN
Klausel 16
Verstoß gegen die Klauseln und Kündigung des Vertrags
a) Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er aus irgendeinem Grund nicht in der Lage ist, diesen Bestimmungen nachzukommen.
b) Wenn der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diesen nachzukommen, hat der Datenexporteur das Recht, die Übermittlung personenbezogener Daten an den Datenimporteur auszusetzen, bis der Verstoß behoben ist oder der Vertrag beendet wird. Dies steht im Einklang mit Klausel 14(f).
(c) Der Datenexporteur hat das Recht, den Vertrag in Bezug auf die Verarbeitung personenbezogener Daten gemäß diesen Klauseln zu kündigen, wenn
(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Punkt (b) ausgesetzt hat und die Einhaltung dieser Klauseln innerhalb eines angemessenen Zeitraums nicht wiederhergestellt wurde, und in jedem Fall innerhalb einer einmonatigen Aussetzung;
(ii) der Datenimporteur in erheblichem oder hartnäckigem Verstoß gegen diese Klauseln steht; oder
(iii) der Datenimporteur es versäumt, einer bindenden Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nachzukommen.
In solchen Fällen muss der Datenexporteur die zuständige Aufsichtsbehörde über solche Verstöße informieren. Wenn mehr als zwei Parteien an dem Vertrag beteiligt sind, darf der Datenexporteur dieses Kündigungsrecht nur gegenüber der verantwortlichen Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.
d) Personenbezogene Daten, die vom Datenexporteur mit Sitz in der EU vor der Beendigung des Vertrags gemäß Klausel c) erfasst und übermittelt wurden, müssen unverzüglich vollständig gelöscht werden, einschließlich aller Kopien. Der Datenimporteur muss die Löschung gegenüber dem Datenexporteur bestätigen. Bis die Daten gelöscht oder zurückgegeben werden, muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln gewährleisten. Falls der Datenimporteur lokalen Gesetzen unterliegt, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und solche Daten nur insoweit und solange verarbeitet, wie es von solchen lokalen Gesetzen verlangt wird.
(e) Jede Partei kann ihre Zustimmung zur Bindung an diese Klauseln widerrufen, wenn (i) die Europäische Kommission eine Entscheidung gemäß Artikel 45(3) der Verordnung (EU) 2016/679 erlässt, die die Übermittlung personenbezogener Daten, die diesen Klauseln unterliegen, regelt; oder (ii) die Verordnung (EU) 2016/679 Teil des rechtlichen Rahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies steht im Übrigen nicht im Widerspruch zu anderen Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines Landes, das Rechte für Dritte zulässt. Die Parteien stimmen zu, dass dies das Recht der Bundesrepublik Deutschland ist.
Klausel 18
Gerichtsbarkeit und Gerichtsort
Jede Streitigkeit, die sich aus diesen Klauseln ergibt, wird von den Gerichten der Bundesrepublik Deutschland entschieden.
1: Wenn der Datenexporteur ein Verarbeiter ist, der der Verordnung (EU) 2016/679 unterliegt und als Verantwortlicher im Auftrag einer Unionseinrichtung oder -organs handelt, wird der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Verarbeiters (Unterverarbeitung), der nicht der Verordnung (EU) 2016/679 unterliegt, auch sicherstellen, dass die Vorgaben des Artikels 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Unionseinrichtungen, -organe, -büros und -agenturen sowie zur Freizügigkeit solcher Daten eingehalten werden und die Verordnung (EG) Nr. 45/2001 und die Entscheidung Nr. 1247/2002/EG (ABl. L 295, 21.11.2018, S. 39) aufgehoben wird, sofern diese Klauseln und die datenschutzrechtlichen Verpflichtungen, die im Vertrag oder einem anderen Rechtsakt zwischen dem Verantwortlichen und dem Verarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 festgelegt sind, übereinstimmen. Dies ist insbesondere der Fall, wenn der Verantwortliche und der Verarbeiter sich auf die in der Entscheidung der Kommission festgelegten Standardvertragsklauseln stützen […]
2: Dazu gehört, ob die Übertragung und weitere Verarbeitung personenbezogene Daten umfasst, die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft, genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten betreffen.
3: Bei der Beurteilung der Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln können verschiedene Elemente in die Gesamtevaluation einfließen. Diese Elemente können relevante und dokumentierte praktische Erfahrungen umfassen, ob es bereits frühere Anfragen nach Offenlegung durch öffentliche Stellen gegeben hat, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Anfragen nicht gegeben hat. Dies betrifft insbesondere interne Aufzeichnungen oder andere Beweise, die mit gebotener Sorgfalt erstellt und aufrechterhalten wurden und von der Geschäftsführung gebilligt wurden, vorausgesetzt, dass solche Informationen rechtmäßig Dritten offengelegt werden können. Soweit diese praktischen Erfahrungen zu dem Schluss führen, dass es für den Datenimporteur nicht unmöglich ist, diesen Klauseln nachzukommen, muss dies durch andere relevante objektive Elemente gestützt werden; die Parteien müssen sorgfältig prüfen, ob all diese Elemente ausreichend zuverlässig und repräsentativ sind, um die gezogene Schlussfolgerung zu unterstützen. Insbesondere müssen die Parteien prüfen, ob ihre praktischen Erfahrungen durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nichtvorhandensein von Anfragen im gleichen Industriesektor und/oder über die tatsächliche Anwendung der Gesetzgebung, wie z.B. Rechtsprechung und Berichte unabhängiger Aufsichtsbehörden, bestätigt oder widerlegt werden.