Rechtliches
1. Umfang
1.1. Die folgenden Allgemeinen Geschäftsbedingungen (im Folgenden "Nutzungsbedingungen") gelten für die kostenlose und kostenpflichtige Nutzung des Produkts "basebox", das von der basebox GmbH (im Folgenden "basebox GmbH", "wir") bereitgestellt wird, und regeln das rechtliche Verhältnis zwischen der basebox GmbH und ihren Kunden (im Folgenden der Einfachheit halber als "Kunde" bezeichnet).
1.2. Allgemeine Geschäftsbedingungen des Kunden, die von diesen Nutzungsbedingungen abweichen, gelten nicht, es sei denn, ihre Gültigkeit wurde ausdrücklich von der basebox GmbH bestätigt.
1.3. Die Nutzung des basebox-Produkts ist nur für Geschäftskunden innerhalb der Europäischen Union (EU) gestattet.
1.4. Abweichend von den folgenden Bestimmungen gelten für die Phase "Closed Beta" folgende Bedingungen:
1.4.1. Ungeachtet von 4.1 endet der Vertrag automatisch mit Ablauf der Phase "Closed Beta".
1.4.2. Während der Betaphase können die Leistungen von denen in Abschnitt 5 beschriebenen abweichen. Insbesondere können Fehler oder unerwartetes Systemverhalten auftreten.
1.4.3. Die Sprache des Vertrags ist Deutsch.
2. Begriffsbestimmungen
Für die Zwecke dieser Nutzungsbedingungen gelten die folgenden Definitionen:
2.1. " Administrator": Die natürliche Person, die die Organisation erstellt, Benutzer einlädt und verwaltet, Eingabeaufforderungen vorselektiert und die Organisation löschen kann. Die Rolle des Administrators kann nur von einer natürlichen Person wahrgenommen werden, die befugt ist, den Kunden ausschließlich in rechtlichen Transaktionen zu vertreten.
2.2. “ basebox”: bestehend aus einem bereitgestellten KI-Modell und einer zugehörigen Schnittstelle zur chatbasierten Nutzung des KI-Modells sowie zur Benutzer- und Abrechnungsverwaltung.
2.3. “ Registrierung”: Erstellung eines Benutzerkontos für eine Organisation auf Einladung des Administrators der Organisation.
2.4. " Chat": Ein Gespräch mit dem KI-Modell. Benutzer können so viele Chats mit dem KI-Modell führen, wie sie möchten, zu verschiedenen Themen.
2.5. “ Chatverlauf”: Chronologische Sammlung von Eingabeaufforderungen und Ausgaben innerhalb eines Chats.
2.6. “ Eingabeaufforderung”: Die Aufforderung, die der Benutzer über das Chatfenster an das KI-Modell sendet, einschließlich aller hochgeladenen Dateien, die analysiert werden sollen.
2.7. " KI-Apps": Eine vordefinierte Aufforderung, die der Benutzer auswählt und im Eingabefeld für die Aufforderung anzeigt. Der Benutzer kann diese Aufforderung bearbeiten und eigenen Text hinzufügen, bevor er sie an das Modell sendet.
2.8. “ KI-Modell”: Ein maschinelles Lernmodell, insbesondere ein großes Sprachmodell, das zur Generierung von Text verwendet werden kann und das zur Nutzung innerhalb von basebox bereitgestellt wird.
2.9. " Organisation": Eine virtuelle Benutzergruppe in basebox, die vom Kunden als Administrator erstellt und verwaltet wird. Benutzer, die vom Administrator eingeladen werden, sind Mitglieder dieser Organisation.
2.10. “ Ausgabe”: Die Antwort des KI-Modells auf die Anfrage des Benutzers.
2.11. “ Aufforderung”: Eine textliche Anfrage an ein KI-Modell, um eine Aufgabe auszuführen.
2.12. “ Registrierung”: Die Erstellung einer neuen Organisation.
2.13. “ Software”: Das basebox-System.
2.14. " Systemaufforderung": Aufforderungen, die von der basebox GmbH vordefiniert wurden und maximal 2000 Tokens umfassen, die automatisch zusammen mit jeder Eingabeaufforderung an das KI-Modell gesendet werden und die von den Benutzern nicht beeinflusst oder eingesehen werden können. Diese Systemaufforderungen werden verwendet, um das KI-Modell zu ermutigen, eine strukturierte und angemessene Ausgabe zu erzeugen.
2.15. " Token": Eine digitale Einheit zur Messung der Betriebskosten von KI-Modellen. Der Token-Verbrauch wird in Millionen (pro Million Tokens, "pmt") berechnet.
2.16. “ Benutzer”: Natürliche Personen, die ausdrücklich vom Administrator eingeladen wurden, sich auf Einladung bei basebox zu registrieren und deren Konten der Organisation zugewiesen sind und die berechtigt sind, basebox im Namen des Kunden zu nutzen.
2.17. “ Open Source-Software”: gemäß der Open Source-Definition der Open Source Initiative bedeutet Software, die von den jeweiligen Rechteinhabern jedem für umfassende lizenzfreie Nutzung lizenziert ist und deren Quellcode verfügbar ist.
3. Vertragsabschluss
3.1. Die Nutzung von basebox erfordert eine Kundenregistrierung, einschließlich der Erstellung einer Organisation. Die Registrierung ist kostenlos. Alle anderen Benutzer einer Organisation registrieren sich nicht unabhängig bei basebox; stattdessen werden sie ausdrücklich vom Administrator eingeladen, sich bei basebox zu registrieren und ein Passwort auszuwählen.
3.2. Eine E-Mail-Adresse muss während der Kundenregistrierung angegeben werden. Wenn die Registrierung für ein Unternehmen erfolgt, bestätigt die registrierende Person mit der Registrierung, dass sie befugt ist, dieses Unternehmen zu vertreten. Diese Person, die das Unternehmen registriert, erhält zunächst die Rolle “Administrator”.
3.3. Der Vertrag kommt zustande, wenn die Organisation sich unter signup.basebox.ai registriert, indem sie ihre E-Mail-Adresse angibt und diese gemäß den Informationen in der anschließend gesendeten E-Mail bestätigt, ein Passwort festlegt und einen Namen für die Organisation wählt und die Nutzungsbedingungen sowie die Datenschutzrichtlinie akzeptiert, indem sie das Kontrollkästchen aktiviert.
3.4. Der Text dieser Nutzungsbedingungen wird auch nach Abschluss des Vertrags unter basebox.ai/de/nutzungsbedingungen zum Download verfügbar sein.
4. Beendigung des Vertragsverhältnisses
4.1 Der Vertrag wird auf unbestimmte Zeit abgeschlossen.
4.2. Jede Partei kann den Vertrag mit einer Frist von 10 Tagen zum Ende des folgenden Kalendermonats kündigen. Die Kündigung kann vom Administrator auf der Website basebox.ai oder per E-Mail an support@basebox.ai erfolgen. Ein verbleibendes Guthaben wird nicht ausgezahlt, es sei denn, die Kündigung erfolgt durch die basebox GmbH.
4.3. Der Kunde kann den Vertrag ohne Frist kündigen, indem der autorisierte Administrator die Organisation in der Organisationsverwaltung löscht. Ein verbleibendes Guthaben wird nicht ausgezahlt.
5. Beschreibung der Dienstleistungen
5.1. basebox
basebox ist ein KI-Management-System, das die Nutzung von KI-Modellen in der sichersten Umgebung ermöglicht, wobei Aspekte des Datenschutzes berücksichtigt werden und das Ziel verfolgt wird, Geschäftsgeheimnisse und persönliche Rechte zu schützen. Derzeit bietet basebox nur große Sprachmodelle (LLMs) an.
5.2. Hosting in der Cloud oder lokale Betrieb
5.2.1. basebox wird auf Servern gehostet, die im Eigentum von basebox GmbH in Europa, vorzugsweise in Deutschland, stehen. Die basebox GmbH verlässt sich unter anderem auf OpenIDConnect und selbstgehostetes KeyCloak für die Authentifizierung, um den Kunden ein hohes Maß an Sicherheit zu bieten. Die Nutzung dieser Methoden und die Umsetzung dieser Konzepte liegen im Ermessen der basebox GmbH. Die basebox GmbH kann entscheiden, nur ein einziges Sprachmodell anzubieten. Die basebox GmbH garantiert jedoch keine absolute Sicherheit.
5.3. Nutzung von KI-Modellen
5.3.1. Die KI-Modelle werden von der basebox GmbH ausgewählt und betrieben. Die basebox GmbH behält sich das Recht vor, ein angebotenes KI-Modell jederzeit zu ändern, beispielsweise wenn leistungsstärkere KI-Modelle verfügbar werden.
5.3.2. Individuelle KI-Modelle können derzeit nicht in basebox betrieben werden.
5.3.3. Die Nutzung von KI-Modellen wird auf tokenbasierter Basis abgerechnet. Die basebox GmbH stellt eine grafische Übersicht über die Token-Nutzung mit regelmäßigen Updates zur Verfügung.
5.3.4. Das Ausgabeverhalten der KI-Modelle wird von der basebox GmbH mithilfe von Systemaufforderungen beeinflusst, die von den Kunden und ihren Nutzern nicht geändert oder verhindert werden können.
5.4. Aufforderungen und KI-App-Store
5.4.1. Die Nutzung des KI-Modells in basebox ist im Allgemeinen mit von den Kunden und ihren Nutzern speziell erstellten Aufforderungen möglich.
5.4.2. Die basebox GmbH bietet auch einen App-Store an, in dem fertige Aufforderungen in Form von KI-Apps zur Verfügung gestellt werden.
5.4.3. Diese KI-Apps repräsentieren individuelle Anwendungsfälle und sollen die Nutzung von Aufforderungen erleichtern. Die von den Nutzern ausgewählten Aufforderungen werden als Text im Eingabefenster des Chats angezeigt und können von den Nutzern vor der Verwendung bearbeitet werden.
5.5. Ausgabe
Die basebox GmbH hat keinen Einblick in die Eingabeaufforderungen und die von den KI-Modellen generierten Ausgaben. Die basebox GmbH überprüft die generierte Ausgabe nicht und garantiert weder die Richtigkeit noch die Qualität der Ergebnisse, noch dass diese frei von Rechten Dritter sind.
5.6. Benutzermanagement
Die basebox GmbH stellt eine rechte- und rollenbasierte Zugriffskontrolle für die organisatorische Verwaltung bereit, in der Administratoren ihre Nutzer selbst verwalten können.
Nutzungsbedingungen
Zuletzt aktualisiert: 1. Juni 2025
6. Preise, Zahlungsbedingungen
6.1. Die angegebenen Preise sind Nettopreise zuzüglich der gesetzlich vorgeschriebenen Mehrwertsteuer.
6.2. Der Zugang zu basebox und die Nutzung des organisatorischen und Rechnungsmanagements sind im Allgemeinen kostenlos.
6.3. Die Nutzung der in basebox bereitgestellten KI-Modelle wird auf der Grundlage des Tokenverbrauchs abgerechnet. Der Verbrauch wird pro Million Tokens ("pmt") berechnet. Der Tokenpreis ist variabel.
6.4. Um die bereitgestellten KI-Modelle nutzen zu können, muss der Administrator ein Budget laden, das dann für die tokenverbrauchsbasierte Abrechnung verwendet wird und allen Nutzern der Organisation zur Verfügung steht.
Beispiel : Der Tokenpreis könnte bei 19 € pmt liegen (d.h. 19 € für eine Million Tokens). Es wird ein Budget von 100 € geladen. Eine fiktive Eingabeaufforderung und die Ausgabe des Ergebnisses könnten 4.000 Tokens kosten. Die Transaktion würde daher mit 0,076 € belastet (19 € / 1.000.000 * 4.000). Nach der Transaktion würde das Budget 99,924 € betragen.
Die Tokens werden insbesondere verwendet, um die benötigte Rechenleistung zur Ausführung des Modells zu finanzieren. Der Preis für die von der basebox GmbH gekaufte Rechenleistung ist variabel. Daher ist auch der Tokenpreis variabel. Die basebox GmbH weist ausdrücklich darauf hin, dass die Anzahl der Tokens, die mit dem angegebenen Budget verwendet werden können, im Voraus nicht genau bestimmt werden kann.
6.5. Der aktuelle Tokenpreis (pmt) ist im Administrationsdashboard der Organisation sichtbar.
6.6. Für eine Interaktion mit einem KI-Modell werden eine Reihe von Eingabeaufforderungen ausgeführt: eine Systemaufforderung (max. 2000 Tokens), die ausgewählte Eingabeaufforderung einschließlich etwaiger hochgeladener Dokumente, die analysiert werden sollen, und die Generierung der Ausgabe. Die Anzahl der Tokens und damit die Grundlage für die Preisberechnung für eine Interaktion setzt sich aus diesen Eingabeaufforderungen zusammen und wird entsprechend berechnet, jedoch nicht separat offengelegt.
6.7. Die Zahlung erfolgt per Kreditkarte. Der Kunde definiert ein Budget für Tokens, das von der Kreditkarte abgebucht wird. Es gibt keinen Mindestbetrag, sodass der Kunde festlegen kann, wie viel Budget der Organisation zur Verfügung steht. Zusätzliches Budget kann jederzeit gekauft werden.
6.8. Wenn die Zahlung per Kreditkarte aufgrund unzureichender Mittel oder aufgrund nachlässigen Verhaltens des Kunden fehlschlägt, kann die basebox GmbH die Erstattung der von den beteiligten Banken und Zahlungsdienstanbietern erhobenen Rückbuchungsgebühren verlangen.
6.9. Mit dem Tokenbudget können die von der basebox GmbH bereitgestellten KI-Modelle über benutzerdefinierte Eingabeaufforderungen genutzt werden, und KI-Apps können verwendet werden.
6.10. Das Budget kann unbegrenzt genutzt werden.
6.11. Wenn das Budget erschöpft ist, wird die Nutzungsmöglichkeit auf eine Eingabeaufforderung pro Stunde reduziert, bis der Kunde ein neues Budget gekauft hat.
7. Datenschutz und Sicherheit
7.1. Ausgeführte Eingaben, die Inhalte hochgeladener Dateien und der Chatverlauf werden nur für einen Zeitraum von 30 Tagen im Browser des Benutzers gespeichert. Eingaben und die Inhalte hochgeladener Dateien werden auch an das KI-Modell gesendet, um die Dienste auszuführen.
7.2. Die basebox GmbH hat keinen Zugriff auf die Inhalte.
7.3. Die basebox GmbH wird alle wirtschaftlich angemessenen Maßnahmen ergreifen, um angemessene Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, insbesondere um unbefugten Zugriff auf die Dienste der basebox GmbH und die Daten des Kunden zu verhindern.
7.4. Die Modelle und die basebox werden auf Servern gehostet, die im Besitz der basebox GmbH sind. Zu diesem Zweck mietet die basebox GmbH Infrastruktur von Anbietern in Europa. Die basebox GmbH verwendet ausschließlich Server, die sich in Europa befinden, vorzugsweise in Deutschland.
7.5. Zur Erfüllung des Vertrags verarbeitet die basebox GmbH die personenbezogenen Daten des Kunden und seiner Benutzer. Die basebox GmbH analysiert auch die Nutzung der basebox durch den Kunden und nutzt die gewonnenen Informationen, um Fehler und Probleme zu identifizieren und die basebox zu verbessern. Im Rahmen der zu diesen Zwecken durchgeführten Verarbeitung ist die basebox GmbH grundsätzlich allein für den Datenschutz verantwortlich. Weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung, die unter basebox.ai/de/bedingungen#datenschutzerklaerung verfügbar ist.
7.6. In Fällen, in denen der Kunde oder seine Benutzer der basebox GmbH personenbezogene Daten zur Verarbeitung im Rahmen ihrer Nutzung der basebox bereitstellen (z. B. in Eingaben, im Chatverlauf oder durch hochgeladene Dokumente), verarbeitet die basebox GmbH personenbezogene Daten als Auftragsverarbeiter im Auftrag des Kunden. In diesem Zusammenhang gilt die Anlage ("Vertrag zur Auftragsverarbeitung") zu diesen Nutzungsbedingungen als integraler Bestandteil dieser Nutzungsbedingungen. Der Kunde ist nach den Datenschutzgesetzen für alle von ihm und seinen Benutzern verwendeten Inhalte und verarbeiteten Daten verantwortlich.
7.7. Die basebox GmbH behält sich das Recht vor, Filter zu implementieren, die verhindern, dass unangemessene und illegale Inhalte in den Ergebnissen erscheinen.
8. Nutzungsrechte und geistiges Eigentum
8.1. Durch die Registrierung gewährt die basebox GmbH dem Kunden, sofern erforderlich, das nicht-exklusive, nicht übertragbare Recht, das zeitlich auf die Dauer des Nutzervertrags beschränkt ist, die basebox-Software und die im Rahmen dieses Rahmens bereitgestellten Eingaben zu nutzen und sie Nutzern, die zur Nutzung von basebox eingeladen wurden, zur Verfügung zu stellen.
8.2. Die basebox-Software darf nur vom Kunden und seinen eingeladenen Nutzern im Rahmen ihrer eigenen Geschäftstätigkeiten verwendet werden.
8.3. Es ist nicht erlaubt, basebox an Dritte (andere natürliche oder juristische Personen außerhalb des Unternehmens des Kunden) weiterzugeben oder öffentlich verfügbar zu machen.
8.4. Soweit basebox zur Generierung potenziell urheberrechtlich geschützter Texte verwendet wird, erhebt die basebox GmbH keinen Anspruch auf das Urheberrecht an den generierten Ausgaben.
8.5. Der Kunde wird seine Nutzer anweisen, keine Eingaben zu verwenden, die darauf abzielen, urheberrechtlich geschützte Texte zum Vorteil Dritter zu reproduzieren, und der Kunde wird ebenfalls davon absehen.
8.6. Der Kunde übernimmt die Verantwortung für das Verhalten seiner Nutzer und stellt durch angemessene Überwachung und Schulung der Nutzer sicher, dass diese die Bestimmungen der Nutzungsbedingungen einhalten.
8.7. Es ist möglich, dass Nutzer aus verschiedenen Organisationen, die ähnliche Eingabeaufforderungen verwenden, ähnliche Ausgaben erhalten. Die basebox GmbH garantiert nicht, dass die von den KI-Modellen produzierten Ausgaben einzigartig sind oder nicht die Rechte Dritter verletzen. Die Nutzung und Überprüfung der Ausgaben obliegt dem Kunden.
8.8. Der Kunde wird sicherstellen, dass seine Nutzer nur Eingaben verwenden und nur Dokumente in das System eingeben, für die die notwendigen Rechte gewährt wurden. Der Kunde gewährt der basebox GmbH ein weltweites, widerrufliches, nicht exklusives, nicht unterlizenzierbares, nicht übertragbares Recht, begrenzt auf die Dauer dieses Vertragsverhältnisses, die Eingaben und Dokumente zur Erbringung der Dienstleistung zu verwenden. Der Kunde stellt die basebox GmbH von jeglicher Haftung für Ansprüche frei, die von Dritten gegen die basebox GmbH wegen Verletzung ihrer Rechte geltend gemacht werden, soweit diese aus den vom Kunden oder seinen Nutzern verwendeten Eingaben, den Ausgaben oder in basebox hochgeladenen Dateien entstehen.
9. Open Source
9.1. basebox enthält Komponenten unter Open-Source-Lizenzen. Diese unterliegen den jeweiligen Bedingungen der Open-Source-Lizenzen, die unter basebox.ai/opensource eingesehen werden können, abweichend von diesen Nutzungsbedingungen.
9.2. Der Kunde erhält ein nicht ausschließliches Nutzungsrecht für die verwendete Open-Source-Software von den jeweiligen Rechteinhabern gemäß den in den geltenden Lizenzbedingungen festgelegten Bedingungen. Diese Nutzungsbedingungen gelten nur für die Komponenten, die nicht als Open-Source-Software lizenziert sind.
9.3. Diese Nutzungsbedingungen schränken nicht die Nutzungsrechte und Benutzerfreiheiten ein, die in den Open-Source-Lizenzen für die Nutzung außerhalb von basebox gewährt werden. Die Open-Source-Lizenzen haben in dieser Hinsicht Vorrang vor diesen Nutzungsbedingungen.
9.4. Die Gewährleistung für Mängel unserer Produkte, die aus der Modifikation von Open-Source-Software resultieren, ist ausgeschlossen, wenn diese Mängel das Ergebnis der Modifikation sind. Der Kunde trägt die Beweislast dafür, dass ein Mangel an unserem Produkt auch ohne die Modifikation der enthaltenen Open-Source-Software aufgetreten wäre.
9.5. Die Haftungs- und Gewährleistungsbedingungen dieser Nutzungsbedingungen gelten für die gesamte Software im Verhältnis zum Lizenzgeber. Die Haftungs- und Gewährleistungsbedingungen der Open-Source-Lizenzen gelten nur im Verhältnis zu den jeweiligen Rechteinhabern.
10. Technische Anforderungen für die Nutzung
10.1. Um unsere Dienste zu nutzen, benötigen Sie ein geeignetes digitales Gerät, eine standardmäßige, ausreichend schnelle Internetverbindung und einen aktuellen Browser.
11. Verfügbarkeit und Garantie
11.1. Die basebox GmbH weist darauf hin, dass das Cloud-Angebot zu Einschränkungen oder Beeinträchtigungen der angebotenen Dienstleistungen führen kann, die außerhalb der Kontrolle der basebox GmbH liegen. Dies umfasst insbesondere Maßnahmen von Dritten, die nicht im Auftrag der basebox GmbH handeln, technische Internetbedingungen, die außerhalb der Kontrolle der basebox GmbH liegen, und höhere Gewalt.
11.2. Die basebox GmbH bemüht sich, eine Verfügbarkeit ihrer Systeme von 24 Stunden, 7 Tagen in der Woche sicherzustellen. Die basebox GmbH behält sich jedoch das Recht vor, Wartungsarbeiten nach angemessener Ankündigung durchzuführen und die Systeme vorübergehend für einen begrenzten Zeitraum herunterzufahren.
11.3. Die Hardware, Software und technische Infrastruktur, die vom Kunden verwendet wird, können ebenfalls die von der basebox bereitgestellten Dienstleistungen beeinflussen. Soweit solche Umstände die Verfügbarkeit oder Funktionalität der von der basebox GmbH bereitgestellten Dienstleistungen beeinträchtigen, hat dies keinen Einfluss auf die vertragliche Konformität der erbrachten Dienstleistungen.
11.4. Der Kunde ist verpflichtet, die basebox GmbH umgehend und so präzise wie möglich über jegliche Fehlfunktionen, Störungen oder Beeinträchtigungen der Software zu informieren. Unterlassung führt dazu, dass § 536c des Bürgerlichen Gesetzbuchs (BGB) entsprechend Anwendung findet.
11.5. Die gesetzlichen Bestimmungen über die Gewährleistung in Mietverträgen finden grundsätzlich Anwendung. § 536b des Bürgerlichen Gesetzbuchs (Wissen des Mieters über den Mangel bei Abschluss oder Annahme des Vertrages) und § 536c des Bürgerlichen Gesetzbuchs (Mängel, die während der Mietzeit auftreten; Mängelanzeigen durch den Mieter) finden Anwendung. Die Anwendung des § 536a (2) des Bürgerlichen Gesetzbuchs (Recht des Mieters zur Selbstvornahme) ist jedoch ausgeschlossen. Die Anwendung des § 536a (1) des Bürgerlichen Gesetzbuchs (Haftung des Vermieters für Schäden) ist ebenfalls ausgeschlossen, soweit die Vorschrift eine verschuldensunabhängige Haftung vorsieht.
11.6. Der Gewährleistungszeitraum bezüglich etwaiger Schadensersatzansprüche wird jedoch auf ein Jahr verkürzt, es sei denn, die Schadensersatzansprüche resultieren aus Mängeln, die auf das Fehlen einer garantierten Qualität des Leistungsgegenstands zurückzuführen sind, aus vorsätzlicher Körperverletzung, oder für die eine Haftung nach dem Produkthaftungsgesetz besteht.
12. Haftung
12.1. Die basebox GmbH haftet nur für Schäden, die dem Kunden durch die Nutzung von basebox entstehen, wenn sie vorsätzlich oder grob fahrlässig verursacht wurden, wenn sie das Ergebnis der Nichterfüllung einer garantierten Qualität der Dienstleistung sind, wenn sie auf einem schuldhaften Verstoß gegen wesentliche vertragliche Pflichten (siehe Abschnitt 5) basieren, wenn sie das Ergebnis einer schuldhaften Verletzung von Gesundheit, Körper oder Leben sind, oder für die eine Haftung nach dem Produkthaftungsgesetz vorgesehen ist. Im Falle eines bloß fahrlässigen Verstoßes gegen eine wesentliche vertragliche Pflicht (siehe Abschnitt 5) ist die Haftung der basebox GmbH auf solche Schäden beschränkt, deren Eintritt typischerweise und vorhersehbar im Rahmen der Erbringung der vereinbarten Leistungen zu erwarten ist. Diese Einschränkung gilt nicht für Schäden, die aus der Verletzung von Gesundheit, Körper oder Leben resultieren.
12.2. Wesentliche vertragliche Pflichten sind die in Abschnitt 5 enthaltenen vertraglichen Pflichten, deren Erfüllung für die ordnungsgemäße Durchführung des Vertrags unerlässlich ist und auf deren Einhaltung Sie regelmäßig vertrauen können, deren Verletzung hingegen das Erreichen des Vertragszwecks gefährdet.
12.3. Darüber hinaus ist die Haftung – unabhängig von der rechtlichen Grundlage – seitens der basebox GmbH und unserer Erfüllungsgehilfen ausgeschlossen.
12.4. Wenn die basebox GmbH für den Verlust von Daten des Kunden oder seiner Nutzer haftet, unter Berücksichtigung der oben genannten Bestimmungen, ist die Haftung auf die typischen Wiederherstellungskosten beschränkt, die angefallen wären, selbst wenn der Kunde oder seine Nutzer regelmäßig und risikogerecht Sicherungskopien erstellt hätten.
13. Verpflichtungen des Kunden und seiner Benutzer
Der Kunde ist verpflichtet, seine Benutzer anzuweisen, die folgenden Verpflichtungen einzuhalten und die Einhaltung zu überwachen. Jede Verletzung dieser Verpflichtungen durch Benutzer wird dem Kunden zugeschrieben. Der Kunde wird auch selbst diese Verpflichtungen einhalten.
13.1. Überprüfung der Ausgabe
Die Ausgabe von KI-Modellen kann unvollständig, veraltet oder fehlerhaft sein und ist oft unvorhersehbar. Es liegt daher in der Verantwortung des Kunden, seine Benutzer entsprechend anzuweisen.
um die Qualität der verwendeten Eingabeaufforderungen sicherzustellen,
um die Genauigkeit und Verwendbarkeit der generierten Ausgabe zu überprüfen, bevor sie verwendet oder verteilt wird,
um geeignete Spezifikationen in die Eingabeaufforderungen einzufügen, um das Ergebnis besser filtern oder anpassen zu können,
um die in der Ausgabe enthaltenen Informationen zu verifizieren und in jedem Fall die Ausgabe nicht als einzige Informationsquelle zu verwenden, nicht zu erwarten, dass sie harmlos und sprachlich sowie ethisch angemessen ist, oder sie als Ersatz für professionelle Beratung zu verwenden.
13.2. Nutzung der Basebox-Dienste
13.2.1. Der Kunde muss seine Benutzer anweisen, die Systeme der basebox GmbH nicht für illegale Zwecke zu verwenden, insbesondere nicht, um Dritten oder der basebox GmbH Schaden zuzufügen. Der Kunde wird auch selbst keine solchen Aktivitäten durchführen.
13.2.2. Der Kunde muss seine Benutzer anweisen, die Dienste der basebox GmbH nicht Dritten außerhalb seines Unternehmens zur Verfügung zu stellen oder sie für solche Dritte zu nutzen. Der Kunde wird auch selbst keine solchen Aktivitäten durchführen.
13.2.3. Der Kunde wird seine Benutzer anweisen, die Dienste der basebox GmbH nicht in einer Weise zu verwenden, die die Sicherheit, den ordnungsgemäßen Betrieb und die Integrität der Systeme der basebox GmbH gefährdet oder Sicherheitsmaßnahmen umgeht oder gefährdet. Insbesondere wird der Kunde seine Benutzer anweisen, keine schädlichen, gefährlichen Eingabeaufforderungen zu verwenden oder Eingabeaufforderungsinjektionsangriffe durchzuführen, um das Verhalten des Modells zu manipulieren oder Sicherheitsprüfungen, Penetrationstests oder ähnliche Tests durchzuführen. Der Kunde wird auch selbst von solchen Aktivitäten absehen.
13.2.4. Der Kunde muss seine Benutzer anweisen, die Rechte Dritter, insbesondere Urheberrechte, Markenrechte und Persönlichkeitsrechte sowie den Datenschutz, bei der Verwendung und Erstellung von Eingabeaufforderungen und dem Hochladen von Dateien auf die basebox GmbH zu respektieren und nur Eingabeaufforderungen zu verwenden und Dateien hochzuladen, für die der Kunde oder seine Benutzer alle erforderlichen Rechte besitzen. Der Kunde wird auch in Übereinstimmung mit diesen Anweisungen handeln.
13.3. Nutzung der Ausgabe
Der Kunde wird seine Benutzer anweisen, die mit den KI-Modellen erzeugte Ausgabe nicht als von einem Menschen erstellt darzustellen und die Ausgabe nicht zu verwenden, wenn Grund zur Annahme besteht, dass die Verwendung der Ausgabe die Rechte Dritter verletzen könnte.
13.4. Hinweis auf Risiken
Der Kunde ist dafür verantwortlich, seine Benutzer über die potenziellen Risiken der Nutzung von basebox zu informieren, insbesondere hinsichtlich der Verwendung der von dem KI-Modell bereitgestellten Ausgabe und der Verwendung sensibler Daten für die Eingabeaufforderung.
14. Änderungen dieser Nutzungsbedingungen
Wenn die basebox GmbH diese Nutzungsbedingungen ändern möchte, wird die basebox GmbH dem Kunden eine Benachrichtigung zusammen mit den geänderten Nutzungsbedingungen per E-Mail an die angegebene Verwaltungsadresse senden und um die Zustimmung des Kunden bitten. Wenn der Kunde den geänderten Nutzungsbedingungen nicht zustimmt, behält sich die basebox GmbH das Recht vor, den Vertrag unter Einhaltung der vereinbarten Kündigungsfrist zu beenden.
15. Sonstige Bestimmungen
15.1. Das Recht der Bundesrepublik Deutschland findet auf diesen Benutzervertrag Anwendung, mit Ausnahme des UN-Übereinkommens über Verträge über den internationalen Warenverkauf und des deutschen sowie europäischen Kollisionsrechts.
15.2. Ist der Kunde Kaufmann, eine juristische Person des öffentlichen Rechts oder ein Sondervermögen des öffentlichen Rechts, oder hat der Kunde keinen allgemeinen Gerichtsstand in der Bundesrepublik Deutschland, so ist der ausschließliche Gerichtsstand für alle Ansprüche aus dem Vertragsverhältnis Landsberg am Lech. basebox GmbH kann den Kunden jedoch auch an seinem allgemeinen Gerichtsstand verklagen.
15.3. basebox GmbH ist weder verpflichtet noch bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle im Falle eines Streits mit dem Kunden teilzunehmen.
15.4. Vertragstext und Vertragssprache: Der Vertrag zwischen dem Kunden und der basebox GmbH wird im Allgemeinen nicht in einem separaten Vertragstext niedergelegt, auf den Sie später zugreifen könnten. Der Inhalt des Vertrags ergibt sich aus diesen Nutzungsbedingungen und dem Gegenstand des geschlossenen Vertrags. Deutsch und Englisch stehen für den Vertragsabschluss zur Verfügung.
Landsberg am Lech, 1. Juni 2025. basebox Nutzungsbedingungen v.0.2.
Geheimhaltungspflicht
Anhang
Verpflichtung zur Wahrung des Berufsgeheimnisses (Paragraph 203 des deutschen Strafgesetzbuches)
1. Anwendungsbereich
1.1 Dieser Anhang „Verpflichtung zur Wahrung des Berufsgeheimnisses (§ 203 StGB)“ (nachfolgend „Zusatzvereinbarung“) wird zwischen dem Kunden und der basebox GmbH abgeschlossen, wenn der Kunde oder für den Kunden tätige Personen der beruflichen Vertraulichkeit im Sinne des § 203 StGB unterliegen.
1.2 Die Parteien vereinbaren, dass diese Zusatzvereinbarung die Nutzungsbedingungen ergänzt. Im Falle eines Konflikts haben die Bestimmungen dieses Anhangs Vorrang. Alle verwendeten und nicht definierten Begriffe haben die gleiche Bedeutung wie in den Nutzungsbedingungen.
2. Anleitung und Verpflichtung
2.1 Um den Vertrag zu erfüllen, können Daten und Informationen verarbeitet werden, die unter das berufliche Geheimhaltungsprivileg im Sinne von § 203 des deutschen Strafgesetzbuches fallen. Die basebox GmbH wird daher wie folgt beauftragt:
Wenn die basebox GmbH ein drittanbieter Geheimnis offenbart, das ihr im Rahmen oder im Zusammenhang mit ihren Tätigkeiten bekannt geworden ist, nämlich ein Geheimnis, das zur persönlichen Sphäre oder ein Handels- oder Geschäftsgeheimnis gehört, das den Fachleuten des Auftraggebers anvertraut wurde, kann dies mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe bestraft werden (§ 203 Abs. 1, Abs. 4 Satz 1 StGB). Die Androhung der Strafe gilt auch für Personen, die für die basebox GmbH bei der Erbringung von Dienstleistungen tätig sind (§ 203 Abs. 4 Satz 1 StGB).
Geheimnisse sind alle Informationen, die nur einer begrenzten Personengruppe bekannt sind und an deren Vertraulichkeit die Person, auf die sich die Informationen beziehen (Geheimnisträger), ein berechtigtes Interesse hat. Dazu gehören insbesondere alle Informationen über Kunden-, Patienten- und/oder Kundenbeziehungen.
Die Strafe gilt für natürliche Personen, die für die basebox GmbH tätig sind.
Im Falle der Einbeziehung Dritter (z.B. Subunternehmer) macht sich die basebox GmbH oder die in ihrem Auftrag handelnde Person strafbar mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe, wenn der Dritte ein Geheimnis, das ihm im Rahmen oder im Zusammenhang mit seiner Arbeit bekannt geworden ist, unbefugt offenbart und die basebox GmbH nicht sichergestellt hat, dass der Dritte zur Wahrung der Vertraulichkeit verpflichtet wurde (§ 203 Abs. 1, Abs. 4 Satz 2 Nr. 2 StGB).
Die Strafe dafür beträgt bis zu zwei Jahre Freiheitsstrafe oder eine Geldstrafe, wenn der Täter gegen Entgelt handelt oder mit der Absicht, sich selbst zu bereichern oder einen anderen durch die Tat zu schädigen (Abschnitt 203 (6) StGB). Das Gleiche gilt, wenn der Täter unbefugt ein einem Drittanbieter anvertrautes Geheimnis nutzt (Abschnitt 204 StGB).
2.2 In diesem Bewusstsein ist die basebox GmbH wie folgt verpflichtet:
Die basebox GmbH handelt als Dienstleister für die Tätigkeiten der beruflichen Geheimnisträger, die einer professionellen Geheimhaltungsverpflichtung unterliegen. Die basebox GmbH ist sich der strafrechtlichen Folgen eines Verstoßes gegen die Geheimhaltung bewusst und wahrt die Vertraulichkeit der ihr zugänglich gemachten Geheimnisse Dritter.
Die basebox GmbH ist befugt, andere Personen (Dritte) in die Erfüllung des Vertrags einzubeziehen. Bei der Einschaltung Dritter (z.B. weiteren Verarbeitern) ist die basebox GmbH verpflichtet, sie schriftlich zur Geheimhaltung zu verpflichten und sie über die strafrechtlichen Folgen eines Pflichtverstoßes zu informieren, soweit diese Dritten im Rahmen ihrer Aktivitäten Kenntnis von Geheimnissen Dritter erlangen könnten. Die basebox GmbH wird den Kunden über jede geplante Einbeziehung weiterer Dritter informieren. In gerechtfertigten Einzelfällen kann der Kunde eine solche Einbeziehung untersagen.
Die basebox GmbH ist verpflichtet, Kenntnisse über Geheimnisse Dritter nur insoweit zu erlangen, wie es zur Erfüllung des Vertrags erforderlich ist. Die basebox GmbH wird angemessene organisatorische und technische Maßnahmen zum Schutz von Geheimnissen Dritter und vertraulichen Informationen ergreifen und anerkannte Sicherheitsstandards gemäß dem aktuellen Stand der Technik anwenden.
Die Geheimhaltungsverpflichtung besteht unbegrenzt weiter, auch nach Beendigung der vertraglichen Beziehung.
Die Geheimhaltungspflicht gemäß den obigen Absätzen gilt nicht, wenn die basebox GmbH aufgrund einer amtlichen oder gerichtlichen Anordnung zur Offenlegung der vertraulichen Informationen des Kunden verpflichtet ist. Sofern in Einzelfällen zulässig und möglich, wird die basebox GmbH den Kunden im Voraus über die Offenlegungspflicht informieren.
Die basebox GmbH ist verpflichtet sicherzustellen, dass die Dienstleistung nur von einer Gruppe von Personen erbracht wird, die zur Geheimhaltung verpflichtet sind.
Datenschutzerklärung
Allgemeine Informationen
Die folgenden Informationen bieten einen einfachen Überblick darüber, was mit Ihren persönlichen Daten passiert, wenn Sie diese Website besuchen. Personendaten sind alle Daten, die dazu verwendet werden können, Sie persönlich zu identifizieren. Detaillierte Informationen zum Thema Datenschutz finden Sie in unserer Datenschutzerklärung, die unten in diesem Text aufgeführt ist.
Detaillierte Informationen zum Thema Datenschutz finden Sie in unserer Datenschutzrichtlinie, die unten in diesem Text aufgeführt ist. Die Datenschutzrichtlinie ist die Grundlage unseres Handelns und Teil der Geschäftsbeziehung mit Kunden, Vertragspartnern, Nutzern und/oder Dritten und gilt für unsere Website, mobile Anwendungen und alle unsere externen Online-Präsenzen (z.B. unsere Social-Media-Profile) sowie im Rahmen der Bereitstellung unserer Dienste.
Datensammlung auf dieser Website
Wer ist für die Datenerhebung auf dieser Website verantwortlich?
Die Datenverarbeitung auf dieser Website erfolgt durch den Betreiber der Website, die basebox GmbH (kurz basebox). Kontaktinformationen finden Sie im Impressum.
Wie erfassen wir Ihre Daten?
Einerseits werden Ihre Daten erfasst, wenn Sie sie uns zur Verfügung stellen. Dies können beispielsweise Daten sein, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch von unseren IT-Systemen erfasst, wenn Sie die Website besuchen. Dies sind in erster Linie technische Daten (z. B. Internetbrowser, Betriebssystem oder Zeitpunkt des Seitenaufrufs). Diese Daten werden automatisch erfasst, sobald Sie diese Website betreten.
Daten werden auch erfasst, wenn Sie sich für unsere Dienste registrieren, z. B. Ihre E-Mail-Adresse und Ihren Namen sowie alle Abrechnungs- und Zahlungsdaten.
Wofür verwenden wir Ihre Daten?
Einige der Daten werden gesammelt, um sicherzustellen, dass die Website fehlerfrei bereitgestellt wird. Andere Daten können verwendet werden, um Ihr Nutzerverhalten zu analysieren. Wir verarbeiten die Daten, die wir im Rahmen Ihrer Registrierung erheben, um unsere vertraglichen Leistungen zu erbringen.
Welche Rechte haben Sie in Bezug auf Ihre Daten?
Sie haben das Recht, jederzeit kostenlos Informationen über die Herkunft, den Empfänger und den Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben auch das Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Bei weiteren Fragen zum Thema Datenschutz können Sie uns jederzeit unter der im Impressum angegebenen Adresse kontaktieren. Sie haben auch das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen.
Sie haben auch das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Weitere Einzelheiten entnehmen Sie bitte der Datenschutzrichtlinie unter „Recht auf Einschränkung der Verarbeitung“.
Analysetools und Werkzeuge von Drittanbietern
Wenn Sie diese Website besuchen, kann Ihr Surfverhalten statistisch ausgewertet werden. Dies geschieht hauptsächlich mit Hilfe von Cookies und sogenannten Analyseprogrammen. Die Analyse Ihres Surfverhaltens ist in der Regel anonym; das Surfverhalten kann Ihnen nicht zugeordnet werden.
Sie können dieser Analyse widersprechen oder sie verhindern, indem Sie bestimmte Werkzeuge nicht verwenden. Detaillierte Informationen zu diesen Werkzeugen und Ihren Widerspruchsmöglichkeiten finden Sie in der folgenden Datenschutzerklärung.
Hosting
Externe Speicherung
Der Hoster wird zum Zweck der Erfüllung des Vertrags mit unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO) genutzt. Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie es zur Erfüllung seiner Leistungspflichten erforderlich ist und um unseren Anweisungen bezüglich dieser Daten zu folgen.
Abschluss eines Vertrags über die Datenverarbeitung
Um eine datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Auftragsverarbeitungsvertrag mit unserem Hoster abgeschlossen.
Genutzte Dienstleistungen und Dienstleister
Google Irland Ltd. Google Gebäude Gordon House, Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland
Website: https://cloud.google.com/vertex-ai
Datenschutzrichtlinie: https://cloud.google.com/terms/service-terms#panel0-1
Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Website: https://www.hetzner.com/
Datenschutzrichtlinie: https://www.hetzner.com/de/legal/privacy-policy
Allgemeine Hinweise und Pflichtinformationen
Data protection
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre persönlichen Daten vertraulich und entsprechend den gesetzlichen Datenschutzbestimmungen sowie dieser Datenschutzerklärung. Wenn Sie diese Website nutzen, werden verschiedene persönliche Daten erfasst. Personenbezogene Daten sind Informationen, die verwendet werden können, um Sie persönlich zu identifizieren. Diese Datenschutzerklärung erklärt, welche Daten wir erheben und wofür wir sie verwenden. Sie erklärt auch, wie und zu welchem Zweck dies geschieht.
Wir möchten darauf hinweisen, dass die Datenübertragung über das Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitsanfälligkeiten unterliegen kann. Ein vollständiger Schutz der Daten gegen den Zugriff durch Dritte ist nicht möglich.
Verantwortliche Person
Die für die Datenverarbeitung auf dieser Website verantwortliche Stelle ist:
basebox GmbH
Bahnhofplatz 3
D-86919 Utting am Ammersee
Telefon: +49 8806 9590600
E-Mail: support@basebox.ai
Der Verantwortliche ist die natürliche oder juristische Person, die alleine oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen usw.) bestimmt.
Wir haben für unser Unternehmen einen Datenschutzbeauftragten benannt. Der Unternehmensdatenschutzbeauftragte von basebox kann unter der oben genannten Adresse, zu Händen des Datenschutzbeauftragten, oder per E-Mail unter datenschutz@basebox.ai. erreicht werden.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsoperationen sind nur mit Ihrer ausdrücklichen Zustimmung möglich. Sie können Ihre Zustimmung jederzeit widerrufen. Alles, was Sie tun müssen, ist, uns eine informelle E-Mail zu senden. Die Rechtmäßigkeit der bis zum Widerruf durchgeführten Datenverarbeitung bleibt von diesem Widerruf unberührt.
Recht, der Erhebung von Daten in besonderen Fällen und der Direktwerbung zu widersprechen (Art. 21 DSGVO)
WENN DIE DATENVERARBEITUNG AUF ART. 6 ABS. 1 LIT. E ODER F DER DSGVO BERUHT, HABEN SIE DAS RECHT, JEDERZEIT AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, DER VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN ZU WIDERSPRECHEN; DIES GILT AUCH FÜR PROFILIERUNG, DIE AUF DIESEN BESTIMMUNGEN BASIERT. DIE JEWEILIGE RECHTLICHE GRUNDLAGE, AUF DER DIE VERARBEITUNG BASIERT, IST IN DIESER DATENSCHutzerklärung ZU FINDEN. WENN SIE WIDERSPRECHEN, WERDEN WIR IHRE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE LEGITIME GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN, ODER DIE VERARBEITUNG DIENT DER FESTSTELLUNG, AUSÜBUNG ODER VERTEIDIGUNG RECHTLICHER ANSPRÜCHE (WIDERSPRUCH GEMÄSS ART. 21 ABS. 1 DSGVO).
WENN IHRE PERSONENBEZOGENEN DATEN ZUM ZWECK DER DIREKTVERMARKTUNG VERARBEITET WERDEN, HABEN SIE DAS RECHT, JEDERZEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN, DIE SIE BETREFFEN, ZU DIESEM ZWECK ZU WIDERSPRECHEN; DIES GILT AUCH FÜR PROFILIERUNG, SOWEIT SIE MIT SOLCHER DIREKTVERMARKTUNG IN ZUSAMMENHANG STEHT. WENN SIE WIDERSPRECHEN, WERDEN IHRE PERSONENBEZOGENEN DATEN FOLGEND NICHT MEHR ZUM ZWECK DER DIREKTVERMARKTUNG VERWENDET (WIDERSPRUCH GEMÄß ART. 21 ABS. 2 DSGVO).
Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) haben die betroffenen Personen das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, insbesondere in dem Mitgliedstaat, in dem sie ihren Wohnsitz, ihren Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes haben. Das Recht, eine Beschwerde einzureichen, lässt andere administrative oder gerichtliche Rechtsbehelfe unberührt.
Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die wir automatisch auf der Grundlage Ihrer Zustimmung oder zur Erfüllung eines Vertrages verarbeiten, in einem gängigen, maschinenlesbaren Format an Sie oder an einen Dritten zu übertragen. Wenn Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen anfordern, erfolgt dies nur, wenn dies technisch machbar ist. SSL- oder TLS-Verschlüsselung
Diese Website verwendet aus Sicherheitsgründen SSL- oder TLS-Verschlüsselung, um die Übertragung vertraulicher Inhalte, wie Bestellungen oder Anfragen, die Sie uns als Betreiber der Website senden, zu schützen. Sie können eine verschlüsselte Verbindung daran erkennen, dass sich die Adresszeile des Browsers von „http://“ zu „https://“ ändert und durch das Vorhängeschloss-Symbol in Ihrem Browser.
Wenn die SSL- oder TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, von Dritten nicht gelesen werden.
Information, Löschung und Berichtigung
Im Rahmen der geltenden gesetzlichen Bestimmungen haben Sie jederzeit das Recht auf kostenlose Auskunft über Ihre gespeicherten persönlichen Daten, deren Herkunft und Empfänger sowie den Zweck der Datenverarbeitung und gegebenenfalls auf Berichtigung oder Löschung dieser Daten. Bei weiteren Fragen zum Thema personenbezogene Daten können Sie uns jederzeit unter der im Impressum angegebenen Adresse kontaktieren.
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Dazu können Sie uns jederzeit unter der im Impressum angegebenen Adresse kontaktieren. Das Recht auf Einschränkung der Verarbeitung besteht in den folgenden Fällen:
Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Überprüfung haben Sie das Recht, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken.
Wenn die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig war/ist, können Sie die Einschränkung der Datenverarbeitung anstelle der Löschung verlangen.
Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie diese jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten anstelle der Löschung zu verlangen.
Wenn Sie Widerspruch gemäß Art. 21 (1) DSGVO eingelegt haben, müssen Ihre Interessen und unsere Interessen abgewogen werden. Solange nicht bereits festgestellt wurde, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – abgesehen von ihrer Speicherung – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte eines anderen natürlichen oder juristischen Persons oder aus Gründen des wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
Widerspruch gegen Werbe-E-Mails
Wir widersprechen hiermit der Verwendung von Kontaktdaten, die im Rahmen unserer Pflicht zur Bereitstellung eines rechtlichen Hinweises veröffentlicht wurden, zum Zwecke der Zusendung von unaufgeforderter Werbung und Informationsmaterial. Die Betreiber dieser Website behalten sich ausdrücklich das Recht vor, rechtliche Schritte im Falle der unaufgeforderten Zusendung von Werbeinformationen, wie z.B. Spam-E-Mails, einzuleiten.
Datensammlung auf dieser Website
Kekse
Einige Internetseiten verwenden sogenannte Cookies. Cookies schädigen Ihren Computer nicht und enthalten keine Viren. Cookies werden verwendet, um unsere Website benutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert und von Ihrem Browser gespeichert werden.
Die meisten der von uns verwendeten Cookies sind sogenannte „Sitzungscookies“. Sie werden am Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie sie löschen. Diese Cookies ermöglichen es uns, Ihren Browser bei Ihrem nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser so einstellen, dass Sie über die Verwendung von Cookies informiert werden und Cookies nur in bestimmten Fällen erlauben, die Annahme von Cookies für bestimmte Fälle oder allgemein ausschließen und die automatische Löschung von Cookies beim Schließen des Browsers aktivieren. Wenn Cookies deaktiviert sind, kann die Funktionalität dieser Website eingeschränkt sein.
Cookies, die erforderlich sind, um den elektronischen Kommunikationsprozess durchzuführen oder bestimmte Funktionen bereitzustellen, die Sie angefordert haben (z. B. Warenkorb-Funktion), werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Anbieter der Website hat ein berechtigtes Interesse an der Speicherung von Cookies für die technisch fehlerfreie und optimierte Bereitstellung seiner Dienste. Wenn eine entsprechende Einwilligung eingeholt wurde (z. B. Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung kann jederzeit widerrufen werden.
Soweit andere Cookies (z. B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung separat behandelt.
Serverprotokolldateien
Der Anbieter der Seiten sammelt und speichert automatisch Informationen in sogenannten Serverprotokolldateien, die Ihr Browser uns automatisch überträgt. Diese sind
Browsertyp und Browserversion
Verwendetes Betriebssystem
Referrer-URL
Hostname des zugreifenden Computers
Zeit der Serveranfrage
IP-Adresse
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.
Diese Daten werden auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfasst. Der Webseitenbetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung seiner Webseite – die Serverprotokolldateien müssen zu diesem Zweck erfasst werden.
Die Protokolldateien werden nach 90 Tagen gelöscht.
Kontaktiere uns
Wenn Sie uns Anfragen über das Kontaktformular senden, werden Ihre Angaben aus dem Anfrageformular, einschließlich der dort angegebenen Kontaktdaten, von uns gespeichert, um die Anfrage zu bearbeiten und im Falle von Rückfragen. Wir werden diese Daten ohne Ihre Zustimmung nicht weitergeben.
Diese Daten werden auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet, wenn Ihre Anfrage mit der Erfüllung eines Vertrags in Zusammenhang steht oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen anderen Fällen basiert die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Zustimmung (Art. 6 Abs. 1 lit. a DSGVO), sofern diese angefordert wurde.
Wir werden die von Ihnen im Kontaktformular angegebenen Daten bis zu Ihrer Aufforderung zur Löschung, der Widerrufung Ihrer Zustimmung zur Speicherung oder dem Wegfall des Zwecks der Speicherung aufbewahren (z.B. nach Erledigung Ihrer Anfrage). Gesetzliche Pflichtangaben – insbesondere Aufbewahrungsfristen – bleiben unberührt.
Anfrage per E-Mail oder Telefon
Wenn Sie uns per E-Mail oder Telefon kontaktieren, speichern und verarbeiten wir Ihre Anfrage, einschließlich aller personenbezogenen Daten (Name, Anfrage), um Ihr Anliegen zu bearbeiten. Wir geben diese Daten nicht ohne Ihre Zustimmung weiter.
Diese Daten werden auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet, wenn Ihre Anfrage mit der Erfüllung eines Vertrags verbunden ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen anderen Fällen basiert die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und/oder unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), da wir ein berechtigtes Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen haben.
Die Daten, die Sie uns über Kontaktanfragen senden, bleiben bei uns, bis Sie uns bitten, sie zu löschen, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck der Datenspeicherung nicht mehr zutrifft (z. B. nachdem Ihre Anfrage bearbeitet wurde). Gesetzliche Vorschriften, insbesondere gesetzliche Aufbewahrungsfristen, bleiben unberührt.
Verarbeitung von Daten (Kunden- und Vertragsdaten)
Wir erheben, verarbeiten und nutzen personenbezogene Daten nur insoweit, als es für die Begründung, den Inhalt oder die Änderung des Rechtsverhältnisses (Bestandsdaten) erforderlich ist. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erlaubt. Wir erheben, verarbeiten und nutzen personenbezogene Daten über die Nutzung dieser Website (Nutzungsdaten) nur insoweit, als dies erforderlich ist, um dem Benutzer die Nutzung des Dienstes zu ermöglichen oder ihn dafür in Rechnung zu stellen.
Die erfassten Kundendaten werden nach Abschluss der Bestellung oder Beendigung der Geschäftsbeziehung gelöscht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.
Übertragung und Offenlegung personenbezogener Daten
Im Rahmen unserer Verarbeitung personenbezogener Daten können die Daten an andere Stellen, Unternehmen, rechtlich unabhängige Organisationseinheiten oder Personen übertragen oder offengelegt werden. Die Empfänger dieser Daten können beispielsweise Zahlungsinstitute im Rahmen von Zahlungstransaktionen, mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Dienstleistungen und Inhalten, die in eine Website integriert sind, umfassen. In solchen Fällen beachten wir die gesetzlichen Anforderungen und schließen insbesondere entsprechende Verträge oder Vereinbarungen mit den Empfängern Ihrer Daten ab, die dem Schutz Ihrer Daten dienen. Datenverarbeitung in Drittländern
Wenn wir Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder wenn die Verarbeitung im Rahmen der Nutzung von Dienstleistungen Dritter oder der Offenlegung oder Übertragung von Daten an andere Personen, Stellen oder Unternehmen erfolgt, geschieht dies nur in Übereinstimmung mit den gesetzlichen Anforderungen.
Vorbehaltlich ausdrücklicher Zustimmung oder Übertragungen, die aufgrund von Verträgen oder Gesetzen erforderlich sind, verarbeiten wir oder lassen die Daten in Drittländern nur mit einem anerkannten Niveau an Datenschutz, einschließlich US-Prozessoren, die unter dem „Data Privacy Framework“ zertifiziert sind, oder auf der Grundlage besonderer Garantien, wie vertraglichen Verpflichtungen durch sogenannte Standardschutzklauseln der EU-Kommission, dem Vorhandensein von Zertifizierungen oder verbindlichen internen Datenschutzvorschriften (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de).
Analysetools und Werbung
Semrush
Für Analysen und Optimierung, insbesondere für die SEO-Optimierung, verwenden wir Semrush vom Dienstanbieter: Semrush Inc, 800 Boylston Street, Suite 2475, Boston, MA 02199, USA. Insbesondere werden die folgenden Informationen verarbeitet: IP-Adresse und Geräte-ID.
Die Rechtsgrundlage ist Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Analyse und Optimierung unserer Website.
Website: https://de.semrush.com, Datenschutzrichtlinie: https://de.semrush.com/company/legal/privacy-policy/
Google Tag Manager
Google Tag Manager ist eine Lösung, mit der wir sogenannte Website-Tags über eine Schnittstelle verwalten können (und so Google Analytics und andere Google-Marketingdienste in unser Online-Angebot integrieren können, zum Beispiel). Der Tag Manager selbst (der die Tags implementiert) verarbeitet keine personenbezogenen Daten der Nutzer. Hinsichtlich der Verarbeitung personenbezogener Daten der Nutzer verweisen wir auf die folgenden Informationen zu Google-Diensten. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Webseite: https://marketingplatform.google.com; Datenschutzrichtlinie: https://policies.google.com/privacy; Privacy Shield (Gewährleistung des Datenschutzniveaus bei der Verarbeitung von Daten in den USA): https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active.
Google Analytics
Google Analytics verwendet sogenannte „Cookies“. Dies sind Textdateien, die auf Ihrem Computer gespeichert werden und die Nutzung der Website analysieren. Die durch das Cookie erzeugten Informationen über Ihre Nutzung dieser Website werden in der Regel an einen Google-Server in den USA übertragen und dort gespeichert.
Die Speicherung der Google Analytics-Cookies und die Nutzung dieses Analysetools basieren auf Art. 6 Abs. 1 lit. f DSGVO. Der Webseitenbetreiber hat ein berechtigtes Interesse an der Analyse des Benutzerverhaltens, um sowohl seine Website als auch seine Werbung zu optimieren. Wenn eine entsprechende Einwilligung angefordert wurde (z. B. die Zustimmung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung kann jederzeit widerrufen werden.
Die folgende Tabelle beschreibt alle Cookies, die von gtag.js gesetzt werden. Weitere Informationen zu den in Analytics gesammelten Daten finden Sie unter https://support.google.com/analytics/answer/6004245.
Wenn Sie Ihre Zustimmung zur Verwendung von Cookies zu Marketingzwecken gegeben haben, wird Google Ads auf dieser Website verwendet. Google Ads ermöglicht es uns, Anzeigen in der Google-Suchmaschine oder auf Drittanbieter-Websites anzuzeigen, wenn der Benutzer bestimmte Suchbegriffe bei Google eingibt (Keyword-Targeting). Darüber hinaus können gezielte Anzeigen basierend auf den bei Google verfügbaren Benutzerdaten (z. B. Standortdaten und Interessen) angezeigt werden (Zielgruppen-Targeting). Wir können diese Daten quantitativ auswerten, indem wir beispielsweise analysieren, welche Suchbegriffe zur Anzeige unserer Anzeigen geführt haben und wie viele Anzeigen zu entsprechenden Klicks geführt haben. Insofern Daten außerhalb der EU/EEA verarbeitet werden, haben wir auch die geltenden Standardvertragsklauseln der Europäischen Union mit Google im Rahmen unseres Auftragsverarbeitungsvertrages abgeschlossen, um ein angemessenes Niveau an Datenschutz zu gewährleisten.
Google Ads wird von Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland bereitgestellt. Google kann Unterauftragsverarbeiter einsetzen, die Daten außerhalb der EU/EEA verarbeiten, wobei das Schutzniveau möglicherweise nicht den europäischen Standards entspricht.
Die rechtliche Grundlage ist Ihre Zustimmung gemäß § 25 Abs. I S. 1, 2 TTDSG, Art.6 Abs.1 S.1 lit. a) DSGVO.
Sie können Ihre Zustimmung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie auf die Cookie-Einstellungen zugreifen und Ihre Auswahl dort ändern. Dies berührt nicht die Rechtmäßigkeit der Verarbeitung, die auf Grundlage der Zustimmung bis zur Widerrufung durchgeführt wurde.
Wir haben in diesem Zusammenhang keine personenbezogenen Daten gespeichert.
Name
_ga
_ga_<Container-ID>
Laufzeit
2 Jahre
2 Jahre
Domäne
basebox.ai |
basebox.ai |
Beschreibung
Wird verwendet, um zwischen einzelnen Benutzern zu unterscheiden. |
Wurde verwendet, um den Sitzungsstatus zu speichern. |
Posthog
Wir nutzen die Dienste von PostHog Inc, 2261 Market Street #4008, San Francisco, CA 94114, USA (im Folgenden als „PostHog“ bezeichnet). Posthog sammelt bestimmte Daten, um das Verhalten der Nutzer auf unserer Website zu analysieren und uns Informationen zu liefern, wie wir unsere Website verbessern können. Die von Posthog gesammelten Daten umfassen die IP-Adresse des Nutzers, Datum und Uhrzeit des Zugriffs, Browsertype und -version, das Betriebssystem des Nutzers, die Referrer-URL, den Hostnamen des zugreifenden Computers und Ereignisdaten, die wir selbst definieren (z.B. Klicks, Besuche).
PostHog überträgt und speichert die Daten ausschließlich auf Servern in der EU, ist jedoch ein US-Unternehmen. Wir haben daher mit Posthog Standardvertragsklauseln der Europäischen Kommission als geeignete Garantien abgeschlossen, damit ein angemessenes Schutzniveau bei der Verarbeitung Ihrer Daten gewährleistet ist. Sie können die Standardvertragsklauseln unter https://docs.google.com/document/d/1xfpP1SCFoI1qSKM6rEt9VqRLRUEXiKj9_0Tvv2mP928/edit und unter https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de. einsehen.
Die Verarbeitung der Daten erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können diese Einwilligung jederzeit widerrufen. Die von Posthog gesammelten Daten werden so lange gespeichert, wie es zur Erfüllung des Zwecks, zu dem sie gesammelt wurden, notwendig ist. Die Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist gesetzlich erforderlich oder für die Durchführung eines Vertrags notwendig.
Sie haben das Recht auf Auskunft über die bei uns gespeicherten Daten, die Berichtigung unrichtiger Daten und die Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Sie haben auch das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen und der Verarbeitung Ihrer Daten zu widersprechen. Wenn Sie Ihre Rechte ausüben möchten, kontaktieren Sie uns bitte.
Newsletter
Newsletter-Daten
Wenn Sie den Newsletter unseres Unternehmens abonnieren, werden die Daten in der jeweiligen Eingabemaske an den Verantwortlichen übermittelt. Das Abonnieren unseres Newsletters erfolgt in einem sogenannten Double-Opt-In-Verfahren. Das bedeutet, dass Sie nach der Registrierung eine E-Mail erhalten, in der Sie aufgefordert werden, Ihre Registrierung zu bestätigen. Diese Bestätigung ist notwendig, damit sich niemand mit den E-Mail-Adressen anderer Personen registrieren kann. Bei der Registrierung für den Newsletter werden die IP-Adresse des Nutzers sowie das Datum und die Uhrzeit der Registrierung gespeichert. Dies dient dazu, Missbrauch der Dienste oder der E-Mail-Adresse der betroffenen Person zu verhindern. Die Daten werden nicht an Dritte weitergegeben. Eine Ausnahme gilt, wenn es eine rechtliche Verpflichtung zur Weitergabe der Daten gibt. Die Daten werden ausschließlich zum Versand des Newsletters verwendet. Das Abonnieren des Newsletters kann von der betroffenen Person jederzeit beendet werden. Die Einwilligung zur Speicherung personenbezogener Daten kann ebenfalls jederzeit widerrufen werden. Zu diesem Zweck gibt es einen entsprechenden Link in jedem Newsletter. Die rechtliche Grundlage für die Verarbeitung von Daten nach der Registrierung für den Newsletter durch den Nutzer ist Art. 6 Abs. 1 lit. a) DSGVO, sofern der Nutzer seine Einwilligung gegeben hat. Die rechtliche Grundlage für den Versand des Newsletters im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen ist § 7 Abs. 3 UWG.
Nutzung von Rapidmail
Beschreibung und Zweck: Wir verwenden rapidmail, um Newsletter zu versenden. Der Anbieter ist rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg, Deutschland. Unter anderem wird rapidmail verwendet, um den Versand von Newslettern zu organisieren und zu analysieren. Die Daten, die Sie zum Zweck der Anmeldung zum Newsletter eingeben, werden auf den Servern von rapidmail in Deutschland gespeichert. Wenn Sie nicht von rapidmail analysiert werden möchten, müssen Sie sich vom Newsletter abmelden. Zu diesem Zweck stellen wir in jeder Newsletter-Nachricht einen entsprechenden Link zur Verfügung. Zum Zweck der Analyse enthalten die mit rapidmail versandten E-Mails ein sogenanntes Tracking-Pixel, das sich mit den rapidmail-Servern verbindet, wenn die E-Mail geöffnet wird. Auf diese Weise kann festgestellt werden, ob eine Newsletter-Nachricht geöffnet wurde. Wir können auch mit rapidmail bestimmen, ob und welche Links in der Newsletter-Nachricht angeklickt wurden. Optional können Links in der E-Mail als Tracking-Links gesetzt werden, mit denen Ihre Klicks gezählt werden können.
Rechtsgrundlage: Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. a) DSGVO.
Empfänger: Der Empfänger der Daten ist die rapidmail GmbH.
Übertragung in Drittländer: Daten werden nicht in Drittländer übertragen.
Dauer: Die von uns im Rahmen Ihrer Zustimmung zum Zweck des Newsletters gespeicherten Daten werden von uns gespeichert, bis Sie sich vom Newsletter abmelden, und nach Ihrer Abmeldung sowohl von unseren Servern als auch von den Servern von rapidmail gelöscht. Daten, die wir zu anderen Zwecken (z.B. E-Mail-Adressen für den Mitgliederbereich) gespeichert haben, bleiben hiervon unberührt.
Widerrufsoption: Sie haben die Möglichkeit, Ihre Einwilligung zur Datenverarbeitung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt von dem Widerruf unberührt.
Nutzung von sozialen Medien
Wir haben Profile in sozialen Netzwerken. Unsere Social-Media-Konten ergänzen unsere Website und bieten Ihnen die Möglichkeit, mit uns zu interagieren. Sobald Sie auf unsere Social-Media-Profile in den sozialen Netzwerken zugreifen, gelten die Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien der jeweiligen Betreiber. Die Daten, die über Sie gesammelt werden, wenn Sie die Dienste nutzen, werden von den Netzwerken verarbeitet und können auch in Länder außerhalb der Europäischen Union übertragen werden, in denen kein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten besteht. Grundsätzlich haben wir keinen Einfluss auf die Datenverarbeitung in den sozialen Netzwerken, da wir, wie Sie, Nutzer des Netzwerks sind. Informationen darüber und welche Daten von den sozialen Netzwerken verarbeitet werden und zu welchen Zwecken die Daten verwendet werden, finden Sie in der Datenschutzerklärung des jeweiligen unten aufgeführten Netzwerks. Wir nutzen die folgenden sozialen Netzwerke:
Unsere Webseite ist verfügbar unter: https://www.facebook.com/profile.php?id=61555336381194
Der Betreiber des Netzwerks ist: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland.
Datenschutzrichtlinie des Netzwerks: https://www.facebook.com/about/privacy Datenschutzrichtlinie des Netzwerks: https://privacycenter.instagram.com/
Unsere Website ist verfügbar unter: https://www.linkedin.com/company/basebox/
Der Betreiber des Netzwerks ist: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland.
Datenschutzrichtlinie des Netzwerks: www.linkedin.com/legal/privacy-policy
Unsere Website ist verfügbar unter: https://www.reddit.com/user/baseboxio/
Der Betreiber des Netzwerks ist: Reddit, Inc., 1455 Market Street, Suite 1600, San Francisco, CA 94103, Vereinigte Staaten
Datenschutzrichtlinie des Netzwerks: https://www.reddit.com/policies/privacy-policy
X
Unsere Website ist verfügbar unter: https://twitter.com/basebox_ai
Der Betreiber des Netzwerks ist: Twitter International Unlimited Company, One Cumberland Place, Fenian Street Dublin 2
Datenschutzrichtlinie des Netzwerks: https://twitter.com/de/privacy
Geteilte Verantwortung
Zwecke:
Wir verarbeiten personenbezogene Daten als unser eigener Verantwortlicher, wenn Sie uns Anfragen über die sozialen Medienprofile senden. Wir verarbeiten diese Daten, um auf Ihre Anfragen zu antworten. Darüber hinaus sind wir gemeinsam Verantwortliche mit den folgenden Netzwerken und gemeinsam verantwortlich für die folgenden Verarbeitungsvorgänge (Art. 26 DSGVO). Im Rahmen des Besuchs unseres Profils im LinkedIn-Netzwerk sowie auf Facebook und Instagram sammelt das Netzwerk aggregierte Statistiken („Insights-Daten“), die aus bestimmten Ereignissen erstellt werden, die von ihren Servern protokolliert werden, wenn Sie mit unseren Profilen und verwandten Inhalten interagieren. Wir erhalten diese aggregierten und anonymen Statistiken vom Netzwerk über die Nutzung unseres Profils. Im Allgemeinen sind wir nicht in der Lage, die Daten bestimmten Benutzern zuzuordnen. Bis zu einem gewissen Grad können wir die Kriterien definieren, nach denen das Netzwerk diese Statistiken für uns erstellt. Wir verwenden diese Statistiken, um unsere Profile interessanter und informativer für Sie zu gestalten.
Weitere Informationen zu dieser Datenverarbeitung bei LinkedIn finden Sie im gemeinsamen Verantwortlicher-Abkommen unter https://legal.linkedin.com/pages-joint-controller-addendumlegal.linkedin.com/pages-joint-controller-addendum. Andernfalls ist das Netzwerk allein verantwortlich für die Verarbeitung Ihrer Daten.
Weitere Informationen zu dieser Datenverarbeitung durch Facebook und Instagram finden Sie im gemeinsamen Verantwortlicher-Abkommen unter: https://www.facebook.com/legal/terms/information_about_page_insights_data
Rechtsgrundlage:
Die Verarbeitung erfolgt auf der Grundlage unseres berechtigen Interesses (Art. 6 Abs. 1 lit. f DSGVO). Das Interesse liegt im jeweiligen Zweck.
Speicherdauer:
Wir speichern im Rahmen der gemeinsamen Verantwortung keine personenbezogenen Daten. Für Kontaktanfragen außerhalb des Netzwerks gelten die obigen Informationen zur Kontaktaufnahme entsprechend.
Plugins und Werkzeuge
YouTube mit verbessertem Datenschutz
Diese Website integriert Videos von YouTube. Der Betreiber der Seiten ist Google Ireland Limited (“Google”), Gordon House, Barrow Street, Dublin 4, Irland.
Wir verwenden YouTube im erweiterten Datenschutzmodus. Laut YouTube bedeutet dieser Modus, dass YouTube keine Informationen über Besucher dieser Website speichert, bevor sie das Video ansehen. Die Übertragung von Daten an YouTube-Partner ist jedoch durch den erweiterten Datenschutzmodus nicht unbedingt ausgeschlossen. Beispielsweise stellt YouTube unabhängig davon, ob Sie ein Video ansehen, eine Verbindung zum Google DoubleClick-Netzwerk her.
Sobald Sie ein YouTube-Video auf dieser Website starten, wird eine Verbindung zu den YouTube-Servern hergestellt. Dies teilt dem YouTube-Server mit, welche unserer Seiten Sie besucht haben. Wenn Sie in Ihr YouTube-Konto eingeloggt sind, ermöglichen Sie es YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Sie können dies verhindern, indem Sie sich von Ihrem YouTube-Konto abmelden.
Darüber hinaus kann YouTube nach dem Start eines Videos verschiedene Cookies auf Ihrem Endgerät speichern. Mit Hilfe dieser Cookies kann YouTube Informationen über Besucher dieser Website erhalten. Diese Informationen werden unter anderem genutzt, um Videostatistiken zu erfassen, die Benutzerfreundlichkeit zu verbessern und Betrugsversuche zu verhindern. Die Cookies verbleiben auf Ihrem Gerät, bis Sie sie löschen.
Nach dem Start eines YouTube-Videos können weitere Datenverarbeitungen ausgelöst werden, auf die wir keinen Einfluss haben.
Die Nutzung von YouTube liegt im Interesse einer ansprechenden Präsentation unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Sofern eine entsprechende Einwilligung eingeholt wurde (z. B. Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung kann jederzeit widerrufen werden.
Weitere Informationen zum Datenschutz bei YouTube finden Sie in deren Datenschutzerklärung unter: https://policies.google.com/privacy?hl=de.
Eigene Dienstleistungen
Verarbeitung von Bewerberdaten
Wir bieten Ihnen die Möglichkeit, sich bei uns zu bewerben (z. B. per E-Mail, Post oder über das Online-Bewerbungsformular). Im Folgenden informieren wir Sie über den Umfang, den Zweck und die Verwendung Ihrer im Rahmen des Bewerbungsprozesses erfassten personenbezogenen Daten. Wir versichern Ihnen, dass Ihre Daten in Übereinstimmung mit dem geltenden Datenschutzrecht und allen anderen gesetzlichen Bestimmungen erfasst, verarbeitet und verwendet werden und dass Ihre Daten streng vertraulich behandelt werden.
Zweck und Umfang der Datenerhebung
Wenn Sie uns eine Bewerbung senden, verarbeiten wir Ihre damit verbundenen personenbezogenen Daten (z. B. Kontakt- und Kommunikationsdaten, Bewerbungsunterlagen, während von Vorstellungsgesprächen vorgenommene Notizen usw.), soweit dies erforderlich ist, um über die Begründung eines Arbeitsverhältnisses zu entscheiden. Die rechtliche Grundlage dafür ist § 26 BDSG nach deutschem Recht (Initiierung eines Arbeitsverhältnisses), Art. 6 Abs. 1 lit. b DSGVO (allgemeine Vertragsinitiierung) und – sofern Sie Ihre Einwilligung gegeben haben – Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit widerrufen werden. Ihre personenbezogenen Daten werden nur innerhalb unseres Unternehmens an Personen weitergegeben, die an der Bearbeitung Ihrer Bewerbung beteiligt sind.
Wenn die Bewerbung erfolgreich ist, werden die von Ihnen übermittelten Daten auf Grundlage von § 26 BDSG-neu und Art. 6 Abs. 1 lit. b DSGVO in unseren Datenverarbeitungssystemen zum Zweck der Umsetzung des Arbeitsverhältnisses gespeichert.
Datenaufbewahrungsfrist
Wenn wir Ihnen kein Jobangebot machen können, Sie ein Jobangebot ablehnen oder Ihre Bewerbung zurückziehen, behalten wir uns das Recht vor, die von Ihnen übermittelten Daten auf der Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) bis zu 6 Monate nach Ende des Bewerbungsprozesses (Ablehnung oder Rückzug der Bewerbung) zu speichern. Die Daten werden dann gelöscht und die physischen Bewerbungsunterlagen vernichtet. Die Speicherung dient insbesondere als Nachweis im Falle eines Rechtsstreits. Wenn absehbar ist, dass die Daten nach Ablauf der 6-Monats-Frist benötigt werden (z. B. aufgrund eines drohenden oder laufenden Rechtsstreits), werden die Daten nur gelöscht, wenn der Zweck für die weitere Speicherung nicht mehr gilt.
Daten können auch länger gespeichert werden, wenn Sie Ihre Einwilligung gegeben haben (Art. 6 Abs. 1 lit. a DSGVO) oder wenn gesetzliche Aufbewahrungspflichten eine Löschung verhindern.
Auftragsverarbeitungsvereinbarung (AVV)
Der Kunde – wie in den Nutzungsbedingungen definiert -
– im Folgenden „Auftraggeber“ –
und
basebox GmbH, Bahnhofplatz 3, 86919 Utting am Ammersee
– im Folgenden „basebox“ –
– eine von ihnen im Folgenden „die Partei“; beide zusammen im Folgenden „die Parteien“ –
haben die folgende Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen, um Ihre Verpflich-tungen aus Art. 28 Abs. 3 DSGVO zu erfüllen.
Präambel
Die Parteien haben sich auf die Erbringung von Dienstleistungen im Zusammenhang mit der Be-reitstellung und Nutzung von KI-Modellen - wahlweise in der Cloud oder on-premise - geeinigt und hierüber eine vertragliche Vereinbarung in Form von Nutzungsbedingungen (der „Vertrag“) geschlossen. Um die Dienstleistungen vereinbarungsgemäß erbringen zu können ist es erforder-lich, dass basebox im Auftrag und auf Weisung des Auftraggebers personenbezogene Daten ver-arbeitet. Zweck dieser Auftragsverarbeitungsvereinbarung (der „Vereinbarung“) ist es, die Ver-pflichtungen der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch basebox als Auftragsverarbeiter im Auftrag des Auftraggebers als Verantwortlichem festzu-legen.
1. Standardvertragsklauseln
1.1 Die Parteien vereinbaren die in Anlage 1 beigefügten Standardvertragsklauseln gemäß des Durchführungsbeschlusses der Europäischen Kommission vom 04. Juni 2021 [C(2021) 3701 final].
1.2 Soweit die Übermittlung personenbezogener Daten durch basebox an den Auftraggeber eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU darstellt, bspw. weil der Auftraggeber seinen Sitz außerhalb der EU hat, vereinbaren die Parteien die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679, wie sie von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 vereinbart wurden und dieser Vereinbarung als Anlage 2 beigefügt sind (die "Internationalen Standardvertragsklauseln"). Die Anhänge I (I.A „SCC International“), II (I.B. „SCC International“), III (II. „SCC International“) und IV (III. „SCC International“) der Anlage 1 gelten entsprechend.
1.3 Die Standardvertragsklauseln und die internationalen Standardvertragsklauseln werden durch die Regelungen dieser Auftragsverarbeitungsvereinbarung ergänzt.
1.4 Soweit eine Regelung in dieser Auftragsverarbeitungsvereinbarung oder sonstigen Bedingungen zwischen den Parteien den Regelungen in den Standardvertragsklauseln oder den internationalen Standardvertragsklauseln widerspricht, gehen die Regelungen der Standardvertragsklauseln bzw. der internationalen Standardvertragsklauseln den übrigen Regelungen vor. Soweit eine Regelung der Standardvertragsklauseln aus Ziffer 1.1 den internationalen Standardvertragsklauseln aus Ziffer 1.2 widerspricht, gehen die internationalen Standardvertragsklauseln vor.
2 Ergänzende Regelungen
2.1 Weisungen und Pflichten des Auftraggebers
2.1.1 Die Weisungen werden anfänglich durch den Vertrag und diese Vereinbarung (samt Anlagen und Anhängen) festgelegt und können von dem Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform, z.B. via E-Mail) an basebox durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im zugrundeliegenden Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
2.1.2 basebox hat das Recht, die technischen und organisatorischen Maßnahmen, die in der Auftragsverarbeitungsvereinbarung und ihren Anlagen und Anhängen festgelegt sind, jederzeit zu ergänzen oder zu ändern, wobei das Sicherheitsniveau jedoch nicht unter das ursprünglich vereinbarte Niveau sinken darf.
2.1.3 Der Auftraggeber hat basebox unverzüglich und vollständig zu informieren, wenn er bei der Verarbeitung personenbezogener Daten Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
2.1.4 Die Person, welche für die Kundin als Admin registriert ist, nimmt für basebox die Rolle als Ansprechperson für im Rahmen des Vertrages und der Vereinbarung anfallende Datenschutzfragen.
2.2 Übermittlungen von Daten an ein Drittland
Als Weisung im Sinne von Ziffer 7.8 gilt insbesondere auch die Genehmigung zur Einset-zung eines Unterauftragsverarbeiters.
2.3 Inspektionen
2.3.1 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder eine von ihr beauftragte Prüfer*in erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Unangemeldete Audits und/oder Audits außerhalb der Geschäftszeiten sind nur im Einzelfall und nur dann zulässig, soweit dies für den Nachweis, dass der Auftragsverarbeiter die gesetzlichen Pflichten oder die Pflichten aus diesem Vertrag erfüllt oder nicht erfüllt erforderlich ist. Die Erforderlichkeit muss durch auf nachvollziehbaren Tatsachen gründenden Vermutungen belegt sein.
2.3.2 Sollte basebox sich dazu entschließen selbst einen fachkundigen, unabhängigen externen Inspektor oder Prüfer zu beauftragen, stimmt der Auftraggeber dieser Beauftragung unter der Bedingung zu, dass er eine Kopie des Berichts erhält.
2.4 Haftung und Freistellung
2.4.1 Es gelten die Haftungsregelungen des Vertrags soweit nicht etwas Abweichendes ausdrücklich vereinbart ist.
2.4.2 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO wird der Auftraggeber basebox freistellen, soweit basebox die zugrundeliegende Verletzung datenschutzrechtlicher Vorschriften nicht zu vertreten hat.
2.5 Sonstiges
2.5.1 Änderungen und Ergänzungen dieser AVV und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen der Auftragnehmerin – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
2.5.2 Es gilt das im zugrundeliegenden Vertrag gewählte Recht.
Anlage 1
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von: Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG] sichergestellt werden.
b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
d) Die Anhänge I bis IV sind Bestandteil der Klauseln.
e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679.
f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
Unabänderbarkeit der Klauseln
a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3
Auslegung
a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Klausel 4
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
Klausel 5 (entfallen)
ABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 6
Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
Klausel 7
Pflichten der Parteien
7.1 Weisungen
a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
7.2 Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für die in Anhang II genannten spezifischen Zwecke, sofern er keine weiteren Weisungen des Verantwortlichen erhält.
7.3 Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
7.4 Sicherheit der Verarbeitung
a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5 Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.
7.6 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e) Die Parteien stellen der zuständigen Aufsichtsbehörde die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
7.7 Einsatz von Unterauftragsverarbeitern
a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 3 Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 unterliegt.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8 Internationale Datenübermittlungen
a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen.
b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8
Unterstützung des Verantwortlichen
a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
1) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
2) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
3) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679].
d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Klausel 9
Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
1) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
3) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679], die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679] zu unterstützen.
ABSCHNITT III – SCHLUSSBESTIMMUNGEN
Klausel 10
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
2) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt;
3) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt.
c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
ANHANG I – LISTE DER PARTEIEN
Verantwortlicher: [Identität und Kontaktdaten des/der für die Verarbeitung Verantwortlichen und ggf. des Datenschutzbeauftragten des für die Verarbeitung Verantwortlichen].
Verantwortlicher ist der Auftraggeber:
Der Kunde, wie in den Nutzungsbedingungen definiert
Auftragsverarbeiter: [Identität und Kontaktdaten des Auftragsverarbeiters und ggf. des Datenschutzbeauftragten des Auftragsverarbeiters].
basebox GmbH
Kontaktdaten des Datenschutzbeauftragten des Auftragsverarbeiters:
Bahnhofsplatz 3
86919 Utting am Ammersee
Deutschland
Telefon: +49 8806 9590600
E-Mail: contact@basebox.ai
ANHANG II – BESCHREIBUNG DER VERARBEITUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden
Der Kunde
Von dem Kunden eingeladene Benutzer
Personen, deren Daten in den Input-Prompts enthalten sind, die die Kundin oder ihre User durch das KI-Modell verarbeiten lassen.
Kategorien personenbezogener Daten, die verarbeitet werden
Die Verarbeitung relevanter personenbezogener Daten erstreckt sich auf:
Namen,
Geschäftsadressen,
E-Mailadressen,
Telefonnummern,
Bankverbindungen,
sonstige in den Prompts enthaltene Daten,
soweit Installations- und/oder Support geleistet wird, alle Datenkategorien, mit denen der Auftragsverarbeiter in Kontakt kommt.
RAG Daten
Sensible verarbeitete Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.
Die Verarbeitung sensibler Daten erfolgt im Zusammenhang mit der Erbringung der vereinbarten Dienstleistungen nicht. Soweit der Verantwortliche die Dienste des Auftragsverarbeiters für die Verarbeitung sensibler Daten einsetzt, wird er ihn entsprechend informieren.
Art der Verarbeitung
Der Auftragsverarbeiter erbringt gegenüber dem Verantwortlichen die vereinbarten Dienstleistungen. Die Art der Verarbeitung personenbezogener Daten umfasst jede Ver-arbeitung, die erforderlich ist, damit der Auftragsverarbeiter diese Dienste für den Auf-traggebers erbringen kann. Sie umfasst insbesondere das Sammeln, die Organisation, die Strukturierung, die Speicherung und die Bereitstellung personenbezogener Daten, kann aber auch jeden anderen Vorgang wie die Anpassung oder Veränderung, das Abrufen, die Abfrage, die Nutzung, die Offenlegung durch Übermittlung, die Verbreitung, den Ab-gleich oder die Kombination, die Einschränkung, die Löschung oder die Vernichtung per-sonenbezogener Daten umfassen.
Zweck, für den die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
Basebox in der Cloud
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur Erbringung seiner Dienstleistungen, wie mit dem Verantwortlichen vereinbart. Dies umfasst insbesondere Bereitstellung von basebox zur Nutzung der angebotenen KI-Modelle und Vertragsmanagement.
Basebox On-Premise
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur Erbringung seiner Dienstleistungen, wie mit dem Verantwortlichen im Vertrag vereinbart. Dies kann insbesondere die Installation und Wartung der basebox-Software sowie die Bereitstellung von Support erfassen. Dauer der Verarbeitung
Die Verarbeitung dauert so lange an, wie der Auftragsverarbeiter seine Dienstleistungen für den Verantwortlichen erbringt und endet mit der Beendigung des Vertrages und der Rückgabe und/oder Löschung der Daten des Verantwortlichen.
ANHANG III – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GE-WÄHRLEISTUNG DER SICHERHEIT DER DATEN
Soweit im Rahmen der On-Premise-Version Dienstleistungen per Fernzugriff erbracht werden, erfolgt der Zugriff über eine sicherem, verschüsselte Verbindung via PAM oder VPN.
Im Übrigen gelten die folgenden weiteren technischen und organisatorischen Maßnahmen
Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
Schutz von geheimen Schlüsseln durch starke Passwörter
Verschlüsselung (asymmetrisch/symmetrisch) nach Stand der Technik
Verschlüsselung von Systemen
Verschlüsselung von Speichermedien
Verschlüsselung von Datenträgern
Verschlüsselung der Kommunikation (z.B. E-Mail Verschlüsselung)
Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
Dokumentation von Berechtigungen
Einsatz von Authentifizierungsverfahren
Gesichertes WLAN
Individuelle Log-In und Kennwortverfahren
Spezielle Schutzvorkehrungen für den Serverraum (Hetzner, Telekom)
Verwendung von starken Passwörtern (z.B. mind. 10-stellig)
Verhinderung der Auswahl schwacher Passwörter bei Anwendungen
Verschwiegenheitsverpflichtungen der Mitarbeiter
Durchführung von Administrationstätigkeiten auf den Servern nur durch kompetent geschulte Personen
Einsatz geeigneter Firewalls
Einsatz von Protokollierungs- Auswertungssystemen, die die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung gewährleisten
Einsatz von Verfahren zur Zwei- oder Mehr-Faktor-Authentifizierung bei Verarbeitungstätigkeiten mit hohem Risiko
Erstellung von Rollenprofilen/Festlegung funktioneller Verantwortlichkeiten
Verwendung von Zugriffsrechte
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederher-zustellen.
Back-Up Verfahren
Geeignete Maßnahmen zur Datensicherung: Erstellte Backups werden an verschiedenen Orten gespeichert und je nach Anwendung unterschiedlich lange vorgehalten
Spiegeln von Festplatten
Vertretungsregelungen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Penetrationstests (umfassender Sicherheitstest einzelner Rechner oder Netzwerke)
Regelmäßige Sensibilisierung der Mitarbeiter (mind. Jährlich)
Regelmäßige Test, ob alle relevanten Daten im Back-Up Prozess enthalten sind und die Wiederherstellung funktioniert
Überprüfung der Wirksamkeit der technischen Maßnahmen (mind. jährlich)
Maßnahmen zur Identifizierung und Autorisierung der Nutzer
Einweisung aller Mitarbeiter in den Umgang mit Authentifizierungsverfahren und -mechanismen
Geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere zur Anlage (z.B. neuer Mitarbeiter), Änderung (z.B. Namenswechsel nach Heirat) und Löschung (z.B. Weggang Mitarbeiter)
Vergabe von eindeutigen Kennungen für jeden Nutzer
Vermeidung von Gruppenkennungen
Maßnahmen zum Schutz der Daten während der Übermittlung
Bereitstellung über verschlüsselte Verbindungen: z.B.: HTTPS nach Stand der Technik einsetzen
SSL-Zertifikat von vertrauenswürdigen Zertifizierungsstellen
Data Hashing (Transformierung von personenbezogenen Daten in eine bestimmte Zeichenfolge)
Nutzung von kryptografischen Tools
Maßnahmen zum Schutz der Daten während der Speicherung
Schutz von geheimen Schlüsseln durch starke Passwörter
Verschlüsselung (asymmetrisch/symmetrisch) nach Stand der Technik
Verschlüsselung von Systemen
Verschlüsselung von Speichermedien
Verschlüsselung von Datenträgern
Verschlüsselung der Kommunkation (z.B. E-Mail Verschlüsselung)
Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezo-gene Daten verarbeitet werden
Es besteht ein Konzept zu Zutrittsregelungen und zur physischen Zugangskontrolle (Perimeterschutz)
Klare Regelungen zum Umgang mit Besuchern (z.B. Begleitung, Sicherheitszonen, Besucherausweise, Protokollierung, Zuständiger Mitarbeiter für Besucher) als Bestandteil des Konzepts
Sichere Schließsysteme samt dokumentierter Schlüsselverwaltung
Feuerhemmende Schränke,/Tresore zur Lagerung essentieller Komponenten (z.B. Backup-Bänder, wichtige Originaldokumente)
Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
Protokollierung und Blockierung von IOCs (Indicators of Compromise)
Protokollierungen auf Firewall-Ebene, um auch unbefugte Zugriffe zwischen den Netzen festzustellen und zu analysieren
Protokollierung von Besuchern
Protokollierung der Eingabe, Änderung und Löschung von Daten
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
Automatische Installation von Sicherheitsupdates für das Betriebssystem und installierte Software
Regelmäßige Datenwiederherstellungstests und Protokollierung der Ergebnisse
Regelmäßige Auswertung von Informationen zu Sicherheitsanfälligkeiten der verwendeten Software
Regelmäßige, ungeforderte Auswertung von Protokolldateien zur Erkennung ungewöhnlicher Einträge
Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
Rollenprofile für die Beschäftigten unter Einbeziehung der Einträge des Verzeichnisses der Verarbeitungstätigkeiten
Regelmäßige Überprüfung (einmal pro Jahr), ob die Zuweisungen der Rollen den Vorgaben entspricht sowie, ob die Rollen noch den Anforderungen der Geschäftstätigkeit entspricht
Keine Administratorenkennungen für Nutzer, die keine administrativen Tätigkeiten ausführen
Die Nutzung von Superuser (z.B. root unter Linux) wird woweit möglich nicht verwendet
Bestimmung von Ansprechpartnern und verantwortlichen Projektmanagern für den konkreten Auftrag
Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungs-schulungen für bestehendes Personal)
Implementierung unternehmensinterner Datenschutz-Richtlinien
Konsequente Einbindung der Datenschutzbeauftragten (DSB) bei Sicherheitsfragen
Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtung nach Art. 33 und 34 DSGVO
Relevante Richtlinien (z.B. zur E-Mail-/Internetnutzung, Einsatz von Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Vorhandensein einer geeigneten Organisationsstruktur für Informationssicherheit
Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
Regelmäßige Sensibilisierung der Mitarbeiter (mind. jährlich)
Regelmäßige Tests, ob allen relevanten Daten im Back-Up Prozess enthalten sind und die Wiederherstellung funktioniert
Überprüfung der Wirksamkeit der technischen Maßnahmen (mind. jährlich)
Maßnahmen zur Gewährleistung der Datenminimierung
Reduzierung von Attributen
Reduzierung der Verarbeitungsoptionen in Verarbeitungsprozessschritten
Festlegung von Voreinstellungen für betroffene Personen, die die Verarbeitung ihrer Daten auf das für den Verarbeitungszweck erforderliche Maß beschränken. Voreinstellungen)
Festlegung und Umsetzung eines Löschkonzepts
Maßnahmen zur Gewährleistung der Datenqualität
Entfernen oder Korrigieren fehlerhafter, doppelter und unvollständiger Datensätze
Einsatz von Software-Tools, die Dateneingaben prüfen um sicherzustellen, dass sie bestimmten Standards oder Formaten entsprechen
Anwendung einheitlicher Formate und Konventionen über alle Datenquellen hinweg, um Konsistenz zu gewährleisten
Training und Sensibilisierung der Mitarbeitenden bezüglich der Bedeutung von Datenqualität und korrektem Datenmanagement
Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung
Erfassung und Speicherung nur der Daten, die für den vorgesehenen Zweck unbedingt notwendig sind
Festlegung einer klaren Ablaufzeit für die Speicherung von Daten, nach der die Daten automatisch gelöscht oder anonymisiert werden
Durchführung regelmäßiger Audits, um sicherzustellen, dass Daten nach Ablauf ihrer Speicherfrist zuverlässig gelöscht werden.
Sicherstellung, dass alle Maßnahmen zur Datenspeicherung den lokalen Datenschutzgesetzen und -vorschriften entsprechen.
Maßnahmen zur Gewährleistung der Rechenschaftspflicht
Es wird ein Verarbeitungsverzeichnis geführt.
Es werden Lösch- und Aufbewahrungskonzepte geführt.
Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach dem PDCA-Zyklus (Plan-Do-Check-Act).
Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungs-schulungen für bestehendes Personal)
Implementierung unternehmensinterner Datenschutz-Richtlinien.
Konsequente Einbindung der Datenschutzbeauftragten (DSB) bei Sicherheitsfragen.
Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtung nach Art. 33 und 34 DSGVO.
Relevante Richtlinien (z.B. zur E-Mail-/Internetnutzung, Einsatz von Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar.
Verpflichtung der Mitarbeiter auf das Datengeheimnis.
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
Es werden Lösch- und Aufbewahrungskonzepte geführt.
Festlegung einer klaren Ablaufzeit für die Speicherung von Daten, nach der die Daten automatisch gelöscht oder anonymisiert werden
Durchführung regelmäßiger Audits, um sicherzustellen, dass Daten nach Ablauf ihrer Speicherfrist zuverlässig gelöscht werden.
Keine Aufbewahrung von Archivdaten in Produktivdatenbanken, sondern Überspielen von Archivdaten aus Produktivsystemen in die Archivsysteme
Archivdaten müssen nach Ablauf der Aufbewahrungsfrist wirksam gelöscht werden.
Durchführung von Datenschutzschulungen für alle Mitarbeiter
TOM der eingesetzten Unterauftragsverarbeiter:
Der Auftragsverarbeiter bedient sich zur Erbringung seiner Dienstleistungen Unterauftragsverarbeitern (siehe Anhang IV). Alle Unterauftragsverarbeiter setzen auf geeignete technische und organisatorische Maßnahmen. Weitere Informationen finden Sie unter:
Für Hetzner: https://www.hetzner.com/AV/TOM.pdf
Für Google Vertex: https://cloud.google.com/vertex-ai/docs/shared-responsibility?hl=de#:~:text=Sicherheit%20ist%20eine%20geteilte%20Verantwortung,Ihrer%20Daten%2C%20Codes%20und%20Modelle.
ANHANG IV – LISTE DER UNTERAUFTRAGSVERARBEITER
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
Unterauftragnehmer
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Google Ireland Ltd. Google Building Gor-don House, Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland
Art der Verarbeitung
Hosting und zur Verfügungstellung des Produkts basebox einschließlich der darin verarbeiteten Kundendaten.
Hosting des Models und Verarbeitung der eingegebenen Prompts sowie Erstellung und Übermittlung der Antworten.
Anlage 2
MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)[1] bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
b) Die Parteien:
i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und
ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),
haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.
c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.
Klausel 2
[1] Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss […] enthaltenen Standardvertragsklauseln stützen.
Wirkung und Unabänderbarkeit der Klauseln
a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
ii) Klausel 8 – Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b Modul zwei: Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b
iii) Klausel 9 – Modul zwei: Klausel 9 Buchstaben a, c, d und e Modul drei: Klausel 9 Buchstaben a, c, d und e
iv) Klausel 12 – Modul eins: Klausel 12 Buchstaben a und d Module zwei und drei: Klausel 12 Buchstaben a, d und f
v) Klausel 13
vi) Klausel 15.1 Buchstaben c, d und e
vii) Klausel 16 Buchstabe e
viii) Klausel 18 – Module eins, zwei und drei Klausel 18 Buchstaben a und b Modul vier: Klausel 18
b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.
Klausel 4
Auslegung
a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.
Klausel 5
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.
Klausel 6
Beschreibung der Datenübermittlung(en)
Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7 – fakultativ
Kopplungsklausel
a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.
b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.
c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.
ABSCHNITT II – PFLICHTEN DER PARTEIEN
Klausel 8
Datenschutzgarantien
Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
8.1 Weisungen
a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwortlicher fungiert.
b) Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, u. a. wenn eine solche Weisung gegen die Verordnung (EU) 2016/679 oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt.
c) Der Datenimporteur sieht von jeglicher Handlung ab, die den Datenexporteur an der Erfüllung seiner Pflichten gemäß der Verordnung (EU) 2016/679 hindern würde, einschließlich im Zusammenhang mit Unterverarbeitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
d) Nach Wahl des Datenimporteurs löscht der Datenexporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass dies erfolgt ist, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.
8.2 Sicherheit der Verarbeitung
a) Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten, auch während der Übermittlung, sowie den Schutz vor einer Verletzung der Sicherheit zu gewährleisten, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art der personenbezogenen Daten[2], der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung und ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.
b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Sicherheit der Daten gemäß Buchstabe a. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Datenexporteur gemäß diesen Klauseln verarbeiteten personenbezogenen Daten meldet der Datenexporteur dem Datenimporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde, und unterstützt den Datenimporteur bei der Behebung der Verletzung.
c) Der Datenexporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8.3 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht Prüfungen und trägt zu diesen bei.
Klausel 9 [gestrichen]
Klausel 10
[2] Hierzu zählt, ob die Übermittlung und Weiterverarbeitung personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten.
Rechte betroffener Personen
Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder – bei der Datenverarbeitung durch den Datenexporteur in der Union – gemäß der Verordnung (EU) 2016/679 gestellt werden.
Klausel 11
Rechtsbehelf
a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.
Klausel 12
Haftung
a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
c) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
d) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.
Klausel 13 [gestrichen]
ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN
Klausel 14
Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,[3]
iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.
Klausel 15
[3] Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.
Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten
15.1 Benachrichtigung
a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder
ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.
c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.
ABSCHNITT IV – SCHLUSSBESTIMMUNGEN
Klausel 16
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.
d) Von dem in der EU ansässigen Datenexporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen unverzüglich vollständig gelöscht werden, einschließlich aller Kopien. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines Landes, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht der Bundesrepublik Deutschland ist.
Klausel 18
Gerichtsstand und Zuständigkeit
Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten der Bundesrepublik Deutschland beigelegt.