Nutzungsbedingungen für basebox
1. Geltungsbereich
1.1. Die nachfolgenden Allgemeinen Geschäftsbedingungen (im Folgenden „Nutzungsbedingungen") gelten für die kostenfreie und kostenpflichtige Nutzung des Produktes „basebox", bereitgestellt durch die basebox GmbH (im Folgenden „basebox GmbH", „wir"), und regeln das rechtliche Verhältnis zwischen basebox GmbH und deren Kundinnen und Kunden (nachfolgend zur einfacheren Lesbarkeit im Singular als die „Kundin" bezeichnet).
1.2. Von diesen Nutzungsbedingungen abweichende Allgemeine Geschäftsbedingungen der Kundin finden keine Anwendung, sofern ihre Geltung durch basebox GmbH nicht ausdrücklich bestätigt worden ist.
1.3. Die Nutzung des Produkts basebox ist nur für Geschäftskunden innerhalb der Europäischen Union (EU) zulässig.
1.4. Für die „Closed Beta"-Phase gelten abweichend von den folgenden Bestimmungen folgende Bedingungen:
1.4.1. Der Vertrag endet abweichend von 4.1automatisch mit Ablauf der „Closed Beta"-Phase.
1.4.2. Die Leistungen können im Rahmen der Beta-Phase von den in Ziffer 5 beschriebenen Leistungen abweichen. Insbesondere können Fehler oder unerwartetes Systemverhalten auftreten.
1.4.3. Sprache des Vertrags ist Deutsch.
2. Definitionen
Im Rahmen dieser Nutzungsbedingungen gelten die folgenden Begriffsdefinitionen:
2.1. „Administrator": Natürliche Person, die die Organisation anlegt, User einlädt, verwaltet, Input-Prompts vorauswählt und die Organisation löschen kann. Die Rolle eines Administrators kann nur eine natürliche Person innehaben, die bevollmächtigt ist, die Kundin alleine rechtsgeschäftlich zu vertreten.
2.2. „basebox": bestehend aus einem bereitgestellten KI-Modell und einer dazugehörigen Oberfläche zur Chat-basierten Nutzung des KI-Modells und der Nutzer- und Abrechnungsverwaltung.
2.3. „Anmeldung": Anlegen eines User-Accounts für eine Organisation auf Einladung des Administrators der Organisation.
2.4. „Chat": Eine Konversation mit dem KI-Modell. User können beliebig viele Chats zu verschiedenen Themen mit dem KI-Modell führen.
2.5. „Chatverlauf": Chronologische Sammlung von Input Prompts und Output innerhalb eines Chats.
2.6. „Input Prompt": Der Prompt, den der User mit Hilfe des Chatfensters an das KI-Modell schickt, inklusive gegebenenfalls hochgeladener zu analysierender Dateien.
2.7. „AI-Apps": Ein vorgefertigter Prompt, den der User auswählt und der im Prompt-Eingabefeld angezeigt wird. Der Nutzer kann diesen Prompt bearbeiten und mit seinen eigenen Texten ergänzen, bevor er ihn an das Modell sendet.
2.8. „KI-Modell": ein Machine Learning-Modell, insbesondere auch ein großes Sprachmodell, das zur Erzeugung von Text eingesetzt werden kann, und das im Rahmen von basebox zur Nutzung bereitgestellt wird.
2.9. „Organisation": virtuelle Benutzergruppe in basebox, angelegt und verwaltet von der Kundin als Administrator. Die User, die der Administrator einlädt, werden als Mitglieder dieser Organisation zugeordnet.
2.10. „Output": Die Antwort des KI-Modells auf die Anfrage des Users.
2.11. „Prompt": eine textuelle Anfrage an ein KI-Modell zur Ausführung einer Aufgabe.
2.12. „Registrierung": das Anlegen einer neuen Organisation.
2.13. „Software": das basebox-System.
2.14. „System Prompt": von basebox GmbH vordefinierte Prompts mit maximal 2000 Token, die gemeinsam mit jedem Input Prompt an das KI-Modell automatisch versendet werden und die durch die User nicht beeinflusst und nicht eingesehen werden können. Diese System Prompts werden eingesetzt, um das KI-Modell zu einem strukturierten und angemessenen Output anzuregen.
2.15. „Token": eine digitale Einheit, um die Betriebskosten der KI-Modelle zu messen. Der Token-Verbrauch wird in Millionen berechnet (per million token, „pmt").
2.16. „User": von dem Administrator explizit eingeladene natürliche Personen, die auf die Einladung hin die Anmeldung bei basebox vornehmen und deren Accounts der Organisation zugeordnet werden und die basebox auf Rechnung der Kundin nutzen dürfen.
2.17. „Open Source Software": ist entsprechend der Open Source Definition der Open Source Initiative Software, die von den jeweiligen Rechteinhabern an jedermann zur umfassenden lizenzgebührenfreien Nutzung lizenziert wird und dessen Sourcecode verfügbar ist.
3. Vertragsschluss
3.1. Die Nutzung von basebox setzt eine Kundenregistrierung einschließlich des Einrichtens einer Organisation voraus. Die Registrierung ist kostenlos. Alle weiteren User einer Organisation registrieren sich nicht eigenständig bei basebox, sondern werden durch den Administrator explizit dazu eingeladen, die Anmeldung bei basebox vorzunehmen und dabei ein Passwort zu wählen.
3.2. Bei der Kundenregistrierung ist eine E-Mail-Adresse anzugeben. Wenn die Registrierung für ein Unternehmen vorgenommen wird, bestätigt die die Registrierung vornehmende Person durch die Registrierung, dass sie berechtigt ist, dieses Unternehmen zu vertreten. Dieser Person, die das Unternehmen registriert, wird zunächst die Rolle „Administrator" zugewiesen.
3.3. Der Vertrag kommt mit der Registrierung der Organisation auf signup.basebox.ai zustande, indem dort die E-Mail-Adresse angegeben und diese entsprechend den Informationen in der daraufhin zugesandten E-Mail bestätigt, ein Passwort festgelegt sowie ein Name für die Organisation gewählt und die Nutzungsbedingungen und die Datenschutzbestimmungen durch Aktivieren der Checkbox akzeptiert werden.
3.4. Der Text dieser Nutzungsbedingungen steht auch nach Vertragsschluss unter basebox.ai/de/nutzungsbedingungen zum Abruf bereit.
4. Beendigung des Vertragsverhältnisses
4.1. Der Vertrag wird auf unbestimmte Zeit geschlossen.
4.2. Jede Vertragspartei kann das Vertragsverhältnis mit einer Frist von 10 Tagen zum Ende des nächsten Kalendermonats kündigen. Die Kündigung kann erfolgen durch den Administrator auf der Website basebox.ai oder per E-Mail an support@basebox.ai. Restguthaben wird nicht ausgezahlt, es sei denn, die Kündigung erfolgt durch basebox GmbH.
4.3. Der Vertrag kann durch die Kundin auch ohne Einhaltung einer Frist gekündigt werden, indem der vertretungsberechtigte Administrator in der Organisationsverwaltung die Organisation löscht. Restguthaben wird nicht ausgezahlt.
5. Leistungsbeschreibung
5.1. basebox
basebox ist ein KI-Management-System, das es ermöglicht, KI-Modelle in einer möglichst sicheren Umgebung unter Berücksichtigung von Datenschutzaspekten und mit dem Ziel der Wahrung von Geschäftsgeheimnissen und Persönlichkeitsrechten zu nutzen. Aktuell werden in basebox ausschließlich große Sprachmodelle (Large Language Models, LLM) angeboten.
5.2. Hosting in der Cloud oder Betrieb On-Premise
5.2.1. basebox wird gehostet auf Servern der basebox GmbH in Europa, bevorzugt in Deutschland. basebox GmbH setzt unter anderem auf OpenIDConnect und selbstgehostetes KeyCloak für die Authentifizierung, um den Kundinnen ein hohes Sicherheitsniveau bieten zu können. Der Einsatz dieser Methoden und die Umsetzung dieser Konzepte liegt im Ermessen von basebox GmbH. basebox GmbH kann die Entscheidung treffen, nur ein einziges Sprachmodell zur Verfügung zu stellen. Absolute Sicherheit wird von basebox GmbH weder gewährleistet noch garantiert.
5.3. Nutzung der KI-Modelle
5.3.1. Die KI-Modelle werden von basebox GmbH ausgewählt und betrieben. basebox GmbH behält sich vor, ein angebotenes KI-Modell jederzeit zu wechseln, wenn beispielsweise leistungsfähigere KI-Modelle zur Verfügung stehen.
5.3.2. Eigene KI-Modelle können in basebox derzeit nicht betrieben werden.
5.3.3. Die Verwendung der KI-Modelle wird tokenbasiert abgerechnet. basebox GmbH stellt eine grafische Übersicht des Token-Verbrauchs mit regelmäßiger Aktualisierung zur Verfügung.
5.3.4. Das Output-Verhalten der KI-Modelle wird von basebox GmbH mittels System Prompts, die die Kundinnen und deren User nicht verändern oder unterbinden können, beeinflusst.
5.4. Prompts und AI-App-Store
5.4.1. Die Nutzung des KI-Modells in basebox ist grundsätzlich mit von der Kundin und deren Usern eigens verfassten Prompts möglich.
5.4.2. Basebox GmbH bietet zudem einen App Store an, in dem vorgefertigte Prompts in Form von AI Apps zur Verfügung gestellt werden.
5.4.3. Diese AI Apps bilden einzelne Use Cases ab und sollen es erleichtern, Prompts zu verwenden. Die von den Usern ausgewählten Prompts werden als Texte im Chat-Eingabefenster angezeigt und können von den Usern vor Verwendung bearbeitet werden.
5.5. Output
basebox GmbH hat keinen Einblick in die Input Prompts und die durch die KI-Modelle erzeugten Outputs. basebox GmbH überprüft den erzeugten Output nicht und gewährleistet weder die Korrektheit oder Qualität der Ergebnisse noch dass diese frei von Rechten Dritter sind.
5.6. Benutzerverwaltung
basebox GmbH stellt für die Organisationsadministration eine rechte- und rollenbasierte Zugriffskontrolle zur Verfügung, in der Administratoren ihre User selbst verwalten können.
6. Preise, Zahlungsbedingungen
6.1. Angegebene Preise verstehen sich jeweils netto zzgl. Umsatzsteuer in der jeweils geltenden gesetzlichen Höhe.
6.2. Der Zugang zu basebox sowie die Nutzung der Organisations- und Abrechnungsverwaltung ist grundsätzlich unentgeltlich möglich.
6.3. Die Nutzung der in basebox bereitgestellten KI-Modelle wird tokenverbrauchsbasiert abgerechnet. Die Verbrauchsermittlung erfolgt pro Millionen Token („pmt"). Der Token-Preis ist variabel.
6.4. Um die bereitgestellten KI-Modelle nutzen zu können, muss durch den Administrator Budget aufgeladen werden, das dann für die tokenverbrauchsbasierte Abrechnung verwendet wird und das allen Usern der Organisation zur Verfügung steht.
Beispiel: der Token-Preis könnte 19 € pmt (also 19 € für eine Million Token) betragen. Es werden 100 € Budget aufgeladen. Für einen fiktiven Prompt und die Ausgabe des Ergebnisses könnten 4000 Token anfallen. Für die Transaktion würden demnach 0,076 € berechnet (19 € / 1.000.000 * 4000). Nach der Transaktion beträgt das Budget 99,924 €.
Mit den Token wird insbesondere die Rechenleistung finanziert, die für die Verwendung des Modells erforderlich ist. Der Preis für die Rechenleistung, die basebox GmbH bezieht, ist variabel. Daher ist auch der Token-Preis variabel. basebox GmbH weist ausdrücklich darauf hin, dass daher die Menge der Token, die mit dem festgelegten Budget verwendet werden kann, nicht präzise im Voraus bestimmbar ist.
6.5. Der aktuelle Token-Preis (pmt) ist im Dashboard der Organisationsadministration sichtbar.
6.6. Für eine Interaktion mit einem KI-Modell wird eine Reihe von Prompts ausgeführt: Ein System Prompt (max. 2000 Token), der gewählte Input Prompt inklusive etwa hochgeladener, zu analysierender Dokumente, sowie die Erzeugung des Outputs. Die Tokenanzahl und damit auch die Grundlage für die Preisberechnung für eine Interaktion setzt sich zusammen aus diesen Prompts und wird entsprechend berechnet, aber nicht gesondert ausgewiesen.
6.7. Die Bezahlung erfolgt per Kreditkarte. Die Kundin definiert ein Budget für Token, das von der Kreditkarte abgebucht wird. Ein Mindestbetrag ist dafür nicht vorgesehen, die Kundin kann also selbst definieren, wie viel Budget der Organisation zur Verfügung steht. Es kann jederzeit Budget nachgekauft werden.
6.8. Scheitert die Kreditkartenzahlung mangels ausreichender Deckung oder aufgrund schuldhaften Verhaltens der Kundin, kann basebox GmbH die Erstattung der von den beteiligten Banken und Zahlungsdienstleistern in Rechnung gestellten Rückbuchungsgebühren von Ihnen verlangen.
6.9. Mit dem Token-Budget können die von basebox GmbH bereitgestellten KI-Modelle mittels eigener Prompts genutzt und AI Apps verwendet werden.
6.10. Das Budget kann zeitlich unbegrenzt verwendet werden.
6.11. Wenn das Budget aufgebraucht ist, erfolgt eine Reduzierung der Nutzungsmöglichkeit auf einen Prompt je Stunde, bis die Kundin wieder neues Budget erworben hat.
7. Datenschutz und Sicherheit
7.1. Ausgeführte Prompts, die Inhalte hochgeladener Dateien und der Chatverlauf werden lediglich für eine Dauer von 30 Tagen im Browser des Users gespeichert. Prompts und die Inhalte hochgeladener Dateien werden zur Ausführung der Dienste außerdem an das KI-Modell gesendet.
7.2. basebox GmbH hat auf die Inhalte keinen Zugriff.
7.3. basebox GmbH unternimmt alle unter wirtschaftlichen Gesichtspunkten sinnvollen Maßnahmen, um vernünftige Sicherheitsmaßnahmen zu implementieren und zu unterhalten, insbesondere um unautorisierten Zugriff auf die Dienste von basebox GmbH und die Daten der Kundin zu unterbinden.
7.4. Die Modelle und basebox werden auf Servern der basebox GmbH gehostet. Hierzu mietet basebox GmbH Infrastruktur bei Providern in Europa. basebox GmbH verwendet ausschließlich Server, die sich in Europa befinden, vorzugsweise in Deutschland.
7.5. Zur Erfüllung des Vertrags werden personenbezogene Daten der Kundin und ihren Usern durch basebox GmbH verarbeitet. Die basebox GmbH analysiert zudem die Nutzung von basebox durch die Kundin und verwendet die gewonnenen Erkenntnisse, um Fehler und Probleme zu erkennen und basebox zu verbessern. Im Rahmen der zu diesen Zwecken vorgenommenen Verarbeitungen ist basebox GmbH grundsätzlich alleine datenschutzrechtlich verantwortlich Nähere Informationen zum Datenschutz sind zu finden in unserer Datenschutzerklärung, abrufbar unter basebox.ai/de/bedingungen#datenschutzerklaerung.
7.6. In den Fällen, in denen die Kundin oder ihre User basebox GmbH personenbezogene Daten zur Verfügung stellen, um diese im Rahmen der Nutzung von basebox zu verarbeiten (z.B. in Prompts, im Chatverlauf oder durch hochgeladene Dokumente), verarbeitet basebox GmbH personenbezogene Daten als Auftragsverarbeiter im Auftrag der Kundin. Es gilt insoweit als Bestandteil dieser Nutzungsbedingungen die Anlage („Auftragsverarbeitungsvereinbarung") zu diesen Nutzungsbedingungen. Die Kundin ist für sämtliche durch sie und ihre User verwendeten Inhalte und verarbeiteten Daten datenschutzrechtlich verantwortlich.
7.7. basebox GmbH behält sich vor, Filter zu implementieren, die unangemessene und rechtswidrige Inhalte in den Ergebnissen unterbinden.
8. Nutzungsrechte und geistiges Eigentum
8.1. Mit der Registrierung gewährt basebox GmbH der Kundin, soweit erforderlich, das nicht ausschließliche, nicht übertragbare und zeitlich auf die Dauer des Nutzungsvertrags beschränkte Recht, die Software basebox und die in diesem Rahmen bereitgestellten Prompts zu nutzen und ihren zu basebox eingeladenen Usern zur Nutzung bereitzustellen.
8.2. Die Software basebox darf nur im Rahmen einer eigenen geschäftlichen Tätigkeit durch die Kundin und deren eingeladene User genutzt werden.
8.3. Eine Weitergabe oder öffentliche Zugänglichmachung von basebox an Dritte (andere natürliche oder juristische Personen außerhalb des Unternehmens der Kundin) ist nicht gestattet.
8.4. Soweit basebox verwendet wird, um damit potenziell urheberrechtlich schutzfähige Texte zu erzeugen, beansprucht basebox GmbH jedenfalls keine Urheberrechte an den erzeugten Outputs.
8.5. Die Kundin wird ihre User instruieren, keine Prompts zu verwenden, die darauf abzielen, zugunsten Dritter urheberrechtlich geschützte Texte wiederzugeben, und auch die Kundin wird dies unterlassen.
8.6. Die Kundin lässt sich das Verhalten ihrer User zurechnen und stellt durch entsprechende Überwachung und Einweisung der User sicher, dass diese die Vorgaben der Nutzungsbedingungen einhalten.
8.7. Es ist möglich, dass User verschiedener Organisationen, die ähnliche Input Prompts verwenden, ähnlichen Output geliefert bekommen. basebox GmbH garantiert nicht, dass der Output, den die KI-Modelle produzieren, einzigartig ist oder keine Rechte Dritter verletzt. Die Verwendung und Überprüfung des Outputs liegt in der Verantwortung der Kundin.
8.8. Die Kundin trägt dafür Sorge, dass ihre User nur solche Prompts verwenden, und nur solche Dokumente als Input in das System einbringen, für deren Verwendung die erforderlichen Rechte vorliegen, und räumt basebox GmbH ein weltweites, widerrufliches, nicht-exklusives, nicht unterlizenzierbares, nicht übertragbares, auf die Dauer dieses Vertragsverhältnisses beschränktes Recht ein, die Prompts und Dokumente für die Ausführung der Dienstleistung zu verwenden. Die Kundin stellt basebox GmbH von jeglicher Haftung für Ansprüche frei, die Dritte gegen basebox GmbH wegen Verletzung ihrer Rechte geltend machen, soweit diese aus den durch die Kundin oder ihre User verwendeten Prompts, dem Output oder in basebox hochgeladenen Dateien resultieren.
9. Open Source
9.1. basebox enthält Bestandteile unter Open Source-Lizenzen. Für diese gelten abweichend von diesen Nutzungsbedingungen die jeweiligen Open Source-Lizenzbedingungen, die unter basebox.ai/opensource einsehbar sind.
9.2. Die Kundin erhält an der verwendeten Open Source Software von den jeweiligen Rechteinhabern ein einfaches Nutzungsrecht unter den Bedingungen, die die dafür jeweils gültigen Lizenzbedingungen vorsehen. Diese Nutzungsbedingungen gelten nur für die Bestandteile, die nicht als Open Source Software lizenziert sind
9.3. Diese Nutzungsbedingungen beschränken nicht die in den Open Source-Lizenzen gewährten Nutzungsrechte und Nutzerfreiheiten für die Nutzung außerhalb von basebox. Die Open Source-Lizenzen gehen diesen Nutzungsbedingungen insoweit vor.
9.4. Die Gewährleistung für Mängel unserer Produkte, die auf einer Bearbeitung von Open Source Software beruhen, ist ausgeschlossen, sofern diese Mängel auf der Bearbeitung beruhen. Der Kunde trägt die Beweislast, dass ein Mangel unseres Produktes auch ohne die Bearbeitung der enthaltenen Open Source Software aufgetreten wäre.
9.5. Die Regelungen zu Haftung und Gewährleistung dieser Nutzungsbedingungen gelten im Verhältnis zum Lizenzgeber für die gesamte Software. Die Haftungs- und Gewährleistungsregelungen der Open Source-Lizenzen haben Geltung nur im Verhältnis zu den jeweiligen Rechteinhabern.
10. Technische Nutzungsvoraussetzungen
10.1. Für die Nutzung unseres Angebotes sind ein geeignetes digitales Endgerät, eine übliche, ausreichend schnelle Internetverbindung und ein aktueller Browser erforderlich.
11. Verfügbarkeit und Gewährleistung
11.1. basebox GmbH weist darauf hin, dass im Wege des Cloud-Angebots Einschränkungen oder Beeinträchtigungen der angebotenen Dienste entstehen können, die außerhalb des Einflussbereichs von basebox GmbH liegen. Hierunter fallen insbesondere Handlungen von Dritten, die nicht im Auftrag von basebox GmbH handeln, von basebox GmbH nicht beeinflussbare technische Bedingungen des Internets sowie höhere Gewalt.
11.2. basebox GmbH bemüht sich um eine Verfügbarkeit der Systeme rund um die Uhr (24 Stunden am Tag, 7 Tage in der Woche). bsaebox GmbH behält sich jedoch vor, nach entsprechender angemessener Ankündigung Wartungsarbeiten vorzunehmen und die Systeme dafür nicht unverhältnismäßig lange außer Betrieb zu setzen.
11.3. Auch die von der Kundin genutzte Hard- und Software und technische Infrastruktur kann Einfluss auf die Leistungen von basebox haben. Soweit derartige Umstände Einfluss auf die Verfügbarkeit oder Funktionalität der von basebox GmbH erbrachten Leistung haben, hat dies keine Auswirkung auf die Vertragsgemäßheit der erbrachten Leistungen.
11.4. Die Kundin ist verpflichtet, basebox GmbH Funktionsausfälle, -störungen oder -beeinträchtigungen der Software unverzüglich und so präzise wie möglich anzuzeigen. Unterlassen Sie diese Mitwirkung, gilt § 536c BGB entsprechend.
11.5. Es gelten grundsätzlich die gesetzlichen Regelungen zur Gewährleistung in Mietverträgen. Die §§ 536b BGB (Kenntnis des Mieters vom Mangel bei Vertragsschluss oder Annahme), 536c BGB (Während der Mietzeit auftretende Mängel; Mängelanzeige durch den Mieter) finden Anwendung. Die Anwendung des § 536a Abs. 2 BGB (Selbstbeseitigungsrecht des Mieters) ist jedoch ausgeschlossen. Ausgeschlossen ist auch die Anwendung von § 536a Abs. 1 BGB (Schadensersatzpflicht des Vermieters), soweit die Norm eine verschuldensunabhängige Haftung vorsieht.
11.6. Jedoch ist die Gewährleistungsfrist hinsichtlich etwaiger Schadensersatzansprüche auf ein Jahr verkürzt, soweit es nicht um Schadensersatzansprüche wegen Mängeln geht, die Folge des Nichtvorhandenseins einer garantierten Beschaffenheit des Leistungsgegenstandes sind, die Folge einer schuldhaften Verletzung der Gesundheit, des Körpers oder des Lebens sind oder für die eine Haftung nach dem Produkthaftungsgesetz vorgesehen ist.
12. Haftung
12.1. basebox GmbH haftet für Schäden, die der Kundin durch die Nutzung von basebox entstehen, nur, soweit sie vorsätzlich oder grob fahrlässig verursacht wurden, sie die Folge des Nichtvorhandenseins einer garantierten Beschaffenheit der Leistung sind, sie auf einer schuldhaften Verletzung wesentlicher Vertragspflichten (siehe Ziffer 5) beruhen, sie die Folge einer schuldhaften Verletzung der Gesundheit, des Körpers oder des Lebens sind oder für die eine Haftung nach dem Produkthaftungsgesetz vorgesehen ist. Im Falle einer lediglich fahrlässigen Verletzung einer wesentlichen Vertragspflicht (siehe Ziffer 5) ist die Haftung von basebox GmbH jedoch beschränkt auf solche Schäden, mit deren Entstehung im Rahmen der Erbringung der vereinbarten Leistungen typischerweise und vorhersehbar gerechnet werden muss. Diese Beschränkung gilt nicht, soweit Schäden die Folge einer Verletzung der Gesundheit, des Körpers oder des Lebens sind.
12.2. Wesentliche Vertragspflichten sind solche vertraglichen Pflichten in Ziffer 5, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglichen und auf deren Einhaltung Sie regelmäßig vertrauen dürfen und deren Verletzung auf der anderen Seite die Erreichung des Vertragszwecks gefährdet.
12.3. Im Übrigen ist die Haftung -- gleich aus welchem Rechtsgrund -- sowohl von basebox GmbH als auch unserer Erfüllungs- und Verrichtungsgehilfen ausgeschlossen.
12.4. Haftet basebox GmbH unter Berücksichtigung der vorstehenden Regelungen für den Verlust der Daten der Kundin oder ihrer User, ist die Haftung auf den typischen Wiederherstellungsaufwand beschränkt, der auch bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien durch die Kundin oder ihre User eingetreten wäre.
13. Pflichten der Kundin und ihrer User
Die Kundin ist verpflichtet, ihre User zu instruieren, die folgenden Pflichten einzuhalten, und die Einhaltung zu überwachen. Eine Verletzung der Pflichten durch die User wird der Kundin zugerechnet. Die Kundin wird die Pflichten auch selber einhalten.
13.1. Überprüfung des Outputs
Der Output der KI-Modelle kann unvollständig, veraltet oder inkorrekt sein und ist oft nicht vorhersehbar. Es liegt daher in der Verantwortung der Kundin, ihre User dementsprechend zu instruieren,
- die Qualität der verwendeten Prompts zu gewährleisten,
- die Richtigkeit und Verwendbarkeit des erzeugten Outputs zu überprüfen, bevor dieser verwendet oder weitergegeben wird,
- in den Input Prompts entsprechende Vorgaben einzufügen, um das Ergebnis besser zu filtern oder anzupassen,
- die im Output enthaltenen Informationen zu überprüfen, und jedenfalls den Output nicht als einzige Informationsquelle zu verwenden, nicht als unbedenklich und sprachlich wie ethisch angemessen zu erwarten, oder nicht als Ersatz für professionelle Beratung zu verwenden.
13.2. Verwendung der basebox-Dienste
13.2.1. Die Kundin wird ihre User instruieren, die Systeme von basebox GmbH nicht für rechtswidrige Zwecke zu verwenden, insbesondere nicht um Dritten oder basebox GmbH Schaden zuzufügen. Die Kundin wird auch selbst keine derartigen Handlungen vornehmen.
13.2.2. Die Kundin wird ihre User instruieren, die Dienste von basebox GmbH nicht Dritten außerhalb ihres Unternehmens zugänglich zu machen oder die Nutzung für diese Dritte vorzunehmen. Die Kundin wird auch selbst keine derartigen Handlungen vornehmen.
13.2.3. Die Kundin wird ihre User instruieren, die Dienste von basebox GmbH nicht in einer Weise zu nutzen, die die Sicherheit, den ordnungsgemäßen Ablauf und die Integrität der Systeme von basebox GmbH beeinträchtigt oder getroffene Sicherheitsvorkehrungen umgeht oder kompromittiert. Insbesondere wird die Kundin ihre User instruieren, keine böswilligen, schadhaften Prompts zu verwenden oder Prompt-Injection-Attacks durchzuführen, um das Verhalten des Modells zu manipulieren, oder Schwachstellen- bzw. Penetrations- oder ähnliche Tests durchzuführen. Die Kundin wird auch selbst keine derartigen Handlungen vornehmen.
13.2.4. Die Kundin wird ihre User instruieren, bei der Verwendung und der Erstellung von Prompts und dem Hochladen von Dateien in basebox GmbH Rechte Dritter, insbesondere Urheber-,Marken-, und Persönlichkeitsrechte sowie Datenschutz, zu berücksichtigen und nicht zu verletzen, und nur solche Prompts zu verwenden und Dateien hochzuladen, für die die Kundin oder ihre User sämtliche erforderliche Rechte besitzen. Die Kundin wird auch selbst entsprechend dieser Instruktion handeln.
13.3. Verwendung des Outputs
Die Kundin wird ihre User instruieren, mithilfe der KI-Modelle erzeugten Output nicht als von einem Menschen erstellt auszugeben, und den Output nicht zu verwenden, wenn Grund zu der Annahme besteht, dass durch die Verwendung des Outputs Rechte Dritter verletzt werden könnten.
13.4. Hinweis auf Risiken
Die Kundin ist dafür verantwortlich, ihre User auf die potenziellen Risiken der Verwendung von basebox hinzuweisen, insbesondere in Bezug auf die Verwendung des von dem KI-Modell ausgegebenen Outputs und der Verwendung sensibler Daten für den Input Prompt.
14. Änderungen dieser Nutzungsbedingungen
Soweit basebox GmbH diese Nutzungsbedingungen ändern möchte, wird basebox GmbH der Kundin eine Mitteilung sowie die geänderten Nutzungsbedingungen per E-Mail an die für die Administration hinterlegte Adresse senden und die Kundin zur Zustimmung auffordern. Stimmt die Kundin den geänderten Nutzungsbedingungen nicht zu, behält basebox GmbH sich vor, den Vertrag unter Einhaltung der vereinbarten Kündigungsfrist zu kündigen.
15. Sonstige Bestimmungen
15.1. Auf die Nutzungsvereinbarung findet das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts sowie des deutschen und europäischen Kollisionsrechts Anwendung.
15.2. Ist die Kundin Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen oder hat sie keinen allgemeinen Gerichtsstand in der Bundesrepublik Deutschland, ist ausschließlicher Gerichtsstand für alle sich aus dem Vertragsverhältnis ergebenden Ansprüche Landsberg am Lech. basebox GmbH kann die Kundin jedoch auch an seinem allgemeinen Gerichtsstand in Anspruch nehmen.
15.3. basebox GmbH ist weder dazu verpflichtet noch dazu bereit, im Falle einer Streitigkeit mit der Kundin an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
15.4. Vertragstext und Vertragssprache: Der Vertrag zwischen der Kundin und basebox GmbH wird grundsätzlich nicht in einem gesonderten Vertragstext niedergelegt, auf Sie dann später als solchen zugreifen könnten. Der Inhalt des Vertrages ergibt sich aus diesen Nutzungsbedingungen und dem Gegenstand des geschlossenen Vertrages. Für den Vertragsschluss stehen die deutsche und die englische Sprache zur Verfügung.
Landsberg am Lech, 29.04.2024. basebox Nutzungsbedingungen v.0.1.
Datenschutzerklärung
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.
Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung. Die Datenschutzerklärung ist Grundlage unseres Handelns und Bestandteil der Geschäftsbeziehung mit Kunden, Vertragspartner, Nutzer und/oder Dritten und gilt sowohl für unsere Webseite, in mobilen Applikationen als auch für alle unsere externe Online-Präsenzen (z.B. unsere Social-Media-Profile) sowie im Rahmen der Erbringung unserer Leistungen.
Datenerfassung auf dieser Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber, die basebox GmbH (kurz: basebox). Kontaktdaten können Sie dem imprint entnehmen.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.
Außerdem werden bei der Registrierung für unsere Dienste Daten erhoben, wie zum Beispiel Ihre E-Mail-Adresse und Ihr Name, sowie ggf. Rechnungs- und Zahlungsdaten.
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden. Die Daten, die wir im Rahmen Ihrer Registrierung erfassen, verarbeiten wir für die Erbringung unserer vertragsgemäßen Leistungen.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Details hierzu entnehmen Sie der Datenschutzerklärung unter „Recht auf Einschränkung der Verarbeitung".
Analyse-Tools und Tools von Drittanbietern
Beim Besuch dieser Website kann Ihr Surf-Verhalten statistisch ausgewertet werden. Das geschieht vor allem mit Cookies und mit sogenannten Analyseprogrammen. Die Analyse Ihres Surf-Verhaltens erfolgt in der Regel anonym; das Surf-Verhalten kann nicht zu Ihnen zurückverfolgt werden.
Sie können dieser Analyse widersprechen oder sie durch die Nichtbenutzung bestimmter Tools verhindern. Detaillierte Informationen zu diesen Tools und über Ihre Widerspruchsmöglichkeiten finden Sie in der folgenden Datenschutzerklärung.
Hosting
Externes Hosting
Diese Website wird bei einem externen Dienstleister gehostet (Hoster). Personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern des Hosters gespeichert. Hierbei kann es sich v. a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Webseitenzugriffe und sonstige Daten, die über eine Website generiert werden, handeln.
Der Einsatz des Hosters erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO).
Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen.
Abschluss eines Vertrages über Auftragsverarbeitung
Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung mit unserem Hoster geschlossen.
Eingesetzte Dienste und Diensteanbieter
Anbieter: Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn Website: https://www.open-telekom-cloud.com
Datenschutzerklärung: https://www.open-telekom cloud.com/de/datenschutz
Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Website: https://www.hetzner.com/
Datenschutzerklärung: https://www.hetzner.com/de/legal/privacy-policy
Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Verantwortlicher
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
basebox GmbH
Bahnhofplatz 3
D-86919 Utting am Ammersee
Telefon: +49 8806 9590600
E-Mail: support@basebox.ai
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.
Wir haben für unser Unternehmen einen Datenschutzbeauftragten bestellt. Der/die betriebliche Datenschutzbeauftragte von basebox ist unter der o.g. Anschrift, zu Hd. des Datenschutzbeauftragten beziehungsweise per E-Mail unter datenschutz@basebox.ai zu erreichen.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)
WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HABEN SIE JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN WIDERSPRUCH EINZULEGEN; DIES GILT AUCH FÜR EIN AUF DIESE BESTIMMUNGEN GESTÜTZTES PROFILING. DIE JEWEILIGE RECHTSGRUNDLAGE, AUF DENEN EINE VERARBEITUNG BERUHT, ENTNEHMEN SIE DIESER DATENSCHUTZERKLÄRUNG. WENN SIE WIDERSPRUCH EINLEGEN, WERDEN WIR IHRE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN ODER DIE VERARBEITUNG DIENT DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN (WIDERSPRUCH NACH ART. 21 ABS. 1 DSGVO).
WERDEN IHRE PERSONENBEZOGENEN DATEN VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN, SO HABEN SIE DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG SIE BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG EINZULEGEN; DIES GILT AUCH FÜR DAS PROFILING, SOWEIT ES MIT SOLCHER DIREKTWERBUNG IN VERBINDUNG STEHT. WENN SIE WIDERSPRECHEN, WERDEN IHRE PERSONENBEZOGENEN DATEN ANSCHLIESSEND NICHT MEHR ZUM ZWECKE DER DIREKTWERBUNG VERWENDET (WIDERSPRUCH NACH ART. 21 ABS. 2 DSGVO).
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.
Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist. SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
Auskunft, Löschung und Berichtigung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:
- Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
- Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
- Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
- Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten -- von ihrer Speicherung abgesehen -- nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
Widerspruch gegen Werbe-E-Mails
Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.
Datenerfassung auf dieser Website
Cookies
Die Internetseiten verwenden teilweise so genannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.
Die meisten der von uns verwendeten Cookies sind so genannte „Session-Cookies". Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.
Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen erwünschter Funktionen (z. B. Warenkorbfunktion) erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste. Sofern eine entsprechende Einwilligung abgefragt wurde (z. B. eine Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.
Soweit andere Cookies (z. B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.
Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
- Browsertyp und Browserversion
- verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website -- hierzu müssen die Server-Log Files erfasst werden.
Die Logdateien werden nach 90 Tagen gelöscht.
Kontaktaufnahme
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sofern diese abgefragt wurde.
Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen -- insbesondere Aufbewahrungsfristen -- bleiben unberührt.
Anfrage per E-Mail oder Telefon
Wenn Sie uns per E-Mail oder Telefon kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Anfrage) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und/oder auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), da wir ein berechtigtes Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen haben.
Die von Ihnen an uns per Kontaktanfragen übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihres Anliegens). Zwingende gesetzliche Bestimmungen -- insbesondere gesetzliche Aufbewahrungsfristen -- bleiben unberührt.
Verarbeiten von Daten (Kunden- und Vertragsdaten)
Wir erheben, verarbeiten und nutzen personenbezogene Daten nur, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung des Rechtsverhältnisses erforderlich sind (Bestandsdaten). Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet. Personenbezogene Daten über die Inanspruchnahme dieser Website (Nutzungsdaten) erheben, verarbeiten und nutzen wir nur, soweit dies erforderlich ist, um dem Nutzer die Inanspruchnahme des Dienstes zu ermöglichen oder abzurechnen.
Die erhobenen Kundendaten werden nach Abschluss des Auftrags oder Beendigung der Geschäftsbeziehung gelöscht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.
Übermittlung und Offenbarung von personenbezogenen Daten
Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass die Daten an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt oder sie ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z.B. Zahlungsinstitute im Rahmen von Zahlungsvorgängen, mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die in eine Webseite eingebunden werden, gehören. In solchen Fall beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab. Datenverarbeitung in Drittländern
Sofern wir Daten in einem Drittland (d.h., außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.
Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich oder gesetzlich erforderlicher Übermittlung verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau, zu denen die unter dem "Data Privacy Framework" zertifizierten US-Verarbeiter gehören, oder auf Grundlage besonderer Garantien, wie z.B. vertraglicher Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission, des Vorliegens von Zertifizierungen oder verbindlicher interner Datenschutzvorschriften, verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de).
Analyse-Tools und Werbung
Umami Analytics
Wir verwenden auf unserer Website das Open-Source Programm Umami Analytics, das auf unserem lokalen Server gehostet wird, um allgemeine Trends bei der Nutzung unserer Website zu verfolgen. Dabei handelt es sich um eine Open-Source-Software, die es uns ermöglicht, die Nutzung unserer Website zu analysieren. Verarbeitet werden Ihre IP-Adresse, die Website(s), die Sie auf unserer Website besuchen, die Website, von der aus Sie auf unsere Website gelangt sind (Referrer-URL), die Zeit, die Sie auf unserer Website verbringen und die Häufigkeit, mit der Sie eine unserer Websites besuchen. Alle Daten werden anonymisiert erhoben, so dass keine Rückschlüsse auf Ihre Person möglich sind. Die Daten werden auf unserem lokalen Server in Deutschland gespeichert und werden nicht weitergegeben.
Umami Analytics sammelt nur aggregierte Informationen, die es uns nicht erlauben, einen Besucher unserer Website zu identifizieren. Weitere Informationen finden Sie in der Dokumentation zu Umami Analytics unter: https://umami.is/
Die Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Analyse und Optimierung unserer Website.
Semrush
Wir nutzen zur Analyse und Optimierung, insbesondere für die SEO-Optimierung Semrush des Dienstanbieters: Semrush Inc., 800 Boylston Street, Suite 2475, Boston, MA 02199, USA. Dabei werden vor allem die folgenden Informationen verarbeitet: IP address and device ID.
Die Rechtsgrundlage ist Art. 6 Abs.. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Analyse und Optimierung unserer Website.
Website: https://de.semrush.com, Datenschutzerklärung: https://de.semrush.com/company/legal/privacy-policy/
Google Tag Manager
Google Tag Manager ist eine Lösung, mit der wir sog. Website-Tags über eine Oberfläche verwalten können (und so z.B. Google Analytics sowie andere Google-Marketing-Dienste in unser Onlineangebot einbinden). Der Tag Manager selbst (welches die Tags implementiert) verarbeitet keine personenbezogenen Daten der Nutzer. Im Hinblick auf die Verarbeitung der personenbezogenen Daten der Nutzer wird auf die folgenden Angaben zu den Google-Diensten verwiesen. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; Website: https://marketingplatform.google.com; Datenschutzerklärung: https://policies.google.com/privacy; Privacy Shield (Gewährleistung Datenschutzniveau bei Verarbeitung von Daten in den USA): https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active
Google Analytics
Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Limited („Google"), Gordon House, Barrow Street, Dublin 4, Irland.
Google Analytics verwendet so genannte „Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Die Speicherung von Google-Analytics-Cookies und die Nutzung dieses Analyse-Tools erfolgen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren. Sofern eine entsprechende Einwilligung abgefragt wurde (z. B. eine Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.
In der folgenden Tabelle werden alle Cookies beschrieben, die von gtag.js gesetzt werden. Weitere Informationen zu den Daten, die in Analytics erhoben werden, finden Sie unter https://support.google.com/analytics/answer/6004245.
| Cookie Name | Standardablaufzeit | Beschreibung |
|---|---|---|
_ga | 2 Jahre | Dient zur Unterscheidung einzelner Nutzer. |
_ga_<container-id> | 2 Jahre | Dient zur Speicherung des Sitzungsstatus. |
IP Anonymisierung
Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Browser Plugin
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.
Widerspruch gegen Datenerfassung
Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Deactivate Google Analytics.
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de
Auftragsverarbeitung
Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.
Demografische Merkmale bei Google Analytics
Diese Website nutzt die Funktion „demografische Merkmale" von Google Analytics. Dadurch können Berichte erstellt werden, die Aussagen zu Alter, Geschlecht und Interessen der Seitenbesucher enthalten. Diese Daten stammen aus interessenbezogener Werbung von Google sowie aus Besucherdaten von Drittanbietern. Diese Daten können keiner bestimmten Person zugeordnet werden. Sie können diese Funktion jederzeit über die Anzeigeneinstellungen in Ihrem Google-Konto deaktivieren oder die Erfassung Ihrer Daten durch Google Analytics wie im Punkt „Widerspruch gegen Datenerfassung" dargestellt generell untersagen.
Speicherdauer
Bei Google gespeicherte Daten auf Nutzer- und Ereignisebene, die mit Cookies, Nutzerkennungen (z. B. User ID) oder Werbe-IDs (z. B. DoubleClick-Cookies, Android-Werbe-ID) verknüpft sind, werden nach 14 Monaten anonymisiert bzw. gelöscht. Details hierzu ersehen Sie unter folgendem Link: https://support.google.com/analytics/answer/7667196?hl=de; https://support.google.com/analytics/answer/6004245/ undhttps://support.google.com/analytics/answer/11397207
| Name | Laufzeit | Domain | Beschreibung |
|---|---|---|---|
_ga | 2 Jahre | basebox.ai | Dient zur Unterscheidung einzelner Nutzer. |
_ga_<container-id> | 2 Jahre | basebox.ai | Dient zur Speicherung des Sitzungsstatus. |
Google Ads
Soweit Sie Ihre Einwilligung zur Verwendung von Cookies zu Marketingzwecken erklärt haben, wird auf dieser Website Google Ads eingesetzt. Google Ads ermöglicht es uns Werbeanzeigen in der Google-Suchmaschine oder auf Drittwebseiten auszuspielen, wenn der Nutzer bestimmte Suchbegriffe bei Google eingibt (Keyword-Targeting). Ferner können zielgerichtete Werbeanzeigen anhand der bei Google vorhandenen Nutzerdaten (z. B. Standortdaten und Interessen) ausgespielt werden (Zielgruppen-Targeting). Wir können diese Daten quantitativ auswerten, indem wir beispielsweise analysieren, welche Suchbegriffe zur Ausspielung unserer Werbeanzeigen geführt haben und wie viele Anzeigen zu entsprechenden Klicks geführt haben. Soweit Daten außerhalb der EU/des EWR verarbeitet werden, haben wir zur Herstellung eines angemessenen Datenschutzniveaus, haben wir zur Herstellung eines angemessenen Datenschutzniveaus mit Google im Zuge unserer Auftragsverarbeitungsvereinbarung auch die gültigen [Standardvertragsklauseln] der Europäischen Union abgeschlossen.
Google Ads wird von der Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland bereitgestellt. Google setzt ggf. Unterauftragsverarbeiter ein, welche Daten außerhalb der EU/des EWR verarbeiten, wo ggf. kein dem europäischen Standard entsprechendes Datenschutzniveau besteht.
Rechtsgrundlage ist Ihre Einwilligung gem. § 25 Abs. I S. 1, 2 TTDSG, Art.6 Abs.1 S.1 lit. a) DSGVO.
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen aufrufen und dort Ihre Auswahl ändern. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
Wir haben in diesem Zusammenhang keine personenbezogenen Daten gespeichert.
Posthog
Wir nutzen die Dienste von PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA (im Folgenden „PostHog"). Posthog erfasst bestimmte Daten, um das Verhalten der Nutzer auf unserer Website zu analysieren und uns Informationen darüber zu liefern, wie wir unsere Website verbessern können. Die von Posthog erfassten Daten umfassen IP-Adresse des Nutzers, Datum und Uhrzeit des Zugriffs, Browsertyp und -version, Betriebssystem des Nutzers, Referrer URL, Hostname des zugreifenden Rechners sowie Ereignisdaten, die wir selbst definieren (z.B. Klicks, Besuche).
PostHog überträgt und speichert die Daten ausschließlich auf Servern in der EU, ist aber ein US-Unternehmen. Wir haben daher mit Posthog als geeignete Garantien Standardvertragsklauseln der Europäischen Kommission abgeschlossen, so dass ein angemessenes Schutzniveau bei der Verarbeitung Ihrer Daten sichergestellt ist. Sie können die Standardvertragsklauseln unter https://docs.google.com/document/d/1xfpP1SCFoI1qSKM6rEt9VqRLRUEXiKj9_0Tvv2mP928/edit und unter https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de.
Die Verarbeitung der Daten erfolgt aufgrund Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können diese Einwilligung jederzeit widerrufen. Die Daten, die durch Posthog erfasst werden, werden so lange gespeichert, wie dies zur Erfüllung des Zwecks, für den sie erfasst wurden, erforderlich ist. Die Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist gesetzlich vorgeschrieben oder zur Durchführung eines Vertrages erforderlich.
Sie haben das Recht auf Auskunft über die von uns gespeicherten Daten, die Berichtigung unrichtiger Daten sowie die Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Sie haben auch das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen sowie der Verarbeitung Ihrer Daten zu widersprechen. Wenn Sie von Ihren Rechten Gebrauch machen möchten, wenden Sie sich bitte an uns.
Tawk (Live Support Chat)
Um Benutzeranfragen über unsere Support-Kanäle oder Live-Chat-Systeme zu bearbeiten, verwenden wir tawk.to, inc., 187 E Warm Springs Rd, SB298, Las Vegas, Nevada 89119, USA (im Folgenden als "tawk.to" bezeichnet).
Nachrichten, die Sie an uns senden, können im Ticketsystem von tawk.to gespeichert oder von unseren Mitarbeitern im Live-Chat beantwortet werden. Darüber hinaus können wir mit Hilfe von tawk.to unter anderem feststellen, aus welcher Region der Anfragende kommt, wie lange er mit uns kommuniziert und wie zufrieden er mit dem Kommunikationsverlauf ist.
Die an uns gerichteten Nachrichten verbleiben bei uns, bis Sie uns zur Löschung auffordern oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Verpflichtende gesetzliche Bestimmungen - insbesondere Aufbewahrungsfristen - bleiben unberührt.
Die Verwendung von tawk.to erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst schnellen, zuverlässigen und effizienten Bearbeitung Ihrer Anfragen. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.
Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier: https://www.tawk.to/privacy-policy/ und https://www.tawk.to/data-protection/gdpr/.
Weitere Informationen erhalten Sie in der Datenschutzerklärung von tawk.to: https://www.tawk.to/privacy-policy/ und https://www.tawk.to/data-protection/. Vertrag über Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung mit tawk.to geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass tawk.to die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
Newsletter
Newsletterdaten
Wird der Newsletter unseres Unternehmens abonniert, so werden die Daten in der jeweiligen Eingabemaske an den für die Verarbeitung Verantwortlichen übermittelt. Die Anmeldung zu unserem Newsletter erfolgt in einem sog. Double Opt-in-Verfahren. D. h. Sie erhalten nach der Anmeldung eine E-Mail, in der Sie um die Bestätigung Ihrer Anmeldung gebeten werden. Diese Bestätigung ist notwendig, damit sich niemand mit fremden E-Mail-Adressen anmelden kann. Bei der Anmeldung zum Newsletter werden die IP-Adresse des Nutzers sowie Datum und Uhrzeit der Registrierung gespeichert. Dies dient dazu, einen Missbrauch der Dienste oder der E-Mail-Adresse der betroffenen Person zu verhindern. Eine Weitergabe der Daten an Dritte erfolgt nicht. Eine Ausnahme besteht dann, wenn eine gesetzliche Verpflichtung zur Weitergabe besteht. Die Daten werden ausschließlich für den Versand des Newsletters verwendet. Das Abonnement des Newsletters kann durch die betroffene Person jederzeit gekündigt werden. Ebenso kann die Einwilligung in die Speicherung der personenbezogenen Daten jederzeit widerrufen werden. Zu diesem Zweck findet sich in jedem Newsletter ein entsprechender Link. Rechtsgrundlage für die Verarbeitung der Daten nach Anmeldung zum Newsletter durch den Nutzer ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a) DSGVO. Rechtsgrundlage für den Versand des Newsletters infolge des Verkaufs von Waren oder Dienstleistungen ist § 7 Abs. 3 UWG.
Nutzung von rapidmail
Beschreibung und Zweck: Wir nutzen rapidmail für den Versand von Newslettern. Der Anbieter ist die rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg, Deutschland. Mit rapidmail wird u. a. der Versand von Newslettern organisiert und analysiert. Die von Ihnen für den Zweck des Newsletterbezugs eingegeben Daten werden auf den Servern von rapidmail in Deutschland gespeichert. Wenn Sie keine Analyse durch rapidmail möchten, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Für den Zweck der Analyse enthalten die mit rapidmail versandten E-Mails ein sog. Tracking-Pixel, das sich beim Öffnen der E-Mail mit den Servern von rapidmail verbindet. Auf diese Weise kann festgestellt werden, ob eine Newsletternachricht geöffnet wurde. Des Weiteren können wir mit Hilfe von rapidmail ermitteln, ob und welche Links in der Newsletternachricht angeklickt werden. Optional können Links in der E-Mail als Tracking-Links eingestellt sein, mit denen Ihre Klicks gezählt werden können.
Rechtsgrundlage: Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. a) DSGVO.
Empfänger: Empfänger der Daten ist die rapidmail GmbH.
Übermittlung an Drittstaaten: Eine Übermittlung der Daten in Drittstaaten findet nicht statt.
Dauer: Die Ihrerseits im Rahmen der Einwilligung für den Zweck des Newsletters bei uns gespeicherten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter gespeichert und nach der Abbestellung des Newsletters sowohl von unseren Servern als auch von den Servern von rapidmail gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden (z. B. E-Mail-Adressen für den Mitgliederbereich) bleiben hiervon unberührt.
Widerrufsmöglichkeit: Sie haben die Möglichkeit, Ihre Einwilligung zur Datenverarbeitung mit Wirkung für die Zukunft jederzeit zu widerrufen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
Einsatz von Social Media
Wir haben Profile in sozialen Netzwerken. Unsere Social-Media-Konten ergänzen unsere Webseite und bieten Ihnen die Möglichkeit, mit uns zu interagieren. Sobald Sie auf unsere Social-Media-Profile in den sozialen Netzwerken zugreifen, gelten die Geschäftsbedingungen und Datenverarbeitungsrichtlinien der jeweiligen Betreiber. Die bei der Nutzung der Dienste über Sie erhobenen Daten werden von den Netzwerken verarbeitet und ggf. auch in Länder außerhalb der Europäischen Union übertragen, in denen kein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten besteht. Auf die Datenverarbeitung in den sozialen Netzwerken haben wir grundsätzlich keinen Einfluss, da wir wie Sie Nutzer des Netzwerks sind. Informationen hierzu und darüber, welche Daten von den sozialen Netzwerken verarbeitet werden und zu welchen Zwecken die Daten genutzt werden, finden Sie in der unten aufgeführten Datenschutzerklärung des jeweiligen Netzwerks. Wir nutzen die folgenden sozialen Netzwerke:
Facebook
Unsere Seite ist abrufbar unter: https://www.facebook.com/profile.php?id=61555336381194
Betreiber des Netzwerks ist: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland.
Datenschutzerklärung des Netzwerks: https://www.facebook.com/about/privacy Datenschutzerklärung des Netzwerks: https://privacycenter.instagram.com/
LinkedIn
Unsere Seite ist abrufbar unter: https://www.linkedin.com/company/basebox/
Betreiber des Netzwerks ist: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland.
Datenschutzerklärung des Netzwerks: www.linkedin.com/legal/privacy-policy
Reddit
Unsere Seite ist abrufbar unter: https://www.reddit.com/user/baseboxio/
Betreiber des Netzwerks ist: Reddit, Inc., 1455 Market Street, Suite 1600, San Francisco, CA 94103, United States
Datenschutzerklärung des Netzwerks: https://www.reddit.com/policies/privacy-policy
X
Unsere Seite ist abrufbar unter: https://twitter.com/basebox\_io
Betreiber des Netzwerks ist: Twitter International Unlimited Company, One Cumberland Place, Fenian Street Dublin 2
Datenschutzerklärung des Netzwerks: https://twitter.com/de/privacy
Gemeinsame Verantwortlichkeit
Zwecke:
Wir verarbeiten personenbezogene Daten als eigene Verantwortliche, wenn Sie uns Anfragen über die Social-Media Profile senden. Wir bearbeiten diese Daten, um Ihre Anfragen zu beantworten. Darüber hinaus sind wir als gemeinsame Verantwortliche mit den folgenden Netzwerken und für die folgenden Verarbeitungen mitverantwortlich (Art. 26 DSGVO). Im Rahmen des Besuchs unseres Profils im Netzwerk LinkedIn sowie Facebook und Instagram sammelt das Netzwerk aggregierte Statistiken ("Insights-Daten"), die aus bestimmten Ereignissen erstellt werden, die von deren Servern protokolliert werden, wenn Sie mit unseren Profilen und den damit verbundenen Inhalten interagieren. Wir erhalten diese aggregierten und anonymen Statistiken von dem Netzwerk über die Nutzung unseres Profils. Wir sind grundsätzlich nicht in der Lage, die Daten bestimmten Nutzern oder Nutzerinnen zuzuordnen. Bis zu einem gewissen Grad können wir die Kriterien festlegen, nach denen das Netzwerk diese Statistiken für uns erstellt. Wir verwenden diese Statistiken, um unsere Profile für Sie interessanter und informativer zu gestalten.
Weitere Informationen zu dieser Datenverarbeitung bei LinkedIn finden Sie in der Joint Controller-Vereinbarung unter: https://legal.linkedin.com/pages-joint-controller-addendumlegal.linkedin.com/pages-joint-controller-addendum
Weitere Informationen zu dieser Datenverarbeitung bei Facebook und Instagram finden Sie in der Joint Controller-Vereinbarung unter: https://www.facebook.com/legal/terms/information_about_page_insights_data
Rechtsgrundlage:
Die Verarbeitungen erfolgen aufgrund unseres berechtigten Interesses daran (Art. 6 Abs. 1 lit. f DSGVO). Das Interesse liegt dabei im jeweiligen Zweck.
Speicherdauer:
Wir speichern im Rahmen der gemeinsamen Verantwortlichkeit selbst keine personenbezogenen Daten. In Bezug auf Kontaktanfragen außerhalb des Netzwerks gelten die oben gemachten Angaben zu Kontaktaufnahmen entsprechend.
Plugins und Tools
YouTube mit erweitertem Datenschutz
Diese Website bindet Videos der YouTube ein. Betreiber der Seiten ist die Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland.
Wir nutzen YouTube im erweiterten Datenschutzmodus. Dieser Modus bewirkt laut YouTube, dass YouTube keine Informationen über die Besucher auf dieser Website speichert, bevor diese sich das Video ansehen. Die Weitergabe von Daten an YouTube Partner wird durch den erweiterten Datenschutzmodus hingegen nicht zwingend ausgeschlossen. So stellt YouTube – unabhängig davon, ob Sie sich ein Video ansehen – eine Verbindung zum Google DoubleClick-Netzwerk her.
Sobald Sie ein YouTube-Video auf dieser Website starten, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird dem YouTube-Server mitgeteilt, welche unserer Seiten Sie besucht haben. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, ermöglichen Sie YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem YouTube-Account ausloggen.
Des Weiteren kann YouTube nach Starten eines Videos verschiedene Cookies auf Ihrem Endgerät speichern. Mit Hilfe dieser Cookies kann YouTube Informationen über Besucher dieser Website erhalten. Diese Informationen werden u. a. verwendet, um Videostatistiken zu erfassen, die Anwenderfreundlichkeit zu verbessern und Betrugsversuchen vorzubeugen. Die Cookies verbleiben auf Ihrem Endgerät, bis Sie sie löschen.
Gegebenenfalls können nach dem Start eines YouTube-Videos weitere Datenverarbeitungsvorgänge ausgelöst werden, auf die wir keinen Einfluss haben.
Die Nutzung von YouTube erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Sofern eine entsprechende Einwilligung abgefragt wurde (z. B. eine Einwilligung zur Speicherung von Cookies), erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.
Weitere Informationen über Datenschutz bei YouTube finden Sie in deren Datenschutzerklärung unter: https://policies.google.com/privacy?hl=de
Eigene Dienste
Umgang mit Bewerberdaten
Wir bieten Ihnen die Möglichkeit, sich bei uns zu bewerben (z. B. per E-Mail, postalisch oder via Online-Bewerberformular). Im Folgenden informieren wir Sie über Umfang, Zweck und Verwendung Ihrer im Rahmen des Bewerbungsprozesses erhobenen personenbezogenen Daten. Wir versichern, dass die Erhebung, Verarbeitung und Nutzung Ihrer Daten in Übereinstimmung mit geltendem Datenschutzrecht und allen weiteren gesetzlichen Bestimmungen erfolgt und Ihre Daten streng vertraulich behandelt werden.
Umfang und Zweck der Datenerhebung
Wenn Sie uns eine Bewerbung zukommen lassen, verarbeiten wir Ihre damit verbundenen personenbezogenen Daten (z. B. Kontakt- und Kommunikationsdaten, Bewerbungsunterlagen, Notizen im Rahmen von Bewerbungsgesprächen etc.), soweit dies zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Rechtsgrundlage hierfür ist § 26 BDSG nach deutschem Recht (Anbahnung eines Beschäftigungsverhältnisses), Art. 6 Abs. 1 lit. b DSGVO (allgemeine Vertragsanbahnung) und – sofern Sie eine Einwilligung erteilt haben – Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung ist jederzeit widerrufbar. Ihre personenbezogenen Daten werden innerhalb unseres Unternehmens ausschließlich an Personen weitergegeben, die an der Bearbeitung Ihrer Bewerbung beteiligt sind.
Sofern die Bewerbung erfolgreich ist, werden die von Ihnen eingereichten Daten auf Grundlage von § 26 BDSG-neu und Art. 6 Abs. 1 lit. b DSGVO zum Zwecke der Durchführung des Beschäftigungsverhältnisses in unseren Datenverarbeitungssystemen gespeichert.
Aufbewahrungsdauer der Daten
Sofern wir Ihnen kein Stellenangebot machen können, Sie ein Stellenangebot ablehnen oder Ihre Bewerbung zurückziehen, behalten wir uns das Recht vor, die von Ihnen übermittelten Daten auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) bis zu 6 Monate ab der Beendigung des Bewerbungsverfahrens (Ablehnung oder Zurückziehung der Bewerbung) bei uns aufzubewahren. Anschließend werden die Daten gelöscht und die physischen Bewerbungsunterlagen vernichtet. Die Aufbewahrung dient insbesondere Nachweiszwecken im Falle eines Rechtsstreits. Sofern ersichtlich ist, dass die Daten nach Ablauf der 6-Monatsfrist erforderlich sein werden (z.B. aufgrund eines drohenden oder anhängigen Rechtsstreits), findet eine Löschung erst statt, wenn der Zweck für die weitergehende Aufbewahrung entfällt.
Eine längere Aufbewahrung kann außerdem stattfinden, wenn Sie eine entsprechende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erteilt haben oder wenn gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen.
Auftragsverarbeitungsvereinbarung
Die Kundin -- wie in den Nutzungsbedingungen definiert -- im Folgenden „Auftraggeber" --und basebox GmbH, Bahnhofplatz 3, 86919 Utting am Ammersee -- im Folgenden „basebox" -- eine von ihnen im Folgenden „die Partei"; beide zusammen im Folgenden „die Parteien" -- haben die folgende Auftragsverarbeitungsvereinbarung (AVV) abgeschlossen, um Ihre Verpflichtungen aus Art. 28 Abs. 3 DSGVO zu erfüllen.
Präambel
Die Parteien haben sich über die Erbringung von Dienstleistungen im Zusammenhang mit der Bereitstellung und Nutzung von KI-Modellengeeinigt und hierüber eine vertragliche Vereinbarung in Form von Nutzungsbedingungen (der „Vertrag") geschlossen. Um die Dienstleistungen vereinbarungsgemäß erbringen zu können ist es erforderlich, dass basebox im Auftrag und auf Weisung des Auftraggebers personenbezogene Daten verarbeitet. Zweck dieser Auftragsverarbeitungsvereinbarung (der „Vereinbarung") ist es, die Verpflichtungen der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch basebox als Auftragsverarbeiter im Auftrag des Auftraggebers als Verantwortlichem festzulegen.
1. Standardvertragsklauseln
1.1 Die Parteien vereinbaren die in Anlage 1 beigefügten Standardvertragsklauseln gemäß des Durchführungsbeschlusses der Europäischen Kommission vom 04. Juni 2021 [C(2021) 3701 final].
1.2 Soweit die Übermittlung personenbezogener Daten durch basebox an den Auftraggeber eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU darstellt, bspw. weil der Auftraggeber seinen Sitz außerhalb der EU hat, vereinbaren die Parteien die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679, wie sie von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 vereinbart wurden und dieser Vereinbarung als Anlage 2 beigefügt sind (die "Internationalen Standardvertragsklauseln"). Die Anhänge I (I.A „SCC International"), II (I.B. „SCC International"), III (II. „SCC International") und IV (III. „SCC International") der Anlage 1 gelten entsprechend.
1.3 Die Standardvertragsklauseln und die internationalen Standardvertragsklauseln werden durch die Regelungen dieser Auftragsverarbeitungsvereinbarung ergänzt.
1.4 Soweit eine Regelung in dieser Auftragsverarbeitungsvereinbarung oder sonstigen Bedingungen zwischen den Parteien den Regelungen in den Standardvertragsklauseln oder den internationalen Standardvertragsklauseln widerspricht, gehen die Regelungen der Standardvertragsklauseln bzw. der internationalen Standardvertragsklauseln den übrigen Regelungen vor. Soweit eine Regelung der Standardvertragsklauseln aus Ziffer 1.1 den internationalen Standardvertragsklauseln aus Ziffer 1.2 widerspricht, gehen die internationalen Standardvertragsklauseln vor.
2. Ergänzende Regelungen
2.1 Weisungen und Pflichten des Auftraggebers
2.1.1 Die Weisungen werden anfänglich durch den Vertrag und diese Vereinbarung (samt Anlagen und Anhängen) festgelegt und können von dem Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform, z.B. via E-Mail) an basebox durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im zugrundeliegenden Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
2.1.2 basebox hat das Recht, die technischen und organisatorischen Maßnahmen, die in der Auftragsverarbeitungsvereinbarung und ihren Anlagen und Anhängen festgelegt sind, jederzeit zu ergänzen oder zu ändern, wobei das Sicherheitsniveau jedoch nicht unter das ursprünglich vereinbarte Niveau sinken darf.
2.1.3 Der Auftraggeber hat basebox unverzüglich und vollständig zu informieren, wenn er bei der Verarbeitung personenbezogener Daten Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
2.1.4 Die Person, welche für die Kundin als Admin registriert ist, nimmt für basebox die Rolle als Ansprechperson für im Rahmen des Vertrages und der Vereinbarung anfallende Datenschutzfragen.
2.2 Übermittlungen von Daten an ein Drittland
Als Weisung im Sinne von Ziffer 7.8 gilt insbesondere auch die Genehmigung zur Einsetzung eines Unterauftragsverarbeiters.
2.3 Inspektionen
2.3.1 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder eine von ihr beauftragte Prüfer*in erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt.
2.3.2 Sollte basebox sich dazu entschließen selbst einen fachkundigen, unabhängigen externen Inspektor oder Prüfer zu beauftragen, stimmt der Auftraggeber dieser Beauftragung unter der Bedingung zu, dass er eine Kopie des Berichts erhält.
2.4 Haftung und Freistellung
2.4.1 Es gelten die Haftungsregelungen des Vertrags soweit nicht etwas Abweichendes ausdrücklich vereinbart ist.
2.4.2 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO wird der Auftraggeber basebox freistellen, soweit basebox die zugrundeliegende Verletzung datenschutzrechtlicher Vorschriften nicht zu vertreten hat.
2.5 Sonstiges
2.5.1 Änderungen und Ergänzungen dieser AVV und aller ihrer Bestandteile -- einschließlich etwaiger Zusicherungen der Auftragnehmerin -- bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
2.5.2 Es gilt das im zugrundeliegenden Vertrag gewählte Recht.
Anlage 1
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln") soll die Einhaltung von: Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG] sichergestellt werden.
b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
d) Die Anhänge I bis IV sind Bestandteil der Klauseln.
e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679.
f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
Klausel 2
Unabänderbarkeit der Klauseln
a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3
Auslegung
a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Klausel 4
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
Klausel 5 {entfallen)
ABSCHNITT II -- PFLICHTEN DER PARTEIEN
Klausel 6
Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
Klausel 7
Pflichten der Parteien
7.1 Weisungen
a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
7.2 Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für die in Anhang II genannten spezifischen Zwecke, sofern er keine weiteren Weisungen des Verantwortlichen erhält.
7.3 Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
7.4 Sicherheit der Verarbeitung
a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten"). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5 Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten"), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.
7.6 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e) Die Parteien stellen der zuständigen Aufsichtsbehörde die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
7.7 Einsatz von Unterauftragsverarbeitern
a) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 3 Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 unterliegt.
c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche -- im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist -- das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8 Internationale Datenübermittlungen
a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen.
b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8
Unterstützung des Verantwortlichen
a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
1) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung"), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
2) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
3) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679].
d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Klausel 9
Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
1) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
3) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679], die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679] zu unterstützen.
ABSCHNITT III -- SCHLUSSBESTIMMUNGEN
Klausel 10
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche -- unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
2) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt;
3) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt.
c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
ANHANG I -- LISTE DER PARTEIEN
Verantwortlicher: [Identität und Kontaktdaten des/der für die Verarbeitung Verantwortlichen und ggf. des Datenschutzbeauftragten des für die Verarbeitung Verantwortlichen].
Verantwortlicher ist der Auftraggeber:
Die Kundin, wie in den Nutzungsbedingungen definiert
Auftragsverarbeiter: [Identität und Kontaktdaten des Auftragsverarbeiters und ggf. des Datenschutzbeauftragten des Auftragsverarbeiters].
basebox GmbH
Kontaktdaten des Datenschutzbeauftragten des Auftragsverarbeiters:
Bahnhofsplatz 3
86919 Utting am Ammersee
Deutschland
Telefon: +49 8806 9590600
E-Mail: contact@basebox.ai
ANHANG II -- BESCHREIBUNG DER VERARBEITUNG
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden
- Die Kundin
- Von der Kundin eingeladene User
- Personen, deren Daten in den Input-Prompts enthalten sind, die die Kundin oder ihre User durch das KI-Modell verarbeiten lassen.
Kategorien personenbezogener Daten, die verarbeitet werden
Die Verarbeitung relevanter personenbezogener Daten erstreckt sich auf:
- Namen,
- Geschäftsadressen,
- E-Mailadressen,
- Telefonnummern,
- Bankverbindungen,
- Sonstige in den Prompts enthaltene Daten.
Sensible verarbeitete Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.
Die Verarbeitung sensibler Daten erfolgt im Zusammenhang mit der Erbringung der vereinbarten Dienstleistungen nicht.
Art der Verarbeitung
Der Auftragsverarbeiter erbringt gegenüber dem Verantwortlichen die die vereinbarten Dienstleistungen. Die Art der Verarbeitung personenbezogener Daten umfasst jede Verarbeitung, die erforderlich ist, damit der Auftragsverarbeiter diese Dienste für den Auftraggebers erbringen kann. Sie umfasst insbesondere das Sammeln, die Organisation, die Strukturierung, die Speicherung und die Bereitstellung personenbezogener Daten, kann aber auch jeden anderen Vorgang wie die Anpassung oder Veränderung, das Abrufen, die Abfrage, die Nutzung, die Offenlegung durch Übermittlung, die Verbreitung, den Abgleich oder die Kombination, die Einschränkung, die Löschung oder die Vernichtung personenbezogener Daten umfassen.
Zweck, für den die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zur Erbringung seiner Dienstleistungen, wie mit dem Verantwortlichen vereinbart. Dies umfasst insbesondere Bereitstellung von basebox zur Nutzung der angebotenen KI-Modelle und Vertragsmanagement.
Dauer der Verarbeitung
Die Bearbeitung dauert so lange an, wie der Auftragsverarbeiter seine Dienstleistungen für den Verantwortlichen erbringt und endet mit der Beendigung des Vertrages.
ANHANG III -- TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Schutz von geheimen Schlüsseln durch starke Passwörter
- Verschlüsselung (asymmetrisch/symmetrisch) nach Stand der Technik
- Verschlüsselung von Systemen
- Verschlüsselung von Speichermedien
- Verschlüsselung von Datenträgern
- Verschlüsselung der Kommunikation (z.B. E-Mail Verschlüsselung)
Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
- Dokumentation von Berechtigungen
- Einsatz von Authentifizierungsverfahren
- Gesichertes WLAN
- Individuelle Log-In und Kennwortverfahren
- Spezielle Schutzvorkehrungen für den Serverraum (Hetzner, Telekom)
- Verwendung von starken Passwörtern (z.B. mind. 10-stellig)
- Verhinderung der Auswahl schwacher Passwörter bei Anwendungen
- Verschwiegenheitsverpflichtungen der Mitarbeiter
- Durchführung von Administrationstätigkeiten auf den Servern nur durch kompetent geschulte Personen
- Einsatz geeigneter Firewalls
- Einsatz von Protokollierungs- Auswertungssystemen, die die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung gewährleisten
- Einsatz von Verfahren zur Zwei- oder Mehr-Faktor-Authentifizierung bei Verarbeitungstätigkeiten mit hohem Risiko
- Erstellung von Rollenprofilen/Festlegung funktionellern Verantwortlichkeiten
- Verwendung von Zugriffsrechten
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- Back-Up Verfahren
- Geeignete Maßnahmen zur Datensicherung: Erstellte Backups werden an verschiedenen Orten gespeichert und je nach Anwendung unterschiedlich lange vorgehalten
- Spiegeln von Festplatten
- Vertretungsregelungen
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
- Penetrationstests (umfassender Sicherheitstest einzelner Rechner oder Netzwerke)
- Regelmäßige Sensibilisierung der Mitarbeiter (mind. Jährlich)
- Regelmäßige Test, ob alle relevanten Daten im Back-Up Prozess enthalten sind und die Wiederherstellung funktioniert
- Überprüfung der Wirksamkeit der technischen Maßnahmen (mind. jährlich)
Maßnahmen zur Identifizierung und Autorisierung der Nutzer
- Einweisung aller Mitarbeiter in den Umgang mit Authentifizierungsverfahren und -mechanismen
- Geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere zur Anlage (z.B. neuer Mitarbeiter), Änderung (z.B. Namenswechsel nach Heirat) und Löschung (z.B. Weggang Mitarbeiter)
- Vergabe von eindeutigen Kennungen für jeden Nutzer
- Vermeidung von Gruppenkennungen
Maßnahmen zum Schutz der Daten während der Übermittlung
- Bereitstellung über verschlüsselte Verbindungen: z.B.: HTTPS nach Stand der Technik einsetzen
- SSL-Zertifikat von vertrauenswürdigen Zertifizierungsstellen
- Data Hashing (Transformierung von personenbezogenen Daten in einebestimmte Zeichenfolge)
- Nutzung von kryptografischen Tools
Maßnahmen zum Schutz der Daten während der Speicherung
- Schutz von geheimen Schlüsseln durch starke Passwörter
- Verschlüsselung (asymmetrisch/symmetrisch) nach Stand der Technik
- Verschlüsselung von Systemen
- Verschlüsselung von Speichermedien
- Verschlüsselung von Datenträgern
- Verschlüsselung der Kommunikation (z.B. E-Mail Verschlüsselung)
Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
- Es besteht ein Konzept zu Zutrittsregelungen und zur physischen Zugangskontrolle (Perimeterschutz)
- Klare Regelungen zum Umgang mit Besuchern (z.B. Begleitung, Sicherheitszonen, Besucherausweise, Protokollierung, Zuständiger Mitarbeiter für Besucher) als Bestandteil des Konzepts
- Sichere Schließsysteme samt dokumentierter Schlüsselverwaltung
- Feuerhemmende Schränke,/Tresore zur Lagerung essentieller Komponenten (z.B. Backup-Bänder, wichtige Originaldokumente)
Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
- Protokollierung und Blockierung von IOCs (Indicators of Compromise)
- Protokollierungen auf Firewall-Ebene, um auch unbefugte Zugriffe zwischen den Netzen festzustellen und zu analysieren
- Protokollierung von Besuchern
- Protokollierung der Eingabe, Änderung und Löschung von Daten
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
- Automatisches Einspielen von Sicherheitsupdates des Betriebssystems, der installierten Software
- Durchführung regelmäßiger Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
- Regelmäßige Auswertung von Informationen zu Sicherheitslücken der eingesetzten Software
- Regelmäßige anlasslose Auswertung der Log-Dateien zur Erkennung von ungewöhnlichen Einträgen
Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
- Rollenprofile für die Beschäftigten unter Einbeziehung der Einträge des Verzeichnisses der Verarbeitungstätigkeiten
- Regelmäßige Überprüfung (einmal pro Jahr), ob die Zuweisungen der Rollen den Vorgaben entspricht sowie, ob die Rollen noch den Anforderungen der Geschäftstätigkeit entspricht
- Keine Administratorenkennungen für Nutzer, die keine administrativen Tätigkeiten ausführen
- Die Nutzung von Superuser (z.B. root unter Linux) wird woweit möglich nicht verwendet
- Bestimmung von Ansprechpartnern und verantwortlichen Projektmanagern für den konkreten Auftrag
- Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungs-schulungen für bestehendes Personal)
- Implementierung unternehmensinterner Datenschutz-Richtlinien
- Konsequente Einbindung der Datenschutzbeauftragten (DSB) bei Sicherheitsfragen
- Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtung nach Art. 33 und 34 DSGVO
- Relevante Richtlinien (z.B. zur E-Mail-/Internetnutzung, Einsatz von Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar
- Verpflichtung der Mitarbeiter auf das Datengeheimnis
- Vorhandensein einer geeigneten Organisationsstruktur für Informationssicherheit
Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
- Regelmäßige Sensibilisierung der Mitarbeiter (mind. jährlich)
- Regelmäßige Tests, ob allen relevanten Daten im Back-Up Prozess enthalten sind und die Wiederherstellung funktioniert
- Überprüfung der Wirksamkeit der technischen Maßnahmen (mind. jährlich)
Maßnahmen zur Gewährleistung der Datenminimierung
- Reduzierung von Attributen
- Reduzierung der Verarbeitungsoptionen in Verarbeitungsprozessschritten
- Festlegung von Voreinstellungen für betroffene Personen, die die Verarbeitung ihrer Daten auf das für den Verarbeitungszweck erforderliche Maß beschränken. Voreinstellungen)
- Festlegung und Umsetzung eines Löschkonzepts
Maßnahmen zur Gewährleistung der Datenqualität
- Entfernen oder Korrigieren fehlerhafter, doppelter und unvollständiger Datensätze
- Einsatz von Software-Tools, die Dateneingaben prüfen um sicherzustellen, dass sie bestimmten Standards oder Formaten entsprechen
- Anwendung einheitlicher Formate und Konventionen über alle Datenquellen hinweg, um Konsistenz zu gewährleisten
- Training und Sensibilisierung der Mitarbeitenden bezüglich der Bedeutung von Datenqualität und korrektem Datenmanagement
Maßnahmen zur Gewährleistung einer begrenzte Vorratsdatenspeicherung
- Erfassung und Speicherung nur der Daten, die für den vorgesehenen Zweck unbedingt notwendig sind*
- Festlegung einer klaren Ablaufzeit für die Speicherung von Daten, nach der die Daten automatisch gelöscht oder anonymisiert werden
- Durchführung regelmäßiger Audits, um sicherzustellen, dass Daten nach Ablauf ihrer Speicherfrist zuverlässig gelöscht werden.
- Sicherstellung, dass alle Maßnahmen zur Datenspeicherung den lokalen Datenschutzgesetzen und -vorschriften entsprechen.
Maßnahmen zur Gewährleistung der Rechenschaftspflicht
- Es wird ein Verarbeitungsverzeichnis geführt.
- Es werden Lösch- und Aufbewahrungskonzepte geführt.
- Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach dem PDCA-Zyklus (Plan-Do-Check-Act).
- Durchführung von Datenschutzschulungen für alle Mitarbeiter (einschließlich regelmäßiger Auffrischungs-schulungen für bestehendes Personal)
- Implementierung unternehmensinterner Datenschutz-Richtlinien.
- Konsequente Einbindung der Datenschutzbeauftragten (DSB) bei Sicherheitsfragen.
- Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtung nach Art. 33 und 34 DSGVO.
- Relevante Richtlinien (z.B. zur E-Mail-/Internetnutzung, Einsatz von Verschlüsselungstechniken) werden aktuell gehalten und sind leicht auffindbar.
- Verpflichtung der Mitarbeiter auf das Datengeheimnis.
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
- Es werden Lösch- und Aufbewahrungskonzepte geführt.
- Festlegung einer klaren Ablaufzeit für die Speicherung von Daten, nach der die Daten automatisch gelöscht oder anonymisiert werden
- Durchführung regelmäßiger Audits, um sicherzustellen, dass Daten nach Ablauf ihrer Speicherfrist zuverlässig gelöscht werden.
- Keine Aufbewahrung von Archivdaten in Produktivdatenbanken, sondern Überspielen von Archivdaten aus Produktivsystemen in die Archivsysteme
- Archivdaten müssen nach Ablauf der Aufbewahrungsfrist wirksam gelöscht werden.
- Durchführung von Datenschutzschulungen für alle Mitarbeiter
TOM der eingesetzten Unterauftragsverarbeiter:
Der Auftragsverarbeiter bedient sich zur Erbringung seiner Dienstleistungen Unterauftragsverarbeitern (siehe Anhang IV). Alle Unterauftragsverarbeiter setzen auf geeignete technische und organisatorische Maßnahmen. Weitere Informationen finden Sie unter:
Für Hetzner: https://www.hetzner.com/AV/TOM.pdf
Für die Telekom Cloud: https://www.open-telekom-cloud.com/de/sicherheit/datenschutz-compliance
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
| Unterauftragnehmer | Art der Verarbeitung |
|---|---|
| Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen | Hosting und zur Verfügungstellung des Produkts basebox einschließlich der darin verarbeiteten Kundendaten. |
| Telekom Deutschland GmbH Landgrabenweg 151 53227 Bonn | Hosting des Models und Verarbeitung der eingegebenen Prompts sowie Erstellung und Übermittlung der Antworten. |
STANDARDVERTRAGSKLAUSELN
Klausel 1
Zweck und Anwendungsbereich
a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) 1 bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
b) Die Parteien:
i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)"), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur"), und
ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur"),
haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln") einverstanden erklärt.
c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.
Klausel 2
Wirkung und Unabänderbarkeit der Klauseln
a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie -- in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter -- Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen: i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
ii) Klausel 8 -- Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b Modul zwei: Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b
iii) Klausel 9 -- Modul zwei: Klausel 9 Buchstaben a, c, d und e Modul drei: Klausel 9 Buchstaben a, c, d und e
iv) Klausel 12 -- Modul eins: Klausel 12 Buchstaben a und d Module zwei und drei: Klausel 12 Buchstaben a, d und f
v) Klausel 13
vi) Klausel 15.1 Buchstaben c, d und e
vii) Klausel 16 Buchstabe e
viii) Klausel 18 -- Module eins, zwei und drei Klausel 18 Buchstaben a und b Modul vier: Klausel 18
b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.
Klausel 4
Auslegung
a) Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.
Klausel 5
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.
Klausel 6
Beschreibung der Datenübermittlung(en)
Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu em/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7 -- fakultativ
Kopplungsklausel
a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.
b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.
c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.
Klausel 8
Datenschutzgarantien
Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur -- durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen -- in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
8.1 Weisungen
a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwortlicher fungiert.
b) Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, u. a. wenn eine solche Weisung gegen die Verordnung (EU) 2016/679 oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstößt.
c) Der Datenimporteur sieht von jeglicher Handlung ab, die den Datenexporteur an der Erfüllung seiner Pflichten gemäß der Verordnung (EU) 2016/679 hindern würde, einschließlich im Zusammenhang mit Unterverarbeitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
d) Nach Wahl des Datenimporteurs löscht der Datenexporteur nach Beendigung der Datenverarbeitungsdienste alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass dies erfolgt ist, oder gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien.
8.2 Sicherheit der Verarbeitung
a) Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten, auch während der Übermittlung, sowie den Schutz vor einer Verletzung der Sicherheit zu gewährleisten, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten"). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der Technik, den Implementierungskosten, der Art der personenbezogenen Daten 2, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung und ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann.
b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Sicherheit der Daten gemäß Buchstabe a. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Datenexporteur gemäß diesen Klauseln verarbeiteten personenbezogenen Daten meldet der Datenexporteur dem Datenimporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde, und unterstützt den Datenimporteur bei der Behebung der Verletzung.
c) Der Datenexporteur gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8.3 Dokumentation und Einhaltung der Klauseln
a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung seiner Pflichten gemäß diesen Klauseln erforderlich sind, und ermöglicht Prüfungen und trägt zu diesen bei.
Klausel 9 [gestrichen]
Klausel 10
Rechte betroffener Personen
Die Parteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen, die von betroffenen Personen gemäß den für den Datenimporteur geltenden lokalen Rechtsvorschriften oder -- bei der Datenverarbeitung durch den Datenexporteur in der Union -- gemäß der Verordnung (EU) 2016/679 gestellt werden.
Klausel 11
Rechtsbehelf
a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.
Klausel 12
Haftung
a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den die Partei der betroffenen Person verursacht, indem sie deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
c) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
d) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe c haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.
Klausel 13 [gestrichen]
Klausel 14
Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien, 3
iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.
Klausel 15
Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten
15.1 Benachrichtigung
a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen, i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder
ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während derVertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.
c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.
Klausel 16
Verstöße gegen die Klauseln und Beendigung des Vertrags
a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.
d) Von dem in der EU ansässigen Datenexporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen unverzüglich vollständig gelöscht werden, einschließlich aller Kopien. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines Landes, das Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht der Bundesrepublik Deutschland ist.
Klausel 18
Gerichtsstand und Zuständigkeit
Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten der Bundesrepublik Deutschland beigelegt.
1: Handelt es sich bei dem Datenexporteur um einen Auftragsverarbeiter, der der Verordnung (EU) 2016/679 unterliegt und der im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, so gewährleistet der Rückgriff auf diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht unter die Verordnung (EU) 2016/679 fällt, ebenfalls die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), insofern als diese Klauseln und die gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 im Vertrag oder in einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegten Datenschutzpflichten angeglichen sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss [...] enthaltenen Standardvertragsklauseln stützen.
2: Hierzu zählt, ob die Übermittlung und Weiterverarbeitung personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten enthalten.
3: Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfließen. Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab. Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.