Allgemeine Geschäftsbedingungen für die Nutzung der Online-Services in der InLoox Cloud

Sie sind hier: InLoox Allgemeine Geschäftsbedingungen der InLoox Cloud

  Abhängig von Ihrem Vertragspartner gelten unterschiedliche Vertragsbedingungen.

Ist Ihr Vertragspartner die InLoox GmbH mit Sitz in München, Deutschland, so gelten die Allgemeinen Geschäftsbedingungen für die Nutzung der Online-Services in der InLoox Cloud der InLoox GmbH.

Ist Ihr Vertragspartner InLoox, Inc. mit Sitz in San Francisco, USA, so gilt das InLoox, Inc. Master Subscription Services Agreement (nur in englischer Sprache verfügbar).

Vertragspartner

InLoox GmbH
InLoox, Inc.

InLoox GmbH

Allgemeine Geschäftsbedingungen für die Nutzung der Online-Services in der InLoox Cloud

Die nachfolgenden Allgemeinen Geschäftsbedingungen der InLoox GmbH, Walter-Gropius-Straße 17, 80807 München (nachfolgend „InLoox“) gelten für die Nutzung der Online-Services in der InLoox Cloud (nachfolgend „Online-Services“).

1. Geltungsbereich

Unsere Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten ausschließlich; entgegenstehende oder von unseren Geschäftsbedingungen abweichende Bedingungen des Kunden erkennen wir nicht an, es sei denn, wir stimmen ausdrücklich schriftlich ihrer Geltung zu.

2. Vertragsgegenstand

2.1. Diese AGB regeln die Bereitstellung der Online-Services durch InLoox. Mit den Online-Services stellt InLoox dem Kunden die technische Möglichkeit und Berechtigung, auf Dienste, welche auf zentralen Servern von InLoox betrieben werden, über das Internet unter app.inloox.com direkt im Webbrowser und/oder mittels Apps zuzugreifen und die Funktionalitäten der Online-Services im Rahmen dieses Vertrages zu nutzen.

2.2. Die Nutzung der Apps durch den Kunden ist Gegenstand eines separaten, eigenständigen Endnutzer-Lizenzvertrages. Im Rahmen der Installation Apps erklärt sich der Kunde mit den Vertragsbedingungen zum Endbenutzer-Lizenzvertrag einverstanden. Diese sind jederzeit unter www.inloox.de/endbenutzer-lizenzvertrag einzusehen und werden dem Kunden bei Installation zur Verfügung gestellt.

3. Leistungen

3.1. Art und Umfang der Online-Services sind unter www.inloox.de/inlooxcloud abschließend beschrieben. Die vertraglichen Leistungen ergeben sich aus der Bestellung des Kunden.

3.2. Sofern in der Bestellung nicht abweichend vereinbart, steht der Online-Service an sieben Tagen die Woche jeweils 24 Stunden zur Verfügung („Betriebszeit“). Die durchschnittliche Verfügbarkeit während der Betriebszeiten beträgt im Verantwortungsbereich von InLoox 99,5 % im Monatsmittel. Nicht in die Berechnung der Verfügbarkeit fallen die regulären Wartungsfenster des Systems, die unter www.inloox.de/support/inlooxcloud/wartung eingesehen werden können („Wartungszeiten“). Während dieser Zeiten kann die Anwendung dennoch, ggf. mit Unterbrechungen und Einschränkungen verfügbar sein; es besteht jedoch kein Anspruch auf Nutzung. Falls in den Betriebszeiten Wartungsarbeiten erforderlich werden und die Anwendung deshalb nicht zur Verfügung steht, wird InLoox den Kunden hierüber nach Möglichkeit rechtzeitig informieren.

3.3. InLoox bietet dem Kunden während der Laufzeit des Vertrages einen kostenlosen Support-Service einschließlich der Bereitstellung neuer Versionen, Upgrades oder Updates an. Die Einzelheiten des Support-Services können unter www.inloox.de/support/inlooxcloud eingesehen werden.

3.4. Im Übrigen und soweit nicht in der Bestellung anders vereinbart, schuldet InLoox keine weiteren Leistungen. Insbesondere ist InLoox nicht zur Erbringung von Installations-, Einrichtungs-, Beratungs-, Anpassungs- und / oder Schulungsleistungen sowie zur Erstellung und Überlassung von Individualprogrammierungen bzw. von Zusatzprogrammen verpflichtet.

3.5. Der Kunde hat die Möglichkeit, binnen 30 Tagen nach Vertragsschluss über den Erstbezug von Online-Services einen der Vertriebspartner von InLoox als betreuendes Unternehmen für Supportleistungen (nachfolgend „Konto-Betreuer“) zu benennen. In der Folge leistet der Konto-Betreuer dem Kunden gegenüber unentgeltlich First Level Support während der Vertragslaufzeit des Kunden. Zu den Einzelheiten des Serviceumfangs wird auf die jeweils geltenden Allgemeinen Geschäftsbedingungen des Konto-Betreuers hingewiesen. Im Rahmen der Abrechnung von InLoox gegenüber dem Konto-Betreuer werden die notwendigen Kundendaten zweckgebunden an den Konto-Betreuer übermittelt. Für weitere Informationen wird auf die Datenschutzbestimmungen sowie auf den Hinweis bei der Benennung des Konto-Betreuers hingewiesen.

4. Nutzungsrecht

4.1. InLoox räumt dem Kunden für die Laufzeit dieses Vertrages das entgeltliche, nicht ausschließliche, nicht übertragbare, nicht unterlizenzierbare Recht ein, auf die Online-Services auf dem Server von InLoox über das Internet zuzugreifen und mittels Webbrowsers oder Desktop-Software die mit den Online-Services verbundenen Funktionalitäten nach Maßgabe dieses Vertrages zu nutzen. Darüber hinausgehende Rechte, insbesondere an der Software erhält der Kunde nicht. Eine Überlassung der Software an den Kunden erfolgt nicht.

4.2. Der Kunde ist nicht berechtigt, die Online-Services über die nach Maßgabe dieses Vertrages erlaubte Nutzung hinaus zu nutzen oder sie Dritten – gleich in welcher Weise und ob unentgeltlich oder entgeltlich – zugänglich zu machen. Insbesondere ist es dem Kunden nicht gestattet, den Online-Service oder Teile davon, zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, vor allem nicht zu vermieten oder zu verleihen.

4.3. Der Kunde darf die Online-Services nur für seine eigenen geschäftlichen Tätigkeiten durch eigenes Personal und/oder beauftragte Dritte nutzen, die die Online-Services für ihn nutzen („berechtigte Nutzer“). Der Kunde stellt sicher, dass die berechtigten Nutzer die Online-Services nur im Rahmen und gemäß dieser AGB nutzen.

4.4. Für jeden Fall, in dem Kunde die Nutzung der Online-Services durch Dritte schuldhaft ermöglicht, hat Kunde jeweils eine sofort fällige Vertragsstrafe in Höhe der sechsfachen regulären Vergütung zu zahlen. Die Geltendmachung von Schadensersatz bleibt InLoox vorbehalten. In diesem Fall wird die Vertragsstrafe auf den Schadensersatzanspruch angerechnet.

4.5. Soweit InLoox während der Laufzeit dieses Vertrages dem Kunden neue Versionen, Updates oder Upgrades der Online-Services bereitstellt, gilt das vorstehende Nutzungsrecht für diese in gleicher Weise.

4.6. Im Falle einer unberechtigten Nutzungsüberlassung hat der Kunde InLoox auf Verlangen unverzüglich sämtliche Angaben zur Geltendmachung der Ansprüche gegen den Nutzer zu machen, insbesondere dessen Namen und Anschrift mitzuteilen.

4.7. Wird die vertragsgemäße Nutzung der Online-Services ohne Verschulden von InLoox durch Schutzrechte Dritter beeinträchtigt, so ist InLoox berechtigt, die hierdurch betroffenen Leistungen zu verweigern. InLoox wird den Kunden hiervon unverzüglich unterrichten und ihm in geeigneter Weise den Zugriff auf seine Daten ermöglichen. Der Kunde ist in diesem Fall nicht zur Zahlung verpflichtet. Sonstige Ansprüche oder Rechte des Kunden bleiben unberührt.

5. Testversion, Betaversion

5.1. Hat sich der Kunde für eine Testversion oder Betaversion der Online-Services registriert, so kann er diese gemäß den Bestimmungen dieses Vertrages für einen Zeitraum von 30 Tagen unentgeltlich nutzen. Für diesen Zeitraum übernimmt InLoox keine Garantie, Gewähr oder Haftung für Schäden im Zusammenhang mit der Nutzung der Testversion, ausgenommen Vorsatz und grobe Fahrlässigkeit.

5.2. Sämtliche Kundendaten werden nach Ablauf der 30-tägigen Testphase von InLoox gelöscht, es sei denn der Kunde entscheidet sich noch vorher für den Abschluss eines Vertrages über die entgeltliche Nutzung der Online-Services.

5.3. Kundendaten, die mit einer Betaversion erstellt bzw. eingegeben worden sind, können nicht in eine Produktivversion übernommen werden; sie werden nach Ablauf der Betaphase von InLoox gelöscht.

6. Pflichten des Kunden / Freistellung

6.1. Der Kunde wird die ihm bzw. den Nutzern zugeordneten Nutzungs- und Zugangsberechtigungen sowie Identifikations- und Authentifikations-Sicherungen vor dem Zugriff durch Dritte schützen und nicht an unberechtigte Nutzer weitergeben. Sobald der Kunde Anzeichen dafür hat, dass die Nutzungs- und Zugangsberechtigungen von einem Dritten unrechtmäßig erlangt wurden oder missbraucht werden könnten, ist der Kunde wegen Schadensminderungszwecken verpflichtet, InLoox umgehend hiervon zu informieren.

6.2. Der Kunde wird die Online-Services in keiner Weise missbräuchlich nutzen oder nutzen lassen, insbesondere keine rechtswidrigen Inhalte übermitteln. Der Kunde wird auch jeden Versuch unterlassen, selbst oder durch nicht autorisierte Dritte Informationen oder Daten unbefugt abzurufen oder in Programme, die von InLoox betrieben werden, einzugreifen oder eingreifen zu lassen oder in Datennetze von InLoox unbefugt einzudringen.

6.3. Der Kunde wird Fehler der vertragsgegenständlichen Leistungen InLoox unverzüglich schriftlich melden und dabei angeben, wie und unter welchen Umständen der Fehler bzw. der Mangel auftritt und InLoox bei der Fehlersuche aktiv unterstützen.

6.4. Der Kunde wird die an InLoox übermittelten Daten regelmäßig und gefahrentsprechend sichern und eigene Sicherungskopien erstellen, um bei Verlust der Daten und Informationen die Rekonstruktion derselben zu gewährleisten.

6.5. Bei der Nutzung der Online-Services sowie der vertragsgegenständlichen Leistungen wird der Kunde alle anwendbaren Gesetze und sonstigen Rechtsvorschriften beachten. Dem Kunden ist es insbesondere untersagt, Daten oder Inhalte einzustellen, die gegen Rechtsvorschriften verstoßen, die fremde Schutz- oder Urheberrechte oder sonstige Rechte Dritter verletzen. Der Kunde ist für die von ihm bereitgestellten Daten und Inhalte selbst verantwortlich. InLoox überprüft die Inhalte weder auf ihre Rechtmäßigkeit noch auf ihre Richtigkeit hin.

6.6. Der Kunde stellt InLoox von sämtlichen Ansprüchen Dritter frei, die auf einer rechtswidrigen Verwendung der Online-Services durch ihn beruhen oder mit seiner Billigung erfolgen oder die sich insbesondere aus datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der Online-Services verbunden sind. Erkennt der Kunde oder muss er erkennen, dass ein solcher Verstoß droht, besteht die Pflicht zur unverzüglichen Unterrichtung von InLoox.

7. Vertragswidrige Nutzung / Sperrung des Zugangs

7.1. Wenn konkrete Anhaltspunkte vorliegen, dass der Kunde gegen eine der in diesem Vertrag festgelegten wesentlichen Pflichten, die gesetzlichen Bestimmungen oder Rechte Dritter verstößt bzw. verstoßen hat, oder wenn InLoox ein sonstiges berechtigtes Interesse hat, ist InLoox berechtigt,

7.2. Bei der Entscheidung über eine Maßnahme wird InLoox berechtigte Interessen des Kunden berücksichtigen, insbesondere wenn der Kunde den Verstoß nicht verschuldet hat. InLoox wird den Kunden in allen Fällen vor der Sperrung per Email unterrichten.

7.3. Der Zugang wird erst dann wiederhergestellt, wenn der Verstoß gegen die betroffene wesentliche Pflicht dauerhaft beseitigt bzw. die Wiederholungsgefahr ausgeräumt ist. Bei besonders schwerwiegenden oder wiederholten, schuldhaften Verstößen ist InLoox berechtigt, den Zugang des Kunden zu den Online-Services und zu deren Daten dauerhaft zu sperren.

8. Vergütung / Zahlungsbedingungen

8.1. Die vereinbarte Vergütung für die vertraglichen Leistungen ergibt sich aus der Bestellung des Kunden. Die Abrechnungsperiode (1 oder 12 Monate) ergibt sich aus der Bestellung des Kunden.

8.2. Alle genannten Vergütungen und Preise verstehen sich zzgl. der jeweils gültigen gesetzlichen Umsatzsteuer. Diese wird zusätzlich zu der Vergütung getrennt in Rechnung gestellt.

8.3. Der Kunde zahlt die vertraglich vereinbarte Vergütung für eine Abrechnungsperiode jeweils im Voraus mittels Kreditkarte oder per Lastschrift. Unabhängig von der gewählten Zahlungsmethode hat der Kunde die zur Abrechnung Verfügung gestellten Daten jederzeit auf dem aktuellsten Stand zu halten und InLoox über Änderungen unverzüglich zu informieren.

8.4. Erteilt der Kunde zur Zahlung eine entsprechende Einzugsermächtigung, so wird die Vergütung für den Abrechnungszeitraum 7 Tage nach Zugang der Rechnung von dem in der Einzugsermächtigung genannten Konto eingezogen. Der Kunde hat jederzeit für eine entsprechende Deckung seines Kontos zu sorgen. Der Kunde hat alle Kosten zu ersetzen, die dadurch entstehen, dass eine Lastschrift nicht eingelöst wird und der Kunde dies zu vertreten hat. Der Kunde steht der Nachweis frei, dass die Kosten nicht oder nicht in der geltend gemachten Höhe entstanden sind.

8.5. Der Kunde darf nur mit rechtskräftig festgestellten oder unbestrittenen Forderungen aufrechnen oder ein Zurückbehaltungsrecht geltend machen.

9. Verzug

9.1. Bei Zahlungsverzug ist InLoox berechtigt, gegenüber Unternehmen Verzugszinsen in Höhe von 8 Prozentpunkten über dem jeweils gültigen Basiszinssatz und gegenüber Verbrauchern in Höhe von 5 Prozentpunkten über dem jeweils gültigen Basiszinssatz zu berechnen. Die Geltendmachung weiterer Schäden bleibt vorbehalten.

9.2. Während eines Zahlungsverzugs des Kunden in nicht unerheblicher Höhe ist InLoox berechtigt, den Zugang zur den Online-Services zu sperren. Der Kunde bleibt in diesem Fall verpflichtet, die Vergütung zu zahlen.

9.3. Kommt der Kunde

a) für zwei aufeinander folgende Abrechnungsperioden mit der Bezahlung der Vergütung bzw. eines nicht unerheblichen Teils der Vergütung oder

b) in einem Zeitraum, der sich über mehr als zwei Abrechnungsperioden erstreckt, mit der Bezahlung des Entgeltes in Höhe eines Betrages, der das Entgelt für zwei Abrechnungsperioden erreicht, in Verzug, ist InLoox berechtigt, den Vertrag ohne Einhaltung einer Frist zu kündigen und einen sofort in einer Summe fälligen pauschalierten Schadensersatz in Höhe eines Viertels der bis zum Ablauf der regulären Vertragslaufzeit restlichen monatlichen Preise zu verlangen.

9.4. Der Schadensbetrag ist höher oder niedriger anzusetzen, wenn InLoox einen höheren oder der Kunde einen geringeren Schaden nachweist.

9.5. Die Geltendmachung weiterer Ansprüche wegen Zahlungsverzuges bleibt InLoox vorbehalten.

9.6. Gerät InLoox mit der betriebsfähigen Bereitstellung der Online-Services in Verzug, so richtet sich die Haftung nach Ziffer 10. Der Kunde ist nur dann zum Rücktritt vom Vertrag berechtigt, wenn InLoox eine vom Kunden gesetzte angemessene Nachfrist nicht einhält.

10. Haftung

10.1. InLoox haftet bei Vorsatz für alle von ihr sowie ihren gesetzlichen Vertretern oder Erfüllungsgehilfen verursachten Schäden unbeschränkt.

10.2. In Fällen leichter Fahrlässigkeit haftet InLoox nur, für von ihr sowie ihren gesetzlichen Vertretern oder Erfüllungsgehilfen verursachten Schäden aus der Verletzung einer wesentlichen Vertragspflicht. Wesentlich sind Vertragspflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung InLoox regelmäßig vertraut und vertrauen darf. In diesem Fall ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt.

10.3. Die Haftung von InLoox für indirekte Schäden und entgangenen Gewinn ist ausgeschlossen.

10.4. Die verschuldensunabhängige Haftung von InLoox auf Schadensersatz (§ 536 a Abs.1 BGB) für bei Vertragsschluss vorhandene Mängel ist ausgeschlossen.

10.5. Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

10.6. Soweit die Haftung von InLoox ausgeschlossen oder beschränkt ist, gilt dies für die persönliche Haftung der Angestellten, Arbeitnehmer, Mitarbeiter, Vertreter und Erfüllungsgehilfen von InLoox entsprechend.

11. Datenschutz und Datensicherheit

11.1. Die vom Kunden eingestellten Daten werden in Deutschland in Rechenzentren in Frankfurt am Main und Magdeburg gespeichert. Grundlage der Datenverarbeitung ist die als Anlage zu diesen Bedingungen beigefügte Vereinbarung zur Auftragsverarbeitung, die durch Annahme dieser Bedingungen ausdrücklich zwischen den Parteien vereinbart wird.

11.2. InLoox erhebt, verarbeitet oder nutzt im Rahmen der Erbringung der Leistungen nach diesem Vertrag über die Speicherung durch den Kunden hinaus in der Regel keine personenbezogenen Daten im Auftrag des Kunden und hat hierauf auch keinen Zugriff.

11.3. Erhebt, verarbeitet oder nutzt der Kunde personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes InLoox von Ansprüchen Dritter frei. Sollte der Kunde entgegen Ziffer 11.2. ohne Zustimmung von InLoox personenbezogene Daten auf den Server von InLoox einstellen, stellt der Kunde InLoox von sämtlichen Ansprüchen Dritter frei.

11.4. InLoox erhebt im Rahmen des „Programms zur Verbesserung der Benutzerfreundlichkeit“ (CEIP) anonymisierte Nutzungsstatistiken und Fehlerberichte, sofern der Kunde diesem nicht widerspricht. Weitere Informationen können unter www.inloox.de/ceip eingesehen werden.

12. Höhere Gewalt

12.1. InLoox ist von der Verpflichtung zur Leistung aus diesem Vertrag befreit, wenn und soweit die Nichterfüllung von Leistungen auf das Eintreten von Umständen höherer Gewalt nach Vertragsabschluss zurückzuführen ist.

12.2. Als Umstände höherer Gewalt gelten zum Beispiel Krieg, Streiks, Unruhen, Enteignungen, kardinale Rechtsänderungen, Sturm, Überschwemmungen und sonstige Naturkatastrophen sowie sonstige von InLoox nicht zu vertretende Umstände, insbesondere Wassereinbrüche, Stromausfälle und Unterbrechungen oder Zerstörung datenführender Leitungen.

12.3. Jede Vertragspartei hat die andere Vertragspartei über den Eintritt eines Falles von höherer Gewalt unverzüglich und in schriftlicher Form in Kenntnis zu setzen.

13. Geheimhaltung

Die Vertragsparteien verpflichten sich, Betriebs- und Geschäftsgeheimnisse, die sie - einschließlich ihrer Erfüllungsgehilfen - anlässlich der Vertragsanbahnung oder der Vertragserfüllung erlangt haben, vertraulich zu behandeln. Diese Verpflichtungen gelten nicht für Informationen, Kenntnisse und Erfahrungen, die

(a) nachweislich ohne Verletzung dieser Geheimhaltungsverpflichtung allgemein bekannt sind,

(b) den Parteien bereits vor Erhalt der Informationen, Kenntnisse und Erfahrungen nachweislich bekannt waren,

(c) von einem Dritten ohne Verpflichtung zur Geheimhaltung erhalten worden oder

(d) nachweislich unabhängig erarbeitet worden sind.

14. Vertragslaufzeit, Kündigung

14.1. Der Vertrag wird über die in der Bestellung vereinbarte Vertragslaufzeit geschlossen (Mindestlaufzeit). Der Vertrag verlängert sich jeweils um den gleichen Zeitraum wie die Mindestvertragslaufzeit (Verlängerungslaufzeit), wenn nicht eine der Vertragsparteien den Vertrag vor Ende der Mindestlaufzeit oder der jeweiligen Verlängerungslaufzeit kündigt.

14.2. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt. Ein außerordentliches Kündigungsrecht steht InLoox neben Ziffer 8.2. insbesondere zu, wenn der Kunde

14.2.1. wesentliche Bestimmungen dieses Vertrages verletzt oder Hauptleistungspflichten aus dem Vertrag nicht nachkommt und diese Pflichtverletzung trotz schriftlicher Abmahnung nicht innerhalb einer angemessenen Frist beseitigt;

14.2.2. fällige Zahlungen aus diesem Vertrag nicht erfüllt und die Zahlungsstockung nicht nur vorübergehend ist;

oder

14.2.3. seinen Geschäftsbetrieb nicht nur vorübergehend einstellt, gleich ob dies auf einer eigenen Entscheidung oder durch gerichtliche Anordnung erfolgt.

14.3. Das Recht des Kunden, den Vertrag außerordentlich fristlos zu kündigen, wenn ihm der vertragsgemäße Gebrauch der Online-Services ganz oder zum Teil nicht rechtzeitig gewährt oder wieder entzogen wird, wird ausgeschlossen (§ 543 Absatz 2 Ziffer 1 BGB).

14.4. Kündigt der Kunde den Vertrag außerordentlich, so erstattet InLoox dem Kunden die bereits im Voraus gezahlte Vergütung.

14.5. Kündigt InLoox den Vertrag außerordentlich aus einem Grund, den der Kunde zu vertreten hat, so hat der Kunde die noch ausstehenden Vergütungen bis zum Ende der Mindestlaufzeit zu leisten.

14.6. Alle außerordentlichen Kündigungen nach diesem Vertrag haben schriftlich zu erfolgen. Entscheidend für die Einhaltung der Kündigungsfristen ist der Zeitpunkt des Zugangs der Kündigungserklärung.

15. Pflichten bei und nach Beendigung des Vertrags

15.1. Dem Kunden stehen während der Vertragslaufzeit und innerhalb von 30 Tagen nach Beendigung des Vertrages seine auf den Servern von InLoox gespeicherten Daten zum Download bereit, vorausgesetzt der Kunde hat die entsprechenden Daten nicht endgültig vom Server gelöscht.

15.2. InLoox stellt dem Kunden hierfür eine Download Anwendung innerhalb der Online-Services zur Verfügung. Kundendaten können im SQL-Format als Datei heruntergeladen werden; Dokumente und Anhänge in ihrem Ursprungsformat.

15.3. Nach Ablauf von 30 Tagen nach Beendigung des Vertrages hat der Kunde keinen Anspruch auf Übermittlung der von ihm gespeicherten Daten. Hierauf weist InLoox den Kunden nach Eingang der Kündigung gesondert hin.

16. Schlussbestimmungen

16.1. Im Falle von Abweichungen und/oder Widersprüchen der Regelungen dieses Vertrages und den Regelungen der Anlagen, gehen die Regelungen dieses Vertrages vor.

16.2. Der Kunde kann die Rechte und Pflichten aus diesem Vertrag nur nach vorheriger schriftlicher Zustimmung von InLoox auf Dritte übertragen. InLoox ist hingegen berechtigt, die Rechte und Pflichten aus diesem Vertrag an ein Konzernunternehmen im Sinne von §§ 15 ff. Aktiengesetz zu übertragen. Der Kunde wird hierüber von InLoox schriftlich informiert und ist in diesem Fall berechtigt, den Vertrag außerordentlich zu kündigen.

16.3. Änderungen oder Ergänzungen des Vertrages und seiner Anhänge bedürfen der Textform, außer in dieser Vereinbarung ist eine besondere Schriftform vereinbart.

16.4. Auf diesen Vertrag findet das Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG) und des internationalen Rechts (insbesondere des deutschen Kollisionsrechts) Anwendung.

16.5. Soweit der Kunde nicht Verbraucher im Sinne von § 13 BGB ist, ist Gerichtsstand für alle Streitigkeiten aus diesem Vertrag einschließlich seiner Anhänge München. Dasselbe gilt, wenn der Kunde keinen allgemeinen Gerichtsstand in Deutschland hat oder Wohnsitz oder gewöhnlicher Aufenthalt im Zeitpunkt der Klageerhebung nicht bekannt sind.

16.6. Im Falle der ganzen oder teilweisen Unwirksamkeit einzelner Klauseln der vorliegenden Vereinbarung sind eventuell unwirksame Bestimmungen so umzudeuten, zu ergänzen oder zu ersetzen, dass der mit der unwirksamen Bestimmung verfolgte wirtschaftliche Zweck erreicht wird. Dasselbe gilt für den Fall, dass Regelungslücken in dieser Vereinbarung vorhanden sein sollten.

16.7. Vertragssprache ist Deutsch. Diese Allgemeinen Geschäftsbedingungen sind in deutscher und englischer Fassung erhältlich. Für die Auslegung einzelner Regelungen und/oder bei Widersprüchen zwischen den Sprachfassungen ist die deutsche Sprachfassung allein maßgeblich und verbindlich.

Stand: 31.10.2022

   
   
   

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

Stand: 29. Januar 2021

Vereinbarung

zwischen dem

Kunden der InLoox GmbH
- Verantwortlicher - nachstehend Auftraggeber genannt -

und der

InLoox GmbH, Walter-Gropius-Straße 17, D-80807 München
- Auftragsverarbeiter - nachstehend Auftragnehmer genannt -

1. Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags ergibt sich aus der jeweiligen Bestellung des Kunden sowie die dort referenzierten allgemeinen Geschäftsbedingungen, auf die hier insgesamt verwiesen wird (nachstehend „Leistungsvereinbarung“).

(2) Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind in der Leistungsvereinbarung konkret beschrieben. Insbesondere erbringt der Auftragnehmer gegenüber dem Auftraggeber im Rahmen der Leistungsvereinbarung folgende Leistungen:

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet durch den Auftragnehmer selbst ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Soweit jeweils in Anlage 1 – Technisch-organisatorische Maßnahmen – ausdrücklich bezeichnet, finden einzelne Verarbeitungen außerhalb eines Mitgliedsstaates der Europäischen Union oder in eines anderen Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum statt; in diesen Fällen ist jedoch stets das angemessene Schutzniveau im Drittstaat gewährleistet (siehe Anlage 2) und durch die in Anlage 1 genannten Maßnahmen sichergestellt. Jede sonstige Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DS-GVO erfüllt sind. Diese Zustimmung kann für in diesem Vertrag genannte einzelne Verarbeitungen für jeweils ein spezifisches Drittland erteilt werden, auch im Hinblick auf Unterauftragsverhältnisse.

(2) Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

(3) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Die im Einzelnen ergriffenen technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 1.

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken, soweit keine gesetzlichen Anforderungen den Auftragnehmer zu selbständigem Tätigwerden verpflichten. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber bei Vertragsschluss bekanntzugeben. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

b) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO Die Einzelheiten sind in Anlage 1 aufgeführt.

d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diese konkrete und grundsätzliche Beauftragung beziehen und eine solche Information gesetzlich nicht verboten ist. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen, soweit dies gesetzlich erlaubt ist.

g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

a) Der Auftraggeber stimmt der Beauftragung der in Anlage 2 benannten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu.

b) Der Wechsel des bestehenden Unterauftragnehmers ist zulässig, soweit:

(3) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(4) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen. Die technischen und organisatorischen Maßnahmen von Unterauftragnehmern sind an die hier definierten technischen und organisatorischen Maßnahmen anzulehnen und dürfen nur in begründeten Ausnahmefällen das hier vereinbarte Niveau unterschreiten.

7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig und spätestens 14 Tage vorab anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

8. Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;

b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;

c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen:

d) unverzügliche Weiterleitung von Ersuchen betroffener Personen, z. B. Recht auf Auskunft, an den Auftraggeber;

e) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;

f) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen. Grundlage für die Berechnung der Vergütung ist die Leistungsvereinbarung oder die allgemeinen Vergütungssätze des Auftragnehmers für vergleichbare Tätigkeiten.

9. Weisungsbefugnis des Auftraggebers

(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Die Feststellung der Beendigung der Leistungsvereinbarung bedarf der Mitteilung durch den Auftraggeber. Mit der Erklärung, die vertragliche Beziehung einstellen zu wollen, beginnt zudem die Löschfrist hinsichtlich aufbewahrungspflichtiger Geschäftsunterlagen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Sonstiges

Der Ansprechpartner beim Auftraggeber auch für den Datenschutz ist standardmäßig der als Rechnungskontakt benannte Ansprechpartner; dieser kann jederzeit vom Auftraggeber geändert oder ergänzt werden. Ansprechpartner beim Auftragnehmer ist dessen jeweiliger Datenschutzbeauftragter, erreichbar unter inloox@ws-datenschutz.de.

Anlage 1 – Technisch-organisatorische Maßnahmen

A. Auftragnehmer:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

B. Unterauftragnehmer:

Siehe ergänzend jeweils die Verweise zum aktuellen Stand der Maßnahmen zum jeweiligen Unterauftragnehmer in Anlage 2.

1. Microsoft Corporation, Stand April 2018

Allgemeine Praxis. Microsoft hat für die Onlinedienste die folgenden Sicherheitsmaßnahmen ergriffen und wird diese auch beibehalten und ihnen folgen. Diese Sicherheitsmaßnahmen stellen in Verbindung mit den Sicherheitsverpflichtungen in den OST die einzige Verantwortlichkeit von Microsoft im Hinblick auf die Sicherheit von Kundendaten dar:

Informationssicherheitsrichtlinie für Onlinedienste
Für Microsoft Azure-Core-Dienste und Microsoft Cloud App Security gilt eine schriftliche Datensicherheitsrichtlinie („Informationssicherheitsrichtlinie“), u. a. die die Kontrollstandards und Rahmenbestimmungen der ISO 27007 einhält. Informationen zu weiteren Zertifizierungen erhalten Sie unter: https://www.microsoft.com/de-de/TrustCenter/Compliance/ISO-IEC-27001

Prüfung von Onlinediensten durch Microsoft
Für jeden Onlinedienst führt Microsoft folgende Prüfungen bezüglich der Sicherheit der Computer, Datenverarbeitungsumgebungen und physischen Rechenzentren durch, die sie zur Verarbeitung von Kundendaten (einschließlich personenbezogener Daten) verwendet:

Für jede Prüfung wird ein Prüfbericht erstellt („Microsoft-Prüfbericht“), der zu den Vertraulichen Informationen von Microsoft zählt. Der Microsoft-Prüfbericht legt wesentliche Ergebnisse des Prüfers eindeutig offen. Microsoft behebt alle in einem Microsoft-Prüfbericht festgestellten Probleme umgehend zur Zufriedenheit des Prüfers.

Auf Anforderung des Kunden stellt Microsoft dem Kunden die einzelnen Microsoft-Prüfberichte bereit, damit der Kunde sich von der Einhaltung der Sicherheitspflichten durch Microsoft unter den DPT überzeugen kann. Der Microsoft-Prüfbericht unterliegt den Vertraulichkeits- und Verteilungsbeschränkungen von Microsoft und dem Prüfer.

2. SendGrid Inc., Stand April 2018

Die deutsche Fassung der Maßnahmen dieses Unterauftragnehmers dient nur zur Informations- und Übersetzungszwecken. Für die Auslegung einzelner Regelungen und/oder bei Widersprüchlichkeiten zwischen den Sprachversionen bleibt stets die englische Sprachversion maßgeblich und verbindlich. Diese kann abgerufen werden unter: https://www.inloox.com/order-processing-contract-in-accordance-with-art--28-gdpr/#sendgrid 

1. Kontrollen auf Netzwerkebene

a) SendGrid verwendet Host-basierte Firewall(s) zum Schutz von Hosts/Infrastrukturen, mit oder auf denen personenbezogene Daten verarbeitet werden. Die Firewall(s) muss/müssen in der Lage sein, die folgenden Funktionen effektiv auszuführen: Stateful Inspection, Logging, Unterstützung für starke Verschlüsselung und Hashing, ICMP- und SNMP-basierte Überwachung und Antispoofing.

b) SendGrid verfügt über eine netzwerkbasierte Sicherheitsüberwachung für das/die Segment(e), auf dem/denen sich die Hosts, die mit personenbezogenen Daten umgehen, logisch befinden.

c) SendGrid bewertet Schwachstellen auf Netzwerkebene und behebt kritische Schwachstellen innerhalb von 30 Tagen.

d) SendGrid wendet Change-Management-Standards für Netzwerk-/Infrastrukturkomponenten an, die mit personenbezogenen Daten umgehen.

2. Kontrollen auf Hosting-Ebene

a) SendGrid implementiert eine Betriebssystem-Härtung für Hosts/Infrastrukturen, die mit personenbezogenen Daten umgehen. Die Betriebssystemhärtung umfasst unter anderem die folgenden Konfigurationen: starke Passwortauthentifizierung/Verwendung von Schlüsseln, Inaktivitäts-Timeout, Deaktivieren oder Entfernen von unbenutzten oder abgelaufenen Konten und Diensten, Deaktivieren unbenutzter Ports und Protokollverwaltung. Darüber hinaus implementiert SendGrid Zugriffskontrollprozesse und schränkt den Zugriff auf Betriebssystemkonfigurationen nach dem Least Privileg-Prinzip ein.

b) SendGrid führt das Patch-Management auf Systemen durch, die personenbezogene Daten hosten oder mit ihnen umgehen. SendGrid implementiert kritische Patches innerhalb der vom Hersteller empfohlenen Zeitfenster auf Systemen, die personenbezogene Daten hosten oder mit ihnen umgehen, mit einer Frist von nicht mehr als 30 Tagen, nachdem der Patch identifiziert wurde.

c) SendGrid implementiert spezifische Kontrollen, um Aktivitäten von Benutzern mit erhöhtem Zugriff auf Systeme, die personenbezogene Daten hosten oder mit ihnen umgehen, zu protokollieren.

d) SendGrid bewertet mindestens monatlich Schwachstellen auf Systemebene und behebt kritische Schwachstellen innerhalb von 30 Tagen.

e) SendGrid setzt eine umfassende Antiviren- oder Endgerätesicherheitslösung für Endgeräte ein, auf welchen personenbezogene Daten verarbeitet werden.

f) Physische Server werden mit geeigneten physischen Sicherheitsmechanismen geschützt, einschließlich – aber nicht beschränkt auf – Zugang mit Ausweis, verschlossene Käfige, sichere Perimeter, Kameras, Alarme und erzwungene Benutzerbereitstellungskontrollen.

3. Kontrollen auf Anwendungsebene

a) SendGrid pflegt die Dokumentation der gesamten Anwendungsarchitektur, der Prozessabläufe und der Sicherheitsfunktionen für Anwendungen, die personenbezogene Daten verarbeiten.

b) SendGrid verwendet sichere Programmierrichtlinien und Protokolle bei der Entwicklung von Anwendungen, die personenbezogene Daten verarbeiten oder mit ihnen umgehen.

c) SendGrid führt regelmäßig ein Patch-Management an Anwendungen durch, die personenbezogene Daten hosten oder mit ihnen umgehen. SendGrid implementiert kritische Patches innerhalb der vom Hersteller empfohlenen Zeitfenster an allen Anwendungen, die personenbezogene Daten hosten oder mit ihnen umgehen, mit einer Frist von nicht mehr als 30 Tagen.

d) SendGrid bewertet mindestens monatlich Schwachstellen auf Anwendungsebene und behebt kritische Schwachstellen innerhalb von 30 Tagen.

e) SendGrid führt Code-Reviews durch und verwaltet die Dokumentation der Code-Reviews für Anwendungen, die personenbezogene Daten hosten oder mit ihnen umgehen.

f) SendGrid wendet Change-Management-Standards für Anwendungen an, die personenbezogene Daten hosten oder mit ihnen umgehen.

4. Kontrollen auf Datenebene

SendGrid verwendet eine starke Verschlüsselung (TLS) für die Übertragung von personenbezogenen Daten, die als vertrauliche Informationen gelten. Datensicherungen personenbezogener Daten werden im Ruhezustand und während der Übertragung verschlüsselt; aufgrund der Dynamik der Daten in der SendGrid-Produktionsumgebung werden personenbezogene Daten in den SendGrid-Produktionsdatenbanken jedoch nicht im Ruhezustand verschlüsselt.

5. Kontrollen auf Endbenutzer-Computing-Ebene

a) SendGrid verwendet eine Endpunkt-Sicherheits- oder Antivirenlösung für Endbenutzer-Computer, die mit personenbezogenen Daten umgehen.

b) SendGrid stellt sicher, dass Endbenutzer-Computer, die mit personenbezogenen Daten umgehen, verschlüsselt werden.

6. Compliance-Kontrollen

a) SendGrid bemüht sich nach bestem Wissen und Gewissen im Rahmen der aktuell gültigen Informationssicherheitspolitik von SendGrid zu arbeiten. Diese Politik wird dem Kunden auf Anfrage in gedruckter Form zur Verfügung gestellt.

b) Ungeachtet dessen ergreift SendGrid geeignete physische, technische und organisatorische Sicherheitsmaßnahmen in Übereinstimmung mit Industriestandards, einschließlich – aber nicht beschränkt auf – Gebäudezutrittskontrolle, Mitarbeiterausbildung und Personalsicherheitsmaßnahmen.

3. Freshworks Inc., Stand April 2019

Die deutsche Fassung der Maßnahmen dieses Unterauftragnehmers dient nur zur Informations- und Übersetzungszwecken. Für die Auslegung einzelner Regelungen und/oder bei Widersprüchlichkeiten zwischen den Sprachversionen bleibt stets die englische Sprachversion maßgeblich und verbindlich. Diese kann abgerufen werden unter: https://www.inloox.com/order-processing-contract-in-accordance-with-art--28-gdpr/#freshdesk

Informationssicherheitsprogramm

Physische Zugangskontrolle

Systemzugangskontrolle

Datenzugriffskontrolle

Datenübertragungssteuerung

Eingabekontrolle

Verfügbarkeitskontrolle

Datentrennungssteuerung

Arbeitsplatzsicherheit

Informationssicherheits-Vorfallsmanagement

Der Verarbeiter führt eine Aufzeichnung der Sicherheitsvorfälle mit einer Beschreibung des Vorfalls, des Zeitraums, der Folgen, des Namens des Berichterstatters oder Dienstes, an den der Vorfall gemeldet wurde, und der Behebung.

Bewertung und Zertifizierungen

Der Verarbeiter hat die ISO 27001-Zertifizierung für seine Datensicherheits- und/oder Datenschutzsysteme und sein Unternehmen erhalten.

Anlage 2 – Genehmigte Unterauftragsverhältnisse

Nachstehende Auftragsverarbeiter gelten mit Unterschrift der Vereinbarung als genehmigt:

Name des Auftragsverarbeiters:

Microsoft Corporation

Leistungsgegenstand:

Microsoft Azure Rechenzentren, welche InLoox für die interne Verwendung anmietet, z. B. zur Verwaltung, Entwicklung, Support und Marketing.

Firmensitz/Land:

One Microsoft Way, Redmond, Washington 98052, USA

Angemessenes Schutzniveau (Artt. 44 ff. DS-GVO):

Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. C und d DS-GVO)

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „1. Microsoft Corporation“

Name des Auftragsverarbeiters:

Microsoft Ireland Operations Limited

Leistungsgegenstand:

Microsoft Cloud Deutschland Rechenzentren, die InLoox im Rahmen von InLoox now! anmietet.

Firmensitz/Land:

One Microsoft Place, South County Business Park, Leopardstown, Dublin, D18 P521, Irland

Datenverarbeitungsort:

Ausschließlich EU

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „1. Microsoft Corporation“

Name des Auftragsverarbeiters:

SendGrid Inc.

Leistungsgegenstand:

E-Mail-Benachrichtigungen von InLoox now! an im Projektraum hinterlegte Benutzer über Aktionen anderer Benutzer, sowie E-Mail-Benachrichtigungen des InLoox-Supports und anderer administrativer Systeme, wie z. B. des InLoox Online-Stores.

Firmensitz/Land:

1801 California St., Suite 500, Denver, Colorado 80202, USA

Angemessenes Schutzniveau (Artt. 44 ff. DS-GVO):

Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO) über EU-US Privacy Shield

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „2. SendGrid Inc.“

Name des Auftragsverarbeiters:

Freshworks Inc.

Leistungsgegenstand:

Kunden-Supportanfragen

Firmensitz/Land:

1250 Bayhill Drive, Suite 315, San Bruno, CA 94066, USA

Angemessenes Schutzniveau (Artt. 44 ff. DS-GVO):

Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO) über EU-US Privacy Shield sowie vereinbarte Standardvertragsklauseln

Technische und organisatorische Maßnahmen:

siehe Anlage 1, Abschnitt „B. Unterauftragnehmer“, „3. Freshworks Inc.“

   
   
   

InLoox, Inc.

InLoox, Inc. Master Subscription Services Agreement

IF CUSTOMER DOES NOT AGREE TO THESE TERMS, CUSTOMER MAY NOT ACCESS OR USE THE SERVICE. 

This Master Subscription Services Agreement (“Agreement”) is between InLoox Inc., a Delaware corporation (InLoox), and the entity or individual agreeing to these terms (Customer).

1) ONLINE SUBSCRIPTION SERVICES. This Agreement provides Customer access to a proprietary web-based subscription service, as specified on the order. Details of the available InLoox services are located at: www.inloox.com/inlooxnow

InLoox will provide this functionality through inlooxnow.com within a hosted server environment under the terms below (Service) and through InLoox software that acts as the interface to the Service (this software will be contracted for under an End User License Agreement provided as part of the installation of that software). This Agreement contemplates one or more orders for the Services, which orders are governed by the terms of this Agreement and will describe the Services ordered in more detail (these orders may be provided electronically online or via written order forms). 

2) USE OF SERVICES.

a) Trial Period and Beta Program. If Customer has registered for a trial or beta use of the Services, Customer may access the Services for a 30-day time period free of charge. The Service is provided AS IS, with no warranty during this time period. For trial accounts, the Customer data will be deleted after the trial period (unless Customer converts its account to the paid Service). For beta accounts, the account and Customer data will be deleted after the beta period.

b) Customer support. The Customer can choose to nominate one of InLoox’s distribution partners as a supporter of the Customer´s account within 30 days following the conclusion of this Agreement for initial purchase of Online Services (hereinafter referred to as “Initial Purchase”). In the event of nomination of one of InLoox’s distribution partners, the distribution partner has to provide Customer with free of charge first level support during the term of this Agreement. For the details of support service please refer to distribution partner’s terms and conditions. Customer information will be provided to the distribution partner only with regard to accounting purposes. For further details with respect to InLoox’s privacy policy, please refer to our privacy policy and to the notice given with the process of nomination.

c) InLoox Responsibilities. InLoox must (i) use commercially reasonable efforts to make the Services available, except for scheduled outages, unavailability caused by force majeure or Customer technology issues, and (ii) provide customer support for the Services as further detailed at: www.inloox.com/support

d) Customer Responsibilities. Customer (i) is solely responsible for Customer Data, (ii) must use commercially reasonable efforts to prevent unauthorized access to the Services, and notify InLoox promptly of any such unauthorized access, and (iii) may use the Services only in accordance with its user guide and applicable law.

Customer may not (i) sell, resell, rent or lease the Services, (ii) use the Services to store or transmit infringing, unsolicited marketing emails, libelous, or otherwise unlawful or tortious material, or to store or transmit material in violation of third-party rights, (iii) interfere with or disrupt the integrity or performance of the Services, or (iv) attempt to gain unauthorized access to the Services or their related systems or networks.

e) Customer Experience Improvement Program (CEIP). The InLoox software will automatically send anonymized usage statistics and error reports to InLoox. Customer can turn off this feature at any time. More information is located at: www.inloox.com/ceip

3) PAYMENT TERMS. Customer must pay all fees (US$) with a credit card. If the credit card is not valid or the payment is not otherwise made, Customer must pay the amount owed upon receipt of an invoice. Customer is responsible for sales, use, VAT and other similar taxes. All fees may be changed on 30 days advance notice, unless otherwise described below. All amounts that are not paid within 30 days of receipt of an invoice will accrue late charges of the lesser of 1% per month, or the maximum rate permitted by law, from the original due date until the date InLoox receives payment.

a) Credit Card. Customer agrees to provide InLoox with updated credit card, and authorizes InLoox to charge Customer’s credit card for amounts owed InLoox. If 

then Customer must update its account with valid credit card information as soon as possible, but in no event later than 5 days. If the credit card number is revoked, disputed or not valid for any reason (including without limitation expiration of a credit card), InLoox may suspend or terminate Customer’s use of the Services upon notice to Customer via email (using the then current account email address in the Service). 

4) DISCLAIMER. INLOOX DISCLAIMS ALL WARRANTIES, INCLUDING, WITHOUT LIMITATION, ANY WARRANTY THAT SERVICES WILL BE UNINTERRUPTED, ERROR FREE OR WITHOUT DELAY, AND THE IMPLIED WARRANTIES OF MERCHANTABILITY, TITLE AND FITNESS FOR A PARTICULAR PURPOSE. THE SERVICE MAY NOT BE ERROR FREE OR PERFORM WITHOUT DELAY.

5) MUTUAL CONFIDENTIALITY.

a) Definition of Confidential Information. Confidential Information means all non-public information disclosed by a party (Discloser) to the other party (Recipient), whether orally or in writing, that is designated as confidential or that reasonably should be understood to be confidential given the nature of the information and the circumstances of disclosure (Confidential Information). InLoox’s Confidential Information includes without limitation the Services.

b) Protection of Confidential Information. The Recipient must use the same degree of care that it uses to protect the confidentiality of its own confidential information (but in no event less than reasonable care) not to disclose or use any Confidential Information of the Disclosing Party for any purpose outside the scope of this Agreement. The Recipient must make commercially reasonable efforts to limit access to Confidential Information of Discloser to those of its employees and contractors who need such access for purposes consistent with this Agreement and who have signed confidentiality agreements with Recipient no less restrictive than the confidentiality terms of this Agreement.

c) Exclusions. Confidential Information excludes information that: (i) is or becomes generally known to the public without breach of any obligation owed to Discloser, (ii) was known to the Recipient prior to its disclosure by the Discloser without breach of any obligation owed to the Discloser, (iii) is received from a third party without breach of any obligation owed to Discloser, or (iv) was independently developed by the Recipient without use or access to the Confidential Information. The Recipient may disclose Confidential Information to the extent required by law, but will attempt to provide Discloser with advance notice to seek a protective order.

6) PROPRIETARY RIGHTS

a) Reservation of Rights by InLoox. The software, workflow processes, user interface, designs, know-how and other technologies provided by InLoox as part of the Services are the proprietary property of InLoox and its licensors, and all right, title and interest in and to such items, including all associated intellectual property rights, remain only with InLoox. InLoox reserves all rights unless expressly granted in this Agreement.

b) Customer Restrictions. Customer may not

  1. Use the Services or the Licensed Documentation (defined below) beyond its internal operations;
  2. Reverse engineer the Services or the Licensed Documentation;
  3. Remove or modify any proprietary marking or restrictive legends in the Service and Licensed Documentation; or
  4. Access the Service to build a competitive product or service, or copy any feature, function or graphic of the Service for competitive purposes.

c) Customer Data. All data uploaded by Customer remains the sole property of Customer, as between InLoox and Customer (Customer Data), subject to the other terms of this Agreement. Customer grants InLoox a non-exclusive term license to use the Customer Data for purposes of InLoox performing under this Agreement. During the term of this Agreement, Customer may download its Customer Data from the Services, and select the location where its Customer Data will be stored. 

d) Licensed Documentation. The Services user guide, sample data, marketing materials, training material and other material provided through the Services or by InLoox, are licensed to Customer as follows: InLoox grants Customer a non-exclusive, license for the duration of the Services to such material for Customer’s internal use solely with the Services, with the right to make additional copies of the material for such duration and purpose (Licensed Documentation). 

7) EXCLUSION OF DAMAGES AND LIMITATION OF LIABILITY.

a) Exclusion of Certain Damages. INLOOX IS NOT LIABLE FOR ANY INDIRECT, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES (INCLUDING, WITHOUT LIMITATION, COSTS OF DELAY, LOST PROFIT, LOSS OF DATA OR INFORMATION, AND ANY FAILURE OF DELIVERY OF THE SERVICES).

b) Limitation of Liability. INLOOX’S LIABILITY FOR ALL DAMAGES RELATING TO THIS AGREEMENT (WHETHER IN CONTRACT, TORT OR OTHERWISE) DOES NOT EXCEED THE ACTUAL AMOUNT PAID BY CUSTOMER WITHIN THE PRECEDING 12 MONTHS UNDER THIS AGREEMENT

8) TERM, TERMINATION, RENEWAL, SUSPENSION OF SERVICE AND RETURN OF DATA.

a) Term. This Agreement continues until all orders are terminated (Term).

b) Automatic Renewal. UNLESS CANCELLED BY CUSTOMER, THE AGREEMENT WILL BE AUTOMATICALLY RENEWED AT THE END OF THE SUBSCRIPTION PERIOD. SERVICES WILL AUTOMATICALLY RENEW FOR A SUCCESSIVE SUBSCRIPTION PERIOD, WITHOUT PRIOR NOTICE, UNLESS AND UNTIL CUSTOMER CANCELS THE AGREEMENT, OR INLOOX TERMINATES IT. CUSTOMER MUST CANCEL THE AGREEMENT BEFORE IT RENEWS IN ORDER TO AVOID BEING BILLED FOR THE NEXT PERIOD AT THE THEN-CURRENT FEES.

c) Mutual Termination for Material Breach. If either party is in breach of any material term of this Agreement, the other party may terminate this Agreement by providing the other party with a written 30-day notice. Upon receipt of the 30-day notice by either party, the recipient may have to opportunity to cure the breach. In the event that the breach is not cured within the 30-day notice period, this Agreement shall be considered terminated. 

  1. Actions upon Termination.
    1. Upon any termination as provided in 8(c) above by Customer, InLoox must refund any prepaid and unused fees covering the remainder of the Term.
    2. Upon any termination as provided in 8(c) above by InLoox, Customer must pay any unpaid fees, and destroy all InLoox property in customer’s possession. The Services will also be terminated. Customer upon request will confirm that it has complied with these requirements.

d) Return of Customer Data. 

e) Suspension of Service for Violations of Law. InLoox may immediately suspend the Services and remove applicable Customer Data, if it in good faith believes that, as part of using the Services, Customer may be in violation of any applicable federal or state laws. InLoox may try to contact Customer in advance, but it is not required to do so.

9) INDEMNITY.

a) Defense of Third Party Infringement Claims by InLoox. InLoox will defend or settle any third party claims against Customer alleging that the Service (other than related to the Customer Data) violates a copyright, patent, trademark or other intellectual property right, if Customer:

InLoox will pay infringement claim defense costs, and InLoox negotiated settlement amounts, and court awarded damages.

Remedies. If such a claim appears likely, then InLoox may modify the Service, procure the necessary rights, or replace it with the functional equivalent. If InLoox determines that none of these are reasonable available, then InLoox may terminate the Service and refund any prepaid and unused fees.

Exclusions. InLoox has no obligation for any claim arising from:

b) By Customer. Customer must indemnify, defend, and hold harmless InLoox against all third-party claims (including without limitation by governmental agencies), demands, damages, costs, penalties, fines, and expenses (including reasonable attorneys’ fees and costs) arising out of or related to:

10) GOVERNING LAW, ARBITRATION AND LOCATION OF DISPUTES. THIS AGREEMENT IS GOVERNED BY THE LAWS OF THE STATE OF CALIFORNIA, WITHOUT REGARD TO CONFLICT OF LAWS PRINCIPLES. ANY DISPUTE BETWEEN CUSTOMER AND INLOOX ARISING OUT OF OR RELATED TO THIS AGREEMENT MUST BE DETERMINED BY BINDING ARBITRATION IN SAN FRANCISCO, CA (IN ENGLISH) UNDER THE THEN CURRENT COMMERCIAL OR INTERNATIONAL RULES (AS APPLICABLE) OF THE AMERICAN ARBITRATION ASSOCIATION. NOTHING IN THIS AGREEMENT PREVENTS EITHER PARTY FROM SEEKING INJUNCTIVE RELIEF IN A COURT OF COMPETENT JURISDICTION. THE PREVAILING PARTY IN ANY ARBITRATION OR LITIGATION IS ENTITLED TO RECOVER ITS ATTORNEYS’ FEES AND COSTS FROM THE OTHER PARTY.

11) MISCELLANEOUS TERMS.

a) Money Damages Insufficient. Any breach by a party of this Agreement or violation of the other party’s intellectual property rights could cause irreparable injury or harm to the other party. The other party may seek a court order to stop any breach or avoid any future breach.

b) Entire Agreement and Changes. This Agreement and the order constitute the entire agreement between the parties, and supersede all prior or contemporaneous negotiations, agreements and representations, whether oral or written, related to this subject matter. No modification or waiver of any term of this Agreement is effective unless both parties sign it.

c) No Assignment. Neither party may assign or transfer this Agreement or an order to a third party, except that this Agreement with all orders may be assigned as part of a merger, or sale of all or substantially all of the business or assets, of a party.

d) Independent Contractors. The parties are independent contractors with respect to each other.

e) Enforceability. If any term of this Agreement is invalid or unenforceable, the other terms remain in effect.

f) No Additional Terms. InLoox rejects additional or conflicting terms of any Customer form-purchasing document.

g) Order of Precedence. If there is an inconsistency between this Agreement and an order, the order prevails.

h) Survival of Terms and Force Majeure. Any terms that by their nature survive termination or expiration of this Agreement, will survive. Neither party is liable for force majeure events.

i) CISG Not Apply. The Convention on Contracts for the International Sale of Goods does not apply.

j) Customer Name. InLoox may use Customer’s name and logo in customer lists and related promotional materials describing Customer as a customer of InLoox, which use must be in accordance with Customer’s trademark guidelines and policies.

Date: 2017-02-14