Allgemeine Geschäftsbedingungen

1.1 Die nachfolgenden Allgemeinen Geschäftsbedingungen („AGB“) gelten für alle Dienstleistungen der Birdsview GmbH, Reudnitzer Str. 1, 04103 Leipzig (im Folgenden „Birdsview“) gegenüber dem jeweiligen Vertragspartner, der Unternehmer ist (im Folgenden „Kunde“). Ein Unternehmer ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Diese AGB gelten auch für zukünftige Verträge zwischen Birdsview und dem Kunden in ihrer jeweils aktuellen Fassung, auch wenn die Anwendbarkeit dieser AGB nicht mehr ausdrücklich erwähnt oder vereinbart wird.

1.2 Abweichende, ergänzende oder entgegenstehende Allgemeine Geschäftsbedingungen des Kunden werden ohne ausdrückliche schriftliche Vereinbarung nicht Vertragsbestandteil. Dies gilt auch, wenn Birdsview solchen Bedingungen nach Erhalt nicht ausdrücklich widerspricht. Der Vorrang von Individualvereinbarungen zwischen den Parteien vor diesen AGB bleibt unberührt.

2.1 Angebote von Birdsview — insbesondere hinsichtlich Menge, Preis und Lieferzeit — sind stets unverbindlich und freibleibend, es sei denn, Birdsview bezeichnet ein Angebot in Textform (§ 126b BGB) ausdrücklich als verbindlich. Sofern sich aus dem jeweiligen Angebot nichts anderes ergibt, ist Birdsview für zwei Wochen ab Zugang des Angebots beim Kunden an ein verbindliches Angebot gebunden.

2.2 Ein Vertrag kommt erst mit der Auftragsbestätigung von Birdsview in Textform oder mit der Annahme eines verbindlichen Angebots von Birdsview durch den Kunden zustande. Es gelten ausschließlich die im jeweiligen Vertrag oder in der jeweiligen Leistungsbeschreibung in Textform vereinbarten Bestimmungen.

3.1 Termine sind nur verbindlich, wenn Birdsview ausdrücklich schriftlich als verbindlich bestätigt hat.

3.2 Bei höherer Gewalt oder aufgrund unvorhergesehener Ereignisse, die Birdsview nicht zu vertreten hat, wie Krieg, Naturkatastrophen, Pandemien, Boykotte, Betriebsstörungen, Streiks, Aussperrungen, behördliche Anordnungen, die nachträgliche Beseitigung von Export- oder Importmöglichkeiten oder ähnliches, ist Birdsview berechtigt, die geschuldeten Leistungen um die Dauer der Behinderung zuzüglich einer angemessenen Nachfrist oder, wenn die Leistung tatsächlich oder wirtschaftlich erfolgt, hinauszuschieben unmöglich oder wird es, vom Vertrag zurückzutreten. Der Kunde ist nicht berechtigt, vom Vertrag zurückzutreten, wenn er das Hindernis zu vertreten hat.

3.3 Sofern nichts anderes vereinbart ist, ist Birdsview berechtigt, vertragliche Leistungen durch Subunternehmer erbringen zu lassen. Die Garantie gegenüber dem Kunden verbleibt bei Birdsview.

Zusätzlich zu den im jeweiligen Vertrag enthaltenen Bestimmungen und den Mitwirkungspflichten gemäß Abschnitt 6 gelten die folgenden allgemeinen Regeln:

4.1 Benennt der Kunde eine Kontaktperson, ermächtigt der Kunde diese Person dadurch, sie im Rahmen des Vertragsverhältnisses zu vertreten; insbesondere erklärt der Kunde, dass er alle Äußerungen dieser Person für und gegen sich selbst akzeptiert, soweit sie sich auf die Zusammenarbeit zwischen Birdsview und dem Kunden beziehen.

4.2 Birdsview erbringt die vereinbarten Leistungen durch geeignete Mitarbeiter mit ausreichender Qualifikation. Der Kunde hat keinen Anspruch auf Leistung durch bestimmte Mitarbeiter. Der Kunde hat kein Recht, den Mitarbeitern von Birdsview Weisungen zu erteilen. Die Ausübung der Hausordnung und der Anweisungen zur Gefahrenabwehr bleiben unberührt.

4.3 Bei den vom Kunden zu erbringenden Beiträgen und Mitwirkungspflichten handelt es sich um echte Verpflichtungen und nicht nur um Sorgfaltspflichten. Verstößt der Kunde gegen diese Pflichten und wirkt sich die Verletzung auf die von Birdsview zu erbringenden Leistungen aus, kann Birdsview — unbeschadet weitergehender Rechte — eine entsprechende Anpassung der vertraglichen Regelungen (z. B. Änderungen des Terminplans und der Vergütung) verlangen. Von Birdsview einzuhaltende Termine werden in einer Weise verschoben, die in einem angemessenen Verhältnis zur Dauer der Verzögerung des Beitrags und seiner Bedeutung für die Leistungserbringung steht.

5.1 Die Einräumung von Nutzungsrechten an den von Birdsview erbrachten Dienstleistungen an den Kunden erfolgt unter der aufschiebenden Bedingung der vollständigen Bezahlung der aus der Dienstleistung resultierenden Forderung.

5.2 Birdsview bleibt Eigentümer aller durch gewerbliche Schutzrechte oder ähnliche Schutzrechte jeglicher Art (z. B. Patentrechte, Designrechte, Markenrechte, Gebrauchsmusterrechte und Urheberrechte) geschützten Materialien, unabhängig davon, ob diese registriert sind oder nicht („geistige Eigentumsrechte“), unabhängig davon, ob diese Materialien geschützt oder schutzfähig sind („Materialien“), die Birdsview zum Zeitpunkt des Vertragsabschlusses besitzt oder die von Birdsview entwickelt wurden (oder von Dritte im Namen von Birdsview) nach Vertragsschluss. Das Gleiche gilt für Bearbeitungen und Modifikationen. Bei Lieferung der Materialien und sofern nichts anderes vereinbart ist, gewährt Birdsview dem Kunden ein nicht ausschließliches, nicht übertragbares, nicht unterlizenzierbares, auf die Laufzeit des jeweiligen Einzelvertrags beschränktes Recht, die im Rahmen des Vertrags gelieferten Materialien für eigene Zwecke zu verwenden.

6.1 Es gelten die gesetzlichen Vorschriften zur Mängelhaftung unter Berücksichtigung der abweichenden Bestimmungen der nachfolgenden „Sonderbestimmungen für Mietverträge“ (Ziffer 13).

6.2 Der Kunde stellt Birdsview alle ihm zur Verfügung stehenden Informationen und Gegenstände zur Verfügung, die für die Vertragserfüllung erforderlich sind, und schafft in seinem Geschäftsbereich alle Voraussetzungen, die für die Erbringung von Lieferungen und Leistungen erforderlich sind.

6.3 Zu den weiteren Pflichten des Kunden gehören insbesondere der Einsatz fachlich kompetenter Mitarbeiter und die ausreichende Schulung seines Personals, um einen sicheren Einführungs- und Betriebsablauf zu gewährleisten, sowie die Vorbereitung und Durchführung der Abnahme, insbesondere die Sicherstellung der Verfügbarkeit von Datenübertragungseinrichtungen und die vorherige telefonische und in Textform vollständige, zeitnahe und ausreichend genaue Störungsmeldungen.

6.4 Der Kunde hat die Zugangsdaten zu den Birdsview-Diensten entsprechend dem Stand der Technik vor dem Zugriff Dritter zu schützen und zu speichern. Der Kunde stellt sicher, dass die Nutzung nur im vertraglich vereinbarten Umfang erfolgt. Jeder unbefugte Zugriff muss Birdsview unverzüglich gemeldet werden.

7.1 Birdsview haftet unbeschränkt für Personenschäden. Gleiches gilt für sonstige Schäden, die der Kunde infolge einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung von Birdsview erleidet, sowie für Ansprüche nach dem Produkthaftungsgesetz und Ansprüche im Rahmen des Rückgriffsanspruchs des Unternehmers gemäß §§ 327u, 478, 479 BGB.

7.2 Für vertragstypische Schäden, die dem Kunden durch die Verletzung einer wesentlichen Vertragspflicht durch Birdsview entstehen, haftet Birdsview auch in Fällen einfacher Fahrlässigkeit. Eine Haftung für mittelbare Schäden, wie z. B. entgangenen Gewinn, ist jedoch ausgeschlossen. Eine wesentliche Vertragspflicht im vorgenannten Sinne ist eine solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Erfüllung der Vertragspartner regelmäßig vertraut und vertrauen darf.

7.3 Im Übrigen ist die Haftung von Birdsview für einfache Fahrlässigkeit ausgeschlossen.

7.4 Die vorstehenden Bestimmungen gelten auch für die gesetzlichen Vertreter und Erfüllungsgehilfen von Birdsview im Verhältnis zum Kunden.

7.5 Der Kunde ist für die regelmäßige Sicherung seiner Daten verantwortlich. Die Haftung für Datenverlust ist auf den Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer Datensicherung (in der Regel tägliche Datensicherung auf Kundenseite) erforderlich gewesen wäre.

8.1 Alle Ansprüche des Kunden, gleich aus welchem Rechtsgrund, verjähren in 12 Monaten.

8.2 In Fällen vorsätzlichen oder arglistigen Verhaltens sowie bei Ansprüchen nach dem Produkthaftungsgesetz, bei Ansprüchen aus Unternehmerregress (§§ 327u, 478, 479 BGB) und bei Körperschäden gelten die gesetzlichen Verjährungsfristen.

9.1 Der Kunde garantiert Birdsview, dass alle vom Kunden zur Verfügung gestellten Vorlagen, Daten, Texte, Informationen, Bilder und sonstigen Inhalte frei von Rechten Dritter sind oder dass der Kunde über entsprechende Nutzungsrechte verfügt.

9.2 Der Kunde stellt Birdsview von allen Ansprüchen Dritter frei, die gegen Birdsview wegen möglicher Rechtsverstöße geltend gemacht werden, die sich aus der Verwendung, einschließlich der Speicherung, der vom Kunden bereitgestellten Vorlagen, Daten, Texte, Informationen, Bilder und sonstigen Inhalte ergeben. Der Kunde ist verpflichtet, Birdsview die notwendigen Kosten zu erstatten, die aufgrund solcher Ansprüche entstehen. Andere Ansprüche von Birdsview bleiben unberührt.

9.3 Der Kunde verpflichtet sich ferner, Birdsview alle erforderlichen Informationen und Unterlagen zur Verfügung zu stellen und Mitwirkungshandlungen vorzunehmen, um geltend gemachte Ansprüche Dritter abwehren zu können.

9.4 Werden gegen den Kunden Ansprüche wegen der Verletzung von in Deutschland geltenden geistigen Eigentumsrechten wegen gemäß diesen Bedingungen gelieferter oder lizenzierter Artikel geltend gemacht, ermöglicht der Kunde Birdsview, sich gegen solche Ansprüche abzuwehren. Der Kunde ist verpflichtet, (1) Birdsview unverzüglich schriftlich über die Geltendmachung solcher Ansprüche zu informieren, (2) Birdsview alle für die Rechtsverteidigung und die Erfüllung sonstiger Mitwirkungspflichten erforderlichen Informationen zur Verfügung zu stellen und (3) Birdsview die Entscheidung zu überlassen, ob und wie der Anspruch abgewehrt wird. In einem solchen Zusammenhang erstattet Birdsview dem Kunden alle Kosten und Schäden, die zwischen Birdsview und dem Kunden unbestritten sind oder von Birdsview anerkannt oder rechtskräftig festgestellt wurden. Wird endgültig festgestellt, dass durch die weitere Verwendung der Vertragsgegenstände in Deutschland geltende geistige Eigentumsrechte verletzt werden, oder besteht nach Ansicht von Birdsview die Gefahr einer Verletzungsklage, kann Birdsview, soweit die Haftung nicht ausgeschlossen ist, dem Kunden auf eigene Kosten entweder das Recht verschaffen, die Vertragsgegenstände weiter zu verwenden, oder sie so austauschen oder ändern, dass keine Verletzung mehr besteht, oder — auf Wunsch des Kunden — zurücknehmen den Vertragsgegenstand und erstatten dessen Wert abzüglich einer Nutzungsgebühr für die bis dahin erfolgte Nutzung.

9.5 Ändert der Kunde die von Birdsview im Rahmen des Vertrags gelieferten Materialien selbst oder lässt er sie durch Dritte ändern, verfallen die Ansprüche aus diesem Abschnitt 9, sofern der Kunde nicht nachweist, dass die von ihm oder einem Dritten vorgenommenen Änderungen keine Verletzung von Rechten Dritter verursacht haben.

9.6 Die obigen Bestimmungen dieses Abschnitts 9 gelten sinngemäß im umgekehrten Fall, in dem Birdsview für die Verletzung von Rechten Dritter durch Materialien des Kunden oder Materialien, die von Dritten im Namen des Kunden bereitgestellt werden, haftbar gemacht wird.

Birdsview hat das Recht, die für den Kunden erbrachten Dienstleistungen unter Nennung des Namens und der Branche des Kunden als Referenz für Eigenwerbung zu verwenden. Dies gilt auch für Eigenwerbung durch Birdsview im Internet. Soweit der Name des Kunden ganz oder teilweise mit einer Marke oder einer Bezeichnung identisch ist, die durch ein anderes Recht geschützt ist, wird dieses Recht durch das Vorstehende nicht berührt.

11.1 Werden die Leistungspflichten von Birdsview nicht durch eine einmalige, zeitlich begrenzte Erbringung von Dienstleistungen erschöpft („Dauerschuldverhältnis“), beträgt die Vertragslaufzeit vorbehaltlich einer abweichenden Vereinbarung im Vertrag mindestens zwölf (12) Monate und verlängert sich jeweils um weitere zwölf (12) Monate, sofern der Vertrag nicht von Birdsview oder dem Kunden mit einer Frist von drei (3) Monaten zum jeweiligen Ende in Textform gekündigt wird Vertragsdauer.

11.2 Gesetzliche Kündigungsrechte (z. B. §§ 643, 649 BGB) und das Recht zur außerordentlichen Kündigung des Vertrags aus wichtigem Grund bleiben von einer im Vertrag oder gemäß Ziffer 11.1 vereinbarten abweichenden Mindestlaufzeit unberührt.

12.1 Die Vergütung für die Dienste von Birdsview kann in Form von monatlichen Pauschalgebühren, nutzungsabhängigen Gebühren („Pay-as-you-go“) oder aufwandsabhängigen Gebühren (z. B. auf der Grundlage der aufgewendeten Zeit) erfolgen. Einzelheiten sind in den einzelnen Verträgen geregelt.

12.2 Die Vergütung für Software-as-a-Service-Dienstleistungen ist monatlich vor Leistungsbeginn im Voraus fällig und unmittelbar nach Rechnungsdatum ohne Abzug auf das Konto von Birdsview zu zahlen.

12.3 Alle angegebenen Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer, sofern nicht anders angegeben. Sind keine Preise vereinbart, gilt die Preisliste von Birdsview in der aktuellen Version. Jeglicher Skonto bedarf einer gesonderten schriftlichen Vereinbarung.

12.4 Bei grenzüberschreitenden Geschäften ist die vereinbarte Vergütung und/oder Nutzungsgebühr die Nettovergütung, d. h. der vom Kunden zu zahlende Nettobetrag nach Abzug allfälliger ausländischer Steuern. Zu den „ausländischen Steuern“ gehören insbesondere Steuern, Abgaben oder andere Zuschläge und Kosten sowie andere Gebühren und Abgaben, die von einem ausländischen Staat oder einer ausländischen Gebietskörperschaft erhoben werden. Der Kunde trägt und zahlt alle ausländischen Steuern. Der Kunde verpflichtet sich, Birdsview alle notwendigen Steuerbescheinigungen, Steuerbescheide und alle anderen Dokumente zur Verfügung zu stellen, die Birdsview benötigt, um den steuerlichen Verpflichtungen im Ausland und in der Bundesrepublik Deutschland nachzukommen.

12.5 Birdsview ist berechtigt, die mit Kunden im Rahmen eines Dauerschuldverhältnisses vereinbarten Preise aufgrund nachgewiesener Kostenerhöhungen durch Dritte (wie Energieversorger, Lizenzgeber, Telekommunikationsanbieter usw.) um den tatsächlichen Kostenanstieg zu ändern, der Birdsview einen Monat vorher schriftlich mitgeteilt wird, jedoch nicht früher als vier Monate nach Vertragsbeginn. Führt dies über einen Bezugszeitraum von 12 Kalendermonaten zu einem Anstieg von mehr als 15% für dieselben IT-Services, hat der Kunde ein Sonderrecht, den/die betroffenen Einzelvertrag (e) zu kündigen.

Zusätzlich zu den oben genannten Bestimmungen gelten auch die folgenden Regeln:

13.1 Ist Vertragsgegenstand die Bereitstellung von Software ohne physische Übertragung im Wege von Software-as-a-Service („SaaS“), ist Birdsview nicht verpflichtet, Benutzerdokumentation für die Software zu liefern, sofern nicht ausdrücklich etwas anderes vereinbart wurde.

13.2 Die verschuldensunabhängige Haftung von Birdsview gemäß § 536a Absatz 1 BGB für bei Vertragsschluss bereits vorhandene Mängel ist für mietrechtliche Ansprüche ausgeschlossen.

13.3 Sofern im Einzelvertrag nichts anderes vereinbart ist, gelten die folgenden Service Levels:

13.3.1 Anpassungen, Änderungen und Ergänzungen der vertragsgegenständlichen SaaS-Dienste sowie Maßnahmen zur Erkennung und Behebung von Funktionsstörungen führen nur dann zu einer vorübergehenden Unterbrechung oder Beeinträchtigung der Verfügbarkeit, wenn dies technisch unvermeidbar ist.

13.3.2 Die Grundfunktionen der SaaS-Dienste werden täglich überwacht. Birdsview wird den Kunden vor Wartungsarbeiten informieren und diese so zeitnah durchführen, wie es die technischen Gegebenheiten zulassen.

13.3.3 Die Verfügbarkeit der jeweils vereinbarten Dienste eines SaaS-Vertrags beträgt im Jahresdurchschnitt 98,5%, ausgenommen Wartungsarbeiten; die Verfügbarkeit darf jedoch nicht länger als fünf (5) aufeinanderfolgende Arbeitstage beeinträchtigt oder unterbrochen werden. Werktage sind Montag bis Freitag, ausgenommen gesetzliche Feiertage, die in ganz Deutschland gelten.

13.4 Birdsview kann die Software jederzeit aktualisieren und weiterentwickeln und insbesondere aufgrund geänderter gesetzlicher Anforderungen, technischer Entwicklungen oder zur Verbesserung der IT-Sicherheit anpassen. Birdsview wird dabei die berechtigten Interessen des Kunden angemessen berücksichtigen und den Kunden rechtzeitig über notwendige Aktualisierungen informieren. Im Falle einer wesentlichen Beeinträchtigung der berechtigten Interessen des Kunden steht dem Kunden ein Sonderkündigungsrecht zu, wenn Birdsview die Software nicht in dem Zustand betreiben kann, der vor der Mitteilung an den Kunden bestand.

14.1 Die Parteien werden jeweils eigenständig die für sie geltenden Datenschutzbestimmungen einhalten.

14.2 Im Rahmen der Erbringung von Dienstleistungen kann Birdsview Zugriff auf die personenbezogenen Daten des Kunden haben, sodass die Parteien zusätzlich den Datenverarbeitungsvertrag („DPA“) abschließen, der diesen AGB als Anlage 1 beigefügt ist. Im Konfliktfall haben die Bestimmungen des DPA Vorrang vor diesen AGB oder dem Einzelvertrag.

Birdsview behält sich das Recht vor, diese AGB oder andere Vertragsbedingungen, auf die Bezug genommen wird, jederzeit außerhalb eines bestimmten Leistungsaustauschs zu ändern. Während eines laufenden Vertrags werden solche Änderungen nur wirksam, wenn der Kunde der Änderung nicht innerhalb eines Monats nach Erhalt einer Änderungsmitteilung in Textform widerspricht und Birdsview in der Änderungsmitteilung in Textform auf das Widerspruchsrecht und die Frist hingewiesen hat. Widerspricht der Kunde der Änderung, wird der Vertrag ohne die Änderungen fortgeführt. Birdsview ist jedoch berechtigt, den Vertrag innerhalb eines Monats nach Erhalt des Widerspruchs schriftlich (§ 126 Absatz 1 BGB) mit einer Frist von einem Monat zum Quartalsende zu kündigen. Von diesem Änderungsrecht ausgenommen sind alle Änderungen, die sich auf wesentliche Vertragspflichten einer Partei beziehen; dies gilt nicht, wenn die Änderung erforderlich ist, um den Vertrag, die AGB oder weiterer darauf verweisender Vertragsbedingungen an zwingende gesetzliche Änderungen anzupassen.

16.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und der Kollisionsnormen; Artikel 3 (3), (4) der Verordnung (EG) 593/2008 bleibt unberührt.

16.2 Änderungen oder Ergänzungen dieser AGB und der jeweiligen Verträge bedürfen der Schriftform. Dies gilt auch für eine Änderung des Schriftformerfordernisses.

16.3 Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dem Vertragsverhältnis ist der Geschäftssitz von Birdsview, sofern es sich bei dem Kunden um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen handelt. Birdsview ist jedoch berechtigt, am Sitz des Kunden zu klagen.

16.4 Die Rechte und Pflichten von Birdsview und dem Kunden richten sich zunächst nach den vertraglichen Vereinbarungen, dann nach diesen AGB.

16.5 Sollten eine oder mehrere der vorstehenden Bestimmungen oder des Vertrags unwirksam sein oder werden, so wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die Anwendung des § 139 BGB ist ausgeschlossen.

1.1 Diese Datenverarbeitungsvereinbarung („DPA“) legt für alle Verarbeitungstätigkeiten die Datenschutzrechte und -pflichten von Birdsview („Anbieter“) und dem Kunden („Verantwortlicher“) (zusammen „die Parteien“) fest, die sich aus den bereits bestehenden oder in Zukunft zwischen den Parteien abzuschließenden Verträgen ergeben (der „Hauptvertrag“), nach denen personenbezogene Daten vom Anbieter im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden.

1.2 Diese Datenschutzvereinbarung gilt mit all ihren Bestandteilen, wenn der für die Verarbeitung Verantwortliche den Anbieter beauftragt, personenbezogene Daten („Daten“) im Auftrag gemäß Artikel 28 DSGVO zu verarbeiten. Diese Datenschutzvereinbarung bildet den Rahmen für eine Vielzahl verschiedener Auftragsverarbeitungsvorgänge.

1.3 Im Falle von Konflikten haben die Bestimmungen dieser DPA mit all ihren Bestandteilen Vorrang vor den Bestimmungen des zugehörigen Hauptvertrags.

1.4 Die für einzelne Verarbeitungsvorgänge geltenden spezifischen Datenschutzbestimmungen („Spezifikationen“) sind im Spezifikationsanhang aufgeführt, soweit sich diese nicht aus dem jeweiligen Hauptvertrag ergeben. Dazu gehören insbesondere Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Datenkategorien und die Kategorien der betroffenen Personen.

1.5 Die Anlagen sind Teil des DPA. Im Konfliktfall haben die Anlagen Vorrang vor den allgemeineren Bestimmungen des DPA. Verweise auf das DPA im Folgenden oder in den Anhängen beziehen sich auf das DPA mit all seinen Bestandteilen.

2.1 Der Kunde („Verantwortlicher“) ist im Rahmen dieses DPA allein für die Einhaltung der geltenden gesetzlichen Bestimmungen verantwortlich, insbesondere für die Rechtmäßigkeit der Weitergabe an den Anbieter und für die Rechtmäßigkeit der Verarbeitung („Verantwortlicher“ im Sinne von Art. 4 (7) DSGVO).

2.2 Birdsview („Anbieter“) verarbeitet die Daten ausschließlich gemäß den Anweisungen des für die Verarbeitung Verantwortlichen, sofern keine Ausnahme gemäß Art. 28 (3) (a) DSGVO gilt (andere gesetzliche Verarbeitungspflicht). Mündliche Weisungen müssen vom für die Verarbeitung Verantwortlichen unverzüglich in Textform bestätigt werden. Handelt der für die Verarbeitung Verantwortliche als Auftragsverarbeiter für einen Dritten, gelten die Verpflichtungen des für die Verarbeitung Verantwortlichen aus einer solchen Verarbeitung für den Dritten nach Kenntnis als direkte Anweisungen des für die Verarbeitung Verantwortlichen an den Anbieter, sofern diese Verpflichtungen strenger sind als die dieser Datenschutzvereinbarung. Der für die Verarbeitung Verantwortliche informiert den Anbieter schriftlich über solche Anforderungen Dritter.

2.3 Der Anbieter berichtigt oder löscht die vertragsgegenständlichen Daten oder schränkt deren Verarbeitung ein („Sperrung“), wenn er vom für die Verarbeitung Verantwortlichen dazu aufgefordert wird und im Rahmen des Weisungsrahmens.

2.4 Der Anbieter wird den für die Verarbeitung Verantwortlichen unverzüglich informieren, wenn er der Ansicht ist, dass eine Anweisung gegen geltende Datenschutzbestimmungen oder dieses DPA verstößt. Der Anbieter kann die Umsetzung der Anweisung aussetzen, bis sie vom für die Verarbeitung Verantwortlichen in Textform bestätigt oder geändert wird. Der Anbieter kann sich weigern, Anweisungen auszuführen, die eindeutig gegen das Datenschutzrecht verstoßen.

2.5 Die Parteien benennen jeweils einen oder mehrere Ansprechpartner in Datenschutzangelegenheiten in Textform, einschließlich der benannten Datenschutzbeauftragten. Bei Änderungen der Ansprechpartner informieren sich die Vertragsparteien gegenseitig in Textform.

2.6 Der Anbieter stellt sicher, dass die zur Verarbeitung der Daten befugten Personen (a) die Anweisungen des für die Verarbeitung Verantwortlichen kennen und diese einhalten und (b) zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verschwiegenheits- und Geheimhaltungspflicht besteht auch nach Beendigung der Verarbeitung fort.

2.7 Wenn der für die Verarbeitung Verantwortliche als Auftragsverarbeiter für einen Dritten handelt, gelten die Verpflichtungen des Anbieters aus diesem DPA auch unmittelbar in der Beziehung zwischen dem Dritten und dem Anbieter. Dies gilt für alle Dienstleistungen des Anbieters, die im Namen des für die Verarbeitung Verantwortlichen gegenüber dem Dritten erbracht werden. Insbesondere hat der Dritte die Kontroll- und Informationsrechte gemäß § 7 direkt gegenüber dem Anbieter.

2.8 Der Anbieter ist verpflichtet, die gesetzlichen Datenschutzbestimmungen zu beachten und Informationen, die er aus der Domain des für die Verarbeitung Verantwortlichen erlangt hat, nicht an Dritte weiterzugeben oder sie Dritten zugänglich zu machen. Dokumente und Daten müssen unter Berücksichtigung des Stands der Technik vor unberechtigtem Zugriff geschützt werden.

2.9 Der Anbieter verpflichtet alle mit der Bearbeitung und Erfüllung dieses Vertrags betrauten Personen („Mitarbeiter“) schriftlich zur Vertraulichkeit (Vertraulichkeitsverpflichtung, Art. 28 (3) (b) DS-GVO) und stellt sicher, dass diese Verpflichtung mit der gebotenen Sorgfalt eingehalten wird. Auf Anfrage stellt der Anbieter dem für die Verarbeitung Verantwortlichen einen schriftlichen oder elektronischen Nachweis dieser Verpflichtungen zur Verfügung.

2.10 Der Auftragsverarbeiter gestaltet seine interne Organisation so, dass sie den besonderen Anforderungen des Datenschutzes entspricht. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um die Daten des für die Verarbeitung Verantwortlichen gemäß Art. 32 DSGVO, insbesondere die in Anlage 2 dieser Datenschutzvereinbarung aufgeführten, angemessen zu schützen und sie für die Dauer der Verarbeitung aufzubewahren.

2.11 Der Anbieter behält sich das Recht vor, die technischen und organisatorischen Maßnahmen zu ändern, um sicherzustellen, dass das vereinbarte Schutzniveau nicht untergraben wird.

3.1 Der Anbieter informiert den für die Verarbeitung Verantwortlichen unverzüglich, wenn er innerhalb seiner Organisation von einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 (12) DSGVO in Bezug auf die vom für die Verarbeitung Verantwortlichen Kenntnis erlangt oder wenn beim Anbieter ein konkreter Verdacht auf eine solche Datenschutzverletzung besteht.

3.2 Stellt der für die Verarbeitung Verantwortliche Fehler fest, informiert er den Anbieter unverzüglich.

3.3 Der Anbieter ergreift unverzüglich die erforderlichen Maßnahmen, um die Datenschutzverletzung gemäß § 3.1 oder die Fehler gemäß § 3.2 zu beheben und mögliche nachteilige Auswirkungen, insbesondere für die betroffenen Personen, zu mindern. Der Anbieter stimmt sich diesbezüglich mit dem für die Verarbeitung Verantwortlichen ab. Mündlichen Mitteilungen gemäß § 3.1 oder § 3.2 ist unverzüglich in Textform nachzukommen.

Datenübertragungen an einen Empfänger in einem Drittland außerhalb der EU und des EWR sind zulässig, sofern die in den Artikeln 44 ff. festgelegten Bedingungen eingehalten werden. GDPR. Einzelheiten können erforderlichenfalls in einem oder mehreren Anhängen dargelegt werden.

5.1 Der Anbieter kann die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter („Unterauftragsverarbeiter“) durchführen.

5.2 Der Anbieter wird den für die Verarbeitung Verantwortlichen rechtzeitig im Voraus in Textform über die Beauftragung von Unterauftragsverarbeitern oder Änderungen der Unterverarbeitung informieren. Der für die Verarbeitung Verantwortliche kann der Unterverarbeitung innerhalb von vier Wochen nach Kenntniserlangung aus wichtigem Grund in Textform widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn berechtigte Zweifel bestehen, dass der Unterauftragsverarbeiter die vereinbarte Dienstleistung gemäß geltendem Datenschutzrecht oder dieser DPA erbringen wird. Im Falle eines begründeten Widerspruchs räumt der für die Verarbeitung Verantwortliche dem Anbieter eine angemessene Frist ein, um den betroffenen Unterauftragsverarbeiter durch einen anderen zu ersetzen. Wenn der Anbieter dazu nicht in der Lage ist oder dies für den für die Verarbeitung Verantwortlichen unzumutbar ist, ist jede Partei berechtigt, den Hauptvertrag aus wichtigem Grund außerordentlich zu kündigen.

5.3 Der Anbieter stimmt den Bestimmungen des Unterauftragsverarbeiters zu, die inhaltlich mit denen dieser DPA identisch sind.

5.4 Dienste, die der Anbieter als reine Nebenleistungen zur Unterstützung seiner Geschäftstätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt, stellen keine Unterverarbeitung im Sinne dieser Vorschrift dar. Um den Datenschutz zu gewährleisten, ist der Anbieter jedoch verpflichtet, auch für solche Nebenleistungen angemessene Vorkehrungen zu treffen.

Macht eine betroffene Person Ansprüche gemäß Kapitel III der DSGVO gegen eine der Parteien geltend, informiert diese Partei die andere Partei unverzüglich. Der Anbieter unterstützt den für die Verarbeitung Verantwortlichen im Rahmen seiner Möglichkeiten bei der Bearbeitung solcher Anfragen und bei der Einhaltung der in den Artikeln 33 bis 36 DSGVO festgelegten Verpflichtungen.

7.1 Der Anbieter weist mit geeigneten Mitteln nach, dass er seinen Verpflichtungen gegenüber dem für die Verarbeitung Verantwortlichen nachkommt. Der für die Verarbeitung Verantwortliche überprüft deren Angemessenheit.

7.2 Für die Einhaltung der vereinbarten Schutzmaßnahmen und deren nachgewiesene Wirksamkeit kann der Anbieter auf entsprechende Zertifizierungen oder andere geeignete Prüfungsnachweise zurückgreifen. Zu den geeigneten Zertifizierungen gehören insbesondere Zertifizierungen gemäß Art. 42 DSGVO oder Nachweise gemäß Art. 40 DSGVO. Darüber hinaus ist Folgendes möglich: eine Zertifizierung nach ISO 27001 oder ISO 27017, eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz, eine Zertifizierung nach anerkannten und geeigneten Industriestandards oder ein Auditbericht gemäß SOC/PS 951, jeweils in der jeweils gültigen Fassung. Die Zertifizierungs- und Auditverfahren müssen von einem anerkannten unabhängigen Dritten durchgeführt werden. Der Anbieter muss seine Zertifikate oder Prüfungsnachweise vorlegen. Zum Nachweis der Einhaltung der vereinbarten Schutzmaßnahmen können andere geeignete Mittel (z. B. Tätigkeitsberichte des Datenschutzbeauftragten oder Auszüge aus Berichten von Wirtschaftsprüfern) bereitgestellt werden. Das Kontrollrecht des für die Verarbeitung Verantwortlichen gemäß § 7.3 bleibt unberührt.

7.3 Der für die Verarbeitung Verantwortliche ist berechtigt, während der normalen Geschäftszeiten und ohne Betriebsunterbrechung, in der Regel nach vorheriger Ankündigung mit angemessener Vorlaufzeit, Inspektionen beim Anbieter durchzuführen, um die Einhaltung der Datenschutzbestimmungen zu überprüfen. Der Anbieter kann die Überprüfung von der Unterzeichnung einer Vertraulichkeitsvereinbarung in Bezug auf die Daten anderer Kunden abhängig machen. Der Anbieter ist verpflichtet, die Audits und Inspektionen des für die Verarbeitung Verantwortlichen zu ermöglichen und dazu beizutragen.

7.4 Die Parteien vereinbaren Maßnahmen zur Behebung der bei einer Inspektion festgestellten Feststellungen.

7.5 Übt eine Aufsichtsbehörde Befugnisse nach Artikel 58 DSGVO aus, informieren sich die Parteien gegenseitig unverzüglich darüber. Sie unterstützen sich gegenseitig im Rahmen ihrer jeweiligen Aufgaben bei der Erfüllung ihrer Verpflichtungen gegenüber der Aufsichtsbehörde.

8.1 Wenn eine betroffene Person Schadensersatzansprüche gegen eine Partei wegen eines Verstoßes gegen Datenschutzbestimmungen geltend macht, informiert die Partei, die den Anspruch erhält, die andere Partei unverzüglich.

8.2 Der für die Verarbeitung Verantwortliche und der Anbieter haften gegenüber betroffenen Personen gemäß Artikel 82 DSGVO.

8.3 Die Parteien unterstützen sich gegenseitig bei der Abwehr von Schadensersatzansprüchen von betroffenen Personen, es sei denn, dies würde die Rechtsposition einer Partei gegenüber der anderen Partei, der Aufsichtsbehörde oder Dritten gefährden.

Kosten, die dem Anbieter aufgrund von Maßnahmen des für die Verarbeitung Verantwortlichen beim Anbieter entstehen, gehen zu Lasten des für die Verarbeitung Verantwortlichen, soweit diese nicht durch die Vergütung nach dem Hauptvertrag gedeckt sind. Dies gilt insbesondere für notwendige Kosten, die dem Anbieter aufgrund der Audits und Inspektionen des für die Verarbeitung Verantwortlichen gemäß § 7 entstehen.

10.1 Das DPA wird auf unbestimmte Zeit geschlossen.

10.2 Das DPA endet mit der Kündigung des zugehörigen Hauptvertrags, ohne dass es einer gesonderten Kündigung des DPA bedarf. In diesem Fall wird der Anbieter nach Wahl des für die Verarbeitung Verantwortlichen die gemäß der Anlage verarbeiteten Daten unverzüglich entweder aushändigen oder sie unter Beachtung der datenschutzrechtlichen Anforderungen löschen und dies dem für die Verarbeitung Verantwortlichen in Textform bestätigen. Wenn der Anbieter einer gesetzlichen Aufbewahrungspflicht unterliegt, teilt er dies dem für die Verarbeitung Verantwortlichen in Textform mit.

10.1 Das DPA wird auf unbestimmte Zeit geschlossen.

10.2 Das DPA endet mit der Kündigung des zugehörigen Hauptvertrags, ohne dass es einer gesonderten Kündigung des DPA bedarf. In diesem Fall wird der Anbieter nach Wahl des für die Verarbeitung Verantwortlichen die gemäß der Anlage verarbeiteten Daten unverzüglich entweder aushändigen oder sie unter Beachtung der datenschutzrechtlichen Anforderungen löschen und dies dem für die Verarbeitung Verantwortlichen in Textform bestätigen. Wenn der Anbieter einer gesetzlichen Aufbewahrungspflicht unterliegt, teilt er dies dem für die Verarbeitung Verantwortlichen in Textform mit.

Gegenstand des Auftrags ist die Optimierung der Kundenbindung durch automatisierte Marketingmaßnahmen mit Nachrichten in Textform (§ 126b BGB) durch den für die Verarbeitung Verantwortlichen an seine (End-) Kunden (Kundenbindungsautomatisierung).

Die Dauer der Provision ergibt sich aus dem Hauptvertrag.

Unterstützung bei Marketingmaßnahmen und Kommunikationsprozessen mit den Kunden des Controllers.

Stammdaten (Namen und Adressen), E-Mail-Adressen, Geschlecht, Alter & Vertragsdaten (Kaufverhalten)

Kunden, Interessenten, Lieferanten und Dienstleister

Amazon Web Services EMEA SARL („AWS“)

Aktivität: Bereitstellung einer Cloud-Computing-Infrastruktur, einschließlich Hosting, Datenspeicherung, Datenverarbeitung und Kommunikation. Insbesondere werden die folgenden Dienste genutzt:

- Amazon SES (Simple Email Service): Versand von Transaktions- und Marketing-E-Mails
- Amazon S3 (Simple Storage Service): Speicherung und Archivierung von Daten
- Amazon EC2 (Elastic Compute Cloud): Betrieb und Skalierung von Serverinstanzen
- Amazon SNS (Simple Notification Service): Senden von Benachrichtigungen und Nachrichten an Benutzer oder Systeme
- Amazon DynamoDB: Speicherung und Verwaltung strukturierter Daten in einer skalierbaren NoSQL-Datenbank


Supabase Inc/Incorporating Services, Ltd., 3500 S. DuPont Highway, Dover, Kent 19901, Delaware („Supabase“)

Aktivität: Bereitstellung einer Backend-as-a-Service-Plattform für Datenbankmanagement, Authentifizierung und serverlose Funktionen. Insbesondere werden die folgenden Dienste verwendet:

- PostgreSQL-Datenbank: Speicherung und Verwaltung strukturierter Daten
- Auth Service: Benutzerauthentifizierung und -verwaltung
- Edge-Funktionen: serverlose Funktionen zur Verarbeitung von Geschäftslogik
- Speicher: Speicherung und Auslieferung von DateienRealTime: Bereitstellung von Datenbank-Updates in Echtzeit

Amazon Web Services EMEA SARL („AWS“)

Aktivität: Bereitstellung einer Cloud-Computing-Infrastruktur, einschließlich Hosting, Datenspeicherung, Datenverarbeitung und Kommunikation. Insbesondere werden die folgenden Dienste genutzt:

- Amazon SES (Simple Email Service): Versand von Transaktions- und Marketing-E-Mails

- Amazon S3 (Simple Storage Service): Speicherung und Archivierung von Daten

- Amazon EC2 (Elastic Compute Cloud): Betrieb und Skalierung von Serverinstanzen

- Amazon SNS (Simple Notification Service): Senden von Benachrichtigungen und Nachrichten an Benutzer oder Systeme

- Amazon DynamoDB: Speicherung und Verwaltung strukturierter Daten in einer skalierbaren NoSQL-Datenbank

Der Anbieter setzt eine Kombination aus Richtlinien, Verfahren, Richtlinien sowie technischen und physischen Kontrollen ein, um die von ihm verarbeiteten personenbezogenen Daten vor versehentlichem Verlust und unbefugtem Zugriff, Offenlegung oder Zerstörung zu schützen.

Der Anbieter:
‍
- überträgt den Mitarbeitern die Verantwortung für die Definition, Überprüfung und Umsetzung von Sicherheitsrichtlinien und -maßnahmen;
- überprüft regelmäßig seine Sicherheitsmaßnahmen und -richtlinien, um sicherzustellen, dass sie für die zu schützenden Daten geeignet bleiben;
- erstellt und verfolgt sichere Konfigurationen für Systeme und Software und stellt sicher, dass Sicherheitsmaßnahmen bei Projektinitiierung und bei der Entwicklung neuer IT-Systeme berücksichtigt werden.

Der Anbieter unterhält interne Überwachungssysteme, die Betriebsteams auf Serviceausfälle aufmerksam machen können, in einigen Fällen sogar bevor Schwellenwerte überschritten werden.
Der Anbieter verfügt über einen Plan zur Reaktion auf Datenschutzverletzungen, der darauf ausgelegt ist, auf Datenschutzverletzungen zu reagieren. Der Plan wird regelmäßig getestet und aktualisiert.

Der Anbieter schränkt den Zugriff auf personenbezogene Daten ein, indem er angemessene Zugriffskontrollen implementiert, darunter:

Der Zugriff auf Infrastruktur und interne Ressourcen folgt dem Prinzip der geringsten Rechte. Privilegien werden nur gewährt, wenn sie für Geschäftsaufgaben benötigt werden, und sie werden entzogen, wenn sie nicht mehr benötigt werden.
‍
Die Zugriffsverwaltung erfolgt zentral bei den Identitätsanbietern. Wenn möglich, delegieren interne Dienste sowohl die Authentifizierung als auch die Autorisierung an diese Anbieter, um ein zeitnahes Offboarding und den Widerruf von Genehmigungen sicherzustellen.
‍
Änderungen an der Infrastruktur des Anbieters bedürfen der Genehmigung durch mindestens eine weitere autorisierte Person. Einzelpersonen werden aufgrund der Relevanz des Systems für ihre Geschäftsaufgaben autorisiert.
‍
Die Benutzerauthentifizierung für interne Provider-Ressourcen ist durch eine strenge Passwortrichtlinie und obligatorische 2FA geschützt; SMS-basierte 2FA ist verboten. Der Anbieter speichert niemals wissentlich Klartext-Passwörter; falls erforderlich, speichert er je nach Anwendungsfall gehashte und gesalzene Ergebnisse von Authentifizierungsmaterial.
‍
Provider-Geräte, die für den Zugriff auf interne Ressourcen verwendet werden, setzen strenge Sicherheitsmaßnahmen durch, darunter sichere Passwörter, Antivirensoftware und vollständige Festplattenverschlüsselung.
‍
Auditprotokolle der Benutzeraktionen innerhalb der Infrastruktur des Anbieters werden geführt. Der Anbieter protokolliert alle Interaktionen mit seinen internen Diensten und alle Interaktionen mit Kundenprojekten. Verkehrsflussprotokolle werden geführt, sodass bei Bedarf eine nachträgliche Analyse aller Verbindungen zur Infrastruktur möglich ist.
‍
Nur vorab genehmigte und sichere Kommunikationskanäle mit Provider-Diensten sind über Provider-Firewalls zulässig.
Die gesamte Kommunikation — einschließlich der Übertragung von Anmeldeinformationen — erfolgt über Verbindungen, die durch TLS geschützt sind und mit einer Reihe moderner Verschlüsselungssammlungen konfiguriert sind.

Kundenprojekte und interne Provider-Control-Plane-Dienste werden in separaten Netzwerken bereitgestellt, wobei eine Firewall sicherstellt, dass nur der erwartete Verkehr zwischen den beiden Netzwerken zugelassen wird. Darüber hinaus werden Metadaten über den Verkehr zwischen den Netzwerken gespeichert. Protokolle und Metriken, die der Beobachtbarkeit und Problembehandlung dienen, werden automatisch extrahiert und an Systeme gesendet, die von Kundenprojekten getrennt sind und die Kundendaten enthalten.

Daten im Ruhezustand werden gegebenenfalls verschlüsselt, einschließlich aller Datensicherungen. Alle Festplatten werden im Ruhezustand mit dem branchenüblichen AES-256-Algorithmus verschlüsselt. Regelmäßig geplante Backups werden im Ruhezustand ebenfalls mit AES-256 verschlüsselt.
‍
Verschlüsselungsschlüssel werden pro Projekt generiert und selbst durch Schlüssel geschützt, die mit FIPS 140-2-kompatiblen HSMs gespeichert sind. Die gesamte Netzwerkkommunikation erfolgt über verschlüsselte Verbindungen, die durch moderne Sicherheitsstandards (TLS 1.2, moderne Cipher Suites) geschützt sind, um die Vertraulichkeit und Integrität der Daten zu wahren.

Der Anbieter erstellt standardmäßig tägliche Backups von Kundenprojekten. Zusätzliche Backups können je nach Kundenanforderungen und Serviceverträgen geplant werden.
‍
Alle Backups werden während der Übertragung und im Ruhezustand verschlüsselt.
Backups werden unabhängig von den Projektressourcen des Kunden auf einem Speichersystem gespeichert. Eine Zielverfügbarkeit von 99,99% wird angestrebt.
‍
Der Anbieter verfügt über Mitarbeiter und Dienstleister, die strategisch auf der ganzen Welt verteilt sind. Dies ermöglicht ein Follow-the-Sun-Modell für die Support- und Betriebsüberwachung und beschleunigt die Reaktion auf alle Servicevorfälle.

Der Anbieter verwendet angemessene und geeignete Sicherheits- und Compliance-Überwachungssysteme in seiner gesamten Infrastruktur, um Verstöße gegen seine Sicherheitsrichtlinien zu erkennen. Der Anbieter führt regelmäßig Penetrationstests seiner Systeme durch, indem er seriöse externe Sicherheitsfirmen beauftragt, und behebt gegebenenfalls festgestellte Mängel.