Allgemeine Geschäftsbedingungen

1 Umfang und Vertragsgegenstand

Die SLACE GmbH („Anbieter“) bietet Plattformen und damit verbundene Dienstleistungen in Bezug auf Messenger-Dienste („Messenger“), die von Dritten („Messenger-Betreiber“) erbracht werden. Diese All-gemeinen Geschäftsbedingungen regeln das Vertragsverhältnis zwischen dem Anbieter und dem Kunden für die Nutzung der Plattformen und Dienste des Anbieters auf Basis separat zwischen den Parteien abgeschlos-sener Verträge.

2 Vertragsabschluss

Der Vertrag kommt zu Stande, wenn der Anbieter den vom Kunden übermittelten Auftrag annimmt. Eventuelle vom Anbieter an den Kunden übermittelte Bestellformulare stellen im rechtlichen Sinne kein Angebot dar, auch nicht, wenn sie als solches bezeichnet werden.

3 Umfang der Plattformen und Dienste

Der Anbieter bietet verschiedene Plattformen für unterschiedliche Zwecke und unterschiedliche Services an. Der genaue Umfang der vereinbarten Plattformen und Dienste sowie etwaige eventuelle zusätzlich geltende Bedingungen für solche Plattformen und/oder Dienste sind im Vertrag definiert.

4 Service-Level

Die Bereitstellung der Plattform(en) zur Nutzung durch den Kunden erfolgt am Zugangspunkt des Rechenzentrums des Anbieters („Übergabepunkt der Leistung“). Zur Nutzung der Plattform(en) ist es erforderlich, dass der Kunde über einen eigenen Zugang zum Internet verfügt und über diesen Zugang auf die Plattform am Übergabepunkt der Leistung zu-greift.

Die Plattform(n) haben die im beigefügten SLA definierte Verfügbarkeit. Klarstellend wird festgehalten, dass Verfügbarkeitsbeschränkungen, die die mit dem Messenger selbst und dem Netzwerk der Messenger-Betreiber zusammenhängen, nach alleinigem Ermessen der Messenger-Betreiber behandelt werden und dass die diesbezügliche Verpflichtung von SLACE auf die rechtzeitige Bearbeitung solcher Anfragen des Kunden beschränkt ist.

5 Nutzungsrechte für die Dienste

Für die Dauer des Vertrages und vorbehaltlich der vollständigen Zahlung der vereinbarten Vergütung räumt der Anbieter dem Kunden das weltweite, nicht ausschließliche, nicht übertragbare Recht ein, die Plattform(en) ausschließlich für die im Bestellformular und diesen Allgemeinen Geschäftsbedingungen definierten Vertragszwecke zu nutzen. Sofern in der Bestellung vereinbart, kann der Kunde dieses Recht unterlizenzieren, wie in der Bestellung vereinbart. Das Nutzungsrecht erlischt am Ende der Vertragslaufzeit.

6 Support-Services

Wenn in der Bestellung ausdrücklich vereinbart, wird der Anbieter dem Kunden Support-Dienstleistungen im Falle von Störungen der Dienste während der Geschäftszeiten von Montag bis Freitag zwischen 10.00 Uhr und 18.00 Uhr MEZ/MESZ mit Ausnahme von Feiertagen mit einer Reaktionszeit von zwei Werktagen zur Verfügung stellen.

Andere vom Kunden bestellte Supportleistungen, insbesondere Beratungs- und technische Leistungen, werden dem Kunden vom Anbieter zeit- und materiell in Rechnung gestellt. Bevor Kosten entstehen, wird der Kunde informiert und um vorherige Genehmigung gebeten. Das ausschließliche Verwertungs- und Nut-zungsrecht an entstehenden Arbeitsergebnissen verbleibt beim Anbieter. Dem Kunden wird ein Nutzungs-recht nach Ziffer 5 eingeräumt. Alle Urheberrechte an den möglicherweise erstellten Ergebnissen verbleiben ebenfalls beim Anbieter.

7 Vergütung und Rechnungsstellung

7.1 Die Vergütung für die Nutzung der Plattform(en) und der Dienstleistungen ist in den einzelnen Verträgen zwischen den Parteien festgelegt. Soweit individualvertraglich, beispielsweise im Auftrag, nichts anderes vereinbart ist, ist Anbieter berechtigt, die Vergütung einseitig nach billigem Ermessen der all-gemeinen Preisentwicklung anzupassen, um veränderte Personal – oder andere Betriebskosten auszugleichen, allerdings nicht häufiger als alle zwölf Monate. Beträgt eine Erhöhung mehr als 10%, ist Kunde berechtigt, das Vertragsverhältnis innerhalb von vier Wochen nach Bekanntgabe mit einer Frist von einem Monat zum Ende eines Kalendermonats zu kündigen. Bis zum Wirksamwerden der Kündigung gelten die alten Preise Kalendermonats zu kündigen. Bis zum Wirksamwerden der Kündigung gelten die alten Preise.

7.2 Die Rechnungsstellung gegenüber dem Kunden erfolgt in elektronischer Form.

7.3 Sofern im Vertrag nichts anderes vereinbart ist, werden feste Gebühren zu Beginn der initialen Laufzeit oder einer späteren Verlängerungsfrist (s. Abschnitt 13.1) berechnet. Einmalige und monatliche vari-able Leistungen werden am Ende des Monats nach der Erbringung der Leistung in Rechnung gestellt. Alle Beträge sind jeweils zahlbar 10 Tage nach Rechnungstellung.

7.4 Sämtliche vereinbarte Vergütungen sind Nettobeträge und verstehen sich zuzüglich der Umsatzsteuer in der gesetzlich vorgeschriebenen Höhe.

7.5 Die Aufrechnung mit Gegenansprüchen durch den Kunden oder die Zurückbehaltung von Zahlungen wegen solcher Ansprüche ist nur zulässig, soweit die Gegenansprüche unbestritten oder rechtskräftig festgestellt sind.

7.6 Einwendungen gegen die Rechnung sind innerhalb von 2 Wochen nach Zugang der Rechnung gegen-über dem Anbieter schriftlich zu erheben; andernfalls gilt die Rechnung als genehmigt. Gesetzliche An-sprüche des Kunden bei Einwendungen nach Fristablauf bleiben unberührt.

7.7 Die Geltendmachung der gesetzlichen Zurückbehaltungs- und Leistungsverweigerungsrechte bleibt vorbehalten.

7.8 Im Falle des Verzugs des Kunden hat der Anbieter Anspruch auf Verzugszinsen in gesetzlicher Höhe.

8 Gegenseitige Informationspflicht

Die Parteien werden die jeweils andere Partei über im Zusammenhang mit der konkreten vertragsgegenständlichen Leistung stehende Anfragen oder Beschwerden oder geltend gemachte Ansprüche Dritter unverzüglich und vor einer eventuellen Antwort unterrichten und bemühen sich im Übrigen, die jeweils andere Partei über Veränderungen des Marktes zu informieren, wenn dies für die andere Partei interessant oder von Bedeutung sein könnte.

9 Mitwirkungspflichten, Rechteeinräumungen und Zusicherungen des Kunden

9.1 Während der Vertragslaufzeit räumt der Kunde dem Anbieter ein nicht ausschließliches, zeitlich und ört-lich begrenztes Recht zur Speicherung, Vervielfältigung, Bearbeitung und Übermittlung ein, die Inhalte („Medi-eninhalte“) der über die Plattform(en) stattfindenden Kommunikationen zu speichern, zu reproduzie-ren, zu verarbeiten und zu übermitteln, soweit dies zur Erfüllung der vertraglichen Verpflichtungen des Anbieters erforderlich ist.

9.2 Der Kunde räumt dem Anbieter ein dauerhaftes Recht auf Erstellung und Verwendung anonymisierter Statistiken über die Leistung und das Nutzerverhalten der über die Plattform(en) übermittelten Nach-richten ein.

9.3 Der Kunde gestattet dem Anbieter die Nennung als Referenzkunden. Veröffentlichungen werden vor-ab mit dem Kunden abgestimmt.

9.4 Der Kunde versichert, dass seine Nutzung der Messenger den geltenden Gesetzen und den vertraglichen Vereinbarungen mit und den Bedingungen der jeweiligen Messenger-Betreiber und/oder ihrer CBPs entspricht.

9.5 Der Kunde versichert,
(i) dass er Inhaber aller erforderlichen Rechte an den Medieninhalten ist, um dem Anbieter die zuvor genannten Rechte einzuräumen,
(ii) dass der Kunde frei über diese verfügen kann und
(iii) dass die Medieninhalte nicht mit Rechten Dritter belastet sind.

9.6 Der Kunde versichert, im Rahmen der Nutzung der Plattform keine rechtswidrigen oder Gesetze oder behördliche Auflagen verletzenden Inhalte, insbesondere nicht solche im Sinne des § 4 Abs.1 Nr. 10 JMStV und sonstige unzu-lässige Angebote im Sinne des § 4 Abs. 1, Abs. 2 JMStV auf den Servern des Anbieters zu speichern und/oder durch den Anbieter verarbeiten zu lassen

9.7 Dem Kunden ist bekannt, dass der Anbieter keine gesonderten Sicherungskopien der Medieninhalte erstellt und diese nach Ablauf der Vertragslaufzeit löscht. Es obliegt dem Kunden, selbständig Sicherungskopien der Medieninhalte zu erstellen.

10 Gewährleistung

10.1 Für Mängel der Plattform(en) gelten grundsätzlich die §§ 536 ff BGB. Die verschuldensunabhängige Haftung wird für anfängliche Mängel ausgeschlossen. Die verschuldensabhängige Haftung von dem Anbieter bleibt bestehen. Bei der Feststellung, ob der Anbieter ein Verschulden trifft, wird vom Kunden anerkannt, dass Software faktisch nicht völlig fehlerfrei erstellt werden kann. Daher können die Zeit, die für die Behebung von Mängeln benötigt wird oder die Fähigkeit zur Behebung von Mängeln variieren und sind unter anderem abhängig von den spezifischen Umständen des Mangels, ein-schließlich, ohne darauf beschränkt zu sein, der Art des Mangels, der Vollständigkeit und Richtigkeit der verfügbaren Informationen über den Mangel und dem Grad der Zusammenarbeit und Reaktionsfähigkeit des Kunden bei der Bereitstellung von Informationen, Zugang und Unterstützung, die zur Lösung des Problems erforderlich sind. Der Anbieter und seine Unterauftragnehmer garantieren daher nicht, dass sie in der Lage sein werden, sämtliche Probleme zu beheben.

10.2 Die Behebung von Mängeln erfolgt nach Wahl des Anbieters entweder durch kostenfreie Nachbesserung oder Ersatzlieferung.

10.3 Eine Kündigung des Kunden gem. § 543 Abs. 2 S. 1 Nr. 1 BGB wegen Nichtgewährung des ver-tragsgemäßen Gebrauchs ist erst zulässig, wenn der Anbieter ausreichende Gelegenheit zur Mängelbe-seitigung gegeben wurde und diese fehlgeschlagen ist.

10.4 Der Anbieter übernimmt keine Gewährleistung für den Internetzugang des Kunden und/oder der Endkunden, insbesondere für die Verfügbarkeit und Dimensionierung des Internetzugangs sowie der Messenger. Der Kunde ist für seinen Internetzugang zum Übergabepunkt der Leistung selbst ver-antwortlich.

11 Haftung

11.1 Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer Pflichtverletzung des Anbieters, eines gesetzlichen Vertreters oder Erfüllungsgehilfen des Anbieters beruhen sowie für Schäden, die durch Fehlen einer vom Anbieter ga-rantierten Beschaffenheit hervorgerufen werden oder bei arglistigem Verhalten des Anbieters.

11.2 Der Anbieter haftet unbeschränkt für Schäden, die durch den Anbieter oder einen gesetzli-chen Vertreter oder Erfüllungsgehilfen vom Anbieter vorsätzlich oder durch grobe Fahrlässigkeit ver-ursacht wurden

11.3 Im Falle einer leicht fahrlässigen Verletzung wesentlicher Vertragspflichten, die dazu führen, dass der Anbieter die Kriterien der SLA nicht erfüllt, ist die Haftung des Anbieters auf den im SLA defi-nierten Rabatt beschränkt und die Haftung des Anbieters darf diesen Rabatt nicht überschreiten.

11.4 Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.

11.5 Eine sonstige Haftung des Anbieters ist ausgeschlossen.

11.6 Die Verjährungsfrist für Schadensersatzansprüche des Kunden gegen den Anbieter beträgt ein Jahr, außer in den Fällen der Absätze 11.1, 11. 2 oder 11.4.

11.7 Der Kunde stellt den Anbieter von und gegen alle Kosten (einschließlich angemessener An-waltskosten), Ansprüche und Schäden, die sich aus einer Verletzung einer Zusicherung des Kunden gemäß diesen Allgemeinen Geschäftsbedingungen oder auf andere Weise im Zusammenhang mit dem Vertrag über die Bereitstellung der Plattformen ergeben, frei und schadlos.

12. Datenschutz

12.1 Im Rahmen der vom Anbieter erbrachten Leistungen verarbeitet er personenbezogene Daten im Auf-trag des Kunden. Der Kunde ist verantwortlich für die Einhaltung der DSGVO gegenüber dem jeweils Betroffenen. Insbesondere die Sicherstellung einer vorhandenen Rechtsgrundlage (bspw. Einwilligung oder Vertrag) zur Nutzung des Dienstes und die Erfüllung der Informationspflichten nach Art. 13 bzw. 14 DSGVO muss durch den Kunden sichergestellt werden.

12.2 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mit-gliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Eu-ropäischen Wirtschafts-raum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Kunden und darf nur erfol-gen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO er-füllt sind.

12.3 Der Gegenstand der Verarbeitung personenbezogener Daten ist im Vertrag festgelegt.

12.4 Die Kategorien der betroffenen Personen der Verarbeitung werden im Vertrag für die verschiedenen Dienstleistungen festgelegt.

12.5 Der Anbieter stellt die Sicherheit gemäß Art. 28 Abs. 3 lit.c, 32 DSGVO insbesondere in Verbindung mit Artikel 5 Absatz 1 Abs. 2 DSGVO sicher. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutz-niveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSG-VO zu be-rücksichtigen. Die ergriffenen Maßnahmen sind in Anlage 1 dokumentiert.

Anlage 1 ist Grundlage dieses Auftrages.
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Anbieter gestattet, alternative adäquate Maßnahmen umzuset-zen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. We-sentliche Änderungen sind zu dokumentieren.

12.6 Der Anbieter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Kunden berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Anbieter wendet, wird der An-bieter dieses Ersuchen unverzüglich an den Kunden weiterleiten.

12.7 Nur so weit vom Leistungsumfang im Auftrag umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Kunden unmittelbar durch den Anbieter sicherzustellen.

12.8 Der Anbieter ist nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen. Der Anbieter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

Der Anbieter ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet.
Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Anbieter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Anbieter und jede dem An-bieter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich ent-sprechend der Weisung des Kunden verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maß-nahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO [Einzelheiten in Anlage 1].

Der Kunde und der Anbieter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zu-sammen.

Die unverzügliche Information des Kunden über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Anbieter ermittelt.

Soweit der Kunde seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafver-fahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Anbieter ausgesetzt ist, hat ihn der Anbieter nach besten Kräften zu unterstützen.

Der Anbieter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maß-nahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person ge-währleistet wird.
Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Kunden im Rahmen seiner Kontrollbefugnisse nach Ziffer 12.10 dieses Vertrages.

12.9 Die Auslagerung auf Unterauftragnehmer oder der Wechsel bestehender Unterauftragnehmer sind zu-lässig, soweit: i) der Anbieter eine solche Auslagerung auf Unterauftragnehmer dem Kunden eine an-gemessene Zeit vorab schriftlich oder in Textform anzeigt und ii) der Kunde nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Anbieter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und iii) eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Anbieter z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Anbieter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kun-den auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaß-nahmen zu ergreifen. Die Weitergabe von personenbezogenen Daten des Kunden an Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Anbieter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen. Bei einer weiteren und vorab angezeigten Auslagerung durch den Unterauftragnehmer sind sämtliche vertraglichen Regelungen in der Vertragskette auch dem weiteren Unterauftragnehmer aufzuerlegen.
Mit Vertragsschluss stimmt der Kunde den Unterauftragnehmern nach Anlage 2 zu.

12.10 Der Kunde hat das Recht, im Benehmen mit dem Anbieter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Anbieter in dessen Geschäftsbetrieb zu überzeugen.

Der Anbieter stellt sicher, dass sich der Kunde von der Einhaltung der Pflichten des Anbieters nach Art. 28 DSGVO überzeugen kann. Der Anbieter verpflichtet sich, dem Kunden auf Anforderung die erforderlichen Auskünfte zu er-teilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Für die Ermöglichung von Kontrollen durch den Kunden kann der Anbieter einen Vergütungsanspruch geltend machen.

12.11 Der Anbieter unterstützt den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:

die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berück-sichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Kunden zu melden
die Verpflichtung, dem Kunden im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
die Unterstützung des Kunden für dessen Datenschutz-Folgenabschätzung
die Unterstützung des Kunden im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
Für Unterstützungsleistungen, die nicht im Auftrag enthalten oder nicht auf ein Fehlverhalten des Anbieters zurückzuführen sind, kann der Anbieter eine Vergütung beanspruchen.

12.12Mündliche Weisungen bestätigt der Kunde unverzüglich (mind. Textform). Der Anbieter hat den Kunden unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Anbieter ist berechtigt, die Durchführung der entsprechenden Weisung so-lange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.

12.13 Kopien oder Duplikate der Daten werden ohne Wissen des Kunden nicht erstellt. Hiervon aus-genommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Kunden – spätestens mit Beendigung der Leistungsvereinbarung – hat der Anbieter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Kunden auszuhändigen oder nach vorheriger Zustimmung daten-schutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Anbieter entsprechend der jeweiligen Aufbewahrungs-fristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Kunden übergeben

13 Laufzeit des Vertrages; Beendigung des Zugangs

13.1 Die initiale Vertragslaufzeit ist im Auftrag vereinbart. Nach Ablauf der initialen Vertragslaufzeit und jedes folgenden Verlängerungszeitraumes verlängert sich die Laufzeit jeweils um die im Auftrag vereinbarte Verlängerung („Vertragszyklus“), wenn nicht unter Einhaltung der jeweiligen Kündigungs-fristen die Kündigung zum Ende der jeweiligen Vertragslaufzeit erklärt wird. Die Kündigungsfrist beträgt ein Drittel des Vertragszyklus (z. B. 4 Monate Kündigungsfrist für einen 12-monatigen Vertragszyklus). Das Recht beider Parteien zur fristlosen Kündigung aus wichtigem Grund bleibt hiervon unberührt.

13.2 Der Anbieter hat insbesondere ein Recht zur fristlosen Kündigung aus wichtigem Grund in folgenden Fällen:
(i) der Kunde wird zahlungsunfähig oder überschuldet;
(ii) es wird ein Antrag auf Eröffnung eines Insolvenzverfahrens über das Vermögen des Kunden gestellt (wobei die Regelung des §112 InsO unberührt bleibt), oder
(iii) der Kunde ist für zwei aufeinander folgende Monate mit der Entrichtung der vereinbarten laufenden Vergütung oder eines nicht unerheblichen Teils hiervon in Verzug oder ist in einem Zeitraum, der sich über mehr als zwei Monate erstreckt, mit der Entrichtung der laufenden Vergütung in Höhe eines Betrages in Verzug, der die zu zahlende laufende Vergütung für zwei Monate erreicht.

13.3 Die Kündigung muss immer schriftlich erfolgen (Post oder Email).

13.4 Nach Ablauf der Vertragslaufzeit wird dem Kunden bei Vertragsverlängerung oder Abschluss eines neuen Vertrages der Zugang zu den Plattformen und den Medieninhalten nicht mehr gewährt und die Medieninhalte und Endnutzerinformationen vom/den Anbieter von der Plattform(en) gelöscht. Die vom Kunden auf der Plattform(en) gespeicherten Medieninhalte werden vom/den Anbieter spätestens einen Monat nach Ablauf der Vertragslaufzeit endgültig gelöscht. Eine Ausfuhr der am Ende der Vertragslaufzeit gespeicherten Daten (z.B. Medieninhalte, Kundeninformationen) muss daher vom Kunden vor Ablauf der Vertragslaufzeit beantragt werden, ohne dass eine solche rechtzeitige An-frage ein Export nicht garantiert werden kann. Die Migrationsunterstützung wird gegen eine Gebühr von 150€ pro Stunde zur Verfügung gestellt.

14 Vertraulichkeit

Die Parteien sind verpflichtet, vertrauliche Informationen während und nach Ende der Vertragslaufzeit Dritten nicht zugänglich zu machen und nicht für andere, der Zusammenarbeit nicht dienende Zwecke zu verwenden. Als vertraulich gelten (i) alle Informationen über die zwischen den Parteien vereinbarte Vergütung, (ii) alle Informationen über die Vertragslaufzeit, (iii) alle dem Kunden zugänglich gemachten technischen Informationen und Know-how sowie (iv) sonstige Informationen, die von einer der beiden Parteien als vertraulich gekennzeichnet werden.

Die Geheimhaltungsverpflichtung bezieht sich nicht auf Informationen, die ohne Geheimhaltungsbruch einer Partei der jeweils anderen Partei oder öffentlich bekannt geworden oder bereits bekannt sind, oder die aufgrund gesetzlicher, richterlicher oder behördlicher Anordnung Dritten zugänglich zu machen sind.

Der Kunde hat größtmögliche Sorgfalt walten zu lassen und alle Maßnahmen zu ergreifen, die den vertraulichen, sicheren Umgang mit IDs, Passwörtern, Benutzernamen oder anderen Sicherheitseinrichtungen gewährleisten, die für den Zugriff auf die Plattform(en) und die Nutzung der Dienste bereitgestellt werden, und deren Weitergabe an Dritte zu verhindern. Der Kunde haftet für die Verwendung seiner Passwörter oder Benutzernamen durch Dritte, es sei denn, der Kunde kann darlegen und beweisen, dass die Gründe für diesen unbefugten Zugriff ihm nicht zuzurechnen sind. Der Kunde hat den Anbieter unverzüglich über jede mögliche oder bekannte unbefugte Nutzung seiner Zugangsdaten zu informieren.

15 Vertragsänderungen

15.1 Der Anbieter behält sich vor, die angebotenen Leistungen zu ändern, soweit die jeweilige Änderung notwendig ist, um Veränderungen abzubilden, die bei der jeweiligen Auftragserteilung nicht vorhersehbar waren und deren Nichtbeachtung das vertragliche Gleichgewicht zwischen dem Anbieter und dem Kunden beeinträchtigen würde, insbesondere soweit der Anbieter (i) die Übereinstimmung der Leistungen mit dem darauf anwendbaren Recht herzustellen verpflichtet ist, insbesondere wenn sich die geltende Rechtslage ändert; und/oder (ii) damit einem gegen den Anbieter gerichteten Gerichtsurteil oder einer Behördenentscheidung nachkommt, und/oder (iii) die Plattform(en) aufgrund zwingender technischer Vorgaben von Messenger-Betreibern anpassen muss

15.2 Zu keinem Zeitpunkt wird durch die Leistungsänderungen die Erfüllung der Hauptvertrags-pflichten durch den Anbieter eingeschränkt.

15.3 In anderen Fällen als der Ziffer 15.1 teilt der Anbieter dem Kunden vorab die Änderungen der Vertragsbedingungen mit. Soweit der Kunde deren Geltung nicht innerhalb von vier Wochen nach Zu-gang der Mitteilung widerspricht, gelten die Änderungen mit Wirkung für die Zukunft als angenommen. Widerspricht der Kunde den Änderungen, ist der Anbieter berechtigt, das Vertragsverhältnis zu kündigen. Auf die Wirkung des Schweigens und das Kündigungsrecht wird der Anbieter in der Mitteilung hinweisen.

15.4 Von der Änderungsbefugnis nach Ziffer 15.3 ausgenommen ist jede Änderung des Vertragsgegenstands und der Hauptleistungspflichten, die zu einer Änderung des Vertragsgefüges insgesamt führen würde. In diesen Fällen wird der Anbieter dem Kunden die beabsichtigten Änderungen mitteilen und die Fortsetzung des Vertragsverhältnisses zu den dann geänderten Bedingungen anbieten.

16 Recht auf Übertragung des Vertrages

Der Anbieter kann den Vertrag an einen Dritten übertragen, hat den Kunden jedoch mit einer vorherigen schriftlichen Mitteilung von vier Wochen über jede beabsichtigte Übertragung zu informieren, in deren Rahmen der Kunde ein Widerspruchsrecht gegen eine solche Übertragung hat. Im Falle eines solchen Widerspruchs findet die Übertragung nicht statt, aber der Anbieter hat das Recht, den Vertrag zu kündigen.

17 Sonstiges

17.1 Die zwischen den Parteien geschlossenen Vereinbarungen unterliegen dem materiellen Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts und des internationalen Privatrechts.

17.2 Ausschließlicher Gerichtsstand ist am Sitz des Anbieters.

17.3 Sollten eine oder mehrere Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen nicht berührt.

17.4 Der Kunde darf ohne vorherige schriftliche Zustimmung von dem Anbieter die Rechte und Pflichten aus dem Ver-trag weder dauerhaft noch zeitweilig auf Dritte übertragen.

Zusätzliche Nutzungsbedingungen von SLACE

1. Umfang der Dienstleistungen

SLACE ist eine als SaaS bereitgestellte Software, die es dem Kunden ermöglicht, die Kommunikation über Messenger zu steuern und zu verwalten, indem er sich direkt mit a) Messengern oder b) über zertifizierte Geschäftspartner der Messenger-Betreiber („CBP“) verbindet, die Dienste zum Senden, Empfangen und Verwalten des Messengers bereitstellen. Zum Senden und Empfangen von Nachrichten über und zum Abrufen der zugehörigen Meta- oder Benutzerdaten aus den Messengern kann der Kunde vorhandene Open Messaging-APIs in SLACE verwenden, um eine Verbindung zu den APIs von Messenger-Betreibern oder CBPs herzustellen und, falls dies vertraglich vereinbart ist, Konnektoren zu Messengern erstellen oder sich in per Schnittstelle CRM, Bot-, Daten- und andere Plattformen integrieren. Solche Konnektoren oder benutzerdefinierte API-Integrationen können vom Kunden oder Dritten erstellt werden. Einige Messenger-Konnektoren oder Integrationen von Drittanbietern können vom Anbieter bereitgestellt und gewartet werden (möglicherweise gegen Aufpreis).

Je nach Vertrag kann der Kunde verschiedene Messenger-Konten mit SLACE verbinden und verschiedene Anmeldungen aktivieren, um Zugriff auf das Kundenkonto bei SLACE zu gewähren.

Je nach Vertrag ist es entweder a) die Verpflichtung des Kunden, die erforderlichen Verträge mit bestimmten Messenger-Betreibern und eventuellen CBPs abzuschließen und die entsprechenden Messenger-Konten zu erstellen, oder b) der Anbieter kann auch als Wiederverkäufer von Messenger-Betreibern oder CBPs agieren, oder c) der Anbieter kann die Verbindungen mit den Messenger-Betreibern und/oder CBPs im Namen und im Namen des Kunden herstellen, für die der Kunde dem Anbieter eine Vollmacht erteilt.

In jedem Fall ist es die Pflicht des Kunden, dafür zu sorgen, dass seine Nutzung der Messenger und der CBPs den geltenden Gesetzen sowie den vertraglichen Vereinbarungen mit und Bedingungen der Messenger-Betreiber bzw. CBPs entspricht, einschließlich, aber nicht beschränkt auf die im Vertrag festgelegten Regelungen.

Da die Messenger von den Messenger-Providern betrieben werden und die Systeme der CBPs von den CBPs betrieben werden, ist der Anbieter nicht für die Funktionalität und Verfügbarkeit der Messenger und der Systeme der CBPs verantwortlich.

Sofern nicht bestimmte Messenger oder CBPs im Vertrag vereinbart sind, garantiert der Anbieter nicht, dass SLACE mit bestimmten Messengern oder CBPs arbeitet, und es ist die Pflicht des Kunden, die letztendlich erforderliche Interoperabilität mit bestimmten CBPs oder Messengern durch die Verwendung vorhandener Konnektoren oder die Erstellung eigener Konnektoren in SLACE sicherzustellen. In diesem Zusammenhang wird der Kunde darüber informiert, dass bestimmte Messenger-Betreiber oder ihre CBPs eine zusätzliche Gebühr verlangen können.

Der Kunde kann über die vom Anbieter ausdrücklich unterstützten Browser über das Internet auf SLACE zugreifen. Für andere als die ausdrücklich unterstützten Browser ist eine Zugriffsmöglichkeit nicht geschuldet.

SLACE enthält eine „Conversational Inbox“, die es dem Kunden ermöglicht, die Kommunikation über die integrierten Messenger sowie Benutzer und Gespräche zu verwalten.

Die im Vertrag vereinbarte Aufbewahrung von Content legt fest, wie lange die Inhalte in den Datenbanken des Anbieters gespeichert werden, um sie im Conversational Inbox anzuzeigen. Der Kunde wird darauf hingewiesen, dass Nachrichten- und Medieninhalte NICHT zusätzlich gesichert werden. Die im Vertrag definierte Menge an Logins ist die Anzahl der zusätzlichen Anmeldungen („Seats“), die erstellt werden können, um Zugriff auf das Konto des Kunden auf das Dashboard der Plattform und die Messaging-API zu haben. Bestimmte Rechte und Zugriffskontrolle können für diese Logins verwaltet werden. Wenn automatisierte Bot-Gespräche im Vertrag vereinbart werden, verfügt SLACE über eine einfache Benutzeroberfläche, die es dem Kunden ermöglicht, ein skriptgesteuertes Bot zu erstellen, der sich mit einer Person unterhält, wobei die Unterhaltung vollständig auf einem vorprogrammierten Skript basiert. Der Bot verwendet ein Entscheidungsbaummodell und andere Befehle und ermöglicht auch das Erstellen strukturierter Antworten. Wenn Multitenancy im Vertrag vereinbart ist, erlaubt SLACE die Erstellung zusätzlicher Unterkonten innerhalb der Plattform, wobei der für ein Unterkonto bereitgestellte Dienst für die anderen Unterkonten nicht sichtbar ist.

Jegliche Ansprüche unter den Parteien und gegen CBPs, die auf einem Fehlverhalten, einer Handlung oder Unterlassung der Messenger-Betreiber beruhen (eine „Betreiberverletzung“), werden gegenseitig ausgeschlossen. Im Falle einer Betreiberverletzung werden die Vertragsparteien jedoch im angemessenen Umfang miteinander und mit den jeweiligen CBPs zusammenarbeiten und die jeweils geschädigte Partei oder den geschädigten CBP in der Geltendmachung von Ansprüchen gegen den jeweiligen Betreiber zu unterstützen.

2. Spezielle Bedingungen für ausgewählte Messenger

Bestimmte Messenger haben spezifische Anforderungen, so dass die folgenden Bedingungen für die entsprechenden Messenger und Messenger-Betreiber im Sinne der nachstehenden Definition vereinbart werden. Zur Klarstellung wird festgehalten, dass, soweit im Folgenden bestimmte Regelungen erwähnt oder auf solchen Bezug genommen wird, dies nicht abschließend zu verstehen ist und nicht bedeutet, dass für nicht speziell genannte Messenger-Betreiber keine Regelungen gelten. Vielmehr ist es entsprechend Ziffer 9.4 die Pflicht des Kunden, sicherzustellen, dass er den vertraglichen Vereinbarungen mit und den Bedingungen der jeweiligen Messenger-Betreiber entspricht.

2.1 WhatsApp

Die Nutzung der WhatsApp Business Solution unterliegt den geltenden Geschäftsbedingungen von WhatsApp (auch als WhatsApp und hierin als „Geschäftsbedingungen“ bezeichnet) unter https://www.whatsapp.com/legal/business-solution-terms sowie den geltenden WhatsApp-Rechtlichen und -Richtlinien https://www.whatsapp.com/legal#terms-of-service und https://www.whatsapp.com/policies/business-policy (zusammen mit allen anderen anwendbaren Richtlinien, Richtlinien und Bedingungen die „WhatsApp-Bedingungen“). Der Kunde sichert die Einhaltung der WhatsApp-Bedingungen zu.

Die Nutzung der WhatsApp Business Services erfordert die Einrichtung eines WhatsApp Business Accounts („WABA“) und die Ernennung eines Systemadministrators. Der Kunde ermächtigt den Anbieter, als Systemadministrator zu fungieren und erteilt SLACE eine Vollmacht, die bei https://www.facebook.com/business/partner-directo-ry/search?solution_type=messaging&sort_by=alpha aufgeführten Unternehmen zum Systemadministrator zu ernennen und in seinem Namen für alle Anweisungen und Handlungen gegenüber dem Systemadministrator und/oder WhatsAPP zu handeln. Alle Mitteilungen mit dem Systemadministrator und/oder WhatsApp über die bereitgestellten Dienste erfolgen über den Anbieter und der Kunde darf nicht direkt mit dem Systemadministrator und/oder WhatsApp kommunizieren.

Je nach dem im Vertrag vereinbarten genauen Umfang umfassen die Dienste die Registrierung von WhatsApp Business Accounts entweder direkt durch den Anbieter oder über den Systemadministrator einschließlich der entsprechenden Telefonnummer mit und deren laufende Verwaltung in Richtung WhatsApp. Im Allgemeinen gibt es keine Einschränkung der Registrierungen, jedoch ist jede Registrierung von der Genehmigung durch WhatsApp abhängig, die nach Ermessen von WhatsApp erteilt oder zurückgehalten werden kann.

Der Kunde erkennt die folgenden Anforderungen von WhatsApp an und erklärt sich damit einverstanden: „Unsere Business Services sind nicht für die Verbreitung in ein Land oder zur Nutzung in einem Land gedacht, in dem eine derartige Verbreitung oder Nutzung gegen lokales Recht verstoßen würde. Wir behalten uns das Recht vor, unsere Business Services jederzeit in jedem Land einzuschränken, soweit dies nach anwendbarem Recht zulässig ist. Das Unternehmen hat sämtliche geltenden US- und Nicht-US-Gesetze in Bezug auf Exportkontrollen und Handelssanktionen („Export-Gesetze“) zu beachten. Das Unternehmen darf weder direkt noch indirekt unsere Business Services exportieren, reexportieren, bereitstellen oder auf sonstige Weise übertragen: (a) an ein/e gemäß Export-Gesetzen verbotene/s Person, Unternehmen oder Land; (b) an eine Person oder ein Unternehmen, die/das auf Sperrlisten der US-Regierung oder einer anderen Regierung aufgeführt ist oder an jemanden oder ein Unternehmen, der/das sich im Eigentum oder unter der Kontrolle von jemandem auf solchen Sperrlisten befindet; oder (c) für einen nach den Export-Gesetzen verbotenen Zweck (u. a. Anwendungen für nukleare, chemische oder biologische Waffen oder Raketentechnik) ohne die erforderlichen staatlichen Genehmigungen. Das Unternehmen darf unsere Business Services nicht nutzen oder herunterladen, (i) wenn es in einem Land ansässig ist, das Beschränkungen unterliegt, oder sich im Eigentum oder unter der Kontrolle von jemandem befindet, der in einem solchen Land ansässig ist; (ii) wenn es zurzeit auf Sperrlisten der US-Regierung oder einer anderen Regierung aufgeführt ist oder sich im Eigentum oder unter der Kontrolle von jemandem auf solchen Sperrlisten befindet; (iii) wenn dies zugunsten oder im Namen eines einer Beschränkung unterliegenden Landes oder von jemandem, der auf Sperrlisten der US-Regierung oder einer anderen Regierung aufgeführt ist, erfolgt; oder (iv) für einen gemäß Export-Gesetzen verbotenen Zweck. Das Unternehmen darf seinen Standort nicht durch IP-Proxying oder sonstige Methoden verschleiern.“

2.2 Telegram

Der Kunde sichert zu, dass die Bedingungen unter https://telegram.org/tos eingehalten werden. Je nach dem im Vertrag vereinbarten genauen Umfang umfassen die Leistungen die Darstellung des Telegram-Kontos im Namen des und für den Kunden inklusive entsprechender Telefonnummer und Administration des Telegram-Kontos gegenüber dem Messenger-Betreiber.

2.3 Viber

Wenn der Kunde einen Bot für Viber einsetzt, ist er verpflichtet, jegliche ausgehenden Nachrichten ausschließlich an Viber-Nutzer zu senden, die in den Erhalt solcher Nachrichten eingewilligt und nicht widersprochen haben.

Die ausgehenden Nachrichten müssen jederzeit den inhaltlichen Standards entsprechen, die in der https://www.viber.com/terms/viber-advertising-policy/ festgelegt sind. Jeder Kunde darf nur ausgehende Nachrichten versenden, die sich auf den Geschäftsbereich dieses Kunden beziehen.

Der Kunde verpflichtet sich, keinen unerwünschten Datenverkehr über Viber zu senden oder wissentlich ausgehende Nachrichten, die als SPAM eingestuft sind, über die Viber-Konten zu übertragen.

Im Übrigen gelten die Viber PA-, PC-, Bot-, Community- und VAP-Richtlinien in https://www.viber.com/terms/public-chat-public-accounts-terms-guidelines/ (die „BOT-Terms“) und die Viber API-Terms of Service unter https://developers.viber.com/docs/general/api-terms-of-service/ (die „API-Terms“) in der jeweils geltenden Fassung. Der Kunde verpflichtet sich, diese einzuhalten.

Der Messenger-Betreiber von Viber hat sich dem Anbieter gegenüber vorbehalten, nach eigenem Ermessen nach einer vorherigen schriftlichen Benachrichtigung von 30 Tagen seine Bedingungen in Bezug auf die vom Messenger-Betreiber berechnete Bot-Servicegebühr oder andere Gebühren, Rechnungszyklus, Zahlungsfristen, monatliche Mindestbeträge und Produktänderungen zu ändern und außerdem berechtigt ist, Preisänderungen nach einer vorherigen Mitteilung von sieben Tagen durchzuführen. Vor diesem Hintergrund ist der Anbieter in Ergänzung zu und in Abweichung von Ziff. 7.1 und 15 der AGB bei Vorliegen einer solchen schriftlichen Benachrichtigung vom Messenger-Betreiber berechtigt, Preisanpassungen mit einer vorherigen Mitteilung von mindestens sieben Tagen an den Kunden weiter zu reichen und, soweit im Übrigen vertragliche Vereinbarungen von einer 30tägigen Mitteilung durch den Messenger-Anbieter betroffen sind, die insoweit betroffenen vertraglichen Regelungen gegenüber dem Kunden ebenfalls mit einer Frist von 30 Tagen anzupassen. Der Kunde ist nach der jeweiligen Mitteilung innerhalb von 7 Tagen berechtigt, den Vertrag in Bezug auf die Nutzung von Viber zu kündigen, wenn er mit einer Anpassung nicht einverstanden ist.

2.4 Facebook Messenger

Die Nutzung des Facebook Messenger unterliegt den geltenden Nutzungsbedingungen unter https://www.facebook.com/terms.php und der Kunde sichert die Einhaltung dieser Nutzungsbedingungen zu.

2.5 Instagram

Die Nutzung des Facebook Messenger unterliegt den geltenden Nutzungsbedingungen unter https://help.instagram.com/581066165581870 und der Kunde sichert die Einhaltung dieser Nutzungsbedingungen zu.

3. Datenschutz

Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Kunden in SLACE. Bei den betroffenen Personen handelt es sich um Personen, die Informationen vom Kunden angefordert haben oder die Leistungen des Kunden im Rahmen eines Vertrages in Anspruch nehmen, oder Personen, mit denen der Kunde vorvertragliche Maßnahmen ergreift. Gegenstand der Verarbeitung ist die Verwaltung der Inhalte der Kommunikation mit Endnutzern und der Kontaktdaten über Messenger von Endnutzern über SLACE, wie hier beschrieben. Des Weiteren handelt es sich bei den Betroffenen auch um Mitarbeiter des Kunden, die SLACE für den Kunden nutzen. In diesem Zusammenhang wird der Anbieter Login- und administrative Daten der Mitarbeiter verwalten, um diesen die Erfüllung Ihrer Aufgaben innerhalb der Organisation des Kunden zu ermöglichen. Zusätzlich zu den in Anhang 2 der Allgemeinen Geschäftsbedingungen des Anbieters definierten Unterauftragnehmern, jedoch immer vorbehaltlich einer vertraglichen Vereinbarung gemäß Artikel 28 Absatz 2-4 DSGVO gemäß Ziffer 12.9 iii) der Allgemeinen Geschäftsbedingungen des Anbieters, kann der Anbieter auch die in https://www.facebook.com/business/partner-directory/search?solution_type=messaging&sort_by=alpha aufgeführten Unternehmen als Unterauftragnehmer für SLACE verwenden und der Kunde stimmt einer solchen Nutzung dieser Unternehmen als Unterauftragnehmer zu.

4. Sonstiges

Es gelten die Allgemeinen Geschäftsbedingungen des Diensteanbieters. Im Falle von Widersprüchen zwischen den Allgemeinen Geschäftsbedingungen und diesen zusätzlichen Geschäftsbedingungen haben diese zusätzlichen Geschäftsbedingungen Vorrang.

Zusatzbedingungen für die Verwendung von MessageLink

1. Umfang der Dienstleistungen

Im MessageLink-Service stellt der Anbieter dem Kunden einen Link zur Verfügung, der zu einer URL führt, die vom Anbieter gehostet wird und die der Kunde auf seiner Website integrieren oder auf andere Weise, z.B. als QR-Code oder über NFC, zur Verfügung stellen kann, so dass die Nutzer des Kunden darauf zugreifen können und der, wenn darauf zugegriffen wird, je nach dem im Vertrag vereinbarten genauen Umfang, auf dem Gerät des Benutzers a) einen bestimmten Messenger öffnet, der von MessageLink unterstützt wird, b) einen Messenger initiiert, der von MessageLink unterstützt wird und in dem eine vordefinierte Nachricht von den Benutzern des Kunden an eine vordefinierte Nummer („Messaging-App-Call“) gesendet werden kann, oder c) einen Messenger initiiert, in dem eine vom Kunden vordefinierte Nachricht erstellt wird und dann an einen vom Benutzer definierten Empfänger gesendet werden kann („Tell-a-Friend“).

Wenn „Attribution“ im Vertrag vereinbart ist, ordnet MessageLink Nachrichten, die unter dem Messaging-App-Call gesendet werden, der jeweiligen Quelle zu, so dass aufgrund dieser Quellenzuordnung dem Kunden zielgenau die von ihm gewünschten Informationen übermittelt werden können.

2. Persönliche Daten

2.1 Allgemeines
MessageLink enthält Funktionen, die auf der IP-Adresse des Benutzers basieren, um die Dienste zu personalisieren und zu kontextualisieren, insbesondere basierend auf dem Standort des Benutzers. Zu diesem Zweck verarbeitet der Anbieter die IP-Adresse der Kunden als Datenverarbeiter im Auftrag des Kunden. Die IP-Adresse wird nicht über das Ende der Verbindung mit dem Kunden hinaus gespeichert.

2.2 Soweit Attribution vereinbart ist, setzt SLACE als Auftragsverarbeitung verschiedene Methoden ein, um den Nutzer für den Kunden der jeweiligen Quelle zuzuordnen und ihm so eine zielgerichtete Kommunikation zukommen zu lassen. Zu diesem Zweck wird SLACE beauftragt, Parameter in der jeweiligen Kommunikation mit dem Nutzer einzubinden und Cookies einzusetzen. Die jeweilige Methode ist dabei unbedingt erforderlich, um die vom Nutzer im Rahmen der Nutzung von MessageLink ausdrücklich gewünschte zielgerichtete Kommunikation mit dem Kunden zur Verfügung zu stellen.

3. Sonstiges

Es gelten die Allgemeinen Geschäftsbedingungen des Diensteanbieters. Im Falle von Widersprüchen zwischen den Allgemeinen Geschäftsbedingungen und diesen zusätzlichen Geschäftsbedingungen haben diese zusätzlichen Geschäftsbedingungen Vorrang.

Zusatzbedingungen für SLACE CONNECT

SLACE CONNECT ist eine zusätzliche Funktion innerhalb von SLACE, die den Austausch von über die unterstützten Messenger zu sendenden Nachrichteninhalte ermöglicht. Dabei kann ein Kunde (“Merchant”) in SLACE CONNECT solche Inhalte einstellen und für von ihm definierte Konditionen anderen Kunden (“Publisher”) von SLACE zur Verwendung als Nachrichteninhalte anbieten. Soweit die beiden Kunden nicht anderweitig eine Vereinbarung über die Nutzung der Nachrichteninhalte geschlossen haben, kommt der diesbezügliche Vertrag zwischen den Parteien dadurch zu Stande, dass der Merchant in SLACE CONNECT ein entsprechendes Angebot einstellt und der Publisher dieses über SLACE CONNECT annimmt. Der Vertragstext wird dabei innerhalb von SLACE CONNECT gespeichert und ist sowohl dem Publisher als auch dem Merchant zugänglich. Der Merchant kann innerhalb von SLACE CONNECT die von ihm getätigten Eingaben noch einmal prüfen, bevor sein Angebot veröffentlicht wird und gegebenenfalls durch den Back-Button im Browser bzw. die dort vorgesehenen technischen Korrekturmittel ändern. Der Publisher kann auf der Abschlussseite zur Annahme eines entsprechenden Angebotes noch einmal alle Konditionen und gegebenenfalls von ihm erfolgte Eingaben prüfen und, soweit Eingaben erfolgten, durch den Back-Button im Browser bzw. die dort vorgesehenen technischen Korrekturmittel ändern. SLACE CONNECT wird in deutscher und englischer Sprache angeboten, so dass der Vertragsschluss zwischen Merchant und Publisher in diesen Sprachen erfolgen kann. SLACE CONNECT stellt Statistiken über die über SLACE CONNECT ausgetauschten und durch den Publisher an Endnutzer übermittelte Nachrichteninhalte bereit. Der Merchant haftet für die inhaltliche Rechtmäßigkeit der vom Merchant an den Publisher in SLACE CONNECT übergebenen Nachrichteninhalte. Der Publisher haftet für die Zulässigkeit der Übermittlung der Nachrichteninhalte an die jeweiligen Endnutzer der Messenger, insbesondere für gegebenenfalls erforderliche Einwilligungen.

Anhang 1: Technisch-organisatorische Maßnahmen

  1. Vertraulichkeit (Art. 32(1b) DS-GVO)

1.1 Zutrittskontrolle

 

Ziel

Ziel der Zutrittskontrolle ist es, dass Unbefugten der Zutritt zu solchen Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet oder genutzt werden.

 

Maßnahmen

a. Absicherung von Sicherheitszonen/Räumen mit Hilfe von

  • Sicherheitsschlösser
    • Alarmsysteme

b. Google Cloud:

 

1.2 Zugangskontrolle

Ziel

Ziel der Zugangskontrolle ist es, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden, mit denen die Verarbeitung und Nutzung personenbezogener Daten durchgeführt werden.

 

Maßnahmen

a. Zugangsschutz zu allen Datenverarbeitungssystemen durch Benutzer-Authentifikation

b. Vorhandensein von Boot-Passwörtern (Desktop und Laptops)

c. Vollverschlüsselung der Festplatten im Standby und ausgeschalteten Zustand.

d. WLAN-Sicherung:

    • Unsichere Verfahren deaktivieren (z.B. WPS, WPA)
    • separates Gästenetzwerk

e. Zugangsdaten im Besonderen Passwörter werden in Passwortmanagern verwaltet

f. Starke Authentifikation bei höchstem Schutzniveau

  • Time-based One-Time-Password (TOTP) + Zugangsdaten
  • SSH-Tunnel mit asymmetrischer Verschlüsselung (Public Key Verfahren)
  • Zwei-Faktor-Authentisierung (2FA)

g. Authentifikation (Benutzername/Passwort) bei hohem Schutzniveau

    • Vorgaben für die Passwörter (using at least 8 characters)

h. Authentifikationsgeheimnisse werden nur verschlüsselt über das Netz übertragen

i. Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen

    • Sicheres Verfahren zur Rücksetzung der Sperre (z. B. Neuvergabe einer Nutzererkennung)

j. Festlegung befugter Personen

      • Existenz von Rollenkonzepten (vordefinierte Benutzerprofile)
      • Zugangsrechte werden immer individuell (personengebunden) vergeben
      • Der Kreis der befugten Personen wurde auf das betriebsnotwendige Minimum reduziert
      • Die individuellen Befugnisse werden regelmäßig auf Notwendigkeit hin überprüft

k. Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen

        • Ein Prozess zur Beantragung, Genehmigung, Vergabe und Rücknahme von Authentifizierungsmedien und Zugangsberechtigungen ist eingerichtet, beschrieben und wird angewendet
        • Für die Vergabe von Zugangsberechtigungen ist eine verantwortliche Person benannt
        • Existenz einer Vertretungsregelung

l. Protokollierung des Zugangs

          • Alle erfolgreichen und abgewiesenen Zugangsversuche werden protokolliert (verwendete Kennung, Rechner, IP-Adresse) und für mindestens 6 Monate revisionssicher archiviert
          • Zur Missbrauchserkennung werden regelmäßig stichprobenartige Auswertungen vorgenommen

m. Maßnahmen am Arbeitsplatz des Anwenders

            • Bei mehr als 5 Minuten Inaktivität der Arbeitsstation bzw. des Terminals muss das System kennwortgeschützt werden
            • Arbeitsstationen und Terminals werden vom Mitarbeiter bei vorübergehendem Verlassen des Arbeitsplatzes gegen unbefugte Nutzung geschützt

n. Google Cloud:

 

1.3 Zugriffskontrolle

Ziel

Die Maßnahmen zur Zugriffskontrolle müssen darauf gerichtet sein, dass nur auf die Daten zugegriffen werden kann, für die eine Zugriffsberechtigung besteht, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Maßnahmen

a. Nutzung von Passwörtern und definierten Passwortregeln

b. Zugangsberechtigte können nur auf Daten zugreifen, die in dem individuellen Berechtigungsprofil eingerichtet sind

c. Der Umfang der Berechtigungen, ist auf das zur jeweiligen Aufgaben- bzw. Funktionserfüllung notwendige Minimum beschränkt (logisch, zeitlich, …)

d. Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen

    • Berechtigungen sind an eine persönliche Benutzerkennung und an einen Account geknüpft

e. Protokollierung des Datenzugriffs

      • Alle Lese-, Eingabe-, Änderungs- und Löschtransaktionen werden protokolliert (Benutzerkennung, Transaktionsdetails) und für mindestens 6 Monate revisionssicher archiviert

f. Sichere Aufbewahrung von Datenträgern

g. Verschlüsselung von Datenträgern

 

1.4 Trennungskontrolle

Ziel

Ziel der Trennungskontrolle ist es, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Maßnahmen

a. Umsetzung und Dokumentation einer Funktionstrennung (z. B. Vier-Augen-Prinzip, Closed-Shop-Betrieb)

b. Umsetzung von Regelungen zur Programmierung (z.B. separates Test- und Livesystem)

c. Regelungen zur System- und Programmprüfung

d. Es gibt technische und organisatorische Regelungen und Maßnahmen zur Sicherstellung der getrennten Verarbeitung (Speicherung, Veränderung, Löschung und Übertragung etc.) 

e. Und/oder es gibt technische und organisatorische Regelungen und Maßnahmen zur Lagerung/Speicherung von Daten und/oder Datenträgern mit unterschiedlichen Vertragszwecken

f. Umsetzung eines Abstimmungs- und Kontrollsystems

g. Systemdaten mit logischer Trennung auf Anwendungsebene

 

1.5 Pseudonymisierung (Art. 32(1a) DS-GVO; Art. 25(1) DS-GVO)

Ziel

Die Verarbeitung personenbezogener Daten soll – sofern möglich –  in einer Weise erfolgen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

Maßnahmen

a. Gemäß den Anweisungen des Auftraggebers.

 

  1. Integrität (Art. 32(1b) DS-GVO)

 

2.1 Weitergabekontrolle

Ziel

Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Maßnahmen

a. Protokollierung jeder Übermittlung (sendende/empfangende Stelle)

b. Der Verkehr zwischen den Systemen ist über L2TP, IPsec (oder einer vergleichbaren Sicherung) gesichert

c. Die Datenübertragungen zwischen Clients und Servern erfolgt verschlüsselt (TLS 1.2/1.3)

 

d. Vorhandensein einer Regelung für die Anfertigungen von Kopien 

e. Vorhandensein einer Regelung zur Unterbindung nicht-digitaler Ausgaben oder Weiterleitung von Datensätzen (d. h. keine Drucke) 

f. Übertragung im Backend

    • Die Verbindung zu den Backendsystemen ist geschützt
    • Die Verbindungen der Backendsysteme untereinander sind geschützt
    • Daten mit hohem Schutzbedarf werden verschlüsselt
    • Daten, die den geschützten Bereich (z. B. den eines Rechenzentrums) verlassen, werden verschlüsselt

g. Sicherheitsgateways an den Netzübergabepunkten

      • Es existieren Netzwerk-/Hardware-Firewalls
      • Die Firewalls sind ständig aktiviert
      • Die Firewalls sind durch den Nutzer nicht deaktivierbar

h. Sichere Ablage von Daten

        • Die Daten werden verschlüsselt lokal abgelegt (gespeichert)
        • Die Daten werden verschlüsselt in einer Datenbank abgelegt
        • Die Daten werden auch im Backup verschlüsselt abgelegt

i. Die Nutzung von mobilen Datenträgern ist auf ein Minimum beschränkt und findet ausschließlich verschlüsselt statt

j. Datenträgerverwaltung

    • Es existieren Verfahrensregelungen über den Einsatz von Datenträgern

k. Datenschutzgerechtes Lösch-/ Zerstörungsverfahren

      • Datenträger werden vor Wiederbenutzung durch andere Nutzer datenschutzgerecht gelöscht; eine Wiederherstellung der gelöschten Daten ist gar nicht oder nur mit unverhältnismäßigem Aufwand möglich

l. Löschprotokolle

        • Die vollständige, datenschutzgerechte und dauerhafte Löschung von Daten bzw. Datenträgern mit Kundendaten des Auftraggebers wird protokolliert

 

2.2 Eingabekontrolle

Ziel

Ziel der Eingabekontrolle ist es, mit Hilfe geeigneter Maßnahmen sicherzustellen, dass nachträglich die näheren Umstände der Dateneingabe überprüft und festgestellt werden können.

 

Maßnahmen

a. Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

b. Die Eingabe, Änderung und Löschung von Daten werden protokolliert. 

c. Die Protokolle werden für einen Zeitraum von 12 Monaten revisionssicher aufbewahrt

d. Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

 

 

 

  1. Verfügbarkeit und Belastbarkeit (Art. 32(1b) DS-GVO)

Ziel

Ziel der Verfügbarkeitskontrolle ist es, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Datenverarbeitungssysteme sind „belastbar“, wenn sie so widerstandsfähig sind, dass ihre Funktionsfähigkeit selbst bei starkem Zugriff bzw. starker Auslastung gewährleistet ist. Das gilt nicht zuletzt mit Blick auf die gezielte Überlastung von Servern, um die Verfügbarkeit trotz eines Angriffs von außen, etwa durch sog. DoS- oder DDoS-Attacken („(Distributed) Denial of Service“), sicherzustellen.

Maßnahmen

a. Backup-Konzept

    • Es existiert ein Backup-Konzept
    • Backups finden täglich statt
    • Eine für das Backup verantwortliche Person und Vertreter sind benannt
    • Es wird regelmäßig überprüft, ob das Zurückspielen eines Backups möglich ist

b. Es existiert ein Notfallplan, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen, insb. auch auf Seiten des Auftraggebers, über den Vorfall zu unterrichten sind.

c. Eine Lagerung von Datensicherungen findet in feuer- und wassergeschützten Datensicherheitsschränken statt

d. Regelmäßige Kontrolle des Zustandes und der Kennzeichnungen von Datenträgern für Datensicherungen

e. Vorhandensein und regelmäßige Prüfung von Notstromaggregaten und Überspannungsschutzeinrichtungen

f. permanente Überwachung der Betriebsparameter

g. Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen 

h. Feuer- und Rauchmeldeanlagen

i. Alarmmeldung bei unberechtigten Zutritten zu Serverräumen

j. Existenz eines aktuellen Virenschutzprogramms

k. Daten, die über Google Cloud-Dienste verwaltet werden:

  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung  (Art. 32(1d) DS-GVO; Art. 25(1) DS-GVO)

 

4.1 Datenschutz-Management

Ziel

Verantwortliche und Auftragsverarbeiter müssen die ihnen abverlangten Sicherheitsmaßnahmen nicht nur einmalig herstellen und „auf Dauer“ sicherstellen. Sie müssen ihre Wirksamkeit auch regelmäßig durch geeignete Verfahren einer kritischen Begutachtung unterziehen. 

Dieser Verpflichtung liegt die Leitidee zugrunde, dass erst die regelmäßige Evaluation der Maßnahmen das erforderliche Maß an Datensicherheit dauerhaft verbürgt. Die „Nachsorge“ in Form technischer und organisatorischer Maßnahmen erfolgt auf Grundlage externer oder interner Prüfberichte sowie Evaluierungen durch Betroffene und Nutzer, etwa mit Hilfe von Fragebögen oder persönlichen Befragungen. Der Datenverarbeiter hat die daraus resultierenden Ergebnisse in regelmäßigen Abständen zu bewerten sowie die notwendigen Anpassungsmaßnahmen vorzunehmen 

Für den Turnus der Maßnahmen der Evaluierung trifft die DS-GVO keine konkreten Vorgaben. Dem Normgeber war es um eine flexible Normhandhabung bestellt, welche die Normadressaten allerdings mit einem Verlust an Rechtssicherheit bezahlen. Wann eine Evaluierung notwendig ist, hängt von dem wechselhaften Schicksal der Risiken ab, welche der Verarbeitungsprozess für die Rechte und Freiheiten der Betroffenen auslöst. Neue Risiken können sich nicht nur aus technischen Wandlungsprozessen, sondern auch aus Änderungen der bisherigen Verarbeitungspraxis ergeben. Typischerweise wächst mit der Größe der Datenhalden, der Komplexität der Verarbeitungsprozesse und der Zahl der (Unter-)Auftragnehmer auch das Risiko von Angriffen Dritter.

 

Maßnahmen

a. Auswahl eines Datenschutzbeauftragten (Prof. Dr. Christoph Bauer, ePrivacy GmbH, Burchardstrasse 14, 20095 Hamburg).

b. Jährlicher Prüfungsrhythmus

c. Kontrolle der Durchführung der Evaluierung

d. Bewertung der Ergebnisse

e. Ggfls. Anpassung der TOM

 

4.2 Incident-Response-Management

Ziel

Im Falle einer Verletzung des Schutzes personenbezogener Daten ist der Verantwortliche verpflichtet  (Art. 33 DSGVO) unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Maßnahmen

a. Feststellung möglicher Fälle einer Datenpanne

b. Beschreibung des Prozesses, was im Falle einer Datenpanne zu geschehen hat

c. Beschreibung der Verantwortlichkeiten

d. Beschreibung des technischen Ablaufs zur Beseitigung einer Datenpanne

 

4.3 Datenschutzfreundliche Voreinstellungen (Art. 25(2) DS-GVO)

Ziel

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Der Verantwortliche muss daher seine Voreinstellungen, insbes. bei Online- und Telemedien, so ausgestalten, dass nur die Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind.

Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

 

Maßnahmen

a. Erstellung eines Konzeptes für Datenschutzes durch Technik („privacy by design“)

b. Erstellung eines Konzeptes für datenschutzfreundliche Voreinstellungen („privacy by default“)

c. Minimierung der Menge der erhobenen Daten

d. Reduzierung des Umfangs der Datenverarbeitung

e. Reduzierung der Speicherfristen

f. Erschwerung der Zugänglichkeit der Daten

 

4.4 Auftragskontrolle

Ziel

Ziel der Auftragskontrolle ist es, zu gewährleisten, dass eine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO nicht ohne entsprechende Weisung des Auftraggebers erfolgt. 

Maßnahmen

a. Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) 

b. Schriftliche Weisungen an den Auftragnehmer (z. B. durch Auftragsdatenverarbeitungsvertrag) 

c. Die Auftragnehmer im Bereich IT & Entwicklung unterzeichnen eine Erklärung, in der sie sich zur Wahrung der Vertraulichkeit und des Datengeheimnisses verpflichten.

d. Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart 

e. Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis 

f. Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

g. Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten

 

Anhang 2: Bestehende Subunternehmer

 

Subunternehmer Adresse / Land Dienstleistungen
Blue Focus Soft Sp. z o.o. Ul. 1. Mai 18/540-284 Katowice, Polen

 

Polen

Programmierung und Kundendienst an Plattform, API  und Dateninfrastruktur
Google Ireland Limited Gordon House

Barrow Street

Dublin 4

Irland

Bereitstellung und Betrieb von Serverkapazität und Cloud-Computing-Diensten

 

Allgemeine Geschäftsbedingungen | Version 3.10 | 06.12.2023

Klingt alles kompliziert?
Die gute Nachricht: Es ist ganz einfach.

Die SLACE SaaS-Lösung ermöglichen eine intuitive Nutzung: Vom ersten Kontakt mit dem Kunden (verbinden), bis hin zum Aufbau von Predictive Audiences (begeistern) und deren Aktivierung mit Messenger Moments® (wachsen).
Es handelt sich nicht um ein akkreditiertes Zertifizierungsverfahren im Sinne von Art. 42 DSGVO. Mehr unter eprivacy.eu.

Rechtliches