§ 1 Geltungsbereich

(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für alle Verträge zwischen der Scheurer Technologies UG (haftungsbeschränkt), Kuhnkestraße 6, 24118 Kiel (nachfolgend „Anbieter“) und dem Kunden über die Nutzung der unter der Marke „Start & Connect“ angebotenen Produkte und Dienstleistungen.

(2) Die Angebote des Anbieters richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Mit der Nutzung der Leistungen bestätigt der Kunde, dass er in Ausübung seiner gewerblichen oder selbstständigen beruflichen Tätigkeit handelt.

(3) Abweichende oder ergänzende Bedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich schriftlich zu.

(4) Soweit zwischen dem Anbieter und dem Kunden ein gesonderter Individualvertrag geschlossen wird, gehen dessen Regelungen den Bestimmungen dieser AGB vor. Für alle nicht im Individualvertrag geregelten Punkte gelten diese AGB ergänzend.

§ 2 Vertragsschluss

(1) Der Vertrag über Software-Produkte (SaaS) kommt durch die Registrierung des Kunden auf der Plattform des Anbieters und die Freischaltung des Kundenkontos zustande.

(2) Der Vertrag über Hosting-Leistungen kommt durch die Bestellung des Kunden und die Bereitstellung der gewünschten Instanz durch den Anbieter zustande.

(3) Der Vertrag über Dienstleistungen (Software-Entwicklung, Automations, Workshops, Consulting) kommt durch die schriftliche Beauftragung des Kunden und die Bestätigung durch den Anbieter zustande. Als schriftlich gilt auch die elektronische Form (E-Mail).

(4) Bei Hosting-Leistungen und digitalen Produkten wird die Leistung (Einrichtung und Bereitstellung) sofort nach Vertragsschluss erbracht. Der Kunde stimmt der sofortigen Leistungserbringung ausdrücklich zu.

§ 3 Leistungsumfang

(1) Der Anbieter erbringt seine Leistungen in den folgenden Kategorien:

• Software-Produkte (SaaS): Bereitstellung und Betrieb von webbasierten Softwareanwendungen, insbesondere NEXUS und SPOTLIGHT, als Software-as-a-Service.
• Hosting: Bereitstellung, Einrichtung und Betrieb von Hosting-Instanzen für Drittanbieter-Software (z.B. n8n, WordPress, Ghost, Umami) auf der Infrastruktur des Anbieters.
• Dienstleistungen: Individuelle Software-Entwicklung, Automatisierungslösungen, Workshops, Consulting und Support auf budget-basierter Stundenabrechnung (100 EUR netto pro Stunde, Mindestbudget 1.000 EUR pro Projekt).

(2) Der konkrete Leistungsumfang ergibt sich aus der jeweiligen Leistungsbeschreibung zum Zeitpunkt der Bestellung. Der Anbieter ist berechtigt, Leistungen zu verbessern, zu erweitern und weiterzuentwickeln, sofern der vertraglich vereinbarte Funktionsumfang nicht wesentlich eingeschränkt wird.

(3) Der Anbieter führt regelmäßig Backups der Kundendaten durch und sorgt für die Aktualisierung der bereitgestellten Software.

§ 4 Testphasen

(1) Für die Software-Produkte NEXUS Core und SPOTLIGHT kann der Anbieter eine kostenlose Testphase von bis zu 14 Tagen anbieten. Während der Testphase steht dem Kunden der volle Funktionsumfang zur Verfügung.

(2) Nach Ablauf der Testphase geht das Abonnement automatisch in ein kostenpflichtiges Abonnement über. Der Anbieter informiert den Kunden rechtzeitig vor Ablauf der Testphase über den bevorstehenden Übergang. Die Abrechnung erfolgt über die vom Kunden bei der Registrierung hinterlegte Zahlungsmethode.

(3) Der Kunde kann das Abonnement jederzeit vor Ablauf der Testphase kündigen, um den Übergang in ein kostenpflichtiges Abonnement zu vermeiden.

(4) Der Anbieter behält sich das Recht vor, die Testphase jederzeit zu ändern, zu verkürzen oder einzustellen. Ein Anspruch des Kunden auf Gewährung einer Testphase besteht nicht.

§ 5 Preise und Zahlung

(1) Alle angegebenen Preise verstehen sich als Nettopreise zuzüglich der gesetzlichen Umsatzsteuer in der jeweils gültigen Höhe.

(2) Bei Online-Buchungen erfolgt die Zahlung im Voraus per Kreditkarte, SEPA-Lastschrift oder einer anderen über den Zahlungsdienstleister Stripe verfügbaren Zahlungsmethode. Bei Zahlung auf Rechnung gelten die individuell vereinbarten Zahlungsbedingungen.

(3) Der Anbieter ist berechtigt, die Preise für laufende Abonnements zum Ende der jeweiligen Abrechnungsperiode anzupassen. Preisänderungen werden dem Kunden spätestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Im Falle einer Preiserhöhung steht dem Kunden ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Preiserhöhung zu.

(4) Einmalige Leistungen (Einrichtungsgebühren, Workshops, Projektpauschalen) werden nach Beauftragung bzw. Erbringung in Rechnung gestellt, sofern nicht anders vereinbart.

§ 6 Zahlungsverzug

(1) Kommt der Kunde mit einer Zahlung in Verzug, ist der Anbieter berechtigt, Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz gemäß § 288 Abs. 2 BGB zu berechnen. Zusätzlich fällt eine Mahngebühr von 5,00 EUR pro Mahnung an.

(2) Bei Software-Produkten und Hosting-Leistungen ist der Anbieter berechtigt, den Zugang zur Software bzw. die Hosting-Instanz nach einer Zahlungsverzögerung von 30 Tagen zu deaktivieren. Erfolgt auch nach der Deaktivierung innerhalb von weiteren 30 Tagen keine Zahlung, werden die Daten des Kunden unwiderruflich gelöscht.

(3) Bei Dienstleistungen behält sich der Anbieter das Recht vor, laufende Arbeiten zu unterbrechen sowie nach einer Zahlungsverzögerung von 30 Tagen offene Forderungen auf dem Rechtsweg oder über ein Inkassounternehmen geltend zu machen.

(4) Die Geltendmachung weitergehender Verzugsschäden bleibt vorbehalten.

§ 7 Vertragslaufzeit und Kündigung

(1) Es gibt keine Mindestvertragslaufzeiten. Abonnements (Software-Produkte und Hosting) können jederzeit mit Wirkung zum Ende der laufenden Abrechnungsperiode gekündigt werden.

(2) Beauftragte Dienstleistungen sind mit der Beauftragung verbindlich. Es gelten folgende Regelungen:

• Workshops und Events (Teilnahme als Teilnehmer): Bei Stornierung bis 14 Tage vor dem Termin fallen keine Kosten an. Bei Stornierung bis 7 Tage vor dem Termin werden 50 % der vereinbarten Vergütung fällig. Bei späterer Stornierung oder Nichterscheinen ist die volle Vergütung zu zahlen. Die Benennung eines Ersatzteilnehmers ist jederzeit möglich.
• Buchung des Anbieters als Speaker, Trainer oder Workshop-Leiter: Eine Stornierung durch den Kunden ist nicht möglich. Der volle vereinbarte Betrag ist zu zahlen, da der Anbieter bereits verbindliche Kosten für Planung, Reise und Unterkunft eingeht.
• Softwareprojekte und Consulting: Eine Stornierung durch den Kunden ist nicht möglich. Der volle vereinbarte Betrag ist zu zahlen.

(3) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt für beide Parteien unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn:

• der Kunde gegen § 10 dieser AGB verstößt (insbesondere bei illegalen Inhalten oder unbefugtem Weiterverkauf),
• der Kunde trotz Mahnung mit mehr als zwei Monatsbeiträgen in Verzug ist,
• über das Vermögen einer Partei ein Insolvenzverfahren eröffnet oder die Eröffnung mangels Masse abgelehnt wird.

§ 8 Verhalten nach Vertragsende

(1) Nach Beendigung eines Vertrags über Software-Produkte oder Hosting-Leistungen bleiben die Daten des Kunden für einen Zeitraum von 30 Tagen gespeichert und zugänglich.

(2) Nach Ablauf dieser 30-Tage-Frist werden sämtliche Daten des Kunden einschließlich aller Backups unwiderruflich gelöscht.

(3) Der Kunde ist selbst dafür verantwortlich, seine Daten innerhalb der 30-Tage-Frist zu sichern. Auf Wunsch kann der Anbieter den Datenexport oder die Migration auf einen anderen Server als kostenpflichtige Dienstleistung zum geltenden Stundensatz (100 EUR netto) erbringen.

§ 9 Nutzungsrechte und geistiges Eigentum

(1) Sämtliche vom Anbieter entwickelten Software-Produkte, Module, Designs, Texte und sonstigen Erzeugnisse verbleiben im Eigentum des Anbieters. Der Kunde erhält für die Dauer des Vertrags ein nicht-exklusives, nicht übertragbares Nutzungsrecht im Rahmen des vertraglich vereinbarten Zwecks.

(2) Bei individueller Produktentwicklung (individuelle Softwareentwicklung, Automatisierungslösungen) erhält der Kunde ein uneingeschränktes, zeitlich unbegrenztes Nutzungsrecht an den für ihn erstellten Erzeugnissen. Das Eigentums- und Verwertungsrecht verbleibt beim Anbieter. Der Anbieter ist berechtigt, wiederverwendbare Komponenten, Module und Methoden in anderen Projekten einzusetzen.

(3) Der Kunde räumt dem Anbieter das Recht ein, den Kunden namentlich und mit Logo als Referenz auf der eigenen Website, in Präsentationen und in Marketingmaterialien zu nennen.

§ 10 Pflichten des Kunden

(1) Der Kunde bestätigt mit Vertragsschluss, dass er Unternehmer im Sinne des § 14 BGB ist und die Leistungen des Anbieters ausschließlich für gewerbliche oder selbstständige berufliche Zwecke nutzt.

(2) Der Kunde ist für sämtliche Inhalte, die er über die Plattformen und Hosting-Instanzen des Anbieters veröffentlicht, speichert oder verarbeitet, allein verantwortlich. Der Kunde stellt sicher, dass diese Inhalte keine Rechte Dritter verletzen und nicht gegen geltendes Recht verstoßen.

(3) Dem Kunden ist insbesondere untersagt:

• die Speicherung, Veröffentlichung oder Verbreitung illegaler Inhalte,
• der Weiterverkauf, die Unterlizenzierung oder die gewerbliche Weitergabe der vom Anbieter bereitgestellten Produkte und Hosting-Instanzen an Dritte ohne ausdrückliche Genehmigung des Anbieters,
• die missbräuchliche Nutzung der Infrastruktur (z.B. Versand von Spam, Durchführung von Angriffen auf Dritte, absichtliche Überlastung von Ressourcen).

(4) Die Nutzung der bereitgestellten Ressourcen (Speicherplatz, Rechenleistung, Bandbreite) unterliegt einer Fair-Use-Richtlinie. Dem Kunden steht ein angemessenes Kontingent zur Verfügung. Bei Überschreitung setzt sich der Anbieter mit dem Kunden in Verbindung, um eine individuelle Vereinbarung zu treffen. Eine automatische Hochstufung oder Berechnung von Mehrkosten erfolgt nicht ohne vorherige Abstimmung.

(5) Der Kunde ist verpflichtet, seine Zugangsdaten vertraulich zu behandeln und den Anbieter unverzüglich zu informieren, wenn er Kenntnis von einem unbefugten Zugriff auf sein Konto erlangt.

§ 11 Verfügbarkeit und Wartung

(1) Der Anbieter bemüht sich um eine möglichst hohe Verfügbarkeit seiner Dienste. Eine bestimmte Verfügbarkeit oder ein bestimmtes Service-Level wird nicht zugesagt.

(2) Der Anbieter ist berechtigt, Wartungsarbeiten durchzuführen, die zu vorübergehenden Einschränkungen der Verfügbarkeit führen können. Geplante Wartungsarbeiten werden nach Möglichkeit vorab angekündigt und außerhalb der üblichen Geschäftszeiten durchgeführt.

(3) Der Anbieter führt regelmäßige Backups und Updates der bereitgestellten Systeme durch. Der Anbieter haftet nicht für Datenverluste, die trotz regelmäßiger Datensicherung eintreten, sofern der Anbieter die Sicherung mit der üblichen Sorgfalt durchgeführt hat.

§ 12 Haftung

(1) Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.

(2) Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf, insbesondere die Bereitstellung und der Betrieb der vereinbarten Software und Hosting-Dienste sowie die Sicherung der Kundendaten durch regelmäßige Backups. In diesem Fall ist die Haftung auf den vorhersehbaren, vertragstypischen Schaden begrenzt.

(3) Die Haftung des Anbieters ist der Höhe nach begrenzt auf:

• bei Abonnements (Software-Produkte, Hosting): die Summe der vom Kunden in den letzten 12 Monaten gezahlten Vergütung,
• bei Einzelaufträgen (Projekte, Workshops, Consulting): den jeweiligen Auftragswert.

(4) Die Haftungsbeschränkungen gelten nicht bei Vorsatz, grober Fahrlässigkeit, der Verletzung von Leben, Körper oder Gesundheit, bei Ansprüchen nach dem Produkthaftungsgesetz sowie bei sonstigen zwingenden gesetzlichen Haftungstatbeständen.

§ 13 Freistellung

(1) Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die aufgrund von Inhalten, Daten oder Aktivitäten des Kunden auf den Plattformen und Hosting-Instanzen des Anbieters entstehen, soweit der Kunde die Rechtsverletzung zu vertreten hat. Dies umfasst insbesondere Ansprüche wegen Verletzung von Urheberrechten, Markenrechten, Persönlichkeitsrechten oder sonstigen Rechten Dritter.

(2) Der Kunde übernimmt die erforderlichen Kosten der Rechtsverteidigung des Anbieters einschließlich sämtlicher Anwalts- und Gerichtskosten in angemessener Höhe, sofern die Inanspruchnahme auf einem schuldhaften Verhalten des Kunden beruht.

§ 14 Höhere Gewalt

(1) Der Anbieter haftet nicht für Leistungsstörungen, die durch höhere Gewalt oder vergleichbare, außerhalb der Kontrolle des Anbieters liegende Ereignisse verursacht werden. Dazu zählen insbesondere Naturkatastrophen, Pandemien, Krieg, Terrorismus, Streik, behördliche Anordnungen, Stromausfälle, Cyberangriffe sowie Ausfälle oder Einstellung des Betriebs durch den Infrastrukturanbieter (Hetzner Online GmbH oder sonstige eingesetzte Rechenzentren).

(2) Der Anbieter ist Dienstleister, der die automatisierte Einrichtung und Bereitstellung von Serverinstanzen auf der Infrastruktur von Drittanbietern erbringt. Der Anbieter ist nicht selbst Serverbetreiber und haftet nicht für Ausfälle, die in der Sphäre des Infrastrukturanbieters liegen.

(3) Dauert ein Ereignis höherer Gewalt länger als 30 Tage, sind beide Parteien berechtigt, den Vertrag außerordentlich zu kündigen.

§ 15 Einsatz Dritter

(1) Der Anbieter ist berechtigt, zur Erfüllung seiner vertraglichen Pflichten Dritte (Subunternehmer, Freelancer) einzusetzen.

(2) Der Anbieter stellt sicher, dass eingesetzte Dritte vertraglich zur Vertraulichkeit und zum Schutz der Kundendaten verpflichtet werden (insbesondere durch Vertraulichkeitsvereinbarungen oder Geheimhaltungsverträge).

§ 16 Vertragsübertragung

(1) Der Kunde ist berechtigt, seine Rechte und Pflichten aus diesem Vertrag mit vorheriger schriftlicher Zustimmung des Anbieters auf einen Dritten zu übertragen. Die Zustimmung wird nicht ohne sachlichen Grund verweigert.

(2) Der Anbieter ist berechtigt, seine Rechte und Pflichten aus diesem Vertrag im Rahmen einer Unternehmensübertragung oder Umstrukturierung auf einen Rechtsnachfolger zu übertragen.

§ 17 Drittanbieter-Software

(1) Im Rahmen der Hosting-Leistungen stellt der Anbieter Instanzen von Open-Source-Software bereit, die nicht vom Anbieter selbst entwickelt wurde (z.B. n8n, WordPress, Ghost, Umami). Für diese Software gelten zusätzlich die jeweiligen Lizenzbedingungen des Softwareherstellers.

(2) Der Anbieter erbringt ausschließlich Infrastruktur- und Hosting-Leistungen. Der Anbieter verkauft keine Softwarelizenzen und tritt nicht als Lizenzgeber für die bereitgestellte Drittanbieter-Software auf. Der Kunde ist selbst dafür verantwortlich, die Lizenzbedingungen der genutzten Software einzuhalten und sich über etwaige Lizenzpflichten zu informieren.

(3) Der Anbieter übernimmt keine Gewähr für die Funktionalität, Sicherheit oder Weiterentwicklung von Drittanbieter-Software. Die Leistung des Anbieters beschränkt sich auf die Bereitstellung, den Betrieb und die Wartung der Hosting-Infrastruktur.

(4) Änderungen an der Drittanbieter-Software (z.B. durch den Hersteller eingestellte Funktionen, Lizenzänderungen) stellen keinen Mangel der Leistung des Anbieters dar.

§ 18 Änderung der AGB

(1) Der Anbieter behält sich das Recht vor, diese AGB zu ändern, soweit dies zur Anpassung an geänderte rechtliche Rahmenbedingungen, an Änderungen der Rechtsprechung oder an technische Veränderungen erforderlich ist.

(2) Änderungen werden dem Kunden spätestens 30 Tage vor dem geplanten Inkrafttreten per E-Mail mitgeteilt. Die Mitteilung enthält die geänderten Bestimmungen sowie einen Hinweis auf das Zustimmungserfordernis.

(3) Die geänderten AGB treten nur in Kraft, wenn der Kunde ihnen aktiv zustimmt. Die Zustimmung kann schriftlich, per E-Mail oder durch eine vom Anbieter bereitgestellte Bestätigungsfunktion erfolgen.

(4) Stimmt der Kunde den geänderten AGB nicht zu, bleibt der Vertrag zu den bisherigen Bedingungen bestehen. Der Anbieter ist in diesem Fall berechtigt, den Vertrag mit einer Frist von 30 Tagen zum Ende der laufenden Abrechnungsperiode ordentlich zu kündigen.

§ 19 Datenschutz

(1) Die Verarbeitung personenbezogener Daten erfolgt gemäß der Datenschutzerklärung des Anbieters und den Bestimmungen der DSGVO. Die primäre Datenspeicherung erfolgt auf Servern in Deutschland. Im Rahmen der Leistungserbringung kann eine Verarbeitung durch Unterauftragsverarbeiter auch außerhalb Deutschlands stattfinden (siehe Anlage 1, A1 § 7). In diesen Fällen wird ein angemessenes Datenschutzniveau durch EU-Standardvertragsklauseln oder gleichwertige Garantien sichergestellt.

(2) Soweit der Anbieter im Rahmen der Leistungserbringung personenbezogene Daten im Auftrag des Kunden verarbeitet, gilt die in Anlage 1 beigefügte Vereinbarung zur Auftragsverarbeitung (AVV), sofern keine gesonderte AVV zwischen den Parteien geschlossen wurde.

§ 20 Schlussbestimmungen

(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Kiel, soweit gesetzlich zulässig.

(3) Vertragssprache ist Deutsch.

(4) Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(5) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses. Die elektronische Form (E-Mail) genügt der Schriftform.

A1 § 1 Gegenstand und Dauer

(1) Diese Vereinbarung zur Auftragsverarbeitung (AVV) regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Anbieter (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher).

(2) Die AVV gilt für die gesamte Dauer des Hauptvertrags und darüber hinaus, bis sämtliche personenbezogene Daten des Kunden gelöscht oder zurückgegeben wurden.

A1 § 2 Art und Zweck der Verarbeitung

(1) Der Anbieter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der im Hauptvertrag vereinbarten Leistungen, insbesondere:

• Betrieb und Bereitstellung von Software-Produkten (NEXUS, SPOTLIGHT),
• Bereitstellung und Betrieb von Hosting-Instanzen,
• Verarbeitung von Daten durch KI-Funktionen (Chatbot-Plugin) über den AI Gateway des Anbieters,
• Versand von E-Mails über den Standard-E-Mail-Dienst des Anbieters (sofern der Kunde keinen eigenen E-Mail-Dienst einrichtet).

A1 § 3 Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

• Kunden des Kunden (Endnutzer der Plattformen),
• Mitarbeiter und Beauftragte des Kunden,
• Besucher der vom Kunden betriebenen Websites und Plattformen,
• Kontakte und Kommunikationspartner des Kunden.

A1 § 4 Kategorien personenbezogener Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

• Stammdaten (Name, Firma, Anschrift),
• Kontaktdaten (E-Mail-Adresse, Telefonnummer),
• Nutzungsdaten (Login-Daten, Aktivitätsprotokolle, IP-Adressen),
• Inhaltsdaten (vom Kunden und dessen Endnutzern gespeicherte Inhalte, Nachrichten, Dateien),
• Kommunikationsdaten (Chat-Nachrichten, E-Mail-Inhalte, sofern über die Plattform verarbeitet),
• Vertragsdaten (Bestellungen, Abonnements, Transaktionshistorie ohne Zahlungsdaten).

Ausgenommen sind Zahlungsdaten (Kreditkartennummern, Bankverbindungen). Diese werden ausschließlich durch den Zahlungsdienstleister Stripe verarbeitet und nicht auf den Systemen des Anbieters gespeichert.

A1 § 5 Pflichten des Verantwortlichen (Kunde)

(1) Der Kunde ist für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen verantwortlich.

(2) Der Kunde erteilt dem Anbieter alle erforderlichen Weisungen zur Datenverarbeitung und stellt sicher, dass die Übermittlung personenbezogener Daten an den Anbieter auf einer gültigen Rechtsgrundlage beruht.

(3) Der Kunde informiert den Anbieter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

A1 § 6 Pflichten des Auftragsverarbeiters (Anbieter)

(1) Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats zur Verarbeitung verpflichtet.

(2) Der Anbieter gewährleistet, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

(3) Der Anbieter trifft die folgenden technischen und organisatorischen Maßnahmen (TOMs) zum Schutz personenbezogener Daten:

• Zutrittskontrolle: Serverstandorte bei Hetzner Online GmbH mit physischen Sicherheitsmaßnahmen (Zugangskontrolle, Überwachung).
• Zugangskontrolle: Passwortgeschützte Systeme, SSH-Schlüssel-Authentifizierung, individuelle Benutzerkonten für Administratoren.
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept, Trennung von Kunden-Instanzen durch separate Docker-Container und Datenbanken.
• Trennungskontrolle: Mandantenfähige Architektur mit logischer und physischer Trennung der Kundendaten (eigene Datenbank pro Instanz).
• Verschlüsselung: SSL/TLS-Verschlüsselung für alle Datenübertragungen. Verschlüsselung sensibler Daten in der Datenbank (API-Schlüssel, Zugangsdaten).
• Verfügbarkeitskontrolle: Regelmäßige Backups, Monitoring der Systeme, automatische Neustarts bei Ausfällen.
• Auftragskontrolle: Dokumentierte Weisungen, vertragliche Regelungen mit Unterauftragsverarbeitern.

(4) Der Anbieter unterstützt den Kunden bei der Einhaltung seiner Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, Meldepflichten).

(5) Der Anbieter informiert den Kunden unverzüglich, in der Regel innerhalb von 24 Stunden, über Datenschutzverletzungen, die personenbezogene Daten des Kunden betreffen.

(6) Der Anbieter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Kunden gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Anbieter ist berechtigt, die Ausführung der betreffenden Weisung bis zur Klärung auszusetzen.

A1 § 7 Unterauftragsverarbeiter

(1) Der Kunde erteilt dem Anbieter eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Anbieter informiert den Kunden über Änderungen bei den Unterauftragsverarbeitern. Der Kunde kann Änderungen innerhalb von 14 Tagen widersprechen.

(2) Zum Zeitpunkt des Vertragsschlusses setzt der Anbieter folgende Unterauftragsverarbeiter ein:

• Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) - Server-Infrastruktur und Rechenzentrum. Alle Kundendaten werden auf Servern in Deutschland gespeichert.
• Mailgun Technologies, Inc. (112 E Pecan St #1135, San Antonio, TX 78205, USA) - Versand von Transaktions-E-Mails, sofern der Kunde keinen eigenen E-Mail-Dienst konfiguriert. Verarbeitung auf Basis von EU-Standardvertragsklauseln.
• KI-Dienstleister (für die Verarbeitung von Daten über den AI Gateway des Anbieters). Der Kunde wählt den gewünschten Anbieter aus. Aktuell verfügbar:
  • Anthropic PBC (San Francisco, USA) - Claude
  • OpenAI, LLC (San Francisco, USA) - GPT
  • Google LLC (Mountain View, USA) - Gemini
  • Mistral AI (Paris, Frankreich) - Mistral
  Die API-Schlüssel werden vom Anbieter verwaltet. Die Datenverarbeitung erfolgt über den AI Gateway des Anbieters. Für US-amerikanische Anbieter gelten EU-Standardvertragsklauseln.

(3) Widerspricht der Kunde dem Einsatz eines neuen Unterauftragsverarbeiters, bemüht sich der Anbieter um eine alternative Lösung. Ist eine solche nicht zumutbar möglich, steht dem Kunden ein Sonderkündigungsrecht zum Zeitpunkt des geplanten Einsatzes des neuen Unterauftragsverarbeiters zu.

(4) Der Anbieter stellt sicher, dass die Unterauftragsverarbeiter mindestens das gleiche Datenschutzniveau gewährleisten wie in dieser AVV vereinbart.

A1 § 8 Rechte der betroffenen Personen

(1) Der Anbieter unterstützt den Kunden durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit, Widerspruch).

(2) Wendet sich eine betroffene Person direkt an den Anbieter, leitet der Anbieter die Anfrage unverzüglich an den Kunden weiter.

A1 § 9 Löschung und Rückgabe

(1) Nach Beendigung des Hauptvertrags löscht der Anbieter sämtliche im Auftrag verarbeiteten personenbezogenen Daten nach Ablauf der in § 8 der AGB genannten Frist (30 Tage), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(2) Auf Wunsch des Kunden stellt der Anbieter die Daten vor der Löschung in einem gängigen Format zur Verfügung. Die Kosten für den Datenexport richten sich nach dem geltenden Stundensatz (100 EUR netto).

(3) Der Anbieter bestätigt dem Kunden auf Verlangen die vollständige Löschung der Daten schriftlich.

A1 § 10 Kontrollrechte

(1) Der Kunde hat das Recht, die Einhaltung dieser AVV und der datenschutzrechtlichen Vorgaben durch den Anbieter zu überprüfen. Der Anbieter stellt dem Kunden auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung.

(2) Inspektionen und Audits können nach vorheriger Abstimmung und unter Wahrung der Vertraulichkeit sowie der Rechte anderer Kunden durchgeführt werden. Der Aufwand des Anbieters für Audits wird zum geltenden Stundensatz (100 EUR netto) berechnet, sofern kein Verstoß gegen die AVV festgestellt wird.