Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich und Vertragspartner

(1) Anbieter ist Isadora Riege, Baumhofstr. 49, 44799 Bochum (vollständige Angaben siehe Impressum).

(2) Diese AGB gelten ausschließlich gegenüber Unternehmern im Sinne des § 14 BGB, juristischen Personen des öffentlichen Rechts und öffentlich-rechtlichen Sondervermögen. Ein Vertragsschluss mit Verbrauchern (§ 13 BGB) ist ausgeschlossen.

(3) Abweichende, entgegenstehende oder ergänzende Bedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich in Textform zu.

§ 2 Vertragsgegenstand und Leistungsbeschreibung

(1) Karl ist ein cloudbasiertes CRM- und Eventmanagement-System für Eventlocations und Veranstaltungsbetriebe zur Verwaltung von Anfragen, Buchungen, Angeboten, Rechnungen, Kalendern, Kundenkommunikation und zugehörigen Dokumenten.

(2) Der Anbieter stellt die Software über das Internet als Software-as-a-Service zur Verfügung. Eine Installation auf Systemen des Kunden ist nicht erforderlich. Der konkrete Funktionsumfang ergibt sich aus dem gewählten Tarif und der jeweils aktuellen Leistungsbeschreibung im Dienst.

(3) Der Anbieter ist berechtigt, die Software fortlaufend weiterzuentwickeln und den Funktionsumfang an den Stand der Technik sowie an Markterfordernisse anzupassen, soweit der vertragsgemäße Nutzungszweck hierdurch nicht wesentlich eingeschränkt wird. Wesentliche Funktionseinschränkungen werden mit angemessener Vorankündigung mitgeteilt.

(4) Funktionen, die ausdrücklich als „Beta", „Vorschau" oder vergleichbar gekennzeichnet sind, werden ohne Gewähr und ohne Anspruch auf Verfügbarkeit bereitgestellt.

§ 3 Vertragsschluss

(1) Die Darstellung der Tarife auf der Website stellt kein bindendes Angebot dar. Mit Abschluss der Registrierung und Auswahl eines Tarifs gibt der Kunde ein Angebot auf Abschluss eines Nutzungsvertrags ab. Der Vertrag kommt mit der Freischaltung des Accounts oder mit Versand einer Bestätigung in Textform durch den Anbieter zustande.

(2) Der Kunde versichert, dass die bei der Registrierung gemachten Angaben vollständig und richtig sind und er den Vertrag in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit schließt.

§ 4 Nutzungsrechte

(1) Der Anbieter räumt dem Kunden für die Laufzeit des Vertrags ein einfaches, nicht ausschließliches, nicht übertragbares und nicht unterlizenzierbares Recht ein, die Software im vereinbarten Umfang für eigene Geschäftszwecke zu nutzen.

(2) Der Kunde darf die Software durch eigene Mitarbeiter sowie für ihn tätige Dritte (z. B. externe Buchhaltung) nutzen, soweit dies vom gewählten Tarif gedeckt ist. Die Anzahl gleichzeitig nutzbarer Benutzerkonten richtet sich nach dem gewählten Tarif.

(3) Eine Überlassung der Software an Dritte zur eigenständigen Nutzung, ein Reverse Engineering, Dekompilieren, Disassemblieren oder eine sonstige Bearbeitung der Software, soweit nicht gesetzlich zwingend erlaubt, sind untersagt.

§ 5 Verfügbarkeit, Wartung, Updates

(1) Der Anbieter strebt eine Verfügbarkeit der Software von 98 % im Jahresmittel an, gemessen am Übergabepunkt zum Internet des vom Anbieter eingesetzten Hosting-Dienstleisters. Ausgenommen sind geplante Wartungsfenster sowie Ausfälle aufgrund höherer Gewalt oder Umständen, die der Anbieter nicht zu vertreten hat.

(2) Geplante Wartungsarbeiten werden nach Möglichkeit außerhalb üblicher Geschäftszeiten durchgeführt und, soweit zumutbar, vorab angekündigt.

(3) Updates und Patches werden während der Vertragslaufzeit ohne gesonderte Vergütung bereitgestellt. Upgrades und Funktionserweiterungen können kostenpflichtig sein, soweit sie zusätzliche Leistungen beinhalten; dies wird vorab transparent kommuniziert.

§ 6 Support

Der Anbieter bietet während üblicher Geschäftszeiten Support per E-Mail unter info@get-karl.de. Reaktionszeiten und der Umfang von Premium-Support ergeben sich aus dem gewählten Tarif. Individuelle Schulungen oder Beratungsleistungen erfordern eine gesonderte Vereinbarung.

§ 7 Mitwirkungs- und Sorgfaltspflichten des Kunden

• Der Kunde sorgt für eine geeignete technische Umgebung (aktueller Browser, stabile Internetverbindung).
• Der Kunde schützt seine Zugangsdaten vor unbefugtem Zugriff Dritter, verwendet starke Passwörter und aktiviert verfügbare Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung, sofern angeboten.
• Der Kunde meldet einen Verdacht auf missbräuchliche Nutzung des Accounts unverzüglich an den Anbieter.
• Der Kunde benennt einen Administrator, der die Vergabe und Pflege von Benutzerkonten innerhalb seines Workspaces verantwortet.
• Der Kunde ist verpflichtet, vor dem Hochladen oder Eingeben von Daten zu prüfen, ob er hierzu berechtigt ist, und alle gesetzlichen Vorgaben (insbesondere Datenschutz-, Urheber- und Wettbewerbsrecht) einzuhalten.
• Der Kunde ist für die regelmäßige Sicherung exportierbarer Daten in eigenem Verantwortungsbereich mitverantwortlich, soweit ihm die Software entsprechende Exportmöglichkeiten bietet.

§ 8 Verbotene Nutzung

Dem Kunden ist insbesondere untersagt:

• die Software zu rechtswidrigen Zwecken zu nutzen oder rechtswidrige Inhalte einzustellen, zu speichern oder zu verbreiten;
• die Software für den Versand von unaufgeforderter Werbung (Spam), Phishing, Schadsoftware oder vergleichbaren missbräuchlichen Inhalten zu verwenden;
• die Software in einer Weise zu beanspruchen, die geeignet ist, die Stabilität, Verfügbarkeit oder Sicherheit für andere Nutzer zu beeinträchtigen (z. B. exzessive automatisierte Anfragen);
• Sicherheits- oder Zugangsbeschränkungen zu umgehen oder zu versuchen, sich Zugang zu fremden Konten oder Daten zu verschaffen;
• die Software für nach Art. 5 der Verordnung (EU) 2024/1689 (KI-Verordnung) untersagte Praktiken einzusetzen;
• die Software an Dritte weiterzuvermarkten oder als Whitelabel-Dienst anzubieten.

Bei begründetem Verdacht auf einen Verstoß ist der Anbieter berechtigt, betroffene Inhalte zu sperren und den Account vorübergehend einzuschränken; die Rechte aus § 14 bleiben unberührt.

§ 9 Inhalte des Kunden und Drittanbieter-Schnittstellen

(1) Sämtliche vom Kunden in die Software eingestellten Daten und Inhalte verbleiben in seinem Eigentum bzw. unter seiner inhaltlichen Verantwortung. Der Anbieter prüft Inhalte nicht systematisch auf Rechtmäßigkeit oder Richtigkeit.

(2) Karl bietet optional die Anbindung an Dienste Dritter, insbesondere E-Mail-Postfächer (IMAP/SMTP, Google Workspace, Microsoft 365) und KI-Dienste. Die Nutzung solcher Schnittstellen kann den ergänzenden Bedingungen des jeweiligen Drittanbieters unterliegen. Der Anbieter übernimmt keine Verantwortung für Verfügbarkeit, Leistung oder Änderungen dieser Drittdienste.

(3) Der Kunde stellt den Anbieter von Ansprüchen Dritter frei, die aus rechtswidrigen oder vertragswidrigen Inhalten des Kunden resultieren, einschließlich angemessener Kosten der Rechtsverteidigung.

§ 10 KI-gestützte Funktionen

(1) Karl bietet Funktionen, die auf Künstlicher Intelligenz beruhen (z. B. Vorschläge für Antworten, Zusammenfassungen, Klassifizierung). Diese Funktionen sind unterstützender Natur. Inhalte werden statistisch generiert und können fehlerhaft, unvollständig oder unpassend sein.

(2) Der Kunde ist verpflichtet, KI-generierte Inhalte vor Verwendung gegenüber Dritten auf Richtigkeit, Vollständigkeit und Rechtskonformität zu prüfen. KI-Ausgaben ersetzen keine fachkundige Prüfung, insbesondere in rechtlichen, steuerlichen oder vertraglichen Angelegenheiten.

(3) Der Anbieter haftet nicht für Schäden, die ausschließlich oder überwiegend darauf zurückzuführen sind, dass sich der Kunde ungeprüft auf KI-generierte Inhalte verlassen hat.

(4) Die Nutzung der KI-gestützten Funktionen erfolgt im Rahmen einer angemessenen, üblichen Nutzung („Fair Use"). Der Anbieter ist berechtigt, für die Nutzung der KI-Funktionen mengen-, zeit- oder nutzungsabhängige Limits (z. B. pro Nutzer, pro Account, pro Zeitraum) einzuführen, anzupassen oder tarifabhängig auszugestalten. Maßgeblich sind dabei sachliche Gründe, insbesondere die Sicherstellung der Systemstabilität und Verfügbarkeit für alle Kunden, der Schutz vor missbräuchlicher oder automatisierter Nutzung, die Kostenentwicklung bei den eingesetzten KI-Drittanbietern sowie das individuelle Nutzungsverhalten des Kunden, soweit dieses erheblich vom durchschnittlichen Nutzungsverhalten vergleichbarer Kunden abweicht. Die konkrete Ausgestaltung der Limits liegt unter Berücksichtigung dieser Kriterien im billigen Ermessen des Anbieters (§ 315 BGB).

(5) Wesentliche Änderungen bestehender Limits werden dem Kunden mit angemessener Frist – in der Regel mindestens 30 Tage im Voraus – in Textform (z. B. per E-Mail oder In-App-Hinweis) angekündigt.

(6) Führt eine Anpassung der Limits zu einer nicht nur unerheblichen Einschränkung des vertraglich geschuldeten Leistungsumfangs, steht dem Kunden ein Sonderkündigungsrecht zum Zeitpunkt des Wirksamwerdens der Änderung zu.

§ 11 Preise, Testphase und Zahlungsbedingungen

(1) Es gelten die im Bestellprozess ausgewiesenen Preise. Alle Preise verstehen sich – sofern nicht anders ausgewiesen – netto zuzüglich gesetzlicher Umsatzsteuer.

(2) Soweit eine kostenfreie Testphase angeboten wird, endet diese automatisch nach Ablauf des ausgewiesenen Zeitraums. Bucht der Kunde im Anschluss einen kostenpflichtigen Tarif, beginnt die entgeltliche Nutzung. Aus der Testphase entsteht kein Anspruch auf Verlängerung oder Funktionsumfang.

(3) Die Abrechnung erfolgt im gewählten Intervall (monatlich oder jährlich) im Voraus. Die Zahlung wird über die im Account hinterlegten Zahlungsdaten bzw. über externe Zahlungsdienstleister abgewickelt.

(4) Bei Zahlungsverzug gelten die gesetzlichen Regelungen. Der Anbieter ist nach erfolgloser Mahnung und angemessener Nachfristsetzung berechtigt, den Zugang zur Software zu sperren. Das Recht zur fristlosen Kündigung nach § 14 bleibt unberührt.

(5) Preisanpassungen sind mit einer Vorankündigung von mindestens sechs Wochen zum Ablauf des laufenden Abrechnungszeitraums in Textform zulässig. Widerspricht der Kunde der Anpassung in Textform vor Wirksamwerden, endet der Vertrag zum Wirksamkeitsdatum der Preisänderung.

§ 12 Gewährleistung

(1) Der Anbieter gewährleistet, dass die Software während der Vertragslaufzeit den vertraglich vereinbarten Eigenschaften im Wesentlichen entspricht. Unwesentliche Abweichungen begründen keine Mängelansprüche.

(2) Mängel sind unverzüglich nach Erkennen in Textform zu melden. Der Anbieter wird gemeldete Mängel innerhalb angemessener Frist beseitigen.

(3) Soweit es sich beim Vertrag um einen Mietvertrag handelt, ist die verschuldensunabhängige Haftung des Anbieters für anfängliche Mängel gemäß § 536a Abs. 1 Alt. 1 BGB ausgeschlossen.

§ 13 Haftung

(1) Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, bei der Verletzung von Leben, Körper oder Gesundheit, bei arglistigem Verschweigen von Mängeln, bei Übernahme einer Garantie sowie nach zwingenden gesetzlichen Vorschriften, insbesondere dem Produkthaftungsgesetz.

(2) Bei einfacher Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten). Die Haftung ist in diesem Fall auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden begrenzt. Eine wesentliche Vertragspflicht ist eine Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.

(3) Die Haftung für Schäden infolge einfacher Fahrlässigkeit ist je Schadensfall summenmäßig auf die vom Kunden in den zwölf Monaten vor dem schadensbegründenden Ereignis gezahlte Nettovergütung begrenzt.

(4) Für den Verlust von Daten haftet der Anbieter nur in Höhe des Aufwands, der bei ordnungsgemäßer und regelmäßiger Sicherung der Daten durch den Kunden zur Wiederherstellung erforderlich gewesen wäre.

(5) Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der gesetzlichen Vertreter, Erfüllungs- und Verrichtungsgehilfen des Anbieters.

§ 14 Laufzeit und Kündigung

(1) Der Vertrag wird auf unbestimmte Zeit geschlossen und kann mit einer Frist von 14 Tagen zum Ende des jeweiligen Abrechnungszeitraums in Textform gekündigt werden. Soweit ausdrücklich eine Mindestlaufzeit vereinbart wurde, kann eine ordentliche Kündigung frühestens zum Ablauf der Mindestlaufzeit erfolgen.

(2) Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Anbieter insbesondere vor bei einem schwerwiegenden oder wiederholten Verstoß des Kunden gegen § 7 oder § 8 sowie bei Zahlungsverzug mit mehr als zwei aufeinanderfolgenden Raten.

(3) Die Kündigung kann über die Account-Einstellungen oder in Textform an info@get-karl.de erfolgen.

§ 15 Pflichten nach Vertragsende, Datenexport

(1) Mit Wirksamwerden der Kündigung erlischt das Nutzungsrecht des Kunden.

(2) Der Kunde kann seine Daten bis zum Vertragsende über die in der Software bereitgestellten Exportfunktionen herunterladen. Auf gesonderte Anforderung in Textform innerhalb von 30 Tagen nach Vertragsende stellt der Anbieter dem Kunden seine Daten in einem gängigen, strukturierten Format zur Verfügung.

(3) Nach Ablauf von 30 Tagen nach Vertragsende werden die Kundendaten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Verpflichtungen aus Vertraulichkeit und Datenschutz bleiben über das Vertragsende hinaus bestehen.

§ 16 Vertraulichkeit

(1) Beide Parteien verpflichten sich, vertrauliche Informationen der jeweils anderen Partei vertraulich zu behandeln und nur zu vertragsgemäßen Zwecken zu verwenden. Vertraulich sind insbesondere als solche gekennzeichnete Informationen sowie Informationen, deren Schutzbedürftigkeit sich aus den Umständen ergibt.

(2) Diese Pflicht gilt nicht für Informationen, die allgemein bekannt sind, dem Empfänger nachweislich bereits bekannt waren oder ihm von Dritten ohne Geheimhaltungspflicht zugänglich gemacht wurden.

(3) Der Anbieter darf den Kunden mit dessen vorheriger Zustimmung in einer Referenzliste namentlich nennen.

§ 17 Datenschutz und Auftragsverarbeitung

(1) Soweit der Anbieter im Auftrag des Kunden personenbezogene Daten verarbeitet (insbesondere Stammdaten der vom Kunden betreuten Endkunden und Veranstaltungspartner), erfolgt dies als Auftragsverarbeitung im Sinne des Art. 28 DSGVO.

(2) Die Bedingungen der Auftragsverarbeitung ergeben sich aus der Auftragsverarbeitungsvereinbarung („AVV"), die als Anhang zu diesen AGB gilt und mit Abschluss des Nutzungsvertrags zwischen den Parteien wirksam wird. Im Widerspruchsfall hat die AVV gegenüber diesen AGB für datenschutzrechtliche Regelungen Vorrang.

(3) Der Kunde bleibt datenschutzrechtlich Verantwortlicher für die in der Software eingestellten personenbezogenen Daten. Er ist insbesondere dafür verantwortlich, dass eine Rechtsgrundlage für die Verarbeitung vorliegt und die betroffenen Personen ordnungsgemäß informiert wurden.

(4) Weitergehende Informationen zur Datenverarbeitung enthält die Datenschutzerklärung.

§ 18 Aufrechnung, Zurückbehaltung, Abtretung

(1) Der Kunde kann gegen Forderungen des Anbieters nur mit unbestrittenen oder rechtskräftig festgestellten Gegenforderungen aufrechnen.

(2) Ein Zurückbehaltungsrecht steht dem Kunden nur zu, soweit es auf Ansprüchen aus demselben Vertragsverhältnis beruht.

(3) Eine Abtretung von Ansprüchen aus diesem Vertrag durch den Kunden bedarf der Zustimmung des Anbieters in Textform; § 354a HGB bleibt unberührt.

§ 19 Änderungen dieser AGB

(1) Der Anbieter ist berechtigt, diese AGB anzupassen, soweit dies aus triftigem Grund (z. B. Änderungen der Rechtslage, höchstrichterliche Rechtsprechung, technische Weiterentwicklungen oder Anpassungen des Leistungsangebots) erforderlich ist und den Kunden nicht unangemessen benachteiligt.

(2) Änderungen werden dem Kunden mindestens sechs Wochen vor ihrem geplanten Inkrafttreten in Textform mitgeteilt. Widerspricht der Kunde nicht innerhalb von vier Wochen ab Zugang der Mitteilung in Textform, gelten die Änderungen als angenommen. Auf diese Folge wird in der Änderungsmitteilung gesondert hingewiesen.

(3) Widerspricht der Kunde fristgerecht, bleibt das Vertragsverhältnis zu den bisherigen Bedingungen bestehen. Der Anbieter ist in diesem Fall berechtigt, den Vertrag zum geplanten Wirksamkeitsdatum der Änderung ordentlich zu kündigen, sofern eine Fortsetzung zu den bisherigen Bedingungen unzumutbar ist.

§ 20 Schlussbestimmungen

(1) Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist – soweit der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist – der Sitz des Anbieters. Der Anbieter ist berechtigt, den Kunden auch an dessen allgemeinem Gerichtsstand zu verklagen.

(3) Erklärungen mit rechtsgeschäftlichem Inhalt bedürfen, soweit nicht eine strengere Form gesetzlich vorgeschrieben ist, der Textform (§ 126b BGB). Auf das Erfordernis der Textform kann nur in Textform verzichtet werden.

(4) Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle unwirksamer Bestimmungen gilt die gesetzliche Regelung.

Anhang – Auftragsverarbeitungsvereinbarung (AVV)

Dieser Anhang („AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 DSGVO im Rahmen der Nutzung der Software „Karl – Eventlocation-CRM" und ist integraler Bestandteil des Hauptvertrags zwischen dem Kunden und dem Anbieter (gemeinsam „Parteien"). Bei Widersprüchen zwischen dieser AVV und den AGB oder dem Hauptvertrag gehen die Regelungen dieser AVV in datenschutzrechtlichen Fragen vor.

§ A1 Parteien und Rollen

(1) Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Kunde.

(2) Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO ist Isadora Riege – Karl Eventlocation-CRM, Baumhofstr. 49, 44799 Bochum, Deutschland, E-Mail: info@get-karl.de.

§ A2 Gegenstand, Art und Zweck der Verarbeitung

(1) Gegenstand der Auftragsverarbeitung ist die Bereitstellung und der Betrieb der Software Karl als Software-as-a-Service zur Verwaltung von Anfragen, Buchungen, Angeboten, Rechnungen, Kalendern, Kundenkommunikation und zugehörigen Dokumenten durch den Verantwortlichen.

(2) Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln, Löschen und Vernichten personenbezogener Daten zu den vereinbarten Zwecken.

(3) Zweck der Verarbeitung ist die Erfüllung des Hauptvertrags, insbesondere die Bereitstellung der vereinbarten Funktionen, Wartung, Support und Sicherheit der Software.

(4) Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt; ausgenommen sind aggregierte, anonymisierte Daten zur Verbesserung und Absicherung des Dienstes.

§ A3 Dauer

Die AVV beginnt mit Wirksamwerden des Hauptvertrags und endet mit dessen Beendigung. Pflichten, die ihrer Natur nach über das Vertragsende hinauswirken (insbesondere Vertraulichkeit, Rückgabe und Löschung), bleiben unberührt.

§ A4 Kategorien betroffener Personen und Datenarten

(1) Kategorien betroffener Personen:

• Endkunden, Interessenten und Anfragende des Verantwortlichen
• Veranstaltungsteilnehmer, Gäste, Ansprechpartner von Geschäftskunden
• Mitarbeitende und Nutzer des Verantwortlichen
• Lieferanten, Dienstleister und Geschäftspartner des Verantwortlichen

(2) Kategorien personenbezogener Daten:

• Stamm- und Kontaktdaten (Name, Anschrift, Telefon, E-Mail, Firma, Position)
• Buchungs- und Veranstaltungsdaten (Termine, Räume, Preise, Konditionen, Notizen)
• Kommunikationsinhalte (E-Mails, Nachrichten, Anhänge, Dokumente)
• Vertrags- und Abrechnungsdaten (Angebote, Rechnungen, Zahlungsstatus)
• Account- und Nutzungsdaten der Mitarbeitenden (Login-Daten, Rollen, Protokolle)
• Technische Metadaten (IP-Adresse, Zeitstempel, Geräte- und Browserinformationen)

(3) Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO sind grundsätzlich nicht Gegenstand der Verarbeitung. Der Verantwortliche verpflichtet sich, solche Daten nur einzustellen, wenn hierfür eine Rechtsgrundlage besteht und zusätzliche Schutzmaßnahmen mit dem Auftragsverarbeiter abgestimmt sind.

§ A5 Weisungsrecht

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Der Hauptvertrag, die Konfiguration der Software durch den Verantwortlichen sowie diese AVV gelten als dokumentierte Weisungen.

(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Er ist berechtigt, die Ausführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

(4) Eine Verarbeitung zu anderen als den vertraglich vereinbarten Zwecken erfolgt nur, soweit eine gesetzliche Verpflichtung dies erfordert. In diesem Fall wird der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über die rechtlichen Anforderungen informieren, sofern das Recht eine solche Information nicht aus Gründen des wichtigen öffentlichen Interesses verbietet.

§ A6 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• die zur Auftragsdurchführung eingesetzten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO) oder einer gesetzlichen Verschwiegenheitspflicht zu unterstellen;
• die in § A8 dieser AVV beschriebenen technischen und organisatorischen Maßnahmen umzusetzen und aufrechtzuerhalten;
• den Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen (Art. 12 bis 23 DSGVO) durch geeignete technische und organisatorische Maßnahmen zu unterstützen;
• den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) zu unterstützen;
• Datenschutzverletzungen im Sinne des Art. 4 Nr. 12 DSGVO dem Verantwortlichen unverzüglich, in der Regel innerhalb von 48 Stunden nach Kenntniserlangung, in Textform mitzuteilen und alle für eine Meldung nach Art. 33 DSGVO erforderlichen Informationen bereitzustellen;
• dem Verantwortlichen Informationen zur Erfüllung seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) bereitzustellen;
• ein Verzeichnis der Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 2 DSGVO zu führen.

§ A7 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie die Wahrung der Rechte der betroffenen Personen allein verantwortlich.

(2) Wenden sich betroffene Personen direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter und verweist die betroffene Person an diesen.

(3) Der Verantwortliche benennt einen Ansprechpartner für datenschutzrechtliche Angelegenheiten und teilt diesen dem Auftragsverarbeiter mit.

§ A8 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen. Er ist berechtigt, diese unter Beachtung des Stands der Technik anzupassen, sofern das vereinbarte Schutzniveau erhalten bleibt. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.

§ A9 Unterauftragsverarbeiter

(1) Der Verantwortliche erteilt mit Abschluss dieser AVV seine allgemeine schriftliche Genehmigung zum Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über die geplante Hinzuziehung oder den Austausch von Unterauftragsverarbeitern mindestens 30 Tage im Voraus in Textform. Der Verantwortliche kann dem aus wichtigem datenschutzrechtlichen Grund innerhalb von 14 Tagen widersprechen. Im Falle eines berechtigten Widerspruchs, dem nicht abgeholfen werden kann, ist jede Partei berechtigt, den Hauptvertrag außerordentlich zu kündigen.

(3) Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter einen Vertrag mit datenschutzrechtlichen Pflichten, die den Anforderungen des Art. 28 DSGVO und dieser AVV entsprechen.

(4) Reine Nebenleistungen (z. B. Telekommunikation, Post, Reinigung, Bewachung) gelten nicht als Unterauftragsverhältnisse.

§ A10 Ort der Verarbeitung, Drittlandtransfers

(1) Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der EU bzw. des EWR.

(2) Eine Übermittlung an Empfänger in Drittländern erfolgt nur, soweit ein Angemessenheitsbeschluss der EU-Kommission besteht (z. B. EU-U.S. Data Privacy Framework) oder geeignete Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) vorliegen. Die jeweiligen Garantien werden dem Verantwortlichen auf Anfrage nachgewiesen.

§ A11 Kontroll- und Auditrechte

(1) Der Auftragsverarbeiter weist dem Verantwortlichen auf Anfrage die Einhaltung der in dieser AVV festgelegten Pflichten nach, insbesondere durch Bereitstellung aktualisierter Dokumentation der technischen und organisatorischen Maßnahmen, durch Selbstauskünfte oder durch geeignete Zertifikate, Testate oder Berichte unabhängiger Prüfer (z. B. ISO 27001, SOC 2, BSI C5).

(2) Soweit ein Nachweis hierdurch nicht ausreicht, kann der Verantwortliche Kontrollen in den Räumen des Auftragsverarbeiters nach vorheriger Ankündigung mit angemessener Frist während üblicher Geschäftszeiten unter Wahrung der Geschäftsgeheimnisse und ohne Störung des Betriebsablaufs durchführen oder durch einen zur Verschwiegenheit verpflichteten, unabhängigen Prüfer durchführen lassen.

(3) Die Kosten der Kontrolle trägt der Verantwortliche. Der Auftragsverarbeiter kann für seinen Mitwirkungsaufwand eine angemessene Vergütung zu marktüblichen Konditionen verlangen, soweit die Kontrolle über eine jährliche Routinekontrolle hinausgeht oder ohne konkreten Anlass erfolgt.

§ A12 Unterstützung bei Datenschutzverletzungen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Meldepflichten nach Art. 33 und 34 DSGVO und stellt insbesondere Informationen über Art und Umfang der betroffenen Daten und Personen, Folgen der Verletzung sowie ergriffene und vorgeschlagene Maßnahmen zur Verfügung.

(2) Eine eigene Meldung an Aufsichtsbehörden oder betroffene Personen erfolgt durch den Auftragsverarbeiter nur, soweit hierzu eine gesetzliche Pflicht besteht.

§ A13 Rückgabe und Löschung nach Vertragsende

(1) Nach Beendigung des Hauptvertrags hat der Verantwortliche bis zu 30 Tage Zeit, seine Daten über die in der Software bereitgestellten Funktionen zu exportieren oder beim Auftragsverarbeiter in einem gängigen, strukturierten Format anzufordern.

(2) Nach Ablauf dieser Frist löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten, einschließlich vorhandener Kopien, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung wird auf Anforderung in Textform bestätigt.

(3) Daten in routinemäßigen Sicherungs-Backups werden im Rahmen des regulären Rotationszyklus gelöscht. Bis zur endgültigen Löschung gelten die Schutzmaßnahmen dieser AVV fort.

§ A14 Haftung

Für die Haftung der Parteien gelten Art. 82 DSGVO sowie die Haftungsregelungen des Hauptvertrags (§ 13 der AGB) ergänzend.

§ A15 Schlussbestimmungen der AVV

(1) Änderungen und Ergänzungen dieser AVV bedürfen der Textform.

(2) Sollte eine Bestimmung dieser AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung.

(3) Es gilt deutsches Recht. Gerichtsstand ist – soweit zulässig – der Sitz des Auftragsverarbeiters.

Anlage 1 – Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

1. Vertraulichkeit

Zutrittskontrolle

• Hosting durch zertifizierte Cloud-Anbieter mit professioneller Zutrittssicherung (u. a. ISO 27001), eigene Server-Räume bestehen nicht.
• Arbeitsplätze des Anbieters in abschließbaren Räumen, Sichtschutz bei mobilem Arbeiten.

Zugangskontrolle

• Individuelle Benutzerkonten mit starken Passwörtern (Mindestlänge, Komplexität).
• Zwei-Faktor-Authentifizierung für administrative Zugänge.
• Sperrung von Sitzungen nach Inaktivität, automatische Bildschirmsperre.
• Verschlüsselung mobiler Endgeräte (Festplattenverschlüsselung).

Zugriffskontrolle

• Rollenbasiertes Berechtigungskonzept nach dem Need-to-know-Prinzip.
• Mandantentrennung durch Row-Level Security auf Datenbankebene.
• Protokollierung sicherheitsrelevanter Zugriffe.
• Passwörter werden ausschließlich als Hash mit modernem Algorithmus gespeichert.

Trennungsgebot

• Logische Trennung der Daten unterschiedlicher Kunden (Multi-Tenant-Architektur).
• Strikte Trennung von Produktiv-, Test- und Entwicklungssystemen.
• Keine Verwendung echter Produktivdaten in Test- und Entwicklungsumgebungen.

Pseudonymisierung und Verschlüsselung

• Transportverschlüsselung (TLS 1.2 oder höher) für sämtliche Datenübertragungen.
• Verschlüsselung von Daten im Ruhezustand (Encryption at Rest) beim Hosting-Provider.
• Verschlüsselte Speicherung sensibler Tokens und Zugangsdaten (z. B. OAuth-Tokens).

2. Integrität

Eingabekontrolle

• Protokollierung von Eingaben, Änderungen und Löschungen sicherheitsrelevanter Daten.
• Nachvollziehbarkeit von administrativen Eingriffen über Audit-Logs.

Weitergabekontrolle

• Verschlüsselte Übertragung an Auftragsverarbeiter und Schnittstellen.
• Auswahl von Auftragsverarbeitern mit angemessenen Sicherheitsstandards.
• Standardvertragsklauseln bei Drittlandtransfers.

3. Verfügbarkeit und Belastbarkeit

• Regelmäßige automatisierte Backups beim Hosting-Provider mit georedundanter Speicherung innerhalb der EU.
• Notfallkonzept für die Wiederherstellung kritischer Daten.
• Schutz vor schädlicher Software durch Härtung von Servern und Endgeräten.
• Monitoring und Alerting für Verfügbarkeits- und Sicherheitsereignisse.
• Regelmäßige Updates der eingesetzten Software- und Systemkomponenten.

4. Verfahren zur regelmäßigen Überprüfung

• Interne Datenschutz- und Sicherheitsrichtlinien, regelmäßige Sensibilisierung der Mitarbeitenden.
• Definierter Prozess für die Behandlung von Datenschutzverletzungen.
• Regelmäßige Überprüfung und Anpassung der Maßnahmen an den Stand der Technik.
• Auswahl von Dienstleistern nach datenschutz- und sicherheitsbezogenen Kriterien.

Anlage 2 – Genehmigte Unterauftragsverarbeiter

Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter:

Mit allen Unterauftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Bei Drittlandtransfers werden Standardvertragsklauseln oder andere geeignete Garantien gemäß Art. 46 DSGVO eingesetzt. Die aktuelle Liste der Unterauftragsverarbeiter wird auf Anfrage in Textform an info@get-karl.de bereitgestellt.

Hinweis: Der Zahlungsdienstleister Stripe Payments Europe, Ltd. (Dublin, Irland) wird zur Abwicklung kostenpflichtiger Abonnements eingesetzt. Stripe verarbeitet Zahlungsdaten in eigener datenschutzrechtlicher Verantwortung als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und nicht als Unterauftragsverarbeiter des Anbieters. Eine Übermittlung an Stripe, Inc. (USA) ist durch EU-Standardvertragsklauseln abgesichert.