Rahmenvertrag für Softwarekauf, Softwarewartung und Software as a Service
BITTE LESEN SIE DIESEN RAHMENVERTRAG AUFMERKSAM DURCH BEVOR SIE DIESE SOFTWARE VERWENDEN.
DIESER RAHMENVERTRAG IST GÜLTIG FÜR JEGLICHE ART DER SOFTWARENUTZUNG UNABHÄNGIG DAVON, OB SIE DIREKT BEI ANDAGON ODER ÜBER EINEN RESELLER ERWORBEN WURDE.
DURCH KLICKEN DES „ICH AKZEPTIERE“ BUTTONS, DEM ZUGREIFEN AUF DIE SOFTWARE ODER DAS VERWENDEN DER SOFTWARE STIMMEN SIE ZU, DASS SIE:
WENN SIE DEN BEDINGUNGEN DIESES RAHMENVERTRAGES UND SEINER ANLAGEN NICHT ZUSTIMMEN, SIND SIE NICHT BERECHTIGT, DIE SOFTWARE ZU NUTZEN.
WENN SIE DIESEN RAHMENVERTRAG UND SEINE ANLAGEN IM NAMEN EINES UNTERNEHMENS (ODER EINER ANDEREN JURISTISCHEN PERSON) ABSCHLIESSEN VERSICHERN SIE, DASS SIE ANGESTELLTER ODER VERTRETER DIESES UNTERNEHMENS (ODER DER JURISTISCHEN PERSON) SIND UND SIE DIE BEFUGNIS HABEN DIESEN RAHMENVERTRAG UND SEINE ANLAGEN IM NAMEN DIESES UNTERNEHMENS (ODER DER JURISTISCHEN PERSON) ABZUSCHLIESSEN.
Von den Parteien im Einzelvertrag vereinbarte Abweichungen von den Regelungen dieses Rahmenvertrages sind nur wirksam, wenn sie schriftlich und ausdrücklich als Abweichung von einer konkret benannten Ziffer dieses Rahmenvertrages gekennzeichnet sind.
Sollte sich zwischen Regelungen derselben Hierarchieebene ein Widerspruch ergeben, kommt die speziellere Regelung zur Anwendung.
Beide Vertragsparteien verpflichten sich, Informationen und Betriebsgeheimnisse, die sie bei der Vertragsanbahnung oder bei der Durchführung dieses Vertrages übereinander erfahren haben und alle Informationen, die nicht allgemein bekannt sind, gegenüber Dritten geheim zu halten und ihre Mitarbeiter entsprechend zu verpflichten. Die Auftragnehmerin ist berechtigt, den Auftraggeber als Referenz anzugeben.
Sofern Gegenstand des Einzelvertrags der Kauf von Software ist, gelten die Regelungen dieses Abschnitts B.I.
Sofern der Auftraggeber im Rahmen des vereinbarten Lizenzmodells eine Concurrent-User-Lizenz erworben hat, darf er die Software auf mehreren Geräten installieren; die gleichzeitige Nutzung ist jedoch nur für die erworbene Anzahl der Lizenzen zulässig.
Wartungs- und Pflegeleistungen, einschließlich der zur Verfügungsstellung von Updates oder Upgrades, sind nicht Gegenstand des Softwarekaufvertrages. Wartungs- und Pflegeleistungen werden in Abschnitt B.II. dieses Rahmenvertrages beschrieben.
Sofern Gegenstand des Einzelvertrags (auch) die Wartung von Software ist, gelten die Regelungen dieses Abschnitts B.II.
Fehlerkategorie Fehlerklassen* Reaktionszeit Fehlerkategorie 1 Schwerer Fehler 12 Stunden Fehlerkategorie 2 Mittlerer Fehler 40 Stunden Fehlerkategorie 3 Leichter Fehler Keine Garantie *Die in dieser Tabelle verwandten Fehlerklassen werden in Ziffer 28.3 definiert.
Der Kunde hat die Möglichkeit Benutzerunterstützung über eine Help-Desk Hotline zu erhalten. Der Help-Desk ist immer kostenpflichtig. Hierunter fällt auch die Lösung von Anwenderfehlern. Der Help-Desk ist erreichbar Montags-Freitags 09:00 – 17:00 Uhr, mit Ausnahme der gesetzlichen Feiertage in Nordrhein-Westfalen, Rosenmontag sowie dem 24.12. und dem 31.12 eines jeden Jahres.
Sofern Gegenstand des Angebots und der Auftragsbestätigung die Bereitstellung von Software im Software as a Service-Modell ist, gelten die Regelungen dieses Abschnitts B.III.
Gegenstand dieses Vertrags ist die Bereitstellung der auf der Internetpräsenz der Auftragnehmerin (aqua-cloud.io) beschriebenen Software aqua (nachfolgend „Serversoftware“ genannt) im Software as a Service-Modell (nachfolgend „SaaS-Modell“). Die Auftragnehmerin hält die Software für den Auftraggeber auf Datenverarbeitungsanlagen (Servern) zur Nutzung bereit. Der Auftraggeber kann über das Internet auf die Serversoftware zugreifen und die Funktionalitäten der Serversoftware im Rahmen dieses Vertrages nutzen. Zu diesem Zweck stellt die Auftragnehmerin dem Auftraggeber die Client-Software aqua Client (nachfolgend „Client-Software“) zur Verfügung.
Sofern die Auftragnehmerin personenbezogene Daten für den Auftraggeber als verantwortliche Stelle verarbeitet, schließen die Auftragnehmerin und der Auftraggeber die nachfolgend aufgeführte Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG. Bei Widersprüchen mit anderen Teilen dieses Rahmenvertrages oder des Einzelvertrages gehen die Regelung dieses Abschnitts vor.
Die Auftragnehmerin hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an die Auftragnehmerin zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird die Auftragnehmerin dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Die Auftragnehmerin hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags nach § 11 Abs. 4 BDSG folgende Pflichten:
Nachfolgenden sind die Maßnahmen zur Umsetzung und Einhaltung der Vorgaben des § 9 und der Anlage zu § 9 des Bundesdatenschutzgesetzes konkret beschrieben.
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugangskontrolle getroffen:
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich innerhalb ihrer eingeräumten Berechtigung tätig sind und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugriffskontrolle getroffen:
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Weitergabekontrolle getroffen:
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Eingabekontrolle getroffen:
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Auftragskontrolle getroffen:
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Verfügbarkeitskontrolle getroffen:
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zweckbindungskontrolle getroffen:
Leistungsbeschreibung Software as a Service-Modell
Die Qualitätssicherungssuite aqua dient zur Unterstützung der Planung, Durchführung und Qualitätssicherung von IT und Softwareprojekten.
Folgende Module und Funktionalitäten sind in Abhängigkeit der Lizenz (siehe Homepage) enthalten:
Die Auftragnehmerin stellt dem Auftraggeber für den Zugang zur Software die Client-Software aqua Client gemäß Ziffer 32.1 des Rahmenvertrags zur Verfügung. Zum Einloggen in die Software erhält der Auftraggeber am Bereitstellungsdatum die Zugangsdaten und die Adresse des aqua Server.
Der Auftraggeber ist zur Nutzung der Software gemäß Ziffer 34 des Rahmenvertrags berechtigt. Er benennt einen Administrator, der für die Verwaltung der aqua Benutzer zuständig ist. Der Auftraggeber kann selbstständig neue aqua Benutzer anlegen, sofern dies von dem im Einzelvertrag vereinbarten Nutzungsmodell gedeckt ist. Außerdem ist der Auftraggeber zuständig für die Aktivierung und Deaktivierung von aqua Benutzern. Das Deaktivieren eines aqua Benutzers bewirkt, dass sich der Nutzer nicht mehr an der Software anmelden kann. Die Deaktivierung hat keine Auswirkungen auf die Daten des Nutzers in der Software.
Es greifen mehrere Maßnahmen, um eine möglichst hohe Sicherheit der mittels der aqua Quality Suite erstellten Daten sowie sicheren Betrieb zu gewährleisten. Das folgende Datensicherungskonzept der Auftragnehmerin besteht dabei unabhängig von der Pflicht des Auftraggebers, seine Daten regelmäßig zu sichern (Ziffer 38.5 Rahmenvertrag).
Es werden sowohl die mittels aqua verwalteten Daten gesichert, als auch die zum Betrieb des aqua Server benötigten Daten.
Gesichert wird die dem aqua System zugrundeliegende Datenbank. Diese beinhaltet sämtliche Nutzdaten, die durch aqua generiert wurden. Dieses schließt alle importierten oder durch den Auftraggeber erstellten Elemente (Anforderungen, Fehler, Testfälle, Testszenarios und Skripte) sowie Reports, Benutzerkonten, Filter und Testdurchführungen ein.
Die Datenbank wird täglich automatisiert gesichert. Der Erfolg der Sicherung wird regelmäßig kontrolliert.
Datenbankbackups werden für mindestens fünf (5) Tage vorgehalten, sodass bei Bedarf auch ein bestimmtes Backup wiederhergestellt werden kann.
Die zweite Komponente des Backups ist die grundlegende aqua-Konfiguration, sowie alle zur aqua-Installation gehörigen Dateien. Diese werden, wie die Datenbank, jede Nacht gesichert und in einer Historie über die letzten fünf (5) Tage vorgehalten. Auch hier wird der Erfolg der Sicherungen überwacht.
Jede der Backup-Komponenten wird auf einem vom Server unabhängigen Speicherort abgelegt. Eine zusätzliche Sicherung auf einen weiteren externen Speicherort ist gegen Aufpreis möglich.
Das Backup der Datenbank und der aqua-Konfigurationsdateien ist im laufenden Betrieb möglich. Hier sind keine Auswirkungen auf die Verfügbarkeit zu befürchten.
Nach Ablauf der Frist zum Vorhalten (5 Tage) werden die Daten automatisch überschrieben. Ein zusätzliches Löschen ist bei Bedarf über den Support möglich.
Unser Support hat stets Zugriff auf das Betriebssystem, sowie die grundlegenden aqua-Konfigurationsdaten.
Zugriff auf die Datenbank ist technisch möglich, unterliegt aber der in Ziffer 9 des Rahmenvertrags geregelten Vertraulichkeit. Im Allgemeinen wird nur – falls notwendig – zum Beheben von Supportanfragen mit Zustimmung des Auftraggebers auf die Daten zugegriffen.
Auf Wunsch können die Sicherungen der Datenbank verschlüsselt gespeichert werden, sodass auch im Falle eines Diebstahls die Datenbank nicht einsehbar ist.
Vom vertraglichen Leistungsumfang nicht erfasst ist die der Einhaltung von Archivierungspflichten, z.B. handelsrechtlicher oder steuerlicher Art dienende längerfristige Datensicherung, für die der Auftraggeber gegebenenfalls verantwortlich ist.
Anlage SLA
Service Level Agreement
Beträgt die Verfügbarkeit in einem Monat weniger als 95 %, wird die hiermit einhergehende Tauglichkeitsminderung der Serversoftware einzelfallbezogen ermittelt und die vereinbarte Vergütung proportional herabgesetzt.
Fehlerkategorie Fehlerklassen* Reaktionszeit Fehlerkategorie 1 Schwerer Fehler 12 Stunden Fehlerkategorie 2 Mittlerer Fehler 40 Stunden Fehlerkategorie 3 Leichter Fehler Keine Garantie *Die in dieser Tabelle verwandten Fehlerklassen werden in Ziffer 4.3 definiert.
Der Kunde hat die Möglichkeit Benutzerunterstützung über eine Help-Desk Hotline (+49 (0)221 – 474410190) zu erhalten. Der Help-Desk ist immer kostenpflichtig. Hierunter fällt auch die Lösung von Anwenderfehlern. Für jede angefangene Viertelstunde werden 32,50 € berechnet. Der Help-Desk ist erreichbar Montags-Freitags 09:00 – 17:00 Uhr, mit Ausnahme der gesetzlichen Feiertage in Nordrhein-Westfalen, Rosenmontag sowie dem 24.12. und dem 31.12 eines jeden Jahres.
Die Abrechnung des Help-Desk erfolgt über eine monatliche Rechnung. Der Rechnung wird ein entsprechender Nachweis über die in Anspruch genommenen Leistungen beigefügt.
Der Zugriff auf die Serversoftware erfolgt über das Internet. Die Voraussetzungen für die Nutzung sind die störungsfreie Nutzung der Protokolle TCP/IP sowie http und https zu dem aqua Server. Für seine Anbindung an das Internet einschließlich der erforderlichen Datenübertragungsraten ist der Auftraggeber selbst verantwortlich.
Für die Installation und den Betrieb des aqua Clients wird die Erfüllung der auf der Internetpräsenz der Auftragnehmerin http://aquawiki.andagon.com/system_requirements.html beschriebenen Systemvoraussetzungen vorausgesetzt.
Anlage TOM
Technische und Organisatorische Maßnahmen für SaaS
Nachfolgenden sind die Maßnahmen zur Umsetzung und Einhaltung der Vorgaben des § 9 und der Anlage zu § 9 des Bundesdatenschutzgesetzes konkret beschrieben.
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugangskontrolle getroffen:
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich innerhalb ihrer eingeräumten Berechtigung tätig sind und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugriffskontrolle getroffen:
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Weitergabekontrolle getroffen:
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Eingabekontrolle getroffen:
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Auftragskontrolle getroffen:
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Verfügbarkeitskontrolle getroffen:
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zweckbindungskontrolle getroffen: