AGB

Rahmenvertrag für Softwarekauf, Softwarewartung und Software as a Service

BITTE LESEN SIE DIESEN RAHMENVERTRAG AUFMERKSAM DURCH BEVOR SIE DIESE SOFTWARE VERWENDEN.

DIESER RAHMENVERTRAG IST GÜLTIG FÜR JEGLICHE ART DER SOFTWARENUTZUNG UNABHÄNGIG DAVON, OB SIE DIREKT BEI ANDAGON ODER ÜBER EINEN RESELLER ERWORBEN WURDE.

DURCH KLICKEN DES „ICH AKZEPTIERE“ BUTTONS, DEM ZUGREIFEN AUF DIE SOFTWARE ODER DAS VERWENDEN DER SOFTWARE STIMMEN SIE ZU, DASS SIE:

1. ALLE BEDINGUNGEN DIESES RAHMENVERTRAGES UND SEINER ANLAGEN GELESEN HABEN,
2. ALLE BEDINGUNGEN DIESES RAHMENVERTRAGES UND SEINER ANLAGEN VERSTANDEN HABEN,
3. ALLE BEDINGUNGEN DIESES RAHMENVERTRAGES AKZEPTIEREN UND ZUSTIMMEN, DASS SIE RECHTLICH DARAN GEBUNDEN SIND.

WENN SIE DEN BEDINGUNGEN DIESES RAHMENVERTRAGES UND SEINER ANLAGEN NICHT ZUSTIMMEN, SIND SIE NICHT BERECHTIGT, DIE SOFTWARE ZU NUTZEN.

WENN SIE DIESEN RAHMENVERTRAG UND SEINE ANLAGEN IM NAMEN EINES UNTERNEHMENS (ODER EINER ANDEREN JURISTISCHEN PERSON) ABSCHLIESSEN VERSICHERN SIE, DASS SIE ANGESTELLTER ODER VERTRETER DIESES UNTERNEHMENS (ODER DER JURISTISCHEN PERSON) SIND UND SIE DIE BEFUGNIS HABEN DIESEN RAHMENVERTRAG UND SEINE ANLAGEN IM NAMEN DIESES UNTERNEHMENS (ODER DER JURISTISCHEN PERSON) ABZUSCHLIESSEN.

• ALLGEMEINER TEIL

1. Vertragsgegenstand
   • Dieser Rahmenvertrag bestimmt die rechtlichen Regelungen für die Erbringung von Leistungen, die der Auftraggeber bei der Auftragnehmerin bestellt („Einzelvertrag“). Nimmt der Auftraggeber das Angebot der Auftragnehmerin an, erfolgt die Beauftragung mit einer Auftragsbestätigung durch die Auftragnehmerin. Die Auftragnehmerin erbringt die so beauftragten Leistungen gegenüber dem Auftraggeber.
   • Durch diesen Rahmenvertrag werden konkrete Leistungsverpflichtungen nur in Verbindung mit einem Einzelvertrag begründet. Mit Abschluss dieses Rahmenvertrages entsteht kein Anspruch des Auftraggebers auf eine Leistung durch die Auftragnehmerin.
   • Soweit nicht im Einzelvertrag ausdrücklich etwas anderes geregelt ist, umfasst dieser Vertrag nicht die Erbringung von Leistungen durch die Auftragnehmerin beim Auftraggeber vor Ort. Leistungen beim Auftraggeber vor Ort sowie andere Leistungen, die über diesen Vertrag hinausgehen, erbringt die Auftragnehmerin gegen gesonderte Vergütung auf Aufwandsbasis gemäß dem vereinbarten Tagessatz.
   • Zur Erfüllung von in diesem Rahmenvertrag oder in Einzelverträgen geregelten Pflichten setzt die Auftragnehmerin ausschließlich angemessen qualifiziertes Personal ein.
2. Geltungsumfang und Regelungshierarchie
   • Dieser Rahmenvertrag gilt auch dann für alle Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, wenn in dem jeweiligen Einzelvertrag nicht ausdrücklich etwas anderes vereinbart ist.
   • Grundlage der Zusammenarbeit der Vertragsparteien bilden in der nachstehenden Reihenfolge:

• der Vertragstext dieses Rahmenvertrags in den Ziffern 1 bis 51.2,
• die Anlagen dieses Rahmenvertrags,
• der Vertragstext der jeweiligen Einzelverträge,
• die Anlagen der jeweiligen Angebote.

Von den Parteien im Einzelvertrag vereinbarte Abweichungen von den Regelungen dieses Rahmenvertrages sind nur wirksam, wenn sie schriftlich und ausdrücklich als Abweichung von einer konkret benannten Ziffer dieses Rahmenvertrages gekennzeichnet sind.

Sollte sich zwischen Regelungen derselben Hierarchieebene ein Widerspruch ergeben, kommt die speziellere Regelung zur Anwendung.

• Die Anlagen zu den Einzelverträgen sowie dieser Rahmenvertrag samt Anlagen sind integraler Bestandteil der Einzelverträge.
• Von diesem Rahmenvertrag abweichende oder ergänzende Bedingungen des Auftraggebers werden nicht Vertragsinhalt; dies gilt insbesondere für Allgemeine Geschäftsbedingungen.

1. Höhere Gewalt
   • Jede Schlecht- oder Nichtleistung gilt nicht als Vertragsverletzung, soweit sie auf unabwendbare Ereignisse, insbesondere auf Erdbeben, Überschwemmungen, Wassereinbrüche, Feuer, Explosionen, Stromausfälle, Embargos, staatliche Einschränkungen, Aufstände, Terroranschläge, Kriege oder andere Militäraktionen, Bürgerunruhen, Rebellionen, Vandalismus, Sabotage, Streik in eigenen oder zuliefernden Betrieben oder andere Gründe, die die Partei nicht zu verantworten hat („höhere Gewalt“) zurückzuführen ist. Die Verpflichtungen der betroffenen Partei werden ausgesetzt, soweit sie von höherer Gewalt betroffen sind.
   • Solange der Zustand höherer Gewalt anhält, wird die Zeit der Leistungserbringung um die Dauer der Verzögerung aufgrund höherer Gewalt zuzüglich einer angemessenen Wiederanlaufzeit verlängert. Die Zahlungsverpflichtungen des Auftraggebers für die betroffenen, vertragsgegenständlichen Leistungen werden für die Dauer höherer Gewalt ausgesetzt.
   • Wenn begründete tatsächliche Anhaltspunkte dafür bestehen, dass das Leistungshindernis aufgrund höherer Gewalt für mehr als neunzig Tage andauern wird, können die Parteien einen Vertrag über die Wartung von Software oder über die Bereitstellung von Software im Software-as-a-Service Modell schriftlich kündigen. Ist in diesem Fall im Rahmen eines Softwarekaufvertrags die Software noch nicht geliefert worden (Download), kann jede Partei von dem Vertrag zurücktreten. Weitere Rechte bestehen nicht.
2. Mitwirkungspflichten des Auftraggebers
   • Der Auftraggeber erfüllt die zur Leistungserbringung durch die Auftragnehmerin erforderlichen Mitwirkungspflichten.
   • Der Auftraggeber gewährt der Auftragnehmerin insbesondere die in diesem Rahmenvertrag oder in Einzelverträgen vereinbarten oder erforderlichen Zutrittsbefugnisse zu Gebäuden und Räumlichkeiten, in denen die Auftragnehmerin Leistungen zu erbringen hat.
   • Sofern der Auftraggeber seine Mitwirkungspflichten nicht erfüllt, wird die Auftragnehmerin von der Erbringung der Leistungen, für welche die Mitwirkungspflicht notwendig ist, insoweit frei, als sie die Leistungen aufgrund der Nichterfüllung der jeweiligen Pflicht nicht erbringen kann.
   • Sofern der Auftraggeber zur Erfüllung von Mitwirkungspflichten Dritte einsetzt, haftet er für deren Verschulden gegen die Auftragnehmerin wie für eigenes Verschulden. Bei einem verschuldeten Verstoß gegen Mitwirkungspflichten hat der Auftraggeber die Auftragnehmerin den daraus entstehenden Schaden, z.B. Stillstandskosten, zu ersetzen.
3. Vergütung, Aufwendungsersatz
   • Die Vergütung ergibt sich aus dem jeweiligen Einzelvertrag. Die dort genannten Preise gelten jeweils zuzüglich Umsatzsteuer.
   • Soweit nicht ausdrücklich etwas anderes vereinbart ist, ist die Vergütung innerhalb von vierzehn (14) Tagen nach Rechnungszugang ohne Abzüge zu zahlen.
   • Der Auftraggeber ersetzt der Auftragnehmerin die Aufwendungen, die der Auftragnehmerin durch die Überprüfung einer Meldung von Störungen, Fehlern oder Mängeln durch den Auftraggeber entstehen, wenn sich nach der Prüfung herausstellt, dass kein Fehler oder Mangel oder keine Störung der technischen Einrichtungen der Auftragnehmerin vorlag und dies bei zumutbarer Fehlersuche erkennbar gewesen wäre.
4. Leistungsverweigerungsrechte, Aufrechnungsverbot
   • Zurückbehaltungs- und Leistungsverweigerungsrechte des Auftraggebers sind ausgeschlossen. Dies gilt nicht für Forderungen, die unstreitig oder rechtskräftig oder entscheidungsreif festgestellt sind.
   • Das Recht des Auftraggebers, gegen Forderungen der Auftragnehmerin aufzurechnen, ist ausgeschlossen. Dies gilt nicht, soweit der Auftraggeber mit einer unbestrittenen, einer rechtskräftig oder entscheidungsreif festgestellten Forderung aufrechnet.
5. Haftung
   • Die Ansprüche des Auftraggebers auf Schadensersatz oder Ersatz vergeblicher Aufwendungen richten sich ohne Rücksicht auf die Rechtsnatur des Anspruchs nach dieser Ziffer 7.
   • Die Auftragnehmerin haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung der Auftragnehmerin, eines gesetzlichen Vertreters oder Erfüllungsgehilfen Die Auftragnehmerin haftet auch unbeschränkt für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung der Auftragnehmerin, eines gesetzlichen Vertreters oder Erfüllungsgehilfen beruhen.
   • Für einfache Fahrlässigkeit haftet die Auftragnehmerin nur, sofern eine Pflicht verletzt wird, die für die ordnungsgemäße Vertragsdurchführung grundlegend ist und auf deren Erfüllung der Auftraggeber vertraut und vertrauen darf (Kardinalpflicht). In diesen Fällen ist die Haftung auf den typischen und vorhersehbaren Schaden begrenzt.
   • Bei einfach fahrlässiger Verletzung einer Kardinalpflicht ist die Haftung zudem insgesamt auf einen Maximalbetrag i.H.d. im Einzelvertrag festgelegten Kaufpreises (im Fall des käuflichen Erwerbs der Software nach Abschnitt B.I.) bzw. Jahresentgelts (im Fall der Nutzung als Software as a Service nach Abschnitt B.III.) beschränkt.
   • Der Auftraggeber ist zur angemessenen Sicherung der mittels der Software verarbeiteten Daten nach dem jeweiligen Stand der Technik, mindestens jedoch nach der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI bsi.bund.de) verpflichtet. Im Falle der Vernichtung und/oder des Verlustes von Daten ist die Haftung der Auftragnehmerin auf den Wiederherstellungsaufwand beschränkt, der bei ordnungsgemäßer Anfertigung von Sicherheitskopien durch den Auftraggeber zu deren Rekonstruktion erforderlich gewesen wäre. Der Wiederherstellungsaufwand umfasst die konkret für die Wiederherstellung der Daten angefallenen Zusatzkosten.
   • Im Übrigen ist die Haftung der Auftragnehmerin, insbesondere nach § 536 a BGB, ausgeschlossen.
   • Haftungsbeschränkungen und Haftungsausschlüsse gemäß dieser Ziffer 7 lassen die Haftung der Auftragnehmerin gemäß den zwingenden gesetzlichen Vorschriften des Produkthaftungsgesetzes, aufgrund des arglistigen Verschweigens eines Mangels sowie der Übernahme einer Garantie für die Beschaffenheit einer Sache unberührt.
   • Diese Ziffer 7 gilt auch zu Gunsten der Erfüllungsgehilfen der Auftragnehmerin.
6. Marketing
   • Jede Partei darf für die Dauer dieses Nutzungsverhältnisses den Namen und das Warenzeichen bzw. das Logo der anderen Partei auf ihrer Webseite und in Vorträgen als Referenz nennen, sofern die andere Partei dieser Nennung nicht schriftlich widerspricht.
   • Die Verwendung des Namens und des Warenzeichens bzw. des Logos für andere Marketingmaßnahmen, insbesondere in Presseerklärungen und Presseartikeln bedarf der vorherigen Einwilligung der anderen Partei.
7. Vertraulichkeit

Beide Vertragsparteien verpflichten sich, Informationen und Betriebsgeheimnisse, die sie bei der Vertragsanbahnung oder bei der Durchführung dieses Vertrages übereinander erfahren haben und alle Informationen, die nicht allgemein bekannt sind, gegenüber Dritten geheim zu halten und ihre Mitarbeiter entsprechend zu verpflichten. Die Auftragnehmerin ist berechtigt, den Auftraggeber als Referenz anzugeben.

1. Sprache
   • Die vertraglichen Leistungen werden in deutscher oder in englischer Sprache erbracht.
   • Die Auftragnehmerin stellt sicher, dass die mit den Wartungs- und Supportaufgaben betrauten Personen in ausreichendem Maße der deutschen oder der englischen Sprache mächtig sind.
2. Anwendbares Recht und Gerichtsstand
   • Zwischen den Vertragsparteien findet ausschließlich deutsches Recht Anwendung. Die Bestimmungen des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf vom 11.4.1980 (CISG) sind ausgeschlossen.
   • Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten der Parteien aus oder im Zusammenhang mit dieser Vereinbarung oder den Angeboten und Auftragsbestätigungen ist Köln.
3. Schlussbestimmungen
   • Dieser Vertrag einschließlich seiner Anlagen, die Bestandteil des Vertrages sind, gibt die Vereinbarungen der Parteien abschließend wieder. Mündliche Nebenabreden bestehen nicht.
   • Sämtliche Vereinbarungen, die eine Änderung, Ergänzung oder Konkretisierung dieser Vertragsbedingungen beinhalten, sowie besondere Garantien und Abmachungen sind schriftlich niederzulegen. Dies gilt auch für eine Änderung dieser Ziffer 2.
   • Die Unwirksamkeit einer Bestimmung dieses Vertrages berührt die Wirksamkeit des Vertrages im Übrigen nicht. Die Parteien haben durch unverzügliche Vereinbarung eine unwirksame Bestimmung durch eine solche zu ersetzen, die, soweit rechtlich möglich, der unwirksamen Bestimmung inhaltlich am nächsten kommt und dem wohlverstandenen wirtschaftlichen Interesse der Parteien an der unwirksamen Bestimmung am ehesten entspricht.

1. BESONDERER TEIL
2. SOFTWAREKAUF

Sofern Gegenstand des Einzelvertrags der Kauf von Software ist, gelten die Regelungen dieses Abschnitts B.I.

1. Vertragsgegenstand
   • Gegenstand dieses Vertrages ist die dauerhafte Überlassung der auf der Internetpräsenz der Auftragnehmerin (aqua-cloud.io) beschriebenen Software „aqua“ (nachfolgend „Software“ genannt) im Objektcode. Ebenso überlässt die Auftragnehmerin dem Auftraggeber die dazugehörige Benutzerdokumentation in elektronischer Form.
   • Die Auftragnehmerin stellt die Software zum Download über das Internet zur Verfügung. Der Downloadlink wird dem Auftraggeber nach vollständiger Zahlung zur Verfügung gestellt. Die Lieferung der Software auf einem Datenträger ist nicht Vertragsgegenstand, sofern die Parteien nicht die Lieferung einer Sicherungskopie der Software auf einem Datenträger im jeweiligen Einzelvertrag ausdrücklich vereinbaren.
   • Die Installation erfolgt durch den Auftraggeber, sofern nicht im Einzelvertrag anders geregelt.
   • Der Auftraggeber hat keinen Anspruch auf eine Kopie des Quellcodes der Software oder auf einen sonstigen Zugang zu diesem Quellcode.
2. Nutzungsrechte
   • Die Auftragnehmerin gewährt dem Auftraggeber im Rahmen des im Einzelvertrag vereinbarten Lizenzmodells ein dauerhaftes, nicht-ausschließliches Recht, die Software für eigene Zwecke auf eigenen Computern ablaufen zu lassen und, soweit hierzu erforderlich, zu vervielfältigen. Das Ablaufen der Software für eigene Zwecke erlaubt die Nutzung bei den im Einzelvertrag genannten Gesellschaften. Außer dem in dieser Ziffer 14 geregelten Recht zur Vervielfältigung werden dem Auftraggeber keine Nutzungsrechte an der Software eingeräumt. Die Auftragnehmerin behält sich insbesondere alle Veröffentlichungs-, Vervielfältigungs-, Bearbeitungs- und Verwertungsrechte der Software vor. Der Auftraggeber sichert zu, dass nur berechtigte Mitarbeiter Zugriff auf die Software haben.

Sofern der Auftraggeber im Rahmen des vereinbarten Lizenzmodells eine Concurrent-User-Lizenz erworben hat, darf er die Software auf mehreren Geräten installieren; die gleichzeitige Nutzung ist jedoch nur für die erworbene Anzahl der Lizenzen zulässig.

• Die in Ziffer 1 genannte Benutzerdokumentation darf der Auftraggeber zur Nutzung gemäß Ziffer 14.1 ausdrucken und vervielfältigen. Eine Weitergabe an Dritte außerhalb des Unternehmens (gemäß Ziffer 14.1 Satz 2) des Auftraggebers ist unzulässig.
• Die Auftragnehmerin gewährleistet, dass die Software frei von Rechten Dritter ist, die eine Nutzung entsprechend dem vertraglich festgelegten Umfang einschränken oder ausschließen. Wird die vertragsgemäße Nutzung der Software durch Schutzrechte Dritter beeinträchtigt, so hat die Auftragnehmerin in einem für den Auftraggeber zumutbaren Umfang das Recht, entweder die Software so abzuändern, dass sie ohne wesentliche Nutzungseinschränkung aus dem Schutzbereich herausfällt, oder die Befugnis zu erwirken, dass die Software uneingeschränkt und ohne zusätzliche Kosten für den Auftraggeber vertragsgemäß genutzt werden kann. Wird die vertragsgemäße Nutzung der Software ohne Verschulden der Auftragnehmerin durch Schutzrechte Dritter beeinträchtigt, kann die Auftragnehmerin die hierdurch betroffenen Leistungen verweigern. Die Auftragnehmerin wird den Auftraggeber hiervon unverzüglich unterrichten und ihm in geeigneter Weise den Zugriff auf seine Daten ermöglichen. Der Auftraggeber ist in diesem Fall nicht zur Zahlung verpflichtet. Sonstige Ansprüche oder Rechte des Auftraggebers bleiben unberührt.
• Der dem Auftraggeber zur Verfügung gestellte Zugang zum Softwaredownload ist vor dem Zugriff durch unberechtigte Dritte zu schützen. Die Mitarbeiter des Auftraggebers sind auf die Einhaltung der vorliegenden Vertragsbedingungen hinzuweisen.
• Sofern eine Sicherungskopie nicht nach Ziffer 2 überreicht wurde, ist der Auftraggeber befugt, zu Sicherungszwecken eine (1) maschinenlesbare Kopie der Software herzustellen. Bei der Erstellung der Kopie hat er sicherzustellen, dass der Hinweis „Sicherungskopie“ in maschinenlesbarer Form und/oder in Klarschrift auf der Kopie angebracht ist. Der Auftraggeber hat sicherzustellen, dass das Computerprogramm nicht im Rahmen sonstiger Datensicherungen mitgesichert bzw. mitkopiert wird.
• Eventuell vorhandene Seriennummern, Urheberrechtsvermerke oder sonstige Programmidentifikationsmerkmale dürfen nicht entfernt werden. Gleiches gilt für eine Unterdrückung der Bildschirmanzeige entsprechender Merkmale.

1. Kaufpreis
   • Der Kaufpreis ist vor Download der Software fällig, sofern nicht ausdrücklich im Einzelvertrag anders geregelt.
   • Die Auftragnehmerin teilt dem Auftraggeber innerhalb von zwei (2) Arbeitstagen nach Zahlungseingang einen Download-Link mit, über den der Auftraggeber den Download der Software durchführen kann.
2. Änderung und Kompilierung
   • Soweit in diesem Rahmenvertrag oder dem Einzelvertrag nicht ausdrücklich erlaubt, ist dem Auftraggeber jedwede Rückerschließung der verschiedenen Herstellungsstufen der Software einschließlich einer Programmänderung untersagt; dies gilt insbesondere für eine Rückübersetzung des überlassenen Programmcodes in andere Codeform (Dekompilierung).
   • Soweit der Auftraggeber zur Herstellung der Interoperabilität mit einem anderem Programm Schnittstelleninformationen benötigt, ist er zu Handlungen nach Ziffer 1 zur Verwendung für den eigenen Gebrauch berechtigt, sofern die Auftragnehmerin trotz schriftlicher Anfrage des Auftraggebers nicht bereit oder in der Lage ist, die benötigten Informationen zur Verfügung zu stellen. Soweit sich die Auftragnehmerin bereit erklärt die benötigen Informationen zur Verfügung zu stellen, werden die Parteien eine gesonderte Vereinbarung über die Bereitstellung der vom Auftraggeber benötigten Informationen abschließen.
   • Soweit der Auftraggeber Handlungen nach Ziffer 1 vornimmt, dürfen ausschließlich er bzw. seine Mitarbeiter die insofern gewonnenen Informationen allein für interne Zwecke des Auftraggebers verwenden. Vor jeder weitergehenden Verwendung, insbesondere einer gewerblichen Nutzung oder einer Weitergabe an Dritte, hat der Auftraggeber die Zustimmung der Auftragnehmerin einzuholen. Die Auftragnehmerin darf ihre Zustimmung nur aus sachlichem Grund verweigern.
   • Die Entfernung eines Kopierschutzes oder ähnlicher Schutzmechanismen ist nicht zulässig.
3. Weiterveräußerung und Vorkaufsrecht
   • Im Falle der Übertragung auf einen Dritten, wird der Auftraggeber die Nutzung der Software vollständig aufgeben und alle vorhandenen Kopien löschen und/oder der Auftragnehmerin übergeben. Der Auftraggeber wird der Auftragnehmerin die Löschung sämtlicher Kopien schriftlich bestätigen und mitteilen, an wen die Software weitergegeben wurde, damit die Auftragnehmerin die Beachtung ihrer Urheberrechte und die Einhaltung der Lizenzbestimmungen durch den Dritten überprüfen kann. Durch die Übertragung erlöschen sämtliche Rechte des Auftraggebers an der Software.
   • Der Auftraggeber darf die Software Dritten nicht überlassen, wenn der begründete Verdacht besteht, der Dritte werde die Vertragsbedingungen verletzen, insbesondere unerlaubte Vervielfältigungen herstellen.
   • Der Auftraggeber räumt der Auftragnehmerin an der Software ein Vorkaufsrecht mit der Maßgabe ein, dass sie das Recht hat, in einen zwischen dem Auftraggeber und einem Dritten abgeschlossenen Kaufvertrag anstelle des Dritten einzutreten. Dabei gilt Folgendes:

• Der Auftraggeber schließt den Vertrag mit dem Dritten nur unter dem Vorbehalt ab, dass die Auftragnehmerin ihr Vorkaufsrecht nicht ausübt.
• Der Auftraggeber wird der Auftragnehmerin den Inhalt des mit dem Dritten geschlossenen Vertrages unverzüglich unter Angabe des Namens und der vollständigen Anschrift des Dritten schriftlich mitteilen.
• Die Auftragnehmerin wird gegenüber dem Auftraggeber innerhalb von 10 Werktagen nach Zugang der Mitteilung eine schriftliche Erklärung über die Ausübung des Vorkaufsrechts abgeben.
• Mit der Ausübung des Vorkaufsrechts kommt der Vertrag zwischen der Auftragnehmerin und dem Auftraggeber zu den zwischen dem Auftraggeber und dem Dritten vereinbarten Bedingungen zustande.

1. Untersuchungs- und Rügepflicht
   • Der Auftraggeber wird die Software unverzüglich, spätestens aber 14 Tage nach Erhalt und Abschluss der Installation durch die Auftragnehmerin oder eigener Installation auf Vollständigkeit und Mängel untersuchen; insofern ist auch eine Überprüfung der Funktionsfähigkeit der Programmfunktionen vorzunehmen. Es gilt die Rügepflicht nach § 377 HGB.
   • Die Mängelrüge hat die geltend gemachten Mängel möglichst detailliert unter Angabe der Umgebungsbedingungen der Installation, der ausgeführten Funktionen, des aufgetretenen Fehlerbildes, der Auswirkungen dieses Fehlers auf die Funktionsfähigkeit der Software und etwaiger Bildschirmmeldungen zu beschreiben (qualifizierte Fehlermeldung).
2. Ansprüche wegen Mängeln
   • Die Auftragnehmerin übernimmt für die Software die Gewährleistung wegen Mängeln nach Maßgabe der nachfolgenden Bestimmungen dieser Ziffer 19.
   • Die Beschaffenheit der Software ergibt sich ausschließlich und abschließend aus der Programmbeschreibung auf der Internetpräsenz der Auftragnehmerin unter aqua-cloud.io. Die Auftragnehmerin übernimmt für die Software keine Beschaffenheits-, Haltbarkeits- oder sonstige Garantie, es sei denn, die Auftragnehmerin hat im Einzelvertrag ausdrücklich und schriftlich eine als solche bezeichnete Garantie übernommen.
   • Ein Mangel, für den die Auftragnehmerin haftet, liegt nicht vor, wenn der Fehler auf der Verwendung von Hardware und Umgebungssoftware beruht, die den auf der Internetpräsenz der Auftragnehmerin (http://aquawiki.andagon.com/system_requirements.html) beschriebenen Systemanforderungen nicht genügen. Mängelrechte bestehen ebenfalls nicht für einen Mangeln, der auf eine Programmänderung zurückzuführen ist, die nicht von der Auftragnehmerin vorgenommen, veranlasst oder genehmigt worden ist. Sofern der Auftraggeber die Installation der Software selbst durchführt, bestehen auch bei dabei oder anschließend installationsbedingt auftretenden Fehlern keine Rechte wegen Mängeln. Dies gilt nicht, sofern der Fehler auf einem fehlerhaften Installationshinweis der Auftragnehmerin beruht.
   • Die Auftragnehmerin wird Sach- und Rechtsmängel nach rechtzeitiger und begründeter Mängelrüge durch den Auftraggeber beheben. Die Auftragnehmerin ist berechtigt, den Mangel nach eigener Wahl durch Nachbesserung oder Nachlieferung zu beheben. Die Auftragnehmerin ist insbesondere berechtigt, die Mängelbeseitigung durch Auslieferung neuer Programmpakete (Patches, Updates) zu erbringen, die die vom Auftraggeber mitgeteilten Fehler nicht mehr beinhalten. Der Auftraggeber installiert solche Programmpakete selbst, sofern dies zumutbar ist. Ist dies nicht der Fall, führt die Auftragnehmerin die Installation über einen Fernzugriff durch. Dann gewährt der Auftraggeber der Auftragnehmerin den dafür erforderlichen Fernzugang zu der Installationsumgebung der Software. Die Auftragnehmerin ist zudem berechtigt, die Nacherfüllung beim Auftraggeber vor Ort zu erbringen. Soweit es für den Auftraggeber zumutbar ist, kann die Auftragnehmerin zum Zweck der Nachbesserung bis zur endgültigen Beseitigung eines Mangels eine Umgehungslösung bereitstellen. Bei Vorliegen eines Rechtsmangels wird die Auftragnehmerin nach ihrer Wahl eine rechtlich mangelfreie Nutzungsmöglichkeit der Software gestalten oder die Software dergestalt ändern, dass die Rechte Dritter nicht mehr verletzt werden.
   • Schlägt die Nacherfüllung innerhalb einer angemessenen Frist von mindestens vier (4) Wochen fehl, kann der Auftraggeber eine angemessene Herabsetzung des vereinbarten Preises verlangen. Ein Rücktrittsrecht besteht nicht.
   • Im Falle einer Neulieferung ist die Auftragnehmerin auch zur Lieferung einer neuen Programmversion mit gleichwertigem Funktionsumfang berechtigt, es sei denn, dies ist für den Auftraggeber unzumutbar, etwa im Fall des Erfordernisses eines anderen Betriebssystems oder leistungsfähigerer Hardware. Eine Einarbeitung des Auftraggebers in eine gegebenenfalls geänderte Programmstruktur oder Anwenderführung begründet grundsätzlich keine Unzumutbarkeit.
   • Sofern der Auftragnehmer die Installation im Auftrag des Auftraggebers gemäß Einzelvertrag vornimmt, verjähren die Gewährleistungsrechte in einem (1) Jahr ab vollständiger Installation der Software durch die Auftragnehmerin.Andernfalls verjähren die Ansprüche des Auftraggebers wegen Mängeln in einem (1) Jahr ab dem Download der Software durch den Auftraggeber. Im Falle des arglistigen Verschweigens eines Mangels gilt die gesetzliche Gewährleistung.
   • Für den Anspruch auf Schadensersatz wegen Mängeln gilt Ziffer 7.
3. Softwarepflege, Wartung

Wartungs- und Pflegeleistungen, einschließlich der zur Verfügungsstellung von Updates oder Upgrades, sind nicht Gegenstand des Softwarekaufvertrages. Wartungs- und Pflegeleistungen werden in Abschnitt B.II. dieses Rahmenvertrages beschrieben.

1. Eigentumsvorbehalt
   • Falls der Einzelvertrag eine von Ziffer 15 abweichende Zahlungsweise vorsieht, bleibt die gelieferte Software einschließlich der mitgelieferten Dokumentation bis zur vollständigen Bezahlung aller aus diesem Vertrag entstandenen Forderungen Eigentum der Auftragnehmerin.
   • Bei Geltendmachung des Eigentumsvorbehalts und nach Rücktritt vom Vertrag muss der Auftraggeber sämtliche angefertigte Kopien löschen und die Nutzung der Software sofort einstellen. Das Recht des Auftraggebers zur Nutzung der Software erlischt.
2. Sicherung der Software und Audit
   • Die Software, die Benutzerdokumentation und ggf. vorhandene Zugangsdaten sind vor dem unberechtigten Zugriff durch Dritte zu schützen.
   • Die Auftragnehmerin ist berechtigt, einmal im Jahr die vertragsgemäße Nutzung der Software, insbesondere im Hinblick auf qualitative und quantitative Nutzung durch den Auftraggeber, zu überprüfen (Softwareaudit). Hierzu wird der Auftraggeber die erforderlichen Dokumente zur Verfügung stellen und eine Überprüfung der Softwarenutzung bezogen auf diesen Vertrag ermöglichen. Die Auftragnehmerin ist berechtigt, die Prüfung in den Räumen des Auftraggebers während der üblichen Geschäftszeiten durchzuführen. Der Auftraggeber ist hierbei verpflichtet, die Auftragnehmerin bzw. einem von ihr mit der Auditierung beauftragten Dritten Zugang zu den Geschäftsräumen zu gewähren, die erforderlichen und erbetenen Auskünfte zu erteilen und Unterlagen zur Verfügung zu stellen, Zugang zu den Rechnern zu gewähren, auf welchen die Software installiert ist und auf Anforderung die erforderlichen Rechte an diesen Computern unter Einschluss der Administratorenrechte einzuräumen, damit die Einhaltung der Lizenzvereinbarung überprüft werden kann. Dabei wird die Auftragnehmerin darauf achten, den Betrieb so wenig wie möglich zu stören. Die Auftragnehmerin wird dem Auftraggeber nach Abschluss der Auditierung das Ergebnis schriftlich mitteilen.
   • Beabsichtigt der Auftraggeber, die im jeweils vereinbarten Lizenzmodell eingeräumten Rechte zu überschreiten, muss er die zu dieser Nutzung notwendigen Nutzungsrechte gegen ein entsprechendes Lizenzentgelt erwerben. Für den Fall, dass der Auftraggeber die ursprünglich eingeräumten Nutzungsrechte mehr als nur unwesentlich überschreitet (z.B. nicht nur vorübergehende Überschreitung der gestatteten Nutzungen um mehr als 10%), verspricht er der Auftragnehmerin die Zahlung einer Geldsumme als Strafe. Die Vertragsstrafe beträgt 50% des für die Mehrnutzung fälligen Lizenzentgeltes. Die Pflicht zur Zahlung des Lizenzentgeltes bleibt davon unberührt. Bei Annahme des Lizenzentgeltes muss die Auftragnehmerin den Vorbehalt der Vertragsstrafe nicht erklären.

1. SOFTWAREWARTUNG

Sofern Gegenstand des Einzelvertrags (auch) die Wartung von Software ist, gelten die Regelungen dieses Abschnitts B.II.

1. Vertragsgegenstand
   • Die Auftragnehmerin übernimmt die Wartung für das auf Grundlage des Einzelvertrags (nachfolgend „Softwarelizenzvertrag“ genannt) an den Auftraggeber verkaufte Computerprogramm aqua (nachfolgend „Software“ genannt) in der jeweils aktuellen Version. Die Software ist auf der Internetpräsenz der Auftragnehmerin (aqua-cloud.io) beschrieben.
   • Um Updates im Rahmen der Wartung verwenden zu können, kann eine Anpassung der Umgebungssoftware, wie etwa des Betriebssystems, oder der Hardware erforderlich sein. Die Anpassung der Umgebungssoftware oder der Hardware ist nicht Bestandteil des jeweiligen Updates. Sofern derartige neue Systemmindestanforderungen gelten, wird die Auftragnehmerin den Auftraggeber benachrichtigen. Ihre Einhaltung hat der Auftraggeber sicherzustellen.
   • Die Wartung von Computerhardware ist nicht Gegenstand dieses Vertrags.
2. Wartungsleistungen
   • Die Dienstleistungen der Auftragnehmerin zur Wartung der Software umfassen Folgendes:
     • Ferndiagnose bei auftretenden Programmfehlern und Störungen entweder telefonisch oder über eine gemäß Ziffer 2 dieses Vertrags eingerichtete Zugriffsmöglichkeit;
     • Unterstützung und Beratung über Telefon und E-Mail im Rahmen der Hotline nach Ziffer 27 dieses Vertrags bei Mängeln der Software;
     • Zurverfügungstellung von neuen Versionen der Software mit und ohne neue Funktionalität (nachfolgend „Upgrades“ bzw. „Updates“), sobald diese verfügbar und von der Auftragnehmerin zur Lieferung freigegeben sind. Der Zeitpunkt der Freigabe wird durch die Auftragnehmerin bestimmt;
     • Vorhaltung der bei dem Auftraggeber installierten Programmversionen auf dem jeweils aktuellen Stand, damit bei einer Zerstörung oder einem Verlust des Programms umgehend Ersatz möglich ist und damit Störungen und Fehler auch in gegebenenfalls anwender-spezifisch geänderten Programmkomponenten nachvollzogen werden können.
   • Nicht zu den vertraglichen Wartungsleistungen der Auftragnehmerin zählen insbesondere folgende Leistungen:
     • Wartungsleistungen, die durch einen Einsatz der Software auf einem anderen Hardwaresystem oder unter einem anderen Betriebssystem notwendig werden;
     • Wartungsleistungen, die wegen eines Eingriffs des Auftraggebers in die Software erforderlich werden;
     • Wartungsleistungen hinsichtlich der Interoperabilität der Software mit anderen als den von der Software unterstützten Computerprogrammen (siehe die aktuelle Liste auf der Internetpräsenz der Auftragnehmerin unter https://aquawiki.andagon.com/test_automation.html), vorbehaltlich Ziffer 25.
     • Erbringt die Auftragnehmerin Leistung nach Ziffern 24.2.1, 24.2.2., 24.2.3 aufgrund einer falschen Fehlermeldung des Auftraggebers, steht es der Auftragnehmerin frei, die Leistungen nach Ziffer 29 (Help Desk) abzurechnen.
   • Die Auftragnehmerin wird zur Erbringung der nach diesem Vertrag erforderlichen Arbeiten ausschließlich angemessen qualifiziertes Personal einsetzen, das mit dem Computerprogramm aqua und dessen Einsatzmöglichkeiten vertraut ist.
   • Die Auftragnehmerin wird Leistungen, die über diesen Vertrag hinausgehen, wie etwa die Bereitstellung von nicht enthaltenen Upgrades oder die Bereitstellung weiterer Programmkomponenten aufgrund besonderer Vereinbarung und gegen gesonderte Vergütung erbringen.
3. Updates und Upgrades
   • Die Bestimmungen der Ziffern 13, 15, 16, 19 und 20 des Softwarelizenzvertrages gelten auch für Updates und Upgrades.
   • Mit dem Herunterladen eines Updates bzw. Upgrades durch den Auftraggeber erlöschen die dem Auftraggeber durch die Auftragnehmerin eingeräumten Nutzungsrechte an der jeweiligen Vorversion der Software. Teilt der Auftraggeber unverzüglich, spätestens aber fünf (5) Arbeitstage nach Mitteilung über die Verfügbarkeit des Updates bzw. Upgrades mit, dass er es nicht einsetzen will, bleibt er zur Nutzung der Vorversion vorbehaltlich Ziffer 5 berechtigt, sofern er sämtliche Kopien des Updates bzw. Upgrades entsprechend nachfolgender Ziffer 25.3 zurückgibt.
   • Mit Erlöschen der Nutzungsrechte an der jeweiligen Vorversion des Programms gemäß vorstehender Ziffer 2 ist der Auftraggeber zur Rückgabe der jeweiligen Vorversion des Programms an die Auftragnehmerin verpflichtet. Sofern ein neues Update bzw. Upgrade zur Verfügung gestellt wird, muss der Auftraggeber die alte Version deinstallieren. Die ordnungsgemäße Rückgabe umfasst auch die vollständige und endgültige Löschung sämtlicher Kopien. Die Auftragnehmerin kann durch schriftliche Mitteilung statt der Rückgabe die Löschung der Software sowie die Vernichtung sämtlicher Kopien der Dokumentation anordnen.
   • Die Auftragnehmerin stimmt Maßnahmen, die im Rahmen von Wartungsarbeiten, zur Fehlerbehebung oder zur Installation von Updates bzw. Upgrades beim Auftraggeber durchgeführt werden müssen, zeitlich mit dem Auftraggeber ab.
   • Nach der Veröffentlichung eines neuen Updates bzw. Upgrades wird die letzte Version des vorherigen Updates bzw. Upgrades noch 12 Monate lang vom Support unterstützt. Der Auftraggeber ist verpflichtet, innerhalb dieser 12 Monate auf das neue Update bzw. Upgrade umzustellen. Sofern ihm dies aus sachlichen Gründen nicht zumutbar ist, ist er berechtigt, den Wartungsvertrag mit einer Frist von 3 Monaten mit Wirkung zum Ende des Supports der Vorversion nach Satz 1 dieser Ziffer 5 zu kündigen.
4. Mitwirkungspflichten des Auftraggebers
   • Zur Unterstützung der Auftragnehmerin bei der Erbringung der Leistungen nach diesem Vertrag wird der Auftraggeber insbesondere
     • die Auftragnehmerin in jeder Hinsicht bei der Fehlerbeseitigung unterstützen;
     • keine Änderungen an der Software vornehmen bzw. durch Dritte vornehmen lassen, sofern die Auftragnehmerin solchen Änderungen nicht ausdrücklich schriftlich zugestimmt hat;
     • die Auftragnehmerin unverzüglich alle bei der Nutzung der Software auftretenden Fehler und sonstige Störungen mitteilen und diese möglichst präzise beschreiben und auf Wunsch der Auftragnehmerin die Systemfehlermeldungen, Systemprotokolle, Testergebnisse, und andere zur Veranschaulichung des Mangels geeigneten Unterlagen zur Verfügung stellen und für weitere Auskünfte bereitstehen;
     • für den Fall, dass Tests erforderlich sind, auf Anforderung der Auftragnehmerin geeignete Testdaten bereitstellen. Dies gilt nicht, wenn der Auftraggeber der Auftragnehmerin gestattet, die Tests auf dem System der Auftraggeber durchzuführen oder die Parteien die Durchführung der Tests durch den Auftraggeber vereinbaren;
     • die Auftragnehmerin über die Änderung der eingesetzten Betriebssystem-Software und sonstiger für die Nutzung des Programms benötigter Software („Umgebungssoftware“) in Textform (z.B. durch E-Mail) informieren;
     • die Auftragnehmerin über die Änderung der Hardwarekonfiguration und -installation sowie des Ortes, an dem das Programm installiert ist („Installationsort“), in Textform (z.B. durch E-Mail) informieren. Die Fortsetzung der Pflege am neuen Installationsort kann die Auftragnehmerin aus sachlichem Grund verweigern.
   • Falls erforderlich, sind andere Arbeiten mit dem IT-System des Auftraggebers während der Zeit der Erbringung der Wartungsleistungen auszusetzen bzw. einzustellen.
   • Der Auftraggeber stellt die für eine Fernwartung der Software erforderlichen Voraussetzungen wie auf der Internetpräsenz der Auftragnehmerin unter http://aquawiki.andagon.com/remote_support.html beschrieben zur Verfügung.
5. Service Desk
   • Die Auftragnehmerin nimmt Anforderungen einer Leistung durch den Auftraggeber im Rahmen dieses Wartungsvertrages (nachfolgend „Meldungen“) per E-Mail
   • Ordnungsgemäße Meldungen werden vom Service einschließlich der vollständigen Bearbeitungshistorie in einem Help-Desk-System dokumentiert und mit einem Ticket versehen.
   • Eine Reaktion der Auftragnehmerin erfolgt entsprechend der unter Ziffer 28 genannten Reaktionszeit innerhalb folgender Wartungszeit: Montags bis Freitags von 9.00 bis 17.00 Uhr, mit Ausnahme der gesetzlichen Feiertage in Nordrhein-Westfalen, Rosenmontag sowie dem 24.12. und dem 31.12 eines jeden Jahres (nachfolgend „Wartungszeit“).
6. Fehlerbeseitigung
   • Die Auftragnehmerin verpflichtet sich, innerhalb der nachfolgend beschriebenen Reaktionszeiten auf Fehlermeldungen zu reagieren und den Auftraggeber über die vorläufige Fehleranalyse und mögliche Umgehungsschritte zur Soforthilfe zu informieren.

Fehlerkategorie Fehlerklassen* Reaktionszeit Fehlerkategorie 1 Schwerer Fehler 12 Stunden Fehlerkategorie 2 Mittlerer Fehler 40 Stunden Fehlerkategorie 3 Leichter Fehler Keine Garantie *Die in dieser Tabelle verwandten Fehlerklassen werden in Ziffer 28.3 definiert.

• Die Reaktionszeit läuft ab dem Eingang der Fehlermeldung bei der Auftragnehmerin. Die Fehlermeldung hat zumindest die betroffene Programmkomponente, die vorgenommenen Eingaben, die aktuelle Umgebungssoftware und die Reaktion der Software zu umfassen und muss gemäß Ziffer 27 Die Reaktionszeit läuft nur während der Wartungszeit ab. Außerhalb der Wartungszeit eingehende Meldungen gelten als zu Beginn des nächsten Wartungszeitraums eingegangen. Die Reaktionszeit endet mit der Rückmeldung beim Auftraggeber.
• Die Einordnung eines Fehlers in die Fehlerkategorien hat wie folgt zu erfolgen:
  • Ein „schwerer Fehler“ liegt vor, wenn eine wichtige Funktionalität einer Programmkomponente oder das Gesamtsystem so erheblich gestört ist, dass die wesentliche Funktionalität oder das Gesamtsystem nicht oder nur unter unzumutbarem Aufwand genutzt werden kann.
  • Ein „mittlerer Fehler“ liegt vor, wenn eine Funktionalität einer Programmkomponente beeinträchtigt ist, das Gesamtsystem aber ansonsten weiterhin genutzt werden kann, ohne dass im täglichen Geschäftsablauf unzumutbarer Aufwand zur Umgehung des Fehlers notwendig ist.
  • Ein „leichter Fehler“ liegt vor, wenn ein Fehler sich lediglich auf das Layout auswirkt oder keine wesentlichen Auswirkungen auf eine Funktionalität einer Programmkomponente hat, so dass die Programmkomponente und das Gesamtsystem wie vorgesehen genutzt werden können.
  • Können sich die Auftragnehmerin und der Auftraggeber nicht auf die Zuordnung eines Fehlers zu einer Kategorie einigen, ist der Fehler im Zweifel der leichteren Fehlerkategorie zuzuordnen.

1. Help Desk

Der Kunde hat die Möglichkeit Benutzerunterstützung über eine Help-Desk Hotline zu erhalten. Der Help-Desk ist immer kostenpflichtig. Hierunter fällt auch die Lösung von Anwenderfehlern. Der Help-Desk ist erreichbar Montags-Freitags 09:00 – 17:00 Uhr, mit Ausnahme der gesetzlichen Feiertage in Nordrhein-Westfalen, Rosenmontag sowie dem 24.12. und dem 31.12 eines jeden Jahres.

1. Vergütung
   • Die Vergütung für die Wartungsleistungen wird nach Erwerb der Software (d.h. ab dem Tag der Auslieferung, d.h. Zurverfügungsstellung des Downloadlinks) jährlich berechnet und ist im Voraus gegen Rechnung zu entrichten. Die Rechnungen sind sofort ohne Abzug zur Zahlung fällig.
   • Die Auftragnehmerin berechnet das im Einzelvertrag festgehaltene Wartungsentgelt in Abhängigkeit der erworbenen Lizenzen. Ändert sich die Anzahl der erworbenen Lizenzen, wird ein entsprechend angepasstes Wartungsentgelt berechnet.
   • Bei Zahlungsverzug von mehr als drei Monaten ist die Auftragnehmerin ohne Weiteres zur fristlosen Kündigung des Vertrages berechtigt.
2. Laufzeit, Kündigung
   • Der Einzelvertrag tritt durch Annahme des Angebots durch den Auftraggeber und die zugehörige Auftragsbestätigung der Auftragnehmerin in Kraft.
   • Die Verpflichtung der Auftragnehmerin zur Erbringung von Wartungsleistungen nach diesem Vertrag beginnt ab dem im Einzelvertrag bestimmten Zeitpunkt („Vertragsbeginn“). Sofern im Einzelvertrag nicht anders festgelegt, hat dieser Vertrag eine Laufzeit von 12 Monaten ab Vertragsbeginn. Nach Ablauf dieser Mindestvertragslaufzeit verlängert sich der Vertrag jeweils um ein weiteres Jahr, es sei denn, eine Partei kündigt diesen Vertrag schriftlich drei Monate vor Ablauf der Vertragslaufzeit. Maßgeblich für die Rechtzeitigkeit der Kündigung ist der Zugang der Erklärung bei der anderen Partei.
   • Nach Beendigung eines Einzelvertrages kann der Auftraggeber einen neuen Einzelvertrag (ein sogenanntes „late renewal“) über Softwarewartung innerhalb von 12 Monaten nach Ablauf der letzten Vertragslaufzeit abschließen. Ein late renewal hat einen Aufpreis von 50% für die ersten 12 Monate gegenüber dem Listenpreis für Softwarewartung. Existiert länger als 12 Monate kein gültiger Vertrag über Softwarewartung, ist eine Verlängerung nicht möglich.
   • Jede Partei kann diesen Vertrag jederzeit außerordentlich aus wichtigem Grund kündigen. Ein wichtiger Grund liegt insbesondere vor, wenn

• die Erfüllung des Vertrages aus Gründen, die nicht von der kündigenden Partei zu vertreten sind, rechtlich oder tatsächlich unmöglich wird oder wirtschaftlich unvertretbar ist,
• die andere Partei ihre wesentlichen vertraglichen Verpflichtungen trotz vorheriger Abmahnung nicht innerhalb angemessener Frist erfüllt. Eine solche wesentliche Vertragsverletzung liegt vor, wenn der Auftraggeber mit einem Betrag in Zahlungsverzug ist, der zwei Monatszahlungen entspricht. Bei nur teilweiser Begleichung der Zahlungsrückstände entfällt das Kündigungsrecht nicht.
• die Erfüllung der Verpflichtungen aus diesem Vertrag aufgrund einer Vermögensverschlechterung der jeweils anderen Partei gefährdet ist. Eine Vermögensverschlechterung liegt insbesondere vor, wenn die jeweils andere Partei wiederholt mit ihren Leistungen für mehr als 10 Tage in Verzug gerät, oder wenn ein Vollstreckungsversuch bei der jeweils anderen Partei erfolglos war.
  • Sämtliche Kündigungen bedürfen der Schriftform.

• SOFTWARE AS A SERVICE

Sofern Gegenstand des Angebots und der Auftragsbestätigung die Bereitstellung von Software im Software as a Service-Modell ist, gelten die Regelungen dieses Abschnitts B.III.

1. Vertragsgegenstand

Gegenstand dieses Vertrags ist die Bereitstellung der auf der Internetpräsenz der Auftragnehmerin (aqua-cloud.io) beschriebenen Software aqua (nachfolgend „Serversoftware“ genannt) im Software as a Service-Modell (nachfolgend „SaaS-Modell“). Die Auftragnehmerin hält die Software für den Auftraggeber auf Datenverarbeitungsanlagen (Servern) zur Nutzung bereit. Der Auftraggeber kann über das Internet auf die Serversoftware zugreifen und die Funktionalitäten der Serversoftware im Rahmen dieses Vertrages nutzen. Zu diesem Zweck stellt die Auftragnehmerin dem Auftraggeber die Client-Software aqua Client (nachfolgend „Client-Software“) zur Verfügung.

• Die Client-Software wird zum Download über das Internet und ausschließlich im Objektcode bereitgestellt. Der Auftraggeber muss die Client-Software selbst installieren und hat keinen Anspruch auf eine Kopie des Quellcodes der Client-Software oder auf einen sonstigen Zugang zu diesem Quellcode.
• Leistungen zur Herstellung der Interoperabilität der Serversoftware mit anderen Programmen als den in der aktuellen Liste auf der Internetpräsenz der Auftragnehmerin unter https://aquawiki.andagon.com/test_automation.html genannten unterstützen Programmen und Programmversionen erfolgen nur aufgrund eines gesonderten Vertrags zwischen Auftragnehmerin und Auftraggeber.

1. Übergabepunkt/Verfügbarkeit
   • Die Auftragnehmerin stellt dem Auftraggeber die Serversoftware mit der in Anlage SLA (Service Level Agreement) beschriebenen Verfügbarkeit am Übergabepunkt zur Verfügung, der externen Firewall der Auftragnehmerin, die mit dem Internet verbunden ist.
   • Der Auftraggeber ist für seine Anbindung an das Internet einschließlich der erforderlichen Datenübertragungsraten selbst verantwortlich. Er hat eigenverantwortlich für die Erfüllung der auf der Internetpräsenz der Auftragnehmerin (http://aquawiki.andagon.com/system_requirements.html) beschriebenen Systemvoraussetzungen Sorge zu tragen.
2. Nutzungsrechte
   • Die Auftragnehmerin gewährt dem Auftraggeber das Recht, die Serversoftware im Rahmen des im Angebot beschriebenen Lizenzmodells für die Laufzeit des Vertrages für eigene Zwecke zu nutzen. Die Nutzung für eigene Zwecke erlaubt die Nutzung bei den im Einzelvertrag genannten Gesellschaften. Dies gilt auch für etwaige durch die Auftragnehmerin während der Vertragslaufzeit zur Verfügung gestellte Upgrades und Updates (neue Versionen der Software mit und ohne neue Funktionalität).
   • Der Auftraggeber erhält kein Vervielfältigungsrecht an der Serversoftware und ist nicht berechtigt, die von der Auftragnehmerin betriebene und bereitgestellte Serversoftware herunterzuladen und/oder auf seinen eigenen Systemen ablaufen zu lassen. Die Serversoftware des Auftragnehmers ist urheberrechtlich geschützt und sämtliche Urheber-, Nutzungs- und sonstigen Schutzrechte daran verbleiben bei der Auftragnehmerin.
   • Die Auftragnehmerin gewährleistet, dass die Software frei von Rechten Dritter ist, die eine Nutzung entsprechend dem vertraglich festgelegten Umfang einschränken oder ausschließen. Wird die vertragsgemäße Nutzung der Software durch Schutzrechte Dritter beeinträchtigt, so hat die Auftragnehmerin in einem für den Auftraggeber zumutbaren Umfang das Recht, entweder die Software so abzuändern, dass sie ohne wesentliche Nutzungseinschränkung aus dem Schutzbereich herausfällt, oder die Befugnis zu erwirken, dass die Software uneingeschränkt und ohne zusätzliche Kosten für den Auftraggeber vertragsgemäß genutzt werden kann. Wird die vertragsgemäße Nutzung der Software ohne Verschulden der Auftragnehmerin durch Schutzrechte Dritter beeinträchtigt, kann die Auftragnehmerin die hierdurch betroffenen Leistungen verweigern. Die Auftragnehmerin wird den Auftraggeber hiervon unverzüglich unterrichten und ihm in geeigneter Weise den Zugriff auf seine Daten ermöglichen. Der Auftraggeber ist in diesem Fall nicht zur Zahlung verpflichtet. Sonstige Ansprüche oder Rechte des Auftraggebers bleiben unberührt.
   • Der Auftraggeber ist nicht berechtigt, die Software Dritten zugänglich zu machen.
   • Die in Ziffer 1 genannte Benutzerdokumentation darf der Auftraggeber zur Nutzung gemäß Ziffer 14.1 ausdrucken und vervielfältigen. Eine Weitergabe an Dritte außerhalb des Unternehmens (gemäß Ziffer 14.1 Satz 2) des Auftraggebers ist unzulässig.
   • Der dem Auftraggeber zur Verfügung gestellte Zugang zum Download der Client-Software ist vor dem Zugriff durch unberechtigte Dritte zu schützen. Die Mitarbeiter des Auftraggebers sind auf die Einhaltung der vorliegenden Vertragsbedingungen hinzuweisen.
   • Eventuell auf der Client-Software vorhandene Seriennummern, Urheberrechtsvermerke oder sonstige Programmidentifikationsmerkmale dürfen nicht entfernt werden. Gleiches gilt für eine Unterdrückung der Bildschirmanzeige entsprechender Merkmale.
3. Sonstige Pflichten des Auftraggebers
   • Der Auftraggeber wird die ihn zur Leistungserbringung und -abwicklung dieses Vertrages treffenden Pflichten erfüllen. Er wird insbesondere
     • geeignete Vorkehrungen treffen, um die Serversoftware sowie den Zugang zum Serverdownload vor dem unbefugten Zugriff Dritter zu schützen. Er wird dazu die ihm zugewiesenen und von ihm verwalteten Login-Daten an einem gesicherten Ort verwahren und seine Arbeitnehmer und die sonstigen zur unselbständigen Nutzung berechtigten Personen entsprechend anweisen. Sobald der Auftraggeber begründeten Verdacht für die Annahme erlangt, dass seine Kennungen von unbefugten Dritten erlangt worden sind oder missbräuchlich genutzt werden, hat er den Auftragnehmer unverzüglich hierüber zu benachrichtigen.
     • im Rahmen der Nutzung der Serversoftware alle anwendbaren Rechtsvorschriften und Gesetze beachten. Dem Auftraggeber ist es insbesondere untersagt, Inhalte zu speichern, zu übermitteln oder sonst zu veröffentlichen, die gegen Rechtsvorschriften, insbesondere gegen gewerbliche Schutz- oder Urheberrechte Dritter, verstoßen.
     • vor Nutzung der Software zur Verarbeitung von Daten diese auf Viren prüfen und dem aktuellen Stand der Technik entsprechende Virenschutzprogramme einsetzen;
     • Fehler der vertragsgegenständlichen Leistungen der Auftragnehmerin unverzüglich entsprechend Ziffer 3 der Anlage SLA (Service Level Agreement) melden und dabei angeben, wie und unter welchen Umständen der Fehler bzw. der Mangel auftritt und die Auftragnehmerin bei der Fehlersuche aktiv unterstützen;
   • Sollten Dritte gegenüber der Auftragnehmerin Ansprüche wegen der Verletzung von Pflichten des Auftraggebers nach diesem Vertrag geltend machen, stellt der Auftraggeber den Auftragnehmer von diesen Ansprüchen frei und übernimmt die Abwehr dieser Ansprüche auf eigene Kosten. Die Auftragnehmerin wird den Auftraggeber unverzüglich über die Geltendmachung solcher Ansprüche unterrichten und dem Auftraggeber die zur Abwehr der Ansprüche notwendigen Informationen zur Verfügung stellen.
   • Der Zugriff auf einen Zugang zu der Software ist jeweils nur dem hierfür registrierten Nutzer erlaubt. Ein Zugriff durch mehrere Nutzer ist nicht gestattet.
   • Verstößt der Auftraggeber gegen eine in diesem Vertrag geregelte wesentliche Pflicht, kann die Auftragnehmerin die Leistungserbringung vorübergehend einstellen, d.h. den Zugang auf die Software und die Daten sperren. Der Zugang wird erst dann wiederhergestellt, wenn der Verstoß gegen die betroffene Pflicht dauerhaft beseitigt ist. Der Auftraggeber bleibt in diesem Fall verpflichtet, die Vergütung zu zahlen.
4. Ansprüche wegen Mängeln
   • Die Auftragnehmerin gewährleistet, dass die Serversoftware während der Laufzeit dieses Vertrages die vereinbarte Beschaffenheit gemäß diesem Vertrag einschließlich der Anlagen aufweist, insbesondere die in Anlage SLA (Service Level Agreement) zugesagte Verfügbarkeit eingehalten wird.
   • Für eine Unterschreitung der zugesagten Verfügbarkeit gelten ausschließlich die Regelungen dieser Ziffer 2. Im Fall einer Unterschreitung der zugesagten Verfügbarkeit ist der Auftraggeber berechtigt, die Vergütung um die in Ziffer 2 der Anlage SLA (Service Level Agreement) genannten Prozentsätze zu mindern.
   • Für Mängel der vertragsgegenständlichen Leistungen, die nicht eine Beeinträchtigungen der Verfügbarkeit betreffen („sonstige Mängel“), haftet die Auftragnehmerin nach Maßgabe der Ziffern 4 bis 36.8.
   • Die Auftragnehmerin ist verpflichtet, sonstige Mängel innerhalb einer angemessener Frist und nach Zugang einer Mängelrüge zu beseitigen. Grundsätzlich sind nur reproduzierbare Mängel beseitigbar. Die Gewährleistung bei Mängeln der Software Dritter, die die Auftragnehmerin zur Nutzung durch den Auftraggeber lizenziert hat, ist ausgeschlossen, sofern eine Mangelbeseitigung nicht durch die Beschaffung und Einspielung von allgemein verfügbaren Upgrades, Updates und Service Packs oder durch Service Calls erbracht werden kann.
   • Wird ein Mangel aus Gründen, die die Auftragnehmerin zu vertreten hat, auch innerhalb einer vom Auftraggeber gesetzten angemessenen Frist nicht erfolgreich beseitigt, kann der Auftraggeber die vereinbarte Vergütung um einen angemessenen Betrag mindern. Das Recht der Minderung ist der Höhe nach auf die auf den mangelhaften Leistungsteil entfallende monatliche Vergütung beschränkt.
   • Der Auftraggeber wird bei der Beseitigung von sonstigen Mängeln unentgeltlich mitwirken und insbesondere alle notwendigen Unterlagen, Daten etc. zur Verfügung stellen, die die Auftragnehmerin zur Analyse und Beseitigung der Mängel benötigt.
   • Der Auftraggeber ist verpflichtet, der Auftragnehmerin alle Mängel der Software sowie jegliche bei deren Nutzung auftretende Störungen unverzüglich wie in Ziffer 3 der Anlage SLA beschrieben zu melden. Sofern durch eine fehlende oder verspätete Mitwirkungsleistung des Auftraggebers die Erfüllung der Leistungspflichten für die Auftragnehmerin unmöglich geworden ist, wird die Auftragnehmerin von ihrer Pflicht zur Leistung frei.
   • Ein Rücktrittsrecht von dem Vertrag über die laufende Nutzung der Software wegen Mängeln ist ausgeschlossen. Das Recht zur Kündigung aus wichtigem Grund bleibt hiervon unberührt.
5. Vergütung, Zahlungsbedingungen, Verzug
   • Der Auftraggeber zahlt kalenderjährlich im Voraus die im Einzelvertrag nach dem jeweils vereinbarten Nutzungsmodell vereinbarte Vergütung (12 x monatlicher Basispreis). Bei einem unterjährigen Ende des Vertrags werden die im Voraus gezahlten Gebühren anteilig zurückerstattet. Bei einem unterjährigen Beginn des Vertrags sind die anteiligen Gebühren im Voraus zu entrichten.
   • Die Auftragnehmerin ist berechtigt, die Vergütung entsprechend ihrer eigenen Kostensteigerungen zu erhöhen. Dabei darf die Vergütung ab Vertragsschluss nicht stärker als der Verbraucherpreisindex für Deutschland steigen. Eine beabsichtigte Preisanpassung ist dem Auftraggeber durch Mitteilung in Textform mindestens drei Monate vor dem Wirksamwerden der Preisanpassung anzuzeigen.
   • Zahlt der Auftraggeber nicht vereinbarungsgemäß, kann die Auftragnehmerin die Leistung verweigern, d.h. beispielsweise bei nicht unerheblichem Zahlungsverzug den Zugang des Auftraggebers zu der Software für den Zeitraum des Verzuges sperren. Der Auftraggeber bleibt in diesem Fall verpflichtet, die Vergütung zu zahlen.
6. Datenschutz und Datensicherheit
   • Die Auftragnehmerin und der Auftraggeber werden die jeweils anwendbaren Bestimmungen des Datenschutzrechts beachten und ihre im Zusammenhang mit dem Vertrag und dessen Durchführung eingesetzten Beschäftigten auf das Datengeheimnis nach § 5 Bundesdatenschutzgesetz (BDSG) verpflichten, soweit diese nicht bereits allgemein entsprechend verpflichtet sind.
   • Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten mittels der von der Auftragnehmerin nach diesem Vertrag zur Verfügung gestellten Software ist allein der Auftraggeber als verantwortliche Stelle im Sinne des BDSG verantwortlich und er steht dafür ein, dass er dazu berechtigt ist. Von Ansprüchen Dritter stellt der Auftraggeber die Auftragnehmerin gemäß Ziffer 2 frei.
   • Der Auftraggeber wird auf den Abschluss eines Vertrags über eine Auftragsdatenverarbeitung (§ 11 BDSG) nach Abschnitt C dieses Vertrags mit der Auftragnehmerin hinwirken, wenn er nicht ausschließen kann, dass die Auftragnehmerin bei der Leistungserbringung in Berührung mit personenbezogenen Daten kommt.
   • Die Auftragnehmerin verwendet personenbezogene Daten des Auftraggebers, um die Softwarenutzung zu verwalten, die Leistungen zu erbringen und abzurechnen sowie technischen Störungen vorzubeugen. Für diese Zwecke erhebt die Auftragnehmerin zusätzlich zu den persönlichen Daten weitere Nutzungsdaten, wie z.B. IP-Adresse, Datum, Uhrzeit, Browsertyp und betrachtete Seiten.
   • Der Auftraggeber trägt für die regelmäßige Sicherung seiner Daten sowie für die Ausstattung seiner Computer mit dem aktuellen Stand der Technik entsprechenden Sicherheitsvorkehrungen Sorge.
7. Laufzeit, Kündigung und Exit Management
   • Der Vertrag tritt mit der Unterzeichnung durch die Vertragsparteien in Kraft. Die Mindestmietzeit der Software im SaaS-Modell beträgt zwölf (12) Monate und beginnt mit dem Tag der betriebsfähigen Bereitstellung.
   • Das Vertragsverhältnis kann von beiden Vertragsparteien frühestens zum Ablauf der Vertragslaufzeit mit einer Frist von drei (3) Kalendermonaten gekündigt werden. Andernfalls verlängert sich der Vertrag jeweils um zwölf (12) Monate.
   • Jede Partei kann diesen Vertrag jederzeit außerordentlich aus wichtigem Grund kündigen. Ein wichtiger Grund liegt insbesondere vor, wenn

• die Erfüllung des Vertrages aus Gründen, die nicht von der kündigenden Partei zu vertreten sind, rechtlich oder tatsächlich unmöglich wird oder wirtschaftlich unvertretbar ist,
• die andere Partei ihre wesentlichen vertraglichen Verpflichtungen trotz vorheriger Abmahnung nicht innerhalb angemessener Frist erfüllt. Eine solche wesentliche Vertragsverletzung liegt vor, wenn der Auftraggeber mit einem Betrag in Zahlungsverzug ist, der zwei Monatszahlungen entspricht. Bei nur teilweiser Begleichung der Zahlungsrückstände entfällt das Kündigungsrecht nicht.
• die Erfüllung der Verpflichtungen aus diesem Vertrag aufgrund einer Vermögensverschlechterung der jeweils anderen Partei gefährdet ist. Eine Vermögensverschlechterung liegt insbesondere vor, wenn die jeweils andere Partei wiederholt mit ihren Leistungen für mehr als 10 Tage in Verzug gerät, oder wenn ein Vollstreckungsversuch bei der jeweils anderen Partei erfolglos war.
  • Gerät der Auftraggeber gemäß Ziffer 39.3 (b)in Zahlungsverzug, ist die Auftragnehmerin berechtigt, einen sofort in einer Summe fälligen, pauschalierten Schadensersatz in Höhe eines Viertels der bis zum Ablauf der regulären Vertragslaufzeit restlichen monatlichen Preise zu verlangen, soweit nicht die Auftragnehmerin einen höheren oder der Auftraggeber einen niedrigeren Schaden nachweist. Die Geltendmachung weiterer Ansprüche wegen Zahlungsverzuges bleibt der Auftragnehmerin vorbehalten.
  • Sämtliche Kündigungen bedürfen der Schriftform.
  • Die Parteien verpflichten sich, alle gegenseitig zur Verfügung gestellten Unterlagen, Schriftstücke, Aufzeichnungen oder Konzepte während der Laufzeit des Vertrages auf Anforderung, nach Beendigung des Vertrages unverzüglich unaufgefordert, zurückzugeben oder (auf Anweisung der betreffenden Partei) zu vernichten.
  • Bei Ende des Nutzungsverhältnisses, egal aus welchem Grund,
• ist der Auftraggeber nicht mehr zur Nutzung der Software berechtigt. Die dem Auftraggeber von der Auftragnehmerin nach diesen Nutzungsbedingungen eingeräumten Rechte fallen ohne weiteres an die Auftragnehmerin zurück,
• ist der Auftraggeber zur Löschung sämtlicher Zugangsdaten und eventuell ausgedruckter Dokumentation verpflichtet. Die Auftragnehmerin ist berechtigt, hierüber eine eidesstattliche Versicherung zu verlangen.
  • Im Falle einer ordentlichen Kündigung muss der Auftraggeber vor Ende des Nutzungsverhältnisses sämtliche von ihm gespeicherten Inhalte und Dateien löschen und anderweitig speichern. Der Auftraggeber kann der Auftragnehmerin den Auftrag zu einer weiteren Datenvorhaltung erteilen. Dies ist kostenpflichtig.
  • Im Falle einer außerordentlichen Kündigung werden die Daten des Auftraggebers nach Ende des Nutzungsverhältnisses noch 30 Tage so gespeichert, dass der Auftraggeber seine Daten herunterladen und anderweitig speichern kann. Nach Ablauf von 30 Tagen werden die Daten des Auftraggebers gelöscht, es sei denn, er erteilt der Auftragnehmerin den Auftrag zu einer weiteren Datenvorhaltung. Eine solche weitere Datenvorhaltung ist kostenpflichtig.

1. Änderungen
   • Die Auftragnehmerin ist berechtigt, ihre hiermit vereinbarte Leistung zu ändern, insbesondere wenn Dritte ihre Leistungen ändern. Dem Auftraggeber in Textform mitgeteilte Änderungen dieses Vertrages gelten als vom Auftraggeber akzeptiert, wenn der Auftraggeber ihrer Geltung nicht innerhalb von 6 Wochen nach Zugang der Änderungsmitteilung in Textform widerspricht. Die Auftragnehmerin wird den Auftraggeber bei Beginn der Frist auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen. Die Änderungen dieses Vertrages gelten nur dann als vom Auftraggeber akzeptiert, wenn dieser Hinweis tatsächlich erteilt worden ist. Widerspricht der Auftraggeber der Änderung fristgerecht, kann die Auftragnehmerin den Vertrag zum nächstmöglichen Zeitpunkt ordentlich kündigung oder zum Umstellungszeitpunkt kündigen, wenn eine Fortführung des Altsystems nicht möglich ist.
2. Änderung und Kompilierung
   • Dem Auftraggeber ist jedwede Rückerschließung der verschiedenen Herstellungsstufen der Client Software einschließlich einer Programmänderung untersagt; dies gilt insbesondere für eine Rückübersetzung des überlassenen Programmcodes in andere Codeform (Dekompilierung).
   • Die Entfernung eines Kopierschutzes oder ähnlicher Schutzmechanismen ist nicht zulässig.
   • Urhebervermerke, Seriennummern sowie sonstige der Programmidentifikation dienende Merkmale dürfen nicht entfernt oder verändert werden. Gleiches gilt für eine Unterdrückung der Bildschirmanzeige entsprechender Merkmale.

1. DATENSCHUTZRECHTLICHE REGELUNGEN

Sofern die Auftragnehmerin personenbezogene Daten für den Auftraggeber als verantwortliche Stelle verarbeitet, schließen die Auftragnehmerin und der Auftraggeber die nachfolgend aufgeführte Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG. Bei Widersprüchen mit anderen Teilen dieses Rahmenvertrages oder des Einzelvertrages gehen die Regelung dieses Abschnitts vor.

1. Gegenstand und Dauer des Auftrags
   • Der Gegenstand des Auftrags ist die zur Verfügungsstellung der Software im Software as a Service-Modell wie auf der Internetpräsenz der Auftragnehmerin (aqua-cloud.io) beschrieben.
   • Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.
2. Konkretisierung des Auftragsinhalts
   • Umfang, Art und Zweck der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten durch die Auftragnehmerin für den Auftraggeber sind konkret beschrieben in der Leistungsvereinbarung.
   • Die Verarbeitung und Nutzung der Daten findet im Gebiet der Bundesrepublik Deutschland statt. Jede Verlagerung in ein anderes Land wird die Auftragnehmerin dem Auftraggeber vorher anzeigen und im Fall der Verlagerung in ein Drittland außerhalb des Europäischen Wirtschaftsraums sicherstellen, dass die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.
   • Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung konkret beschrieben. Gegenstand der Erhebung, Verarbeitung und/oder Nutzung sind die Personaldaten des Auftraggebers, soweit für Softwarequalitätssicherung (insbesondere Test-, Fehler-, Projektmanagement) erforderlich.
   • Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen: Die mit einer Produktlizenz und einem Login für die Software ausgestatteten Mitarbeiter des Auftraggebers.
3. Technisch-organisatorische Maßnahmen
   • Die Auftragnehmerin hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung oder ein Audit einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
   • Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen hinsichtlich der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des Trennungsgebots (vgl. Anlage TOM). Spezielle Maßnahmen, die für einzelne Aufträge ergriffen werden, sind im jeweiligen Angebot bestimmt.
   • Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Der Auftragnehmer hat auf Anforderung die Angaben nach § 4g Abs. 2 Satz 1 BDSG dem Auftraggeber zur Verfügung zu stellen.
4. Berichtigung, Sperrung und Löschung von Daten

Die Auftragnehmerin hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an die Auftragnehmerin zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird die Auftragnehmerin dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

1. Kontrollen und sonstige Pflichten des Auftragnehmers

Die Auftragnehmerin hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags nach § 11 Abs. 4 BDSG folgende Pflichten:

• Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann.
• Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
• Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG und Anlage.
• Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach § 38 BDSG. Dies gilt auch, soweit eine zuständige Behörde nach §§ 43, 44 BDSG beim Auftragnehmer ermittelt.
• Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.
• Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) vorlegen.

1. Unterauftragsverhältnisse
   • Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers Unterauftragnehmer einbezogen werden sollen, ist dies zulässig, wenn
     • die Einschaltung eines Unterauftragnehmers dem Auftraggeber angezeigt wurde und dieser nicht unverzüglich widersprochen hat. Ein Widerspruch ist schriftlich zu erklären und kann nur auf datenschutzrechtliche wichtige Gründe gestützt werden.
     • die Auftragnehmerin die vertraglichen Vereinbarungen mit dem Unterauftragnehmer so gestaltet, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmerin entsprechen.
     • bei der Unterbeauftragung dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung und des § 11 BDSG i.V.m. Nr. 6 der Anlage zu § 9 BDSG beim Unterauftragnehmer eingeräumt werden. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
   • Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die die Auftragnehmerin bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte oder die Entsorgung von Datenträgern. Die Auftragnehmerin ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
2. Kontrollrechte des Auftraggebers
   • Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu § 9 BDSG vorgesehene Auftragskontrolle im Benehmen mit der Auftragnehmerin durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch die Auftragnehmerin in dessen Geschäftsbetrieb zu überzeugen. Die Auftragnehmerin verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.
   • Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt die Auftragnehmerin sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist die Auftragnehmerin dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
3. Mitteilung bei Verstößen der Auftragnehmerin
   • Die Auftragnehmerin erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch sie oder die bei ihr beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.
   • Es ist bekannt, dass nach § 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Die Auftragnehmerin hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Pflichten nach § 42a BDSG treffen, hat die Auftragnehmerin ihn hierbei zu unterstützen.
4. Weisungsbefugnis des Auftraggebers
   • Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers (vgl. § 11 Abs. 3 Satz 1 BDSG). Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Kosten, die dem Auftragnehmer durch Weisungen des Auftraggebers entstehen, sind vom Auftraggeber zu ersetzen. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
   • Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Die Auftragnehmerin verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
   • Die Auftragnehmerin hat den Auftraggeber unverzüglich entsprechend § 11 Abs. 3 Satz 2 BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Die Auftragnehmerin ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
5. Löschung von Daten und Rückgabe von Datenträgern
   • Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat die Auftragnehmerin sämtliche in ihren Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen und personenbezogene Daten betreffen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
   • Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch die Auftragnehmerin entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Sie kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

1. ANLAGEN

• Anlage TOM: Technische und Organisatorische Maßnahmen
• Anlage Leistungsbeschreibung Software as a Service
• Anlage SLA: Service Level Agreement
• Anlage TOM: Technische und Organisatorische Maßnahmen Software as a Service

• Anlage TOM
  Technische und organisatorische Maßnahmen

Nachfolgenden sind die Maßnahmen zur Umsetzung und Einhaltung der Vorgaben des § 9 und der Anlage zu § 9 des Bundesdatenschutzgesetzes konkret beschrieben.

1. ZutrittskontrolleUnbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zutrittskontrolle getroffen:

• Chipkarten-/Transponder-Schließsystem
• Personenkontrolle beim Empfang
• Festlegung zutrittsberechtigter Personen

1. Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugangskontrolle getroffen:

• Zuordnung von Benutzerrechten
• Passwortvergabe
• Authentifikation mit Benutzername / Passwort
• Einsatz von Anti-Viren-Software
• Einsatz einer Hardware-Firewall
• Erstellen von Benutzerprofilen
• Einsatz von VPN-Technologie

1. Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich innerhalb ihrer eingeräumten Berechtigung tätig sind und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugriffskontrolle getroffen:

• Berechtigungskonzept
• Anzahl der Administratoren auf das „Notwendigste“ reduziert
• Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
• Einsatz von Aktenvernichtern bzw. Dienstleistern
• Verwaltung der Rechte durch Systemadministrator
• Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel

1. Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Weitergabekontrolle getroffen:

• Verwendung von VPN-Tunneln
• Weitergabe nur über verschlüsselte Kanäle (https)

1. Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Eingabekontrolle getroffen:

• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

1. Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Auftragskontrolle getroffen:

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)

1. Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Verfügbarkeitskontrolle getroffen:

• Unterbrechungsfreie Stromversorgung (USV)
• Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
• Feuer- und Rauchmeldeanlagen
• Klimaanlage in Serverräumen
• Schutzsteckdosenleisten in Serverräumen
• Backup- & Recoverykonzept
• Serverräume nicht unter sanitären Anlagen

1. Trennungsgebot

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zweckbindungskontrolle getroffen:

• Erstellung eines Berechtigungskonzepts
• Festlegung von Datenbankrechten
• Logische Mandantentrennung (softwareseitig)
• Trennung von Produktiv- und Testsystem

Leistungsbeschreibung Software as a Service-Modell

1. Funktionalitäten der Software

Die Qualitätssicherungssuite aqua dient zur Unterstützung der Planung, Durchführung und Qualitätssicherung von IT und Softwareprojekten.

Folgende Module und Funktionalitäten sind in Abhängigkeit der Lizenz (siehe Homepage) enthalten:

• Anforderungsmanagement: Anforderungen können verwaltet, hierarchisch organisiert und mit weiteren Objekten verbunden werden. Es ist ein UML Editor integriert, der die Erstellung eines Ablaufdiagrammes zu jeder Anforderung zulässt.
• Fehlerverwaltung: Fehler können aufgenommen und verwaltet werden.
• Testfallverwaltung: Testfälle können aufgenommen, verwaltet und ausgeführt werden. Testfälle können automatisch aus validen UML Ablaufdiagrammen generiert werden.
• Projektplaner: Projektpläne können erstellt werden und bestehende Anforderungen, Fehler oder Testfälle enthalten.
• E-Mail-Benachrichtigung: Benutzer können über Änderungen an Anforderungen, Fehlern, Testfällen und Testszenarien automatisch per E-Mail benachrichtigt werden.
• Traceability: Beziehungen zwischen Anforderungen, Fehlern, Testfällen und Testszenarien können angelegt, grafisch repräsentiert und zur Navigation genutzt werden.
• Reporting: Es lassen sich konfigurierbare Berichte zu den im Projekt enthaltenen Anforderungen, Fehlern, Testfällen und Testszenarien generieren.
• Dashboards: Es lassen sich Projektinformationen über konfigurierbare Kuchendiagramme, Balkendiagramme oder Tabellen visualisieren.
• Benutzerverwaltung: Nutzer können angelegt, Projekten zugewiesen und mit Zugriffseinschränkungen belegt werden.
• Projektkonfiguration: Es lassen sich pro Projekt für Anforderungen, Fehler, Testfälle & Testszenarien die grafischen Oberflächen und verwalteten Felder konfigurieren.
• Export & Import:
  • Anforderungen, Fehler, Testfälle und Testszenarien können in das Format .XLS exportiert werden.
  • Anforderungen, Fehler, Testfälle und Testszenarien können aus dem Format .XLS importiert werden.
• Views: Es lassen sich Sichten auf Listen von Anforderungen, Fehlern, Testfällen und Testszenarien definieren.

1. Zugangsberechtigung

Die Auftragnehmerin stellt dem Auftraggeber für den Zugang zur Software die Client-Software aqua Client gemäß Ziffer 32.1 des Rahmenvertrags zur Verfügung. Zum Einloggen in die Software erhält der Auftraggeber am Bereitstellungsdatum die Zugangsdaten und die Adresse des aqua Server.

Der Auftraggeber ist zur Nutzung der Software gemäß Ziffer 34 des Rahmenvertrags berechtigt. Er benennt einen Administrator, der für die Verwaltung der aqua Benutzer zuständig ist. Der Auftraggeber kann selbstständig neue aqua Benutzer anlegen, sofern dies von dem im Einzelvertrag vereinbarten Nutzungsmodell gedeckt ist. Außerdem ist der Auftraggeber zuständig für die Aktivierung und Deaktivierung von aqua Benutzern. Das Deaktivieren eines aqua Benutzers bewirkt, dass sich der Nutzer nicht mehr an der Software anmelden kann. Die Deaktivierung hat keine Auswirkungen auf die Daten des Nutzers in der Software.

1. Datensicherung

Es greifen mehrere Maßnahmen, um eine möglichst hohe Sicherheit der mittels der aqua Quality Suite erstellten Daten sowie sicheren Betrieb zu gewährleisten. Das folgende Datensicherungskonzept der Auftragnehmerin besteht dabei unabhängig von der Pflicht des Auftraggebers, seine Daten regelmäßig zu sichern (Ziffer 38.5 Rahmenvertrag).

• Datensicherungskonzept
  • Art und Umfang der zu sichernden Daten

Es werden sowohl die mittels aqua verwalteten Daten gesichert, als auch die zum Betrieb des aqua Server benötigten Daten.

• Sicherung von Daten des Auftraggebers

Gesichert wird die dem aqua System zugrundeliegende Datenbank. Diese beinhaltet sämtliche Nutzdaten, die durch aqua generiert wurden. Dieses schließt alle importierten oder durch den Auftraggeber erstellten Elemente (Anforderungen, Fehler, Testfälle, Testszenarios und Skripte) sowie Reports, Benutzerkonten, Filter und Testdurchführungen ein.

Die Datenbank wird täglich automatisiert gesichert. Der Erfolg der Sicherung wird regelmäßig kontrolliert.

Datenbankbackups werden für mindestens fünf (5) Tage vorgehalten, sodass bei Bedarf auch ein bestimmtes Backup wiederhergestellt werden kann.

• Sicherung der Software und Konfiguration

Die zweite Komponente des Backups ist die grundlegende aqua-Konfiguration, sowie alle zur aqua-Installation gehörigen Dateien. Diese werden, wie die Datenbank, jede Nacht gesichert und in einer Historie über die letzten fünf (5) Tage vorgehalten. Auch hier wird der Erfolg der Sicherungen überwacht.

• Sicherheit der Sicherung

Jede der Backup-Komponenten wird auf einem vom Server unabhängigen Speicherort abgelegt. Eine zusätzliche Sicherung auf einen weiteren externen Speicherort ist gegen Aufpreis möglich.

• Online-/ Offlinezeiten

Das Backup der Datenbank und der aqua-Konfigurationsdateien ist im laufenden Betrieb möglich. Hier sind keine Auswirkungen auf die Verfügbarkeit zu befürchten.

• Zeitpunkt der Löschung der gesicherten Daten

Nach Ablauf der Frist zum Vorhalten (5 Tage) werden die Daten automatisch überschrieben. Ein zusätzliches Löschen ist bei Bedarf über den Support möglich.

• Vertraulichkeit/Zugriff

Unser Support hat stets Zugriff auf das Betriebssystem, sowie die grundlegenden aqua-Konfigurationsdaten.

Zugriff auf die Datenbank ist technisch möglich, unterliegt aber der in Ziffer 9 des Rahmenvertrags geregelten Vertraulichkeit. Im Allgemeinen wird nur – falls notwendig – zum Beheben von Supportanfragen mit Zustimmung des Auftraggebers auf die Daten zugegriffen.

Auf Wunsch können die Sicherungen der Datenbank verschlüsselt gespeichert werden, sodass auch im Falle eines Diebstahls die Datenbank nicht einsehbar ist.

• Archivierungspflichten

Vom vertraglichen Leistungsumfang nicht erfasst ist die der Einhaltung von Archivierungspflichten, z.B. handelsrechtlicher oder steuerlicher Art dienende längerfristige Datensicherung, für die der Auftraggeber gegebenenfalls verantwortlich ist.

Anlage SLA
Service Level Agreement

1. Verfügbarkeit der Serversoftware
   • Die Auftragnehmerin stellt dem Auftraggeber die Serversoftware mit einer Verfügbarkeit von 99% im Monatsmittel bereit.
   • Die Verfügbarkeit gilt nicht als eingeschränkt, wenn sie aufgrund von

• kundeneigenen mit dem SaaS-System verknüpften Systemen gestört ist.
• planbaren Wartungsarbeiten stattfinden. Geplante Wartungsarbeiten werden mit einer Vorlaufzeit von mindestens 72 Stunden bekannt gegeben. Bei dringenden Wartungsarbeiten – insbesondere aufgrund sicherheitsrelevanter Mängel – sind kürzere Vorlaufzeiten möglich.
• unplanmäßigen Wartungszeiten, die nicht durch eine schuldhafte Verletzung der rechtlichen Verpflichtung von der Auftragnehmerin verursacht wurden, stattfinden. Unplanmäßige Wartungszeit ist die Zeit, in der Wartungsarbeiten durchgeführt werden, die zur Aufrechterhaltung des ordnungsgemäßen Betriebs der Software und des Servers oder aufgrund aktueller Sicherheitslücken, die die Dienste der Auftragnehmerin beeinträchtigen oder beeinträchtigen könnten, unverzüglich erforderlich sind. Die Auftragnehmerin unternimmt jede Anstrengung, um die Notwendigkeit solcher unplanmäßigen Wartungsarbeiten mittels regelmäßiger Wartung und Pflege zu minimieren.
  • Der Auftraggeber ist für seine Anbindung an das Internet einschließlich der erforderlichen Datenübertragungsraten selbst verantwortlich. Der Übergabepunkt der Software ist die externe Firewall der Auftragnehmerin, die mit dem Internet verbunden ist. Der Auftraggeber hat eigenverantwortlich für die Erfüllung der in Ziffer 8 beschriebenen Systemvoraussetzungen Sorge zu tragen.
  • Messzeitraum für die geplante Verfügbarkeit ist jeweils ein Kalendermonat. Die Messung der Verfügbarkeit des SaaS-Systems erfolgt durch den regelmäßigen Aufruf eines Selbsttests von einem externen Monitoringsystem. Das SaaS-System muss diesen Aufruf in einer definierten Zeit mit einer definierten Meldung beantworten. Die Auftragnehmerin stellt dem Auftraggeber die Messprotokolle auf Anfrage zur Verfügung.
  • Geplante Nichtverfügbarkeiten aufgrund von Wartungsarbeiten werden dem Auftraggeber per E-Mail oder telefonisch mitgeteilt. Die Auftragnehmerin ist stets bemüht Nichtverfügbarkeiten zu vermeiden. Bei wichtigen Gründen wird der Auftraggeber seine Zustimmung nicht unbillig verweigern.

1. Minderung und Schadensersatz
   • Wird die nach Ziffer 1 vereinbarte geplante Verfügbarkeit in einem Monat nicht erreicht, hat der Auftraggeber das Recht, die vereinbarte Vergütung für den entsprechenden Monat wie folgt zu mindern:

• bei einer Verfügbarkeit kleiner als 99% und bis 98,5% um 5% Prozent;
• bei einer Verfügbarkeit kleiner als 98,5% und bis zu 98% um 10% Prozent;
• bei einer Verfügbarkeit kleiner als 98% und bis zu 95% um 25 Prozent.

Beträgt die Verfügbarkeit in einem Monat weniger als 95 %, wird die hiermit einhergehende Tauglichkeitsminderung der Serversoftware einzelfallbezogen ermittelt und die vereinbarte Vergütung proportional herabgesetzt.

• Die Minderung ist ausgeschlossen im Fall von unwesentlichen Mängeln der in Ziffer 1 und 4.3 beschriebenen Fehlerklassen 2 und 3.
• Bei einem schuldhaften Verstoß der Auftragnehmerin gegen das vereinbarte Service Level kann der Auftraggeber Ersatz des hierdurch nachweisbar entstehenden Schadens verlangen.

1. Störungsmeldungen
   • Es obliegt dem Auftraggeber, der Auftragnehmerin eine Unterschreitung der geplanten Verfügbarkeit unverzüglich zu melden. Die Auftragnehmerin nimmt solche Störungsmeldungen per E-Mail oder telefonisch auf:

• Telefon: +49 (0)221 – 474410120
• E-Mail: aqua-support@andagon.com
  • Die Auftragnehmerin nimmt Störungsmeldungen hinsichtlich sonstiger Mängel per E-Mail (aqua-support@andagon.com) Ordnungsgemäße Meldungen werden einschließlich der vollständigen Bearbeitungshistorie in einem Help-Desk-System dokumentiert und mit einem Ticket versehen.
  • Eine Reaktion der Auftragnehmerin erfolgt entsprechend der unter 1 genannten Reaktionszeit innerhalb folgender Wartungszeiten: Montag bis Freitag von 9.00 bis 17.00 Uhr, mit Ausnahme der gesetzlichen Feiertage in Nordrhein-Westfalen, Rosenmontag sowie dem 24.12. und dem 31.12 eines jeden Jahres (nachfolgend „Wartungszeit“).

1. Fehlerbeseitigung
   • Die Auftragnehmerin verpflichtet sich, innerhalb der nachfolgend beschriebenen Reaktionszeiten auf Fehlermeldungen zu reagieren und den Auftraggeber über die vorläufige Fehleranalyse und mögliche Umgehungsschritte zur Soforthilfe zu informieren.

Fehlerkategorie Fehlerklassen* Reaktionszeit Fehlerkategorie 1 Schwerer Fehler 12 Stunden Fehlerkategorie 2 Mittlerer Fehler 40 Stunden Fehlerkategorie 3 Leichter Fehler Keine Garantie *Die in dieser Tabelle verwandten Fehlerklassen werden in Ziffer 4.3 definiert.

• Die Reaktionszeit läuft ab dem Eingang der Fehlermeldung bei der Auftragnehmerin. Die Fehlermeldung hat zumindest die betroffene Programmkomponente, die vorgenommenen Eingaben, die aktuelle Umgebungssoftware und die Reaktion der Software zu umfassen und muss gemäß Ziffer 3 Die Reaktionszeit läuft nur während der Wartungszeit ab. Außerhalb der Wartungszeit eingehende Meldungen gelten als zu Beginn des nächsten Wartungszeitraums eingegangen. Die Reaktionszeit endet mit der Rückmeldung beim Auftraggeber.
• Die Einordnung eines Fehlers in die Fehlerkategorien hat wie folgt zu erfolgen:
  • Ein „schwerer Fehler“ liegt vor, wenn eine wichtige Funktionalität einer Programmkomponente oder das Gesamtsystem so erheblich gestört ist, dass die wesentliche Funktionalität oder das Gesamtsystem nicht oder nur unter unzumutbarem Aufwand genutzt werden kann.
  • Ein „mittlerer Fehler“ liegt vor, wenn eine Funktionalität einer Programmkomponente beeinträchtigt ist, das Gesamtsystem aber ansonsten weiterhin genutzt werden kann, ohne dass im täglichen Geschäftsablauf unzumutbarer Aufwand zur Umgehung des Fehlers notwendig ist.
  • Ein „leichter Fehler“ liegt vor, wenn ein Fehler sich lediglich auf das Layout auswirkt oder keine wesentlichen Auswirkungen auf eine Funktionalität einer Programmkomponente hat, so dass die Programmkomponente und das Gesamtsystem wie vorgesehen genutzt werden können.
  • Können sich die Auftragnehmerin und der Kunde nicht auf die Zuordnung eines Fehlers zu einer Kategorie einigen, ist der Fehler im Zweifel der leichteren Fehlerkategorie zuzuordnen.
• Der Auftraggeber benennt zwei oder drei Kontaktpersonen, über die alle Störungen an die Auftragnehmerin gemeldet werden. Störungsmeldungen erfolgen ausschließlich und unverzüglich durch diese Mitarbeiter des Eigensupports des Auftraggebers. Sie müssen die Störung möglichst präzise beschreiben und auf Wunsch der Auftragnehmerin im Rahmen der betrieblichen, technischen und personellen Möglichkeiten die Systemfehlermeldungen, Testergebnisse, und andere zur Veranschaulichung des Mangels geeigneten Unterlagen zur Verfügung stellen und für weitere Auskünfte bereitstehen.

1. Help Desk

Der Kunde hat die Möglichkeit Benutzerunterstützung über eine Help-Desk Hotline (+49 (0)221 – 474410190) zu erhalten. Der Help-Desk ist immer kostenpflichtig. Hierunter fällt auch die Lösung von Anwenderfehlern. Für jede angefangene Viertelstunde werden 32,50 € berechnet. Der Help-Desk ist erreichbar Montags-Freitags 09:00 – 17:00 Uhr, mit Ausnahme der gesetzlichen Feiertage in Nordrhein-Westfalen, Rosenmontag sowie dem 24.12. und dem 31.12 eines jeden Jahres.

Die Abrechnung des Help-Desk erfolgt über eine monatliche Rechnung. Der Rechnung wird ein entsprechender Nachweis über die in Anspruch genommenen Leistungen beigefügt.

1. Grenzen des Supports
   • Nicht unter die von der Auftragnehmerin zu verantwortenden Supportleistungen zur Fehlerbehebung gemäß dieser Anlage fallen Störungen, die nicht auf Fehlfunktionen der Software zurückzuführen sind, z.B.

• Störungen von Systemen des Auftraggebers oder Dritter, die sich auf die Software auswirken, z.B. nicht zu erreichende Server oder lange Antwortzeit von Servern, welche Inhalte liefern, die durch die Software weiterverarbeitet werden;
• Störungen der Netzwerkinfrastruktur des Internet;
• Bedienungsfehler des Auftraggebers.
  • Erbringt die Auftragnehmerin Leistungen nach Ziffer 6.1 aufgrund einer falschen Fehlermeldung des Auftraggebers, steht es der Auftragnehmerin frei, die Leistungen nach Ziffer 5 (Help Desk) abzurechnen.

1. Verantwortlichkeiten und Mitwirkungspflichten des Auftraggebers
   • Der Auftraggeber ist verpflichtet, innerhalb seines Unternehmens dieses Service Level Agreement allen beteiligten Personen bekannt zu machen und seine Einhaltung, insbesondere im Hinblick auf ordnungsgemäße Fehlermeldungen, sicherzustellen.
   • Außerdem ist es die Pflicht des Auftraggebers, Änderungen, die Einfluss auf die Erbringung von Leistungen des Auftragnehmers nach diesem Service Level Agreements haben oder haben könnten, der Auftragnehmerin unverzüglich mitzuteilen.
   • Der Auftraggeber unterstützt die Auftragnehmerin in jeder Hinsicht bei der Fehlerbeseitigung.
2. Kundenseitige Voraussetzungen für die Leistungserbringung
   • Netzwerkvoraussetzungen

Der Zugriff auf die Serversoftware erfolgt über das Internet. Die Voraussetzungen für die Nutzung sind die störungsfreie Nutzung der Protokolle TCP/IP sowie http und https zu dem aqua Server. Für seine Anbindung an das Internet einschließlich der erforderlichen Datenübertragungsraten ist der Auftraggeber selbst verantwortlich.

• Client-Software aqua Client

Für die Installation und den Betrieb des aqua Clients wird die Erfüllung der auf der Internetpräsenz der Auftragnehmerin http://aquawiki.andagon.com/system_requirements.html beschriebenen Systemvoraussetzungen vorausgesetzt.

Anlage TOM
Technische und Organisatorische Maßnahmen für SaaS

Nachfolgenden sind die Maßnahmen zur Umsetzung und Einhaltung der Vorgaben des § 9 und der Anlage zu § 9 des Bundesdatenschutzgesetzes konkret beschrieben.

1. ZutrittskontrolleUnbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zutrittskontrolle getroffen:
   • Maßnahmen bei andagon

• Chipkarten-/Transponder-Schließsystem
• Personenkontrolle beim Empfang
• Festlegung zutrittsberechtigter Personen
  • Maßnahmen im Rechenzentrum
• Festlegung von Sicherheitsbereichen
• Realisierung eines wirksamen Zutrittsschutzes
• Festlegung zutrittsberechtigter Personen
• Protokollierung des Zutritts
• Verwaltung und Dokumentation von personengebundenen Zutrittsberechtigungen über den gesamten Lebenszyklus
• Begleitung von Besuchern und Fremdpersonal
• Überwachung der Räume außerhalb der Betriebszeiten

1. Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugangskontrolle getroffen:

• Maßnahmen bei andagon

• Zuordnung von Benutzerrechten
• Passwortvergabe
• Authentifikation mit Benutzername / Passwort
• Einsatz von Anti-Viren-Software
• Einsatz einer Hardware-Firewall
• Erstellen von Benutzerprofilen
• Einsatz von VPN-Technologie
  • Maßnahmen im Rechenzentrum
• Festlegung des Schutzbedarfs
• Festlegung befugter Personen
• Zugangsschutz (Authentisierung)
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung oder einfache Authentisierung je nach Schutzbedarf
• Protokollierung des Zugangs
• Gesicherte Übertragung von Authentisierungsgeheimnissen (Credentials) im Netzwerk
• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen
• Automatische oder manuelle Zugangssperre
• Durchführung von Datenkryptierungen bei Laptops

1. Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich innerhalb ihrer eingeräumten Berechtigung tätig sind und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zugriffskontrolle getroffen:

• Maßnahmen bei andagon

• Berechtigungskonzept
• Anzahl der Administratoren auf das „Notwendigste“ reduziert
• Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
• Einsatz von Aktenvernichtern bzw. Dienstleistern
• Verwaltung der Rechte durch Systemadministrator
• Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Maßnahmen im Rechenzentrum
• Berechtigungskonzepte
• Umsetzung von Zugriffsbeschränkungen
• Vergabe minimaler Berechtigungen
• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
• Vermeidung der Konzentration von Funktionen

1. Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Weitergabekontrolle getroffen:

• Maßnahmen bei andagon

• Verwendung von VPN-Tunneln
• Weitergabe nur über verschlüsselte Kanäle (https)
  • Maßnahmen im Rechenzentrum
• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
• Sichere Datenübertragung zwischen Server und Client
• Risikominimierung durch Netzseparierung
• Implementation von Sicherheitsgateways an den Netzübergabepunkten
• Härtung der Backendsysteme
• Beschreibung aller Schnittstellen und der übermittelten personenbezogenen Datenfelder
• Umsetzung einer Maschine-Maschine-Authentisierung
• Sichere Ablage von Daten, inkl. Backups
• Prozess zur Sammlung und Entsorgung
• Einführung datenschutzgerechter Lösch- und Zerstörungsverfahren
• Führung von Löschprotokollen

1. Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Eingabekontrolle getroffen:

• Maßnahmen bei andagon

• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Maßnahmen im Rechenzentrum
• Protokollierung der Eingaben
• Dokumentation der Eingabeberechtigungen

1. Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Auftragskontrolle getroffen:

• Maßnahmen bei andagon

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)

• Maßnahmen im Rechenzentrum

• Abschluss eines Vertrags zur Auftragsdatenverarbeitung (ADV)
• Protokollierung der Auftragsausführung durch den Auftragnehmer

1. Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Verfügbarkeitskontrolle getroffen:

• Maßnahmen bei andagon

• Unterbrechungsfreie Stromversorgung (USV)
• Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
• Feuer- und Rauchmeldeanlagen
• Klimaanlage in Serverräumen
• Schutzsteckdosenleisten in Serverräumen
• Backup- & Recoverykonzept
• Serverräume nicht unter sanitären Anlagen
  • Maßnahmen im Rechenzentrum
• Vorhandensein und Umsetzung eines Konzeptes zur Durchführung von regelmäßigen Datensicherungen
• Vorhandensein und regelmäßige Prüfung von Notstromaggregaten und Überspannungsschutzeinrichtungen
• Überwachung der Betriebsparameter von Rechenzentren
• Vorhandensein eines Notfallkonzeptes
• Regelungen zur Aufnahme eines Krisen bzw. Notfallmanagements

1. Trennungsgebot

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Der Auftragnehmer hat folgende konkrete Maßnahmen zur Zweckbindungskontrolle getroffen:

• Maßnahmen bei andagon

• Erstellung eines Berechtigungskonzepts
• Festlegung von Datenbankrechten
• Logische Mandantentrennung (softwareseitig)
• Trennung von Produktiv- und Testsystem
  • Maßnahmen im Rechenzentrum
• Vorhandensein von Richtlinien und Arbeitsanweisungen
• Vorhandensein von Verfahrensdokumentation
• Umsetzung von Regelungen zur Programmierung
• Regelungen zur System- und Programmprüfung
• Umsetzung eines Abstimm- und Kontrollsystems