Allgemeine Geschäfts­bedingungen

Präambel

Diese AGB regeln das rechtliche Verhältnis in Bezug auf die Nutzung von Dienstleistungen zwischen der Logicc GmbH ("Logicc") und dem Kunden (Logicc und der Kunde zusammen die "Parteien").

Diese AGB werden durch die Bestimmungen in separaten Dokumenten ergänzt, auf die in diesen AGB Bezug genommen wird, wie z. B. die Vereinbarung zur Auftragsverarbeitung („AVV“) und die Angaben im Bestellvorgang, die in der Auftragsbestätigung dokumentiert sind. Im Falle eines Widerspruchs zwischen diesen Dokumenten gilt die folgende Vorrangregelung: AVV, Angaben in der Auftragsbestätigung, diese AGB.

1. Definitionen

1.1 "Autorisierter Benutzer"

bezeichnet jede Person beim Kunden, der der Kunde Zugang zur Nutzung der Dienstleistungen in Übereinstimmung mit diesen AGB gewähren kann.

1.2 "Autorisiertes Volumen"

bezeichnet die Nutzungsparameter und -grenzen für die Nutzung der Plattform gemäß Leistungsbeschreibung.

1.3 "Vertrauliche Informationen"

bezeichnet alle Informationen, Dokumente und Dateien, die von einer Partei gegenüber der anderen Partei in schriftlicher, elektronischer, mündlicher oder sonstiger Form offengelegt werden, und die von der offenlegenden Partei als vertraulich gekennzeichnet werden oder ihrer Natur nach als vertraulich zu behandeln sind.

1.4 "Kunde"

bezeichnet die Person oder Gesellschaft, die im jeweiligen Bestellvorgang als Kunde angegeben wird.

1.5 "Kundendaten"

bezeichnet alle Daten, die im Rahmen der Nutzung der Dienstleistungen verarbeitet werden.

1.6 "Dokumentation"

bezeichnet die anwendbare technische und funktionale Dokumentation in Bezug auf die von Logicc bereitgestellten Dienstleistungen, einschließlich der technischen und funktionalen Spezifikationen, die von Zeit zu Zeit in Übereinstimmung mit diesen AGB aktualisiert werden.

1.7 "Datum des Inkrafttretens"

bezeichnet den Beginn der Laufzeit durch die Versendung der Auftragsbestätigung durch Logicc.

1.8 "Geistiges Eigentum"

bezeichnet ohne Einschränkung alle Patente und sonstigen Rechte an Erfindungen, Urheberrechte, Marken, eingetragene Muster und sonstige gewerbliche Schutzrechte sowie alle damit verbundenen Verwertungs- und Nutzungsrechte.

1.9 "Dienstleistungen"

bezeichnet die (i) die Vermittlung des Zugriffs auf KI-Anwendungen und das Hosting entsprechender Daten über die Plattform sowie (ii) Beratungsleistungen, die dem Kunden unter Geltung dieser AGB zur Verfügung gestellt werden können. Die Dienstleistungen sind in der Leistungsbeschreibung auf der Website von Logicc unter www.logicc.com beschrieben und werden in der Auftragsbestätigung näher spezifiziert.

1.10 "Plattform"

bezeichnet die Online-Plattform, über die dem Kunden der Zugriff auf KI-Anwendungen Dritter eröffnet wird und auf der die Kundendaten gehostet werden.

1.11 "Laufzeit"

bedeutet die ursprüngliche Vertragslaufzeit und ggf. jede Verlängerungslaufzeit wie in der Auftragsbestätigung bestimmt.

2. Allgemeine Regelungen

2.1 Die Dienstleistungen von Logicc richten sich ausschließlich an Geschäftskunden. Verbrauchern bzw. natürlichen Personen jenseits ihrer gewerblichen oder beruflichen Tätigkeit bietet Logicc die Dienstleistungen nicht an, deren Nutzung der Dienstleistungen ist nicht zulässig.

2.2 Allgemeinen Geschäftsbedingungen des Kunden wird widersprochen. Sie werden nur dann und insoweit Vertragsbestandteil, wie Logicc ihrer Geltung ausdrücklich schriftlich zugestimmt hat.

2.3 Durch Abschließen des Bestellvorgangs gibt der Kunde eine verbindliche Bestellung ab. Der Vertrag unter Geltung dieser AGB kommt mit der Versendung der Auftragsbestätigung durch Logicc zustande. Die Frist für die Annahme beträgt fünf Werktage. Nimmt Logicc das Angebot des Kunden nicht innerhalb dieser Frist an, ist der Kunde nicht mehr an sein Angebot gebunden.

2.4 Logicc kann dem Kunden bei Verfügbarkeit eine Erweiterung des Leistungsumfangs anbieten. Dem Kunden steht es dann frei, eine ergänzende Bestellung vorzunehmen und den bestehenden Vertrag damit zu erweitern. Es gelten die vorstehenden Regelungen zum Vertragsschluss entsprechend.

2.5 Die Vereinbarung von Eigenschaften oder sonstige Beschreibungen der Leistungsfähigkeit der Dienstleistungen gelten nur dann und insoweit als Garantie im Rechtssinne, wie diese ausdrücklich und schriftlich in einer gesonderten Garantieurkunde zu dieser Vereinbarung als Garantie bezeichnet werden.

2.6 Der Kunde ist verpflichtet, die erforderlichen Vorkehrungen zu treffen und technischen Voraussetzungen zu schaffen, um Logicc die Erbringung der Dienstleistungen zu ermöglichen.

2.7 Der Kunde ist verpflichtet, in seiner Rolle als Verantwortlicher für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Hostings und des Zugriffs auf KI-Anwendungen auf der Plattform die autorisierten Nutzer und anderen Betroffenen gemäß den Regelungen des anwendbaren Datenschutzrechts über die Verarbeitung zu informieren. Logicc agiert insofern in der Rolle als Auftragsverarbeiter unter der AVV.

3. Kundenkonto und autorisierte Nutzer

3.1 Der Kunde muss ein Konto anlegen, um auf die Plattform zuzugreifen. Der Kunde verpflichtet sich, seine Kontoinformationen stets aktuell, korrekt und vollständig zu halten. Der Kunde ist für die Wahrung der Vertraulichkeit der Anmeldeinformationen verantwortlich und wird Logicc unverzüglich über jeden Verlust, Missbrauch oder jede unbefugte Offenlegung solcher Anmeldeinformationen informieren, sobald der Kunde davon Kenntnis erlangt. Logicc haftet nicht für Schäden oder Verluste, die sich aus der Verletzung der vorgenannten Verpflichtungen durch den Kunden ergeben.

3.2 Die maximale Anzahl der vom Kunden lizenzierten Nutzerkonten ist in der Auftragsbestätigung angegeben (soweit der Zugriff auf die Plattform über Nutzerkonten erfolgen soll und kein Direktzugriff per API vereinbart wurde). Die autorisierten Nutzer umfassen nur (i) Mitarbeiter des Kunden und (ii) Dienstleister des Kunden, die nicht mit Logicc konkurrieren und die die Plattform am Geschäftssitz des Kunden oder in Anwesenheit der Mitarbeiter des Kunden nutzen dürfen. Der Kunde ist dafür verantwortlich, dass der Zugang zu einem Nutzerkonto nicht parallel und/oder von mehreren Nutzern genutzt wird.

3.3 Der Kunde ist verpflichtet, seine autorisierten Nutzer vor Beginn der Nutzung der Softwarelösung über die in diesen AGB vereinbarten Rechte und Pflichten zu informieren. Der Kunde haftet für Pflichtverletzungen seiner autorisierten Nutzer oder sonstiger Dritter, die im Einflussbereich des Kunden liegende Pflichten unter diesen AGB verletzen.

4. Nicht erlaubte Nutzungen

4.1 Außer in dem Umfang, der nach diesen AGB ausdrücklich erlaubt oder gesetzlich vorgeschrieben ist, unterliegt die unter diesen AGB gewährte Lizenz den folgenden Beschränkungen:

  • der Kunde darf nicht das autorisierte Volumen überschreiten oder Funktionen der Plattform nutzen, die von seiner Bestellung nicht umfasst sind,
  • der Kunde darf keinem unbefugten Dritten den Zugang zur Plattform oder deren Nutzung gestatten,
  • der Kunde darf die Plattform nicht zur Erbringung von Dienstleistungen für Dritte verwenden, sofern in diesen AGB nichts anderes bestimmt ist,
  • der Kunde darf keine Änderungen an der Plattform vornehmen, es sei denn, dies ist nach Maßgabe der Dokumentation erlaubt; und
  • der Kunde wird weder direkt noch indirekt den Quellcode, den Objektcode oder die zugrundeliegende Struktur, die Ideen, das Know-how oder die Algorithmen, die für die Plattform relevant sind, zurückentwickeln, dekompilieren, disassemblieren oder anderweitig versuchen, auf diese Informationen Zugriff zu erhalten, soweit nicht gesetzlich erlaubt.

4.2 Der Kunde erklärt sich damit einverstanden, die Plattform nicht dafür zu nutzen,

  • Daten im Namen Dritter zu verarbeiten, die nicht zu den autorisierten Nutzern des Kunden gehören;
  • unaufgeforderte Mitteilungen, Junk-Mails, Spam oder andere Formen unaufgeforderten Nachrichten zu versenden, die gegen Spamming oder andere Gesetze verstoßen;
  • rechtswidriges Verhalten durchzuführen, einschließlich, aber nicht beschränkt auf die Verletzung der Privatsphäre oder der Persönlichkeitsrechte einer Person;
  • Inhalte zu speichern oder zu übermitteln, die die geistigen Eigentumsrechte Dritter verletzen;
  • die Integrität oder Leistung der Plattform und ihrer Komponenten zu beeinträchtigen oder zu stören;
  • rechtswidrige, rassistische, hasserfüllte, beleidigende, verleumderische, obszöne oder diskriminierende Inhalte zu veröffentlichen, zu übertragen, hochzuladen, zu verlinken, zu versenden oder zu speichern;
  • Viren, Malware, Trojanische Pferde, Zeitbomben oder ähnliche schädliche Software zu posten, zu übertragen, hochzuladen, zu verlinken, zu versenden oder zu speichern.

4.3 Logicc hat das Recht (aber nicht die Pflicht), den Zugang zur Plattform auszusetzen oder Daten oder Inhalte, die über die Plattform übertragen werden, ohne Haftung zu entfernen, (i) wenn Logicc vernünftigerweise davon ausgehen kann, dass die Plattform unter Verletzung dieser AGB oder des anwendbaren Rechts genutzt wird, (ii) wenn er von einer Strafverfolgungs- oder sonstigen Behörde aufgefordert wird oder dies aus sonstigen Gründen erforderlich ist, um dem anwendbaren Recht zu entsprechen, vorausgesetzt, dass Logicc wirtschaftlich angemessene Anstrengungen unternimmt, um den Kunden zu benachrichtigen, bevor er den Zugang zur Plattform aussetzt, oder (iii) wenn dies nach den sonstigen Regelungen dieser AGB gestattet ist.

4.4 Logicc unternimmt wirtschaftlich angemessene Anstrengungen, um den Kunden mindestens zwölf Stunden vor einer Aussetzung zu benachrichtigen, es sei denn, Logicc stellt nach billigem Ermessen fest, dass eine Aussetzung mit kürzerer oder gleichzeitiger Benachrichtigung zum Schutz von Logicc oder seiner Kunden erforderlich ist.

5. Hosting und Zugriff auf KI-Anwendungen

5.1 Logicc weist den Kunden darauf hin, dass durch die KI-Anwendungen genierten Inhalte Fehler und Ungenauigkeiten enthalten können. Es handelt sich nicht um geprüfte oder verifizierte Angaben, sondern um automatisiert erstellte Inhalte, die falsch oder nicht aktuell sein können. Logicc übernimmt keine Haftung für Schäden, die durch die Verwendung der Inhalte entstehen könnten. Die Nutzung erfolgt auf eigenes Risiko des Kunden.

5.2 Nach Zustandekommen des Vertrages wird Logicc die Plattform zur Nutzung durch den Kunden einrichten und dem Kunden mitteilen, wenn diese zur Nutzung bereitsteht. Hierfür kann ein Zeitraum von bis zu drei Tagen erforderlich sein.

5.3 Logicc behält sich das Recht vor, Dienstleistungen im Rahmen dieser AGB an Unterauftragnehmer zu vergeben. Dies gilt insbesondere für die Hosting-Provider und die Anbieter der KI-Anwendungen wie in der Auftragsbestätigung angegeben. Die im Rahmen der Dienstleistungen verwendeten und über die Plattform verfügbaren KI-Anwendungen werden von Drittanbietern betrieben. Die KI-Anwendungen können im Rahmen der Dienstleistungen in dem Umfang genutzt werden, den der Drittanbieter ermöglicht. Die verfügbaren KI-Anwendungen und deren Funktionsumfang können sich während der Vertragslaufzeit ändern.

5.4 Logicc hat keinen Einfluss auf die Spezifikationen der KI-Anwendungen und übernimmt keine Gewährleistung oder Haftung für einen bestimmten Funktionsumfang. Der Zugriff auf die verfügbaren KI-Anwendungen unterliegt den entsprechenden Nutzungs- und Lizenzbedingungen, in denen auch die einzelnen Funktionalitäten und Systemvoraussetzungen der KI-Anwendungen beschrieben werden.

5.5 Der Anbieter ist berechtigt, die Plattform regelmäßig zu aktualisieren. Sämtliche Aktualisierungen unterliegen den Regelungen dieser AGB. Logicc ist nur dann verpflichtet, die Plattform zu ändern oder anzupassen, wenn dies zur Aufrechterhaltung der Plattform nach dem Stand der Technik erforderlich ist. Im Übrigen ist Logicc zu Weiterentwicklungen nicht verpflichtet, es sei denn, dies wurde zwischen den Parteien ausdrücklich vereinbart.

5.6 Die Plattform unterliegt einem regelmäßig geplanten Wartungsfenster. Logicc bemüht sich in wirtschaftlich vertretbarem Umfang, Wartungsfenster zu Zeiten einzurichten, die die Auswirkungen auf die Nutzer des Kunden minimieren. Während die meisten Wartungsarbeiten während der regelmäßig geplanten Wartungsfenster abgeschlossen werden können, müssen von Zeit zu Zeit Wartungsarbeiten außerhalb der geplanten Wartungsfenster durchgeführt werden, um die Integrität und Sicherheit der Dienste zu gewährleisten. In solchen Fällen informiert der Anbieter den Kunden so rechtzeitig über die geplanten Wartungsarbeiten, wie es technisch machbar ist. Die regelmäßig geplanten wöchentlichen Wartungsfenster und jeder Zeitraum der Nichtverfügbarkeit aufgrund von Wartungsarbeiten, für die der Kunde mindestens 24 Stunden im Voraus benachrichtigt wird, gelten als planmäßige Wartung.

5.7 Sofern die entsprechende Zusage in der Auftragsbestätigung enthalten ist, gelten die folgenden Verfügbarkeitszusagen.

  • Der Anbieter unternimmt wirtschaftlich vertretbare Anstrengungen, um die Plattform in jedem Kalendermonat mit einer Verfügbarkeit von mindestens 95 % zur Verfügung zu stellen. Die Verfügbarkeit ist dabei der Prozentsatz, der sich aus den Gesamtminuten in einem Kalendermonat abzüglich der Minuten, in denen die Plattform außerhalb der planmäßigen Wartung nicht verfügbar war, geteilt durch die Gesamtminuten in diesem Kalendermonat, ergibt.
  • Falls der Anbieter die zugesagte Verfügbarkeit nicht einhält, ist der Kunde berechtigt, einen Service Credit in Höhe von 10 % zu erhalten. Logicc verrechnet Service Credits nur mit zukünftigen Zahlungen der vom Kunden geschuldeten Gebühren. Service Credits berechtigen den Kunden nicht zu einer Rückerstattung oder einer anderen Zahlung. Sofern in der Auftragsbestätigung nichts anderes vorgesehen, besteht der einzige und ausschließliche Rechtsbehelf des Kunden bei Nichtverfügbarkeit im Erhalt von Service Credits, soweit eine Verfügbarkeitszusage gegeben wurde.
  • Logicc wird dem Kunden jeweils eine Verfügbarkeitsmeldung für jeden Kalendermonat übermitteln. Um eine Service Credit zu erhalten, muss der Kunde innerhalb einer Woche nach Erhalt der Verfügbarkeitsmeldung schriftlich oder per E-Mail einen Antrag bei Logicc einreichen. Wenn die Verfügbarkeit geringer ist als die zugesagte Verfügbarkeit, stellt Logicc dem Kunden die Service Credits innerhalb eines Kalendermonats nach dem Kalendermonat aus, in dem die Gutschrift beantragt wurde. Versäumt es der Kunde, den Antrag auf Service Credits und die anderen oben geforderten Informationen zu übermitteln, hat der Kunde keinen Anspruch auf Service Credits.
  • Die zugesagte Verfügbarkeit gilt nicht für die Nichtverfügbarkeit oder für andere Leistungsprobleme: (i) die durch Faktoren außerhalb der zumutbaren Kontrolle von Logicc verursacht werden, einschließlich höherer Gewalt oder Internetzugangsproblemen oder damit zusammenhängenden Problemen außerhalb des Übergabepunkts der Plattform; (ii) die aus freiwilligen Handlungen oder Unterlassungen des Kunden oder eines Dritten oder einer Vertragsverletzung durch den Kunden resultieren; (iii) die daraus resultieren, dass der Kunde die in der Dokumentation beschriebenen Vorgaben nicht einhält; (iv) die sich aus der Ausrüstung, Software oder sonstigen Technologie des Kunden und/oder der Ausrüstung, Software oder sonstigen Technologie Dritter ergeben; oder (vi) die sich aus der Aussetzung oder Beendigung des Rechts des Kunden zur Nutzung der Plattform in Übereinstimmung mit diesen AGB ergeben.

6. Beratungsleistungen

6.1 Logicc erbringt Beratungsleistungen im dem Rahmen wie mit dem Kunden individuell vereinbart in der Auftragsbestätigung dokumentiert. Der Kunde trägt das Risiko dafür, ob die in Auftrag gegebenen Dienstleistungen den Anforderungen und Bedürfnissen des Kunden entsprechen. Logicc ist nicht verpflichtet, die Beratungsleistungen mit anderem Umfang und Zielsetzung als vereinbart zu erbringen, es sei denn, die Parteien einigen sich auf eine Anpassung (Change Request).

6.2 Logicc erbringt die Beratungsleistungen als Dienstleistungen. Die Parteien stimmen überein, dass die Beratungsleistungen nicht einer Abnahme unterliegen und kein bestimmter Erfolg, sondern die ordnungsgemäße und sorgfältige Durchführung der Beratungsleistungen geschuldet ist, sei denn, der Kunde und Logicc haben ausdrücklich schriftlich vereinbart, dass eine Abnahme erfolgen soll.

6.3 Alle Termine in Bezug auf die Erbringung der Beratungsleistungen gelten als Schätzungen und sind nicht verbindlich, es sei denn, der Kunde und Logicc haben ausdrücklich schriftlich vereinbart, dass sie verbindlich sind.

6.4 Falls Logicc Dienstleistungen aufgrund von Problemen auf Seiten des Kunden nicht oder nur teilweise erbringen kann und der Kunde Logicc nicht rechtzeitig darüber informiert, wird dem Kunden der von den Logicc benötigte zeitliche Aufwand berechnet.

6.5 Alle Inhalte, die Logicc dem Kunden zur Vorbereitung und im Rahmen der Durchführung der Dienstleistungen zur Verfügung stellt, sind geistiges Eigentum von Logicc. Es werden dem Kunden nur die in diesen AGB geregelten Rechte daran eingeräumt.

6.6 Wenn die Beratungsleistungen vor Ort beim Kunden erbracht werden, erklärt sich der Kunde damit einverstanden, den erforderlichen Zutritt zu seinen Räumlichkeiten bereitzustellen, einschließlich des Zugangs zu den Computersystemen und anderen Einrichtungen des Kunden. Der Kunde benennt einen Ansprechpartner mit der Befugnis, Entscheidungen zu treffen und Logicc alle erforderlichen und relevanten Informationen zügig zur Verfügung zu stellen.

6.7 Logicc entscheidet, welcher Berater eingesetzt wird, und behält sich das Recht vor, einen Berater jederzeit zu ersetzen. Es liegt im Ermessen von Logicc, ob die Beratungsleistungen am Standort des Kunden oder remote erbracht werden. Auch wenn Beratungsleistungen vor Ort beim Kunden erbracht werden, verfügt die Logicc über das ausschließliche Weisungsrecht gegenüber den eingesetzten Beratern.

7. Lizenz und Nutzungsrecht

7.1 Logicc stellt dem Kunden den Zugriff auf die Plattform im Rahmen eines Software-as-a-Service-Modells zur Verfügung. Das Nutzungsrecht des Kunden ist auf die in diesen AGB vereinbarte Laufzeit beschränkt. Vorbehaltlich der in diesen AGB enthaltenen Beschränkungen gewährt Logicc dem Kunden ein nicht-ausschließliches, widerrufliches, nicht übertragbares und nicht unterlizenzierbares Recht, während der Vertragslaufzeit auf die Plattform (und die dazugehörige Dokumentation) zuzugreifen und sie ausschließlich für die in der Dokumentation beschriebenen Zwecke für seine internen Geschäftszwecke zu nutzen. Ohne ausdrückliche Zustimmung von Logicc darf der Kunde keinen verbundenen Unternehmen oder Dritten Zugriff auf die Plattform gestatten. Die Lizenz wird pro Nutzerkonto gewährt (soweit der Zugriff auf die Plattform über Nutzerkonten erfolgen soll und kein Direktzugriff per API vereinbart wurde). Ein Nutzerkonto wird jeweils für einen benannten autorisierten Nutzer eingerichtet.

7.2 Logicc gewährt dem Kunden an den Inhalten der Beratungsleistungen, soweit diese aktiv von Logicc an den Kunden übergeben wurden, vorbehaltlich der in diesen AGB enthaltenen Beschränkungen ein nicht-ausschließliches, widerrufliches, nicht übertragbares und nicht unterlizenzierbares Recht, diese Inhalte der Beratungsleistungen ausschließlich für vereinbarten Zwecke für seine internen Geschäftszwecke zu nutzen. Ohne ausdrückliche Zustimmung von Logicc darf der Kunde keinen verbundenen Unternehmen oder Dritten Zugriff auf die Plattform gestatten.

8. Vergütung

8.1 Der Kunde zahlt Logicc die in der Auftragsbestätigung angegebene Vergütung. Es werden bei der Nutzung der Plattform je nach Vereinbarung Gebühren für die Nutzung durch konkrete Anfragen an die KI-Anwendungen (Preis pro Token) und/oder Gebühren pro Nutzerkonto (Preis pro Nutzer) fällig. Soweit nicht anders vereinbart, wird zudem eine Grundgebühr fällig. Beratungsleistungen werden wie in der Auftragsbestätigung angegeben abgerechnet.

8.2 Sofern in der Auftragsbestätigung nichts anderes vorgesehen ist, insbesondere soweit keine Vorauszahlung bzw. Vorausbelastung per Kreditkarte oder anderem Zahlungsmittel im Bestellvorgang vorgesehen ist, sind sämtliche Gebühren innerhalb von 30 Tagen nach Rechnungsdatum an den Dienstleister zu zahlen. Beanstandungen von Rechnungen müssen innerhalb von 30 Tagen ab Rechnungsdatum schriftlich eingereicht werden.

8.3 Bei verspäteter Zahlung werden die Kosten für die Einziehung (einschließlich angemessener Anwaltskosten) und die gesetzlichen Zinsen fällig. Ist der Kunde mit der Zahlung der Gebühren 15 Tage oder länger im Verzug, kann der Anbieter den Zugang zur Plattform bzw. die Erbringung der Dienstleistungen aussetzen.

8.4 Alle Beträge verstehen sich ausschließlich der anwendbaren Mehrwertsteuer oder anderer spezifischer Steuern wie der Quellensteuer, die zu diesen Beträgen hinzuzurechnen sind.

8.5 Der Kunde kann nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen und ein Zurückbehaltungsrecht nur auf unbestrittene oder rechtskräftig festgestellte Ansprüche stützen. Er kann seine Forderungen unbeschadet der Regelung des 354a HGB nicht an Dritte abtreten.

8.6 Logicc ist berechtigt, die vertraglich vereinbarte Vergütung mit einer Ankündigung von drei Monaten zum Änderungszeitpunkt anzupassen. Eine Änderung darf frühestens 12 Monate nach Vertragsschluss oder nach der letzten Vergütungserhöhung erfolgen. Die Änderung erfolgt unter Einhaltung der folgenden Grundsätze:

  • Logicc darf die Vergütung höchstens in dem Umfang anpassen, in dem sich der Erzeugerpreisindex für IT-Dienstleistungen des Statistischen Bundesamt seit Vertragsschluss bzw. der letzten Vergütungserhöhung mindestens um 3 % nach oben oder unten verändert hat. Bei dieser Änderung sind auch etwaige Kostenminderungen zu berücksichtigen und anrechnen.
  • Wenn der Kunde nicht binnen vier Wochen ab Zugang der Anpassungserklärung den bestehenden Vertrag kündigt (Sonderkündigungsrecht) oder sich hierzu anderweitig erklärt, gilt die neue Vergütung als vereinbart. Logicc wird den Kunden im Rahmen der Ankündigung der Vergütungsanpassung insbesondere auf das Kündigungsrecht sowie auf die Folgen einer Nichtausübung hinweisen.

9. Gewährleistung

9.1 Logicc gewährleistet, dass sich die Dienstleistungen im Wesentlichen für den vertraglich vorausgesetzten Zweck eignen. Die verschuldensunabhängige Haftung für anfängliche Mängel nach 536a BGB ist ausgeschlossen.

9.2 Der Kunde ist verpflichtet, Logicc auftretende Mängel unverzüglich mit genauer Beschreibung des Problems schriftlich mitzuteilen. Unterlässt der Kunde die Anzeige, so gilt die Dienstleistung als genehmigt. Hat Logicc den Mangel arglistig verschwiegen, kann sich Logicc auf die Regelungen der vorstehenden Sätze in diesem Absatz nicht berufen.

9.3 Die Mangelbeseitigung durch Logicc kann darin bestehen, dass Logicc dem Kunden zumutbare Möglichkeiten aufzeigt, die Auswirkungen des Mangels zu vermeiden. Falls die Nacherfüllung nach Ablauf einer vom Kunden zu setzenden angemessenen Nachfrist endgültig fehlschlägt, kann der Kunde den Vertrag kündigen. Schadensersatz oder Ersatz vergeblicher Aufwendungen wegen eines Mangels leistet Logicc im Rahmen der in diesen AGB festgelegten Grenzen. Andere Rechte wegen Sach- oder Rechtsmängel sind ausgeschlossen.

9.4 Die Verjährungsfrist für die Ansprüche gemäß dieser Ziffer beträgt ein Jahr nach Leistungserbringung. Die Verkürzung der Verjährungsfrist gilt nicht bei Vorsatz oder grober Fahrlässigkeit seitens Logicc, arglistigem Verschweigen des Mangels, Personenschäden oder Rechtsmängeln. Für Mängel an Nacherfüllungsleistungen endet die Verjährung ebenfalls ein Jahr nach ursprünglicher Leistungserbringung. Die Verjährungsfrist wird jedoch, wenn Logicc im Einverständnis mit dem Kunden das Vorhandensein eines Mangels prüft oder die Nacherfüllung erbringt, so lange gehemmt, bis Logicc das Ergebnis ihrer Prüfung dem Kunden mitteilt oder die Nacherfüllung für beendet erklärt oder die Nacherfüllung verweigert. Die Verjährung tritt frühestens drei Monate nach dem Ende der Hemmung ein.

9.5 Erbringt Logicc Leistungen bei Fehlersuche oder -beseitigung, ohne hierzu verpflichtet zu sein, so kann Logicc eine angemessene Vergütung verlangen. Dies gilt insbesondere, wenn ein gemeldeter Sachmangel nicht nachweisbar ist oder Logicc nicht zuzuordnen ist. Zu vergüten ist insbesondere auch der Mehraufwand bei der Beseitigung von Mängeln, der bei Logicc dadurch entsteht, dass der Kunde seine Mitwirkungspflichten nicht ordnungsgemäß erfüllt.

9.6 Erbringt Logicc außerhalb des Bereichs der Sach- und Rechtsmängelhaftung Dienstleistungen nicht oder nicht ordnungsgemäß oder begeht Logicc eine sonstige Pflichtverletzung, so hat der Kunde dies gegenüber Logicc stets schriftlich zu rügen und Logicc eine Nachfrist einzuräumen, innerhalb derer Logicc Gelegenheit zur ordnungsgemäßen Erfüllung der Dienstleistungen oder dazu gegeben wird, in sonstiger Weise Abhilfe zu schaffen.

9.7 Wenn ein Dritter Ansprüche behauptet, die der Ausübung der vertraglich eingeräumten Nutzungsbefugnis entgegenstehen, so hat der Kunde Logicc unverzüglich schriftlich zu unterrichten. Er wird eine gerichtliche Auseinandersetzung mit dem Dritten nur im Einvernehmen mit Logicc führen oder Logicc zur Führung der Auseinandersetzung ermächtigen. Dies gilt entsprechend für Fälle, in denen ein Dritter Ansprüche gegen Logicc erhebt, die auf Handlungen des Kunden bzw. der berechtigten Nutzer zurückzuführen sind.

10. Schutzrechte

10.1 Der Kunde erkennt an, dass er, vorbehaltlich der hierin gewährten Lizenzen, keine Inhaberschaft oder sonstige Rechte an der Plattform oder den weiteren Dienstleistungen des Anbieters erhält, die dem Kunden zur Verfügung gestellt werden. Logicc behält sich sämtliche Rechte vor, die dem Kunden nicht ausdrücklich unter diesen AGB gewährt werden..

10.2 Logicc darf den Namen und/oder das Logo des Kunden in Marketingmaterialien verwenden und/oder den Namen und/oder das Logo des Kunden in der zwischen den Parteien vereinbarten sonstigen Weise nutzen.

10.3 Der Kunde kann Logicc nach eigenem Ermessen Feedback geben. In diesem Fall kann Logicc dieses Feedback ohne Einschränkung, Vergütung oder Nennung der Quelle nach eigenem Ermessen behalten und frei verwenden.

11. Vertraulichkeit

11.1 Die Parteien verpflichten sich, die vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und sie ausschließlich für die Zwecke der Durchführung des Vertrages zu verwenden und die vertraulichen Informationen der jeweils anderen Partei durch angemessene Sicherheitsmaßnahmen unter Beachtung der erforderlichen Sorgfalt zu schützen.

11.2 Eine Weitergabe der vertraulichen Informationen der jeweils anderen Partei an Dritte ist nur gestattet, soweit dies für die Durchführung dieses Vertrages zwingend erforderlich ist und sich der Dritte gegenüber der weitergebenden Partei seinerseits zur Vertraulichkeit verpflichtet hat bzw. von Berufswegen zur Vertraulichkeit verpflichtet ist. Gesetzliche Offenlegungspflichten bleiben unberührt. Die jeweilige Partei steht dafür ein, dass die Verpflichtungen dieser AGB auch durch solche Dritte gewahrt bleiben, an die die jeweilige Partei Vertrauliche Informationen der anderen Partei offenlegt. Für Verstöße gegen die Vertraulichkeitsverpflichtungen aus dieser Ziffer durch solche Dritte haftet der jeweilige Vertragspartner wie für eigenes Verschulden.

11.3 Die vorstehenden Verpflichtungen gelten nicht für Informationen, von denen die empfangende Partei nachweisen kann, dass sie (i) der Öffentlichkeit in rechtmäßiger und einer die Bestimmungen dieser AGB nicht verletzenden Weise zur Verfügung standen oder stehen, (ii) der empfangenden Partei bereits zuvor bekannt waren und zur ihrer uneingeschränkten Verfügung standen, (iii) der empfangenden Partei von einem hierzu berechtigten Dritten offengelegt wurden oder (iv) von der empfangenden Partei eigenständig und ohne Nutzung der Vertraulichen Informationen offenlegenden Partei entwickelt worden sind.

11.4 Die jeweils empfangende Partei verpflichtet sich, unverzüglich nach Beendigung des Vertrages alle Dokumente und Aufzeichnungen, welche Vertrauliche Informationen der jeweils anderen Partei enthalten, vollständig und endgültig zu zerstören bzw. im Fall von elektronischen Daten endgültig zu löschen. Gesetzliche Aufbewahrungs- und Archivierungspflichten bleiben hiervon unberührt.

11.5 Nach Beendigung des Vertrages gelten alle Rechte und Pflichten der Parteien in Bezug auf die Vertraulichen Informationen der jeweils anderen Partei für die Dauer von fünf Jahren fort.

12. Verantwortung für Kundendaten

12.1 Der Kunde ist allein verantwortlich für sämtliche Kundendaten, insbesondere dafür, dass ihre Übermittlung und Nutzung nicht gegen geltende Gesetze, einschließlich der Datenschutzgesetze, und/oder geistige Eigentumsrechte Dritter verstößt. Der Kunde ist verpflichtet, seine Kundendaten vor der Eingabe in die Plattform auf Viren oder andere schädliche Komponenten zu prüfen und zu diesem Zweck dem Stand der Technik entsprechende Antivirenprogramme einzusetzen. Der Kunde stellt Logicc von allen Schäden und Kosten frei, die gegen Logicc verhängt werden oder denen der Kunde in einem Vergleich zustimmt und die aus solchen Ansprüchen Dritter resultieren.

12.2 Der Kunde gewährt Logicc eine nicht ausschließliche, unentgeltliche Lizenz für den Zugriff, die Nutzung, Reproduktion, Änderung, Ausführung, Anzeige und sonstige Nutzung von Kundendaten, soweit dies für den Anbieter zur Ausführung oder Bereitstellung der Dienstleistungen angemessen oder erforderlich ist.

12.3 Darüber hinaus ist der Kunde selbst für die Eingabe und Pflege seiner Kundendaten verantwortlich. Der Kunde erstellt mindestens wöchentlich eine Sicherungskopie der Kundendaten. Der Kunde erkennt an, dass Logicc keine Kontrolle über die Kundendaten ausübt und dass er bei der Übermittlung und Bearbeitung der Kundendaten als bloßer oder passiver Kanal fungiert. Die Verarbeitung personenbezogener Daten des Kunden durch den Dienstleister wird durch die zwischen den Parteien geltende AVV geregelt, die mit dem Vertrag abgeschlossen wird.

13. Haftungsbeschränkung

13.1 Die Haftung von Logicc ist nach Maßgabe der folgenden Regelungen beschränkt.

13.2 Im Fall von Vorsatz haftet Logicc unbeschränkt nach den gesetzlichen Bestimmungen. Gleiches gilt für alle sonstigen Fälle unabdingbarer gesetzlicher Haftung, wie etwa im Falle einer Haftung für garantierte Beschaffenheitsmerkmale, wegen Verletzung des Lebens, des Körpers oder der Gesundheit oder nach dem Produkthaftungsgesetz.

13.3 Im Fall von Fahrlässigkeit haftet Logicc nur bei der Verletzung einer Vertragspflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf (Kardinalpflicht). Die Haftung ist dann pro Schadensereignis auf einen Betrag in Höhe der gezahlten Gebühren in den zwölf Monaten vor dem Schadensereignis und insgesamt unter dem Vertragsverhältnis auf eine Summe von EUR 25.000 beschränkt.

13.4 Im Falle leichter Fahrlässigkeit ist eine Haftung für mittelbare Schäden und Folgeschäden, insbesondere auf entgangenen Gewinn, ausgeschlossen.

13.5 Die vorstehenden Haftungsausschlüsse und -beschränkungen gelten in gleichem Umfang zugunsten der Organe, gesetzlichen Vertreter, Angestellten und sonstigen Erfüllungsgehilfen von Logicc.

13.6 Die vorstehenden Haftungsausschlüsse und -beschränkungen gelten für sämtliche Ansprüche, gleich aus welchem Rechtsgrund, insbesondere aus Unmöglichkeit, Verzug, mangelhafter oder falscher Lieferung, Verletzung von Schutzrechten Dritter, sonstiger Vertragsverletzung, Verletzung von Pflichten bei Vertragsverhandlungen und unerlaubter Handlung. Ebenso gelten sie für etwaige Freistellungsverpflichtungen des Anbieters.

13.7 Für alle Ansprüche gegen Logicc auf Schadensersatz oder Ersatz vergeblicher Aufwendungen bei vertraglicher und außervertraglicher Haftung gilt eine Verjährungsfrist von einem Jahr. Die Verjährungsfrist beginnt mit dem in 199 Abs. 1 BGB bestimmten Zeitpunkt. Sie tritt spätestens mit Ablauf von fünf Jahren ab Entstehung des Anspruchs ein. Die vorstehenden Regelungen dieses Absatzes gelten nicht für die Haftung bei Vorsatz oder grober Fahrlässigkeit oder bei Personenschäden oder nach dem Produkthaftungsgesetz. Die abweichende Verjährungsfrist für Ansprüche wegen Sach- und Rechtsmängeln bleibt von den Regelungen dieses Absatzes unberührt.

14. Laufzeit und Kündigung

14.1 Soweit in der Auftragsbestätigung nicht anders angegeben, beträgt die Vertragslaufzeit für die Nutzung der Plattform ab Datum des Inkrafttretens einen Monat. Danach verlängert sie sich automatisch um jeweils einen weiteren Monat, sofern sie nicht von einer der Parteien zum Ende der Anfangslaufzeit oder einer Verlängerungslaufzeit gekündigt wird.

14.2 Die Beauftragung von Beratungsleistungen kann durch den Kunden nicht ordentlich gekündigt werden. Der Vertrag für die Nutzung der Plattform kann vom Kunden mit einer Frist von 14 Tagen zum Monatsende gekündigt werden, wenn sich die Spezifikationen der über die Plattform verfügbaren KI-Anwendungen in einer Weise ändern, die eine Fortsetzung des Vertrages für den Kunden unter Berücksichtigung der Umstände unzumutbar erscheinen lässt. In diesem Fall schuldet der Kunde die Vergütung nur anteilig für die Vertragslaufzeit bis zum Zeitpunkt der Kündigung.

14.3 Rechte der Parteien zur Kündigung aus wichtigem Grund bleiben unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn (i) der Kunde fällige Zahlungen nicht innerhalb von 15 Tagen nach dem Fälligkeitsdatum leistet; (ii) der Kunde eine andere wesentliche Verpflichtung, die ihm im Rahmen des Vertrages unter Geltung dieser AGB auferlegt wurde, nicht erfüllt und dieses Versäumnis nicht innerhalb einer Frist von 30 Tagen behoben wird; oder (iii) der Kunde einen Insolvenzantrag stellt, ein Insolvenzantrag seitens Dritter gegen ihn gestellt wird, ein Verfahren zur Gewährung von Rechtsbehelfen gemäß den Insolvenzgesetzen eingeleitet wird, die Ernennung eines Insolvenzverwalters beantragt wird oder ein Insolvenzverfahren eingeleitet wird.

14.4 Einmalige Zahlungen für die Nutzung der Plattform werden im Fall einer Kündigung nicht zurückerstattet. Vergütungen und Kostenerstattungen in Bezug auf Dienstleistungen, die bis zum Wirksamkeitsdatum der Kündigung erbracht wurden, sind zu bezahlen.

14.5 Die Kündigung in Bezug auf Beratungsleistungen zieht grundsätzlich keine Beendigung des Vertrages über andere Dienstleistungen, insbesondere für die Nutzung der Plattform, nach sich.

14.6 Die Löschung der Kundendaten nach Vertragsende richtet sich insgesamt (auch für nicht personenbezogene Daten) nach den Regelungen im AVV.

15. Schlussbestimmungen

15.1 Jede Partei hat die Kosten, die ihr im Zusammenhang mit dem Abschluss und Vollzug des Vertrages entstehen, selbst zu tragen, sofern nicht in diesen AGB ausdrücklich abweichend vereinbart.

15.2 Diese AGB geben die Vereinbarungen zwischen den Parteien hinsichtlich des Vertragsgegenstands vollständig wieder; mündliche oder sonstige Nebenabreden sind nicht getroffen. Soweit in diesen AGB nicht ausdrücklich abweichend vereinbart, werden alle bisherigen Abreden der Parteien bezüglich des Vertragsgegenstands durch diese AGB vollständig ersetzt.

15.3 Logicc ist berechtigt, die Dienstleistungen sowie diese AGB zu ändern, wenn dies notwendig ist, um bei Vertragsschluss nicht vorhersehbare Entwicklungen, insbesondere Änderungen von technischen oder rechtlichen Rahmenbedingungen, zu berücksichtigen. Logicc wird dabei die berechtigten Interessen des Kunden berücksichtigen. Änderungen werden dem Kunden vorab per E-Mail mitgeteilt. Soweit der Kunde nicht innerhalb von vier Wochen nach Zugang der Mitteilung widerspricht, gelten die Änderungen mit Wirkung für die Zukunft als angenommen. Widerspricht der Kunde, ist Logicc berechtigt, den Vertrag außerordentlich zu kündigen, wenn Logicc in der Mitteilung auf die Wirkung des Schweigens und das Kündigungsrecht hingewiesen hat.

15.4 Keine Partei ist berechtigt, den Vertrag bzw. Rechte oder Verpflichtungen daraus ohne vorherige schriftliche Zustimmung der anderen Partei auf einen Dritten zu übertragen.

15.5 Der Vertrag unter Geltung dieser AGB unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss der Kollisionsnormen des internationalen Privatrechts. Die Anwendbarkeit des UN-Übereinkommens über Verträge über den internationalen Warenkauf (CISG) wird ausgeschlossen.

15.6 Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dem Vertrag unter Geltung dieser AGB ist Hamburg, sofern das Gesetz nicht zwingend etwas anderes vorschreibt.

15.7 Sollte eine Bestimmung dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Gültigkeit der übrigen Bestimmungen dieser AGB nicht berührt. Das Gleiche gilt, wenn und soweit sich herausstellen sollte, dass der Vertrag unter Geltung dieser AGB eine Regelungslücke enthält. Anstelle der unwirksamen oder undurchführbaren Bestimmung oder zur Ausfüllung der Regelungslücke gilt eine angemessene Regelung als vereinbart, die, soweit rechtlich möglich, dem am nächsten kommt oder entspricht, was die Parteien wirtschaftlich gewollt haben oder nach dem Sinn und Zweck dieser AGB gewollt hätten, sofern sie diesen Punkt bedacht hätten.

VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG ("AVV")

Präambel

Diese AVV ergänzt den Rahmenvertrag ("Vertrag") zwischen der Logicc GmbH("Logicc") und dem Kunden,der auf diese AVV Bezug nimmt (Logicc und der Kunde zusammen die "Parteien"). Diese AVV trittautomatisch mit dem Abschluss des Vertrages in Kraft und gilt ab demselbenDatum wie der Vertrag.

Im Rahmen der Erfüllung des Vertragesverarbeitet Logicc die vom Kunden bereitgestellten personenbezogenen Daten. DieParteien vereinbaren, dass Logicc solche personenbezogenen Daten im Auftrag desKunden verarbeitet, entweder als Auftragsverarbeiter, wenn der Kunde Verantwortlicherist, oder als Unterauftragsverarbeiter, wenn der Kunde seinerseits ein Auftragsverarbeiterist. Daher gilt diese AVV, wenn und soweit Logicc bei der Erbringung vonDienstleistungen im Rahmen des Vertrags personenbezogene Daten für den Kundenverarbeitet. Die Parteien vereinbaren, dass diese AVV alle bestehendenDatenschutzbestimmungen ersetzt, die die Parteien zuvor in Verbindung mit denDienstleistungen abgeschlossen haben.

1. Definitionen

1.1 "Kundendaten"

sind alle personenbezogenen Daten, die im Rahmen der Nutzung der Dienstleistungen hochgeladen werden und die Logicc im Rahmen der Erbringung der Dienstleistungen im Auftrag des Kunden verarbeitet.

1.2 "Verantwortlicher"

ist die Person oder Gesellschaft, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

1.3 "Auftragsverarbeiter"

ist die Person oder Gesellschaft, die personenbezogene Daten im Auftrag eines für die Datenverarbeitung Verantwortlichen verarbeitet.

1.4 "Datenschutzgesetze"

sind alle Datenschutzgesetze, die auf die Verarbeitung personenbezogener Daten anwendbar sind. Für die EU und den EWR umfasst dies insbesondere die Datenschutz-Grundverordnung (DSGVO) und die e-Privacy-Richtlinie 2002/58/EG sowie die lokalen Gesetze der Mitgliedstaaten zum Datenschutz.

1.5 "EWR"

ist der Europäischen Wirtschaftsraum.

1.6 "EU"

ist die Europäische Union.

1.7 "Personenbezogene Daten"

sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

1.8 "Verarbeitung"

hat die in der DSGVO festgelegte Bedeutung und umfasst jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung oder das Löschen von personenbezogenen Daten.

1.9 "Sicherheitsvorfall"

ist jede unbefugte oder unrechtmäßige Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten führt.

1.10 "Dienstleistungen"

hat die im Vertrag festgelegte Bedeutung.

1.11 "SCC"

sind die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 enthaltenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer.

1.12 "Unterauftragsverarbeiter"

ist jeder Auftragsverarbeiter, der von Logicc beauftragt wird, um bei der Erbringung der Dienstleistungen zu unterstützen.

2. Gegenstand dieser AVV

2.1 Diese AVV legt die Rechte und Pflichten der Parteien in Bezug auf die Verarbeitung von Kundendaten durch Logicc im Zusammenhang mit der Erbringung der Dienstleistungen fest.

2.2 Zu diesem Zweck beauftragt der Kunde hiermit Logicc als Auftragsverarbeiter, wenn der Kunde als Verantwortlicher handelt, oder als Unterauftragsverarbeiter, wenn der Kunde als Verantwortlicher handelt.

2.3 Diese AVV gilt für alle Kundendaten gemäß Spezifikation in Anlage 1, auf die Logicc während der Erbringung der Dienstleistungen Zugriff hat. Dazu gehören Kundendaten, die Logicc vom Kunden für die Erbringung der Dienstleistungen zur Verfügung gestellt werden, Kundendaten, die von Logicc während der Erbringung der Dienstleistungen generiert werden, oder Kundendaten, die Logicc auf andere Weise, z. B. direkt von betroffenen Personen, im Rahmen der Erbringung der Dienstleistungen Zugriff erhält. Diese AVV gilt nicht für Daten, die nicht als Kundendaten gelten, einschließlich nicht personenbezogener Daten, die vom Kunden zur Verfügung gestellt werden, oder Daten, die nicht als Teil der Dienstleistungen verarbeitet werden.

3. Grundsatz der Verarbeitung im Auftrag des Kunden

3.1 Logicc ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung von Kundendaten den Anforderungen der geltenden Datenschutzgesetze entspricht und die Rechte der betroffenen Personen gewahrt werden.

3.2 Die Verarbeitung von Kundendaten durch Logicc und ggf. beauftragte Unterauftragsverarbeiter erfolgt grundsätzlich im Gebiet des EWR. Übertragungen von Kundendaten in ein Drittland außerhalb des EWR finden nur statt, wenn Logicc die Einhaltung der Anforderungen der geltenden Datenschutzgesetze sicherstellt und wenn solche Übertragungen durch eine geeignete Rechtsgrundlage gestützt werden, wie z. B. einen Angemessenheitsbeschluss, SCC oder andere geltende Garantien.

3.3 Der Kunde ist für die Rechtmäßigkeit der Verarbeitung der Kundendaten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien allein verantwortlich. Sollten Dritte gegen Logicc aufgrund der Verarbeitung von Kundendaten nach Maßgabe dieser AVV Ansprüche geltend machen, wird der Kunde Logicc von solchen Ansprüchen freistellen.

4. Weisungsrecht des Kunden

4.1 Die unter diese AVV fallenden Kundendaten werden nur in Übereinstimmung mit dokumentierten Weisungen des Kunden verarbeitet, einschließlich Weisungen zur Übermittlung von Kundendaten in ein Drittland. Wenn Logicc nach geltendem Recht verpflichtet ist, Kundendaten ohne solche Weisungen zu verarbeiten, wird Logicc den Kunden vor der Verarbeitung über die gesetzliche Verpflichtung informieren, es sei denn, eine solche Mitteilung ist aus Gründen des öffentlichen Interesses gesetzlich verboten.

4.2 Das Weisungsrecht des Kunden hinsichtlich Art, Umfang und Verfahren der Verarbeitung von Kundendaten ist auf den in dieser AVV und im Vertrag festgelegten Umfang beschränkt. Stimmt Logicc einer darüber hinausgehenden Weisung zu, so hat der Kunde Logicc die damit verbundenen Kosten und Aufwendungen zu ersetzen.

4.3 Der Kunde erteilt seine Anweisungen schriftlich, per E-Mail (in Textform) oder über die Nutzung der Funktionalitäten der Dienstleistungen.

4.4 Logicc darf Kundendaten nicht für andere Zwecke als die Erbringung der Dienstleistungen verwenden. Diese Einschränkung gilt nicht für Sicherungskopien, die zur Sicherstellung einer ordnungsgemäßen Verarbeitung erforderlich sind, oder für Daten, die zur Erfüllung gesetzlicher Aufbewahrungspflichten aufbewahrt werden, oder für anonymisierte oder aggregierte Daten, die nicht wieder identifiziert werden können und ausschließlich für interne Geschäftszwecke, wie z. B. Analysen oder Serviceverbesserungen, verwendet werden.

5. Unterauftragsverarbeiter

5.1 Logicc wird ohne vorherige schriftliche Zustimmung des Kunden, die entweder als Einzelzustimmung oder als generelle Zustimmung erteilt werden kann, keinen Unterauftragsverarbeiter einschalten

5.2 Der Kunde erteilt hiermit seine Zustimmung zur Beauftragung der in Anlage 2 aufgeführten Unterauftragsverarbeiter mit Wirkung ab dem Datum dieser AVV.

5.3 Der Kunde erteilt hiermit auch seine allgemeine Zustimmung zur Beauftragung weiterer Unterauftragsverarbeiter. Logicc informiert den Kunden über alle beabsichtigten Änderungen der Liste der Unterauftragsverarbeiter, einschließlich der Hinzufügung oder des Austauschs eines Unterauftragsverarbeiters, und gibt dem Kunden die Möglichkeit, gegen diese Änderungen Einspruch zu erheben. Der Kunde kann aus angemessenen Gründen innerhalb von 15 Tagen nach der Benachrichtigung schriftlich Einspruch erheben, und die Parteien werden nach Treu und Glauben zusammenarbeiten, um den Einspruch zu lösen.

5.4 Beauftragt Logicc einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Kunden, so legt Logicc dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auf, wie sie in dieser AVV festgelegt sind. Dies erfolgt durch einen Vertrag oder ein anderes rechtsverbindliches Instrument gemäß den geltenden Datenschutzgesetzen, wobei sichergestellt wird, dass der Unterauftragsverarbeiter ausreichende Garantien bietet, insbesondere die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Einhaltung der Anforderungen der DSGVO und anderer geltender Datenschutzgesetze. Die Vertragsparteien stellen klar, dass es ausreicht, wenn das vom Unterauftragsverarbeiter gebotene Schutzniveau dem Schutzniveau gemäß dieser AVV entspricht.

5.5 Unterliegt die Beauftragung von Unterauftragsverarbeitern durch Logicc den Artikeln 44 ff. DSGVO, schließt Logicc, soweit erforderlich, das anwendbaren SCC und stellt sicher, dass seine Unterauftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.

5.6 Für den Fall, dass die SCC ungültig werden oder anderweitig nicht mehr als gültiger Datenübermittlungsmechanismus unter der DSGVO oder anderen Datenschutzgesetzen anerkannt sind, kann Logicc auf jede alternative Garantie zurückgreifen, die unter den Datenschutzgesetzen zugelassen ist, wie z. B. verbindliche unternehmensinterne Regeln (BCR) oder andere angemessene Schutzmaßnahmen oder Ausnahmen, die unter Kapitel V der DSGVO oder entsprechenden Datenschutzgesetzen zulässig sind.

5.7 Kommt ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, ist Logicc dem Kunden gegenüber dafür verantwortlich.

5.8 Die Beauftragung eines Dritten mit der Erbringung von Nebenleistungen (z. B. Telekommunikation, Wartung, Benutzerunterstützung, Reinigung, Prüfung oder Entsorgung von Datenträgern) gilt nicht als Beauftragung eines Unterauftragsverarbeiters. Logicc stellt jedoch sicher, dass geeignete rechtliche Vereinbarungen bestehen und Kontrollmaßnahmen ergriffen werden, um die Sicherheit und Vertraulichkeit der Kundendaten zu schützen, wenn Dritte solche Nebenleistungen erbringen.

6. Kontrollrechte des Kunden

6.1 Logicc verpflichtet sich, auf schriftliche Anfrage des Kunden innerhalb eines angemessenen Zeitraums die Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen aus dieser AVV nachzuweisen.

6.2 Der Kunde oder ein vom Kunden beauftragter Prüfer kann die Einhaltung dieser AVV durch Logicc überprüfen. Solche Prüfungen sind auf ein Mal pro Kalenderjahr beschränkt und müssen mindestens 60 Tage vorher schriftlich angekündigt werden. Die Prüfungen werden während der regulären Geschäftszeiten und in einer Weise durchgeführt, die den Betrieb von Logicc so wenig wie möglich stört.

6.3 Logicc kann zum Nachweis der Einhaltung dieser DSGVO aktuelle Prüfzeugnisse, Berichte oder Auszüge daraus von unabhängigen Stellen (z.B. Wirtschaftsprüfern, Datenschutzbeauftragten, IT-Sicherheitsabteilungen oder Datenschutzauditoren) oder geeignete Zertifizierungen aus anerkannten IT-Sicherheits- oder Datenschutzaudits vorlegen. In diesem Fall ist der Kunde nicht berechtigt, zusätzliche Kontrollen durchzuführen.

6.4 Der Kunde entschädigt Logicc für alle angemessenen Kosten, die durch die Bereitstellung solcher Informationen oder die Ermöglichung von Kontrollen entstehen, es sei denn, diese Prüfungen ergeben, dass Logicc seine Verpflichtungen aus dieser AVV in erheblichem Maße nicht erfüllt.

7. Verpflichtung zur Vertraulichkeit

Logicc gewährleistet, dass alle Personen, die zur Verarbeitung von Kundendaten im Rahmen dieser AVV berechtigt sind, zur Vertraulichkeit verpflichtet sind, entweder durch vertragliche Verpflichtungen oder durch gesetzliche Verschwiegenheitspflichten.

8. Technische und organisatorische Maßnahmen

8.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere von Risiken für die Rechte und Freiheiten der betroffenen Personen werden sowohl der Kunde als auch Logicc in ihrem jeweiligen Verantwortungsbereich geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf Sicherheitsvorfälle.

8.2 Die von Logicc getroffenen technischen und organisatorischen Maßnahmen sind in Anlage 3 aufgeführt. Der Kunde bestätigt, dass diese Maßnahmen die Anforderungen erfüllen und ein angemessenes Schutzniveau für die Verarbeitung von Kundendaten gewährleisten.

8.3 Logicc ist jederzeit berechtigt, die technischen und organisatorischen Maßnahmen durch gleich- oder höherwertige Maßnahmen zu ersetzen, sofern diese den Anforderungen der Ziffer 8 genügen.

9. Informationspflichten von Logicc

9.1 Logicc wird den Kunden unverzüglich informieren, wenn Logicc Kenntnis von einem Sicherheitsvorfall erhält.

9.2 Der Kunde erstattet Logicc alle angemessenen Aufwendungen für die Bereitstellung dieser Informationen, es sei denn, der Sicherheitsvorfall ist unmittelbar auf grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten von Logicc zurückzuführen.

10. Aufgaben zur Unterstützung des Kunden

10.1 Unter Berücksichtigung der Art der Verarbeitung und der Logicc vernünftigerweise zur Verfügung stehenden Ressourcen unterstützt Logicc den Kunden mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Verpflichtungen des Kunden zur Beantwortung von Anfragen der betroffenen Personen und anderer Verpflichtungen nach den Datenschutzgesetzen.

10.2 Logicc wird den Kunden unverzüglich informieren, wenn Logicc der Auffassung ist, dass eine vom Kunden erteilte Weisung gegen Datenschutzgesetze verstößt

10.3 Der Kunde erstattet Logicc den angemessenen Aufwand für die Erbringung der in dieser Ziffer 10 beschriebenen Leistungen, es sei denn, diese Leistungen sind zur Erfüllung der gesetzlichen Verpflichtungen von Logicc nach den Datenschutzgesetzen erforderlich.

11. Laufzeit

11.1 Diese AVV tritt automatisch mit dem Abschluss des Vertrages in Kraft und bleibt mindestens für die Dauer des Vertrages in Kraft, sofern nichts anderes bestimmt ist.

11.2 Eine vorzeitige oder anderweitige Beendigung des Vertrages, gleich aus welchem Grund, hat die automatische Beendigung dieser AVV zur Folge. Die Bestimmungen dieser AVV bleiben jedoch insoweit in Kraft, als dies erforderlich ist, um den ordnungsgemäßen Abschluss der Verarbeitung von Kundendaten im Rahmen dieser AVV in Übereinstimmung mit den Datenschutzgesetzen zu gewährleisten, insbesondere in Bezug auf die Löschung oder Rückgabe von Kundendaten. Sobald eine solche Verarbeitung abgeschlossen ist, endet diese AVV ohne weitere Mitteilung.

12. Verpflichtung zur Löschung und Rückgabe nach Beendigung

Nach Beendigung der Dienstleistungen wird Logicc nach Weisung des Kunden alle Kundendaten entweder löschen oder zurückgeben. Der Kunde muss Logicc innerhalb von 30 Tagen nach Beendigung der Dienstleistungen über seine Wahl informieren. Erfolgt innerhalb dieser Frist keine Mitteilung, kann Logicc die Kundendaten löschen, es sei denn, das geltende Recht schreibt eine weitere Speicherung vor. Aufbewahrungs- und Archivierungspflichten nach geltendem Recht bleiben hiervon unberührt. Logicc wird die Löschung oder Rückgabe auf Anfrage des Kunden bestätigen.

13. Datenschutzbeauftragter

Logicc wird einen Datenschutzbeauftragten bestellen, soweit dies nach den Datenschutzgesetzen erforderlich ist, und dem Kunden in diesem Fall die Kontaktdaten des Datenschutzbeauftragten zur Verfügung stellen

14. Vergütung

14.1 Alle von Logicc im Rahmen dieser AVV erbrachten Leistungen sind vollständig durch die im Vertrag vereinbarte Vergütung abgegolten, sofern in dieser AVV nicht ausdrücklich etwas anderes bestimmt ist.

14.2 Soweit Leistungen im Rahmen dieser AVV als vergütungspflichtig bezeichnet sind, werden diese Leistungen nach Aufwand zu den im Vertrag vereinbarten Sätzen vergütet. Sind keine Vergütungssätze vereinbart, gelten die zum Zeitpunkt der Leistung gültigen Standardsätze von Logicc.

15. Haftung

15.1 Die Haftungsbestimmungen des Vertrages gelten entsprechend für dieses AVV.

15.2 Behördliche Strafen oder Bußgelder, die direkt gegen den Kunden verhängt werden, können von Logicc nicht zurückgefordert werden, es sei denn, sie sind auf einen Verstoß von Logicc gegen diese AVV oder Datenschutzgesetze zurückzuführen. In solchen Fällen ist die Haftung von Logicc auf das Mitverschulden beschränkt, das durch eine rechtskräftige Entscheidung eines zuständigen Gerichts oder einer zuständigen Behörde festgestellt wird, und unterliegt den Haftungsbestimmungen des Vertrags.

16. Schlussbestimmungen

16.1 Diese AVV ist integraler Bestandteil des Vertrages. Im Falle eines Widerspruchs zwischen den Bestimmungen des Vertrages und dieser AVV haben die Bestimmungen dieser AVV ausschließlich in Bezug auf die Verarbeitung von Kundendaten Vorrang.

16.2 Logicc behält sich das Recht vor, diese AVV bei Bedarf zu ändern, um Änderungen der geltenden Datenschutzgesetze, regulatorischen Anforderungen oder verbindlichen Entscheidungen der zuständigen Aufsichtsbehörden Rechnung zu tragen. Logicc wird den Kunden mindestens 30 Tage im Voraus schriftlich oder in Textform (z.B. per E-Mail) über solche Änderungen informieren, es sei denn, eine sofortige Änderung ist gesetzlich oder regulatorisch vorgeschrieben. Widerspricht der Kunde solchen Änderungen aus berechtigten Gründen, werden die Parteien nach Treu und Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden. Widerspricht der Kunde solchen Änderungen und wird innerhalb einer angemessenen Frist keine einvernehmliche Lösung erzielt, kann der Kunde den Vertrag in Bezug auf die betroffenen Verarbeitungstätigkeiten durch schriftliche Mitteilung kündigen.

16.3 Sollte eine Bestimmung dieser AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen dieser AVV nicht berührt. Das Gleiche gilt, wenn und soweit sich eine Lücke in dieser AVV zeigt. Anstelle der unwirksamen oder undurchführbaren Bestimmung oder zur Ausfüllung der Lücke soll eine angemessene Regelung gelten, die, soweit rechtlich möglich, dem am nächsten kommt oder entspricht, was die Parteien wirtschaftlich gewollt haben oder nach dem Sinn und Zweck dieser AVV gewollt hätten, sofern sie diesen Punkt bedacht hätten.

16.4 Im Übrigen gelten die Schlussbestimmungen des Vertrages entsprechend für diese AVV.

Anlage 1: Details der Verarbeitung

1. Kategorien von betroffenen Personen

  • Nutzer der Dienstleistungen
  • Mitarbeiter des Kunden
  • Personen, auf die sich Daten beziehen, die von Nutzern eingegeben werden

2. Arten von Kundendaten

  • Namen, E-Mailadressen von Nutzern und Mitarbeitern des Kunden
  • Daten, die von den Nutzern eingegeben werden

3. Verarbeitung von besonderen Kategorien von Kundendaten

  • Im bestimmungsgemäßen Nutzungsfall sollten besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Abs. 1 DSGVO nicht vom Kunden zur Verfügung gestellt werden und daher nicht als Kundendaten verarbeitet werden.

4. Umfang und Art der Verarbeitung

  • Kommunikationsinhalte mit LLMs
  • Dokumente und Informationen, die der Kunde auf der Plattform hochlädt und speichert

5. Zweck der Verarbeitung

  • Bereitstellung der Dienstleistungen gemäß den Anweisungen des Kunden
Name Adresse Aufgabe Ort der Verarbeitung Garantie gemäß Art. 44 ff. DSGVO
Microsoft Ireland Operations Limited The Atrium Building, Block B, Carmanhall Road, Sandyford Business Estate, Dublin 18, Ireland Bereitstellung von Cloud-Infrastruktur und LLM-Modellen via Azure OpenAI Service zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten (Output) Schweden
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Deutschland Bereitstellung von Cloud-Infrastruktur für das Hosting der Plattform Deutschland (Hetzner Rechenzentren in Nürnberg/Falkenstein)
IONOS SE Elgendorfer Str. 57, 56410 Montabaur, Deutschland Bereitstellung von Cloud-Infrastruktur zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten (Output) Deutschland
Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland Bereitstellung von Cloud-Infrastruktur zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten (Output) EU
Amazon Web Services EMEA SARL 38 avenue John F. Kennedy, L-1855, Luxemburg Bereitstellung von Cloud-Infrastruktur zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten EU
Cloudflare Inc. 101 Townsend Street, San Francisco, California 94107, United States Bereitstellung von DDoS-Schutz, Web Application Firewall (WAF) und Content Delivery Network (CDN) Ort der Nutzung ist Ort der Verarbeitung Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende Schutzmaßnahmen
Stripe Payments Europe, Limited (SPEL) 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland Abwicklung und Verwaltung von Zahlungsvorgängen EU
Mistral AI SAS 15 rue des Halles, F-75001 Paris Bereitstellung von Cloud-Infrastruktur zur Verarbeitung von Nutzeranfragen (Input) und Generierung von Modellantworten (Output) EU
AlphaAI Technologies Inc. dba Tavily 33 W 60th New York, NY 10023, USA Bereitstellung einer Web-Suchfunktion für KI-Anwendungen zur Anreicherung von Antworten mit aktuellen Informationen. Vereinigte Staaten Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende Schutzmaßnahmen.
Clerk, Inc. 660 King Street, Unit 345, San Francisco, CA 94107, USA Authentifizierung und Autorisierung von Nutzern der Plattform Vereinigte Staaten EU-U.S. Data Privacy Framework (DPF) sowie Standardvertragsklauseln (SCC) als Fallback.

Anlage 3: Technische und organisatorische Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen hat Logicc angemessene technische und organisatorische Sicherheitsmaßnahmen ergriffen und wird diese beibehalten, um die Kundendaten vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit der Kundendaten zu wahren ("technische und organisatorische Maßnahmen"). Diese Maßnahmen beinhalten folgende Aspekte:

1. Vertraulichkeit

1.1 Zutrittskontrolle

Logicc wird angemessene Maßnahmen treffen, um das Risiko zu reduzieren, dass Unbefugte Zutritt zu Datenverarbeitungssystemen, mit denen die Kundendaten verarbeitet und genutzt werden, erhalten. Maßnahmen zur Zutrittskontrolle können z.B. automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen sein. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen können z.B. durch verschließbare Serverschränke geschützt werden.

  • Technische Maßnahmen:
    • Einsatz von mechanischen Schließsystemen an allen relevanten Türen zu Büros und Serverräumen.
    • Besucher werden durch Mitarbeiter begleitet.
    • Es existiert ein Schlüsselmanagement, welches die Ausgabe und Rücknahme von Schlüsseln regelt.
    • Sorgfältige Auswahl von Reinigungspersonal und anderen externen Dienstleistern.
  • Organisatorische Maßnahmen:
    • Zutrittsrichtlinie, die den Zutritt für Mitarbeiter, Dienstleister und Besucher klar regelt und auf das notwendige Minimum beschränkt.
    • Führung eines Besucherbuchs und Protokollierung aller Zutritte zu den Serverräumen.
    • Regelmäßige Kontrolle der Zutrittsprotokolle.

1.2 Zugangskontrolle

Logicc wird angemessene Maßnahmen treffen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Technische Maßnahmen:
    • Strikte Passwortrichtlinien (Mindestlänge, Komplexität, regelmäßiger Wechsel).
    • Einsatz von Multi-Faktor-Authentifizierung (MFA), wo immer möglich und sinnvoll.
    • Automatische Sperrung von inaktiven Sitzungen nach einem definierten Zeitraum.
    • VPN-Zugang für Fernzugriff auf interne Systeme.
    • Verwaltung von Benutzerberechtigungen.
    • Automatische Desktop-Sperre
  • Organisatorische Maßnahmen:
    • IT-Sicherheitsrichtlinie, die den sicheren Umgang mit Passwörtern, Zugangsdaten und mobilen Geräten regelt.
    • Vergabe von Benutzerkonten nach dem Prinzip der minimalen Rechtevergabe.
    • Regelmäßige Sicherheitsschulungen für Mitarbeiter, um das Bewusstsein für Phishing und andere Bedrohungen zu schärfen.
    • Erstellung von Benutzerprofilen

1.3 Zugriffskontrolle

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass die zur Benutzung der Datenverarbeitungssysteme Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass Kundendaten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:
    • Implementierung eines differenzierten Berechtigungskonzepts, das den Zugriff auf Kundendaten auf das notwendige Minimum beschränkt.
    • Einsatz von Firewalls und Intrusion Detection/Prevention Systemen.
    • Protokollierung aller Zugriffe auf Kundendaten in Audit-Logs.
    • SSH-verschlüsselter Zugang
    • SSL-Verschlüsselung
    • Verschlüsselungvon im Ruhezustand befindlichen Kundendaten (Encryption at Rest), insbesonderevon Chats, Dateien und Prompt-Vorlagen, unter Verwendung von starken, dem Standder Technik entsprechenden Verschlüsselungsverfahren.
  • Organisatorische Maßnahmen:
    • Richtlinie zur Vergabe und Entziehung von Zugriffsrechten, die sich am "Need-to-know"-Prinzip orientiert.
    • Regelmäßige Überprüfung der Zugriffsberechtigungen und Audit-Logs.
    • Besondere Autorisierung für den Zugriff auf besonders sensible Datenkategorien.
    • Mindestanzahl an Administratoren

1.4 Trennungskontrolle

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Kundendaten getrennt verarbeitet werden können. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:
    • Striktelogische Mandantentrennung innerhalb der zentralen Datenbank durch den Einsatzvon Row-Level Security (RLS), um sicherzustellen, dass jeder Mandantausschließlich auf seine eigenen Datenzeilen zugreifen kann.
    • Sicherstellung der Mandantentrennung auf Anwendungsebene, um den Zugriff auf Daten anderer Mandanten zu unterbinden.
    • Trennung von Entwicklungs-, Test- und Produktivsystemen.
    • Differenziertes Berechtigungskonzept für u.a. Datenbanken
  • Organisatorische Maßnahmen:
    • Richtlinie zur Datenklassifizierung und zur getrennten Verarbeitung von Daten verschiedener Mandanten und Zwecke.
    • Regelmäßige Kontrolle der technischen und organisatorischen Maßnahmen zur Datentrennung.
    • Steuerung über Berechtigungskonzept

2. Integrität

2.1 Weitergabekontrolle

Logicc wird angemessene Maßnahmen treffen, um das Risiko zu reduzieren, dass Kundendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:
    • Konsequente Verschlüsselung aller Übertragungswege für Kundendaten (z.B. TLS 1.3 für Webanwendungen, SFTP für Dateiübertragung, VPN für Fernzugriff).
    • Einsatz von sicheren E-Mail-Verschlüsselungsverfahren (z.B. S/MIME oder PGP), wo E-Mail-Kommunikation erforderlich ist.
    • Bereitstellung über verschlüsselte Verbindungen wie sftp, https und sichere Cloudstores.
    • Organisatorische Maßnahmen: Richtlinie zur sicheren Übertragung und Weitergabe von Kundendaten, die die Nutzung unsicherer Kanäle untersagt.
    • Sensibilisierung der Mitarbeiter für die Risiken unsicherer Datenübertragung.
    • Klare Regelungen zur Nutzung von Cloud-Diensten und zur Übermittlung von Daten an Dritte.
    • Übersicht über regelmäßige Abruf- und Übermittlungsverfahren

2.2 Eingabekontrolle

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem Kundendaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:
    • Umfassende Protokollierung aller Eingaben, Änderungen und Löschungen von Kundendaten in manipulationssicheren Audit-Logs.
    • Einsatz von Plausibilitätsprüfungen und Validierungsregeln bei der Dateneingabe.
    • Versionierung von Datensätzen oder Zeitstempel bei Änderungen.
    • Manuelle oder automatische Kontrolle der Protokolle (nach strengen internen Vorgaben)
  • Organisatorische Maßnahmen:
    • Richtlinie zur Protokollierung und zum Vier-Augen-Prinzip bei kritischen Dateneingaben.
    • Regelmäßige Auswertung der Audit-Logs auf Unregelmäßigkeiten.
    • Klare Zuständigkeiten für die Dateneingabe und -pflege.
    • Vergabe von Rechten zur Eingabe, Änderung und Löschung Daten auf der Grundlage eines Berechtigungskonzepts

3. Verfügbarkeit und Belastbarkeit

Logicc wird angemessene Maßnahmen treffen, um sicherzustellen, dass Kundendaten gegen zufällige Zerstörung oder Verlust geschützt sind. Hierzu trifft Logicc folgende Vorkehrungen:

  • Technische Maßnahmen:
    • Hosting der Anwendung und Daten in den Rechenzentren von Hetzner, die nach ISO 27001 zertifiziert sind.
    • Tägliche Backups aller relevanten Daten mit einer Aufbewahrungsfrist von mindestens 7 Tagen.
    • Regelmäßige Tests der Wiederherstellbarkeit von Backups (mindestens einmal pro Quartal).
    • Einsatz von unterbrechungsfreier Stromversorgung (USV), Klimatisierung, Brandschutz und Festplattenspiegelung (RAID) in den Hetzner-Rechenzentren.
    • Verwendung von Virenschutz auf den Servern.
    • Notfallplan, der die Wiederherstellung der Systeme im Falle eines Ausfalls regelt.
    • Backup-Überwachung und Reporting, um die erfolgreiche Durchführung der Backups sicherzustellen.
    • Konzept für die Wiederherstellung, das die Schritte und Verantwortlichkeiten im Falle einer notwendigen Datenwiederherstellung beschreibt.
    • Wiederherstellbarkeit durch Automatisierungstools, um den Wiederherstellungsprozess zu beschleunigen.
    • Kontrolle des Backup-Prozesses durch regelmäßige Überprüfung der Backup-Logs und -Reports.
    • Backup-Konzept, das sich an der Kritikalität der Daten und den spezifischen Kundenanforderungen orientiert.
    • Regelmäßige Tests der Datenwiederherstellung (mindestens einmal pro Quartal) und Protokollierung der Ergebnisse.
  • Organisatorische Maßnahmen:
    • Notfallpläne für verschiedene Ausfallszenarien (z.B. Stromausfall, Hardware-Defekt, Cyberangriff), die regelmäßig aktualisiert und geübt werden.
    • Klare Verantwortlichkeiten und Eskalationswege im Notfall, die auch die Kommunikation mit Hetzner als Cloud-Anbieter umfassen.
    • Vertragliche Vereinbarungen mit Hetzner über garantierte Verfügbarkeiten (SLAs), Reaktionszeiten und Support-Leistungen im Notfall.
    • Informationssicherheitsrichtlinie, die auch die Anforderungen an die Verfügbarkeit und den Notfallbetrieb regelt.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Logicc implementiert Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

4.1 Datenschutz-Management

  • Es wurde ein externer Datenschutzbeauftragter bestellt. Dieser wird durch den Geschäftsführer und einen dedizierten Mitarbeiter, die als interne Datenschutzkoordinatoren fungieren, bei der Umsetzung der Datenschutzmaßnahmen im Unternehmen unterstützt.
  • Implementierung eines Datenschutz-Managementsystems (DSMS) in Anlehnung an bewährte Standards (z.B. ISO 27701, BSI IT-Grundschutz), angepasst an die Größe und Komplexität des Unternehmens.
  • Regelmäßige interne Überprüfungen der Datenschutzmaßnahmen und -prozesse, mindestens einmal jährlich.
  • Dokumentation und Bearbeitung von Datenschutzvorfällen gemäß einem definierten internen Prozess.
  • Regelmäßige Schulungen der Mitarbeiter zum Datenschutz, mindestens einmal jährlich.
  • Prozesse bezüglich Informationspflichten gemäß Artikel 13 und 14 DSGVO umgesetzt.
  • Formalisiertes Verfahren für Auskunftsersuchen von betroffenen Personen eingerichtet.
  • Datenschutz-Checkpoints, soweit möglich und sinnvoll, in die Risikobewertung integriert.
  • Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf für neue Verarbeitungstätigkeiten mit voraussichtlich hohem Risiko durchgeführt.
  • Datenschutzaspekte sind Teil des allgemeinen Risikomanagements des Unternehmens.

4.2 Incident-Response-Management

  • Implementierung eines Incident-Response-Plans für Sicherheitsvorfälle, der die Phasen der Erkennung, Meldung, Analyse, Reaktion und Nachbereitung umfasst.
  • Einrichtung eines Incident-Response-Teams, das im Falle eines Sicherheitsvorfalls die Koordination und Bearbeitung übernimmt.
  • Nutzung der Google Workspace-Firewall und regelmäßige Aktualisierung
  • Nutzung des Google Workspace-Spamfilters und regelmäßige Aktualisierung
  • Nutzung des Google Workspace-Virenscanners und regelmäßige Aktualisierung
  • Regelmäßige Schulung der Mitarbeiter im Umgang mit Sicherheitsvorfällen und Phishing-Versuchen.
  • Dokumentation von Sicherheitsvorfällen und Datenschutzverletzungen über Ticketsystem
  • Formales Verfahren zur Nachverfolgung von Sicherheitsvorfällen und Datenschutzverletzungen
  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenschutzverletzungen (auch im Hinblick auf Meldepflicht an die Aufsichtsbehörde)
  • Formalisiertes Verfahren für den Umgang mit Sicherheitsvorfällen
  • Einbindung des CTO bei Sicherheitsvorfällen und Datenschutzverletzungen