1. Anbieter, Geltungsbereich und generelle Bestimmungen
   1. Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für die Bereitstellung und Nutzung der CENDAS-Software als Software-as-a-Service (SaaS), (nachfolgend und konkretisiert in Ziffer 3.1 „Software“) durch die CENDAS GmbH, Südring 25, 44787 Bochum (nachfolgend „CENDAS“).
   2. Die durch CENDAS angebotenen Leistungen richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB (nachfolgend „Kunde“, gemeinsam mit CENDAS die „Parteien“).
   3. Abweichungen von diesen AGB gelten nur dann als vereinbart, wenn sie von CENDAS ausdrücklich schriftlich bestätigt wurden. Insbesondere die bloße Unterlassung eines
      Widerspruchs durch CENDAS gegen Geschäftsbedingungen des Kunden führt nicht dazu, dass diese als vereinbart gelten. Das gilt auch, wenn CENDAS in Kenntnis entgegenstehender oder von diesen AGB abweichender Geschäftsbedingungen des Kunden Leistungen vorbehaltlos ausführt.
   4. Aus wichtigem Anlass, insbesondere bei Veränderungen der Rechtslage, der höchstrichterlichen Rechtsprechung, der Software oder der Marktgegebenheiten ist CENDAS zur Änderung dieser AGB berechtigt. CENDAS wird dem Kunden eine Änderung dieser AGB mitteilen. Die geänderten AGB gelten als vereinbart, wenn der Kunde der Änderung nicht innerhalb von zwei (2) Wochen nach Erhalt der Mitteilung widersprochen hat und CENDAS den Kunden bei Mitteilung der Änderungen auf diese Folge besonders hingewiesen hat. Änderungen des mit dem Kunden vereinbarten Leistungsinhalts bedürfen unabhängig von den vorstehenden Regelungen der ausdrücklichen Zustimmung
      des Kunden.
2. Vertragsschluss; Vertragserweiterungen
   1. Ein Vertrag über die Bereitstellung und Nutzung der Software und/oder die Erbringung von Sonderleistungen (s. Ziffer 6) auf Grundlage und unter Geltung dieser AGB (nachfolgend „Vertrag“) kann entweder über einen von CENDAS online bereitgestellten automatisierten Bestellprozess („Selbstregistrierung“) oder durch Bestellung auf Grundlage eines von CENDAS individuell für den Kunden erstellten Angebots geschlossen werden, das den Inhalt der vorangegangenen individuellen Vertragsverhandlungen zwischen den Parteien rechtsverbindlich wiedergibt (nachfolgend „Individualvereinbarung“).
   2. Im Falle eines Vertragsschlusses im Wege einer Selbstregistrierung stellt der Abschluss der Registrierung durch den Kunden ein Angebot zum Abschluss des Vertrages
      dar. Das Angebot wird durch das im Rahmen des Bestellprozesses ausgewählte Servicepaket sowie gegebenenfalls, die ausgewählten Sonderleistungen näher definiert.
      In diesem Fall kommt der Vertrag erst mit der Annahme des Vertragsangebots durch eine von CENDAS per E-Mail versandte Auftragsbestätigung zustande.
   3. Im Falle des Vertragsschlusses mittels einer Individualvereinbarung kommt der Vertrag durch die auf das Angebot von CENDAS folgende Bestellung des Kunden zustande.
      Unabhängig von der Art und Weise des Vertragsschlusses sind diese AGB rechtsverbindlicher Bestandteil des Vertrages zwischen den Parteien und regeln die Nutzung der
      Software. Dies gilt sowohl für eine kostenlose Nutzung der Plattform zu Testzwecken als auch für eine kostenpflichtige Nutzung der Plattform.
   4. Zur Nutzung der Software muss sich der Kunde registrieren und ein Kundenkonto (nachfolgend „Account“) eröffnen. Für die Erstellung des Accounts sind die erforderlichen Daten anzugeben und ein Passwort festzulegen. CENDAS behält sich das Recht vor, die Registrierung von Passwörtern zu verweigern oder diese zu löschen, wenn CENDAS sie für unangemessen hält.
   5. Im Rahmen des Registrierungsprozesses wird der Kunde einen Nutzer mit administrativer Benutzerrolle (nachfolgend „Administrator“) festlegen. Der Kunde ist berechtigt,
      nach der Accountanlage weitere Administratoren zu bestimmen. Jeder Administrator gilt CENDAS gegenüber – jeweils einzelvertretungsberechtigt – als Ansprechpartner
      für die verbindliche Behandlung aller die Durchführung des Vertrags betreffenden Fragen. Dazu zählt insbesondere der Wechsel in ein umfangreicheres Servicepaket sowie
      die Bestellung weiterer Zugänge (s. Ziffer 2.8) oder die Bestellung von Sonderleistungen.
   6. Durch den Abschluss eines Vertrags zu Testzwecken räumt CENDAS dem Kunden das Recht ein, die Software ab Zugangsgewährung bzw. Mitteilung der Zugangsdaten
      durch CENDAS für 30 Tage ausschließlich zu Testzwecken zu nutzen (nachfolgend „Testphase“). Es liegt im freien Ermessen von CENDAS, ob sie eine Testphase auf Anfrage des Kunden verlängern oder nicht. Nach Ablauf der Testphase kann CENDAS den Account des Kunden jederzeit ohne Vorankündigung sperren. Der Kunde ist nicht berechtigt, sich erneut für eine Testphase anzumelden. Die Testphase wird nur dann in einen Vertrag über eine kostenpflichtige Nutzung der Software umgewandelt, wenn der Kunde für die Fortsetzung der Nutzung seine Zahlungsdaten hinterlegt.
   7. Wenn der Kunde mit CENDAS einen Vertrag über die kostenpflichtige Nutzung der Software abschließt, werden im Rahmen des Bestellprozesses das Servicepaket und
      die Anzahl der berechtigten Nutzer (nachfolgend „Nutzer“), für die der Kunde Benutzerkonten („Zugänge“) anlegen darf und ein monatlicher Preis für den bestellten Leistungsumfang definiert. Die Zugänge sind personalisiert und dürfen nur von einer natürlichen Person genutzt werden.
   8. Über die Bedienoberfläche der Software können Administratoren das aktuelle Servicepaket des Kunden – sofern verfügbar – auf ein umfangreicheres Servicepaket erweitern sowie weitere Nutzer hinzufügen und zusätzliche Zugänge einrichten. Die Erweiterung des Servicepaketes und das Einrichten zusätzlicher Zugänge stellen jeweils rechtsverbindliche Vertragsangebote dar, die mit der Freischaltung durch CENDAS angenommen werden. Derartige nachträgliche Erweiterungen des Leistungsumfangs lösen zusätzliche zeitanteilige Vergütungsverpflichtung entsprechend der zwischen den Parteien getroffenen Vereinbarung aus.
3. Leistungsgegenstand
   1. CENDAS stellt dem Kunden für die Vertragslaufzeit den Zugang zu der vom Kunden ausgewählten Version der Software zur Verfügung. Die Software richtet sich an Handwerkbetriebe und dient dazu dem Kunden durch digitale Lösungen Zeit und Ressourcen zu sparen und dadurch zu einer produktiveren Abwicklung von Baustellen beizutragen.
   2. Der vertragsgegenständliche Leistungsumfang ergibt sich aus dem während des Bestellprozesses von dem vom Kunden ausgewählten Servicepaket, einschließlich etwaiger zusätzlicher Funktionalitäten/Sonderleistungen.
   3. CENDAS überprüft die von dem Kunden mittels der Software eingestellten Daten und Inhalte nicht auf Vollständigkeit und Richtigkeit. Soweit CENDAS dem Kunden Checklisten zur Verfügung stellt, beruhen diese nur auf allgemeinen Erfahrungswerten und sollen dem Kunden lediglich eine grobe Orientierung liefern.
4. Nutzungsrechte
   1. CENDAS gewährt dem Kunden das zeitlich auf die Dauer des Vertrags beschränkte, nicht übertragbare, nicht ausschließliche Recht, die Software für den vereinbarten Vertragszweck zu nutzen. Darüberhinausgehende Rechte erhält der Kunde nicht.
5. Nutzung der Software durch den Kunden
   1. Der Kunde darf den Zugang zur Software ausschließlich selbst für den Vertragszweck nutzen.
   2. Der Kunde ist für jede Verwendung des Accounts verantwortlich, sowie für die vertrauliche und sichere Aufbewahrung der Passwörter und Anmeldeinformationen. Der Kunde
      verpflichtet sich, geeignete Sicherheitsvorkehrungen zu treffen, damit die Software nicht von unberechtigten Personen genutzt wird. Der Kunde wird CENDAS unverzüglich
      in Textform über jede unbefugte Nutzung des Accounts bzw. der Zugänge und über jede andere Verletzung der Account-Sicherheit informieren.
   3. Der Kunde darf mittels der Software ausschließlich Daten, Texte, Bilder und sonstige Inhalte verwenden, zu deren entsprechender Nutzung er berechtigt ist und die nicht gegen geltendes Recht oder Rechte Dritter verstoßen. CENDAS ist zur Sperrung von durch den Kunden eingestellten Inhalten berechtigt, wenn ein begründeter Verdacht besteht, dass diese Inhalte rechtswidrig sind, gegen diese AGB verstoßen oder Rechte Dritter verletzen. Der Kunde stellt CENDAS von allen Ansprüchen Dritter, insbesondere von Ansprüchen wegen Urheber-, Wettbewerbs-, Marken- und Datenschutzrechtsverletzungen, die gegen CENDAS in Zusammenhang mit der konkreten Nutzung der Software durch den Kunden erhoben werden sollten, frei. Diese Freistellung beinhaltet auch den Ersatz angemessener Kosten, die CENDAS durch eine Rechtsverfolgung bzw. -verteidigung entstehen bzw. entstanden sind.
   4. Der Kunde ist dafür verantwortlich, sämtliche von CENDAS zur Verfügung gestellten Checklisten vor einer Verwendung auf Vollständigkeit und Richtigkeit zu überprüfen. Der Kunde bleibt allein für die Planung und Umsetzung seiner Leistungen verantwortlich.
   5. Der Kunde verpflichtet sich, die ihn nach den Ziffern 5.1 bis 5.4 treffenden Pflichten und Empfehlungen an die von ihm eingesetzten Nutzer weiterzureichen.
6. Sonderleistungen von CENDAS
   1. Wenn dies zwischen den Parteien vereinbart wird, erbringt CENDAS zusätzlich zur Bereitstellung der Software individuelle Sonderleistungen an den Kunden, z.B. im Bereich des Onboardings und der Einrichtungshilfe, der Schulung zum und der Unterstützung beim Einsatz der Software oder der Anpassung der Software an die individuellen Bedürfnisse und Wünsche der Kunden, der Beratung zur Optimierung der betrieblichen Prozesse in der Baustellenabwicklung (nachfolgend „Sonderleistungen“).
   2. CENDAS erbringt Sonderleistungen nach Maßgabe der vereinbarten Konditionen und erhält dafür die zwischen den Parteien vereinbarte Vergütung.
   3. Der Kunde ist zur unverzüglichen Erbringung sämtlicher für die Sonderleistungen erforderlichen Mitwirkungshandlungen (z. B. Mitteilung technischer Informationen und Gewährung von Zugang zu den IT-Systemen des Kunden) verpflichtet. Im Übrigen gelten für Sonderleistungen die Nutzungsrechteregelungen in Ziffer 3 entsprechend. Soweit Sonderleistungen die Nutzbarkeit der Software wesentlich beeinträchtigen oder zu Sicherheitslücken an der Software führen könnten, ist CENDAS berechtigt, die Bereitstellung der Sonderleistungen unter angemessener Berücksichtigung der Kundeninteressen zunächst vorsorglich einzustellen. Die Parteien werden das weitere Vorgehen in einem solchen Fall einvernehmlich abstimmen.
7. Verfügbarkeit
   1. Für kostenpflichtige Versionen der Software, gewährt CENDAS während der Servicezeiten eine Gesamtverfügbarkeit der Leistungen am Übergabepunkt von 99% im Jahresmittel. Der Übergabepunkt ist der jeweilige Routerausgang über den die Software mit dem Internet verbunden ist. Während der Testphase schuldet CENDAS dem Kunden keine bestimmte Verfügbarkeit der Software.
   2. Als Verfügbarkeit gilt die Möglichkeit, sämtliche vertraglich geschuldeten Hauptfunktionen der Software zu nutzen. Zeiten unerheblicher Störungen gelten als Zeiten der Verfügbarkeit der Software. Für den Nachweis der Verfügbarkeit sind die Messinstrumente von CENDAS maßgeblich.
   3. „Servicezeiten“ sind Montag bis Freitag (gesetzliche Feiertage in Bochum sowie der 24. und 31. Dezember eines jeden Jahres ausgenommen) zwischen 09:00 und 18:00
      Uhr.
   4. Der Kunde verpflichtet sich, CENDAS unverzüglich unter Übermittlung einer vollständigen Fehlermeldung per E-Mail an support@cendas.net über Störungen der Software zu informieren. Die Fehlermeldung muss mindestens eine ausführliche Fehlerbeschreibung und Angaben zu Zeit und Dauer des Fehlers sowie zu dem genutzten Endgerät und Webbrowser enthalten.
   5. Bei der Berechnung der Nichtverfügbarkeit bleiben Ausfallzeiten unberücksichtigt, (i) in denen die Software aufgrund von technischen oder sonstigen Problemen, die CENDAS nicht zu vertreten hat (höhere Gewalt, Verschulden Dritter, Fehler der ITSysteme des Kunden etc.), nicht zu erreichen ist, (ii) die auf eine Verletzung der Mitwirkungspflichten des Kunden, insbesondere auf eine verzögerte oder unvollständige Übermittlung einer Fehlermeldung, zurückzuführen sind, (iii) Störungszeiten bei denen die Reaktionszeiten eingehalten werden, sowie (iv) in denen die Software planmäßig gewartet wird. CENDAS stellt eine Reaktionszeit von maximal vier (4) Stunden während der Servicezeiten sicher. Als planmäßige Wartungszeiten gelten Wartungen, die mit einem Vorlauf von mindestens 24h angekündigt werden und drei (3) Stunden pro Monat nicht übersteigen.
8. Betrieb und Änderungen der Software
   1. CENDAS ist bestrebt, dass die Software stets dem Stand der Technik entspricht. CENDAS ist berechtigt, regelmäßig Updates, neue Versionen oder Upgrades der Software durch- und/oder einzuführen (nachfolgend einheitlich als „Updates“ bezeichnet), um die Software an neue technische oder geschäftliche Bedürfnisse anzupassen, neue Funktionen zu implementieren oder Änderungen an bestehenden Funktionalitäten der Software vorzunehmen.
   2. Zur Anpassung der Software an neue oder geänderte rechtliche, technische (inkl. Cybersecurity) oder wirtschaftliche Anforderungen oder bei Vorliegen eines sonstigen triftigen Grundes ist CENDAS auch berechtigt, Änderungen vorzunehmen, durch die der Zugang zur Software oder deren Nutzung durch den Kunden zum Vertragszweck mehr als nur unwesentlich eingeschränkt wird (nachfolgend „Wesentliche Änderung“). CENDAS wird die Kunden, die die Software nicht im Rahmen einer Testphase nach Ziffer 2.6 nutzen, über die Einführung der Wesentlichen Änderung spätestens vier (4) Wochen vor ihrem Wirksamwerden in Textform informieren (nachfolgend „Änderungsmitteilung“). Widerspricht der Kunde der Wesentlichen Änderung nicht mit einer Frist von zwei (2) Wochen ab Zugang der Änderungsmitteilung (nachfolgend „Widerspruchsmitteilung“), wird die Wesentliche Änderung Vertragsbestandteil des mit dem Kunden geschlossenen Vertrags. CENDAS wird den Kunden mit jeder Änderungsmitteilung über seine Rechte nach Ziffer 7.3, insbesondere (i) das Widerspruchsrecht, (ii) die hierfür vorgesehene Frist und (iii) die Rechtsfolgen eines nicht fristgerecht erklärten Widerspruchs gegen die Wesentliche Änderung informieren.
   3. Widerspricht der Kunde der Wesentlichen Änderung, wird CENDAS dem Kunden die Plattform ohne die Wesentliche Änderung weiter zur Nutzung zur Verfügung stellen, soweit dies nicht aus technischen oder geschäftsorganisatorischen Gründen unmöglich oder für CENDAS unzumutbar ist. Dem Kunden steht in einem solchen Fall das Recht zu, den Vertrag außerordentlich aus wichtigem Grund innerhalb einer Frist von vier Wochen (nachfolgend „Ausübungsfrist“) zu kündigen. Macht der Kunde von seinem Kündigungsrecht keinen Gebrauch, wird die Wesentliche Änderung Vertragsbestandteil. Die Ausübungsfrist beginnt zu laufen, sobald CENDAS den Kunden in Textform über (i) die Nichtfortführbarkeit des Vertrags ohne die Wesentliche Änderung, (ii) das Sonderkündigungsrecht und (iii) die Rechtsfolgen des Verstreichens der Ausübungsfrist informiert hat.
9. Vergütung und Zahlungsbedingungen
   1. Die Vergütung für die Nutzung der Software durch den Kunden oder die Erbringung von Sonderleistungen sowie die jeweiligen Zahlungsbedingungen richten sich nach den jeweils zwischen den Parteien vereinbarten Preisen.
   2. Alle durch CENDAS ausgewiesenen Gebühren und Preise verstehen sich als Nettopreise zuzüglich gesetzlicher Mehrwertsteuer. Die Vergütung ist monatlich im Voraus zu zahlen, soweit nicht etwas anderes vereinbart ist.
10. Gewährleistung für Sach- und Rechtsmängel
    1. CENDAS gewährleistet, dass die Software nicht mit Sach- und Rechtsmängeln (nachfolgend „Mängel“) behaftet ist, die die Tauglichkeit der Software für den Vertragszweck mehr als unerheblich beeinträchtigen. Unwesentliche Beeinträchtigungen gelten nicht als Mangel.
    2. Der Kunde ist verpflichtet, CENDAS auftretende Mängel unverzüglich mitzuteilen. CENDAS wird aufgetretene und ordnungsgemäß angezeigte Mängel an der Software innerhalb angemessener Frist beseitigen.
11. Haftung von CENDAS und Mitverschulden des Kunden
    CENDAS haftet auf Schadensersatz ausschließlich nach Maßgabe der nachstehenden Bedingungen:
    1. CENDAS haftet bei (i) vorsätzlichem oder grob fahrlässigen Verschulden von CENDAS oder seinen gesetzlichen Vertretern oder Erfüllungsgehilfen, (ii) fahrlässiger Verletzung einer wesentlichen Vertragspflicht (Kardinalpflichten) von CENDAS oder seinen gesetzlichen Vertretern oder Erfüllungsgehilfen, jedoch beschränkt auf typische Schäden, die zum Zeitpunkt des Abschlusses des Vertrags vorhersehbar waren oder (iii) Fahrlässigkeit von CENDAS oder seinen gesetzlichen Vertretern oder Erfüllungsgehilfen, die eine Verletzung des Lebens, des Körpers oder der Gesundheit verursacht, (iv) oder einer sonstigen zwingenden gesetzlichen Haftung von CENDAS oder seinen gesetzlichen Vertretern oder Erfüllungsgehilfen.
    2. Ein etwaiges Mitverschulden des Kunden ist anzurechnen. CENDAS haftet insbesondere für die Wiederbeschaffung von Daten nur, soweit der Kunde alle erforderlichen und angemessenen Datensicherungsvorkehrungen getroffen und sichergestellt hat, dass die Daten aus Datenmaterial, das in maschinenlesbarer Form bereitgehalten wird, mit vertretbarem Aufwand rekonstruiert werden können.
    3. Diese Haftungsregelung ist abschließend. Sie gilt im Hinblick auf alle Schadensersatzansprüche, unabhängig von ihrem Rechtsgrund, insbesondere auch im Hinblick auf vorvertragliche oder nebenvertragliche Ansprüche. Sie gilt auch zugunsten der gesetzlichen Vertreter und Erfüllungsgehilfen von CENDAS, wenn Ansprüche direkt gegen diese geltend gemacht werden.
    4. Der Kunde ist verpflichtet, etwaige Schäden im Sinne vorstehender Haftungsregelungen unverzüglich gegenüber CENDAS in Textform anzuzeigen oder von CENDAS aufnehmen zu lassen, sodass CENDAS möglichst frühzeitig informiert wird und eventuell gemeinsam mit dem Kunden noch Schadensminderung betreiben kann.
12. Vertragswidrige Nutzung, Schadensersatz
    1. Für jeden Fall, in dem im Verantwortungsbereich des Kunden unberechtigt eine vertragsgegenständliche Leistung in Anspruch genommen wird, hat der Kunde jeweils Schadensersatz in Höhe derjenigen Vergütung zu leisten, die für die vertragsgemäße Nutzung im Rahmen der für diese Leistung geltenden Mindestvertragsdauer angefallen wäre. Das gilt insbesondere für die Nutzung eines Zugangs durch eine hierfür nicht berechtigte Person. Der Nachweis, dass der Kunde die unberechtigte Nutzung nicht zu vertreten hat oder kein oder ein wesentlich geringerer Schaden vorliegt, bleibt dem Kunden vorbehalten.
    2. CENDAS bleibt berechtigt, einen weitergehenden Schaden geltend zu machen.
13. Verjährung der Ansprüche des Kunden
    1. Ansprüche des Kunden, die auf der Verletzung einer nicht in einem Mangel bestehenden Pflicht beruhen, verjähren, sofern nicht Vorsatz oder grobe Fahrlässigkeit vorliegt, innerhalb von einem Jahr beginnend mit der Entstehung des Anspruchs. Dies gilt nicht, wenn es sich bei dem in Rede stehenden Schaden des Kunden um einen Personenschaden handelt. Ansprüche wegen Personenschäden verjähren innerhalb der gesetzlichen Verjährungsfrist.
    2. Rücktritt oder Minderung sind unwirksam, wenn der Anspruch auf die Leistung oder der Nacherfüllungsanspruch des Kunden verjährt ist.
14. Aufrechnung, Zurückbehaltung, Minderung
    1. Der Kunde hat ein Recht zur Aufrechnung, Minderung und/oder ein Zurückbehaltungsrecht gegenüber CENDAS nur, wenn sein jeweiliger Gegenanspruch rechtskräftig festgestellt, unbestritten oder durch CENDAS anerkannt wurde.
    2. Ein Zurückbehaltungsrecht kann der Kunde zudem nur ausüben, wenn der Gegenanspruch auf demselben Vertragsverhältnis beruht.
    3. Das Recht des Kunden zur Rückforderung tatsächlich nicht geschuldeter Vergütung bleibt von der Beschränkung der Ziffer 14.1 unberührt.
15. Sperrung des Accounts
    1. Bei erheblichen schuldhaften Verstößen des Kunden gegen diese AGB ist CENDAS berechtigt, den Account des Kunden zu sperren, bis der Verstoß abgestellt ist.
    2. CENDAS ist auch zur Sperrung des Accounts des Kunden berechtigt, während der Kunde mit fälligen Gebühren oder sonstigen Vergütungen in nicht unerheblicher Höhe in Verzug ist.
    3. Der Kunde bleibt auch während einer Sperrung seines Accounts zur Zahlung der Vergütungen verpflichtet.
16. Laufzeit, Kündigung
    1. Sofern nicht in einem individuellen Angebot abweichend geregelt, beträgt die Vertragslaufzeit über die Bereitstellung und Nutzung der Software einen (1) Monat und verlängert sich automatisch um je einen (1) weiteren Monat, wenn der Vertrag nicht vor Ende der Laufzeit durch eine der Parteien gekündigt wird.
    2. Die Vertragslaufzeit für zeitlich befristete Sonderleistungen ergibt sich aus der zwischen den Parteien getroffenen Vereinbarung.
    3. Das Recht beider Parteien zur außerordentlichen Kündigung dieses Vertrags aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für die jeweils andere Vertragspartei insbesondere vor, wenn:
       1. eine der Parteien schwerwiegend gegen ihre vertraglichen Verpflichtungen verstößt und deswegen der anderen Partei das Festhalten am Vertrag nicht mehr zuzumuten ist;
       2. der Kunde mit der Zahlung fälliger Gebühren oder sonstiger Vergütungen auch nach Ablauf einer von CENDAS gesetzten, angemessenen Frist zur Abhilfe um mehr als zwei (2) Monate im Rückstand ist;
       3. über das ganze Vermögen oder Teile des Vermögens einer Partei das Insolvenzverfahren beantragt, eröffnet oder abgelehnt wird;
       4. bei einer der Parteien ein Insolvenzgrund im Sinne der §§ 17 – 19 InsO vorliegt;
       5. sich die Vermögensverhältnisse einer Partei derart verschlechtern, dass mit einer ordnungsgemäßen Vertragserfüllung nicht mehr gerechnet werden kann, auch wenn kein Insolvenzgrund im Sinne von §§ 17 – 19 InsO vorliegt.
    4. Sofern nachfolgend nicht ausdrücklich abweichend geregelt, bedarf eine Kündigung mindestens der Textform. Kündigungen an CENDAS sind postalisch, als E-Mail an support@cendas.net oder über die Software mittels der Schaltfläche „Abo kündigen“ zu erklären.
    5. CENDAS weist den Kunden darauf hin, dass er für die rechtzeitige Sicherung seiner Datenbestände vor Beendigung des Vertrags selbst verantwortlich ist. CENDAS wird in diesem Zusammenhang angemessene Mitwirkungshandlungen unternehmen. CENDAS kann aus technischen Gründen einen Zugriff des Kunden auf dessen Datenbestände nach Beendigung des Vertrags in der Regel nicht gewährleisten. Während der Laufzeit des Vertrags wird CENDAS keine vom Kunden in die Software eingespeisten Daten löschen, sofern CENDAS dazu nicht rechtlich verpflichtet ist (z.B. aufgrund von Rechtsverletzungen durch die vom Kunden eingespeisten Daten).
17. Geheimhaltung; Nutzung von Arbeitsergebnissen des Kunden; Marketing
    1. Die Parteien verpflichten sich, alle ihnen im Rahmen der Vertragsbeziehung zur Kenntnis gelangenden und bereits gelangten vertraulichen Informationen zeitlich unbefristet geheim zu halten und sie – soweit dies nicht zur Erreichung des Vertragszweckes erforderlich ist – nicht weiterzugeben und nicht in sonstiger Weise zu verwenden. Vertrauliche Informationen sind alle Informationen und Unterlagen der jeweils anderen Partei, die als vertraulich gekennzeichnet oder aus den Umständen heraus als vertraulich anzusehen sind, insbesondere Informationen über betriebliche Abläufe, Geschäftsbeziehungen, weitere Betriebs- und Geschäftsgeheimnisse, Know-how, sämtliche Arbeitsergebnisse sowie das Geschäftsmodell von CENDAS.
    2. Von der Verpflichtung ausgenommen sind solche vertraulichen Informationen,
       1. die der jeweils anderen Partei bei der Anbahnung des Vertrags nachweislich bereits bekannt waren oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden;
       2. die öffentlich bekannt waren, soweit dies nicht auf einer Verletzung dieses Vertrags beruht;
       3. die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichts oder einer Behörde offengelegt werden müssen. Soweit zulässig und möglich wird die zur Offenlegung verpflichtete Partei die andere Partei in diesem Fall vorab unterrichten und ihm Gelegenheit geben, gegen die Offenlegung vorzugehen.
    3. Jede Weitergabe vertraulicher Informationen an Dritte, die nicht zur Erreichung des Vertragszwecks erforderlich ist, bedarf der Zustimmung der jeweils anderen Partei.
    4. Die Parteien werden durch geeignete vertragliche Abreden sicherstellen, dass auch die für sie tätigen Mitarbeiter und Auftragnehmer zeitlich unbefristet jede eigene Verwertung oder Weitergabe vertraulicher Informationen unterlassen. Die Parteien werden Mitarbeitern und Auftragnehmern vertrauliche Informationen nur in dem Umfang offenlegen, wie diese die Informationen für die Durchführung dieses Vertrags kennen müssen.
    5. Der Kunde willigt ein, dass CENDAS die von dem Kunden auf und mittels der Software erstellten Arbeitsergebnisse (insbesondere Werks- und Montageplanung sowie Checklisten), die der Kunde CENDAS gegenüber nicht ausdrücklich als streng geheim gemeldet hat, im erforderlichen Umfang zur Verbesserung der Software verwendet und hierfür Auftragnehmern von CENDAS zur Verfügung stellt. Der Kunde kann die Einwilligung in Bezug auf einzelne oder sämtliche Werks- und Montageplanungen jederzeit durch Erklärung gegenüber CENDAS in Textform oder über die Plattform mit Wirkung für die Zukunft widerrufen. CENDAS wird durch geeignete vertragliche Abreden sicherstellen, dass auch die für sie tätige Mitarbeiter und Auftragnehmer zeitlich unbefristet jede eigene Verwertung oder Weitergabe vertraulicher Informationen unterlassen. CENDAS wird Mitarbeitern und Auftragnehmern vertrauliche Informationen nur in dem Umfang offenlegen, wie diese die Informationen für die oben genannten Zwecke kennen müssen.
    6. Der Kunde willigt ein, dass CENDAS die Zusammenarbeit der Parteien für Werbezwecke z.B. in Form von Pressemitteilungen, Erwähnungen auf der Homepage oder auf Social-Media-Profilen publizieren darf. Der Kunde gestattet es CENDAS, in diesem Zusammenhang auch das Firmenlogo des Kunden zu verwenden. Der Kunde ist bereit, für die Referenzkundennennung als Testimonial zu fungieren. Der Kunde kann seine Zustimmung nach dieser Ziffer 17.6 durch Mitteilung an CENDAS in Textform jederzeit mit Wirkung für die Zukunft widerrufen.
18. Datenschutz, Datennutzung und Auftragsverarbeitungsvereinbarung
    1. CENDAS behandelt personenbezogene Daten des Kunden entsprechend datenschutzrechtlicher Standards und Vorgaben.
    2. Der Kunde wird darauf hingewiesen, dass CENDAS für die Bereitstellung der Software personenbezogene Bestands- und Nutzungsdaten als Auftragsverarbeiter im Sinne von Art. 28 DS-GVO für den Kunden als Verantwortlichen verarbeitet. Für diesen Zweck schließen die Parteien mit dem Vertragsschluss nach Ziffer 2.5 zugleich die in der Anlage zu diesen AGB enthaltene Auftragsverarbeitungsvereinbarung (AVV). Die Parteien bestätigen, dass sie die AVV gelesen, verstanden und akzeptiert haben und dass die AVV als Teil dieser AGB ohne gesonderte Erklärung verbindlich zwischen den Parteien vereinbart ist. Im Falle von Widersprüchen zwischen der AVV und diesen AGB oder einer anderen vertraglichen Vereinbarung zwischen den Parteien in diesem Zusammenhang haben die Bestimmungen der AVV Vorrang.
    3. CENDAS ist nur im Verhältnis zu solchen Kunden, die personenbezogene Daten ihrer Kunden mittels der Software einspeisen, Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Kunde ist verpflichtet, die Absicht zur Einspeisung personenbezogener Daten von eigenen Kunden in die Software CENDAS vorab mitzuteilen; in diesem Fall sind die Parteien zum Abschluss einer separaten Auftragsverarbeitungsvereinbarung verpflichtet.
19. Schlussbestimmungen
    1. Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam oder undurchführbar sein oder werden oder eine an sich notwendige Regelung nicht enthalten, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt.
    2. Das zwischen den Vertragspartnern bestehende Vertragsverhältnis unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter ausdrücklichem Ausschluss des UN-Kaufrechts.
    3. Ausschließlicher Gerichtsstand für sämtliche aus und/ oder in Zusammenhang mit diesem Vertragsverhältnis zwischen CENDAS und dem Kunden erwachsenden Streitigkeiten ist, soweit rechtlich zulässig, der Geschäftssitz von CENDAS in Bochum.

Stand: Juli 2023

Anlage: Auftragsverarbeitungsvereinbarung (AVV)

1. Einleitung, Geltungsbereich, Definitionen
   1. Im Zusammenhang mit der Bereitstellung der CENDAS Software auf der Basis des auf
      den „Allgemeine Geschäftsbedingungen für Leistungen von CENDAS“ beruhenden Vertrags (nachfolgend „Hauptvertrag“) verarbeitet CENDAS (nachfolgend „Auftragnehmer“) für den Kunden (nachfolgend „Auftraggeber“ als Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers.
   2. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten.
   3. Dieser Vertrag wird als Teil der Allgemeinen Geschäftsbedingungen für Leistungen von CENDAS mit Abschluss des Hauptvertrags gemäß dessen Ziffer 2wirksam.
   4. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers im Zusammenhang mit dem Hauptvertrag verarbeiten.
   5. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EUDatenschutz-Grundverordnung zu verstehen. In diesem Sinne ist der Auftraggeber der „Verantwortliche“, der Auftragnehmer der „Auftragsverarbeiter“. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Textform nach § 126b BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
2. Gegenstand und Dauer der Verarbeitung
   1. Gegenstand
      Der Auftragnehmer übernimmt folgende Verarbeitungen: Die Verarbeitung von Daten, die der Auftraggeber dem Auftragnehmer zum Zweck von Marketing / Öffentlichkeitsarbeit im Sinne des Auftragnehmers und auch des Auftraggebers oder zur Erstellung von personenbezogenen Accounts zur Nutzung der CENDAS Software bereitstellt. Außerdem können mit Zustimmung des Auftragnehmers auch anonymisierte Plan / Projektdaten zur internen Softwareoptimierung verarbeitet werden. Die Verarbeitung beruht auf dem zwischen den Parteien vereinbarten Hauptvertrag.
   2. Dauer
      Die Verarbeitung beginnt mit dem Abschluss des Hauptvertrags und erfolgt auf unbestimmte Zeit bis zur Beendigung dieses Vertrags oder des Hauptvertrags.
3. Art, Zweck und Betroffene der Datenverarbeitung
   1. Art der Verarbeitung
      Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten
   2. Zweck der Verarbeitung
      Die Verarbeitung dient folgendem Zweck:
      Die Verarbeitung der Daten erfolgt unter Anderem zur Erfüllung des Hauptvertrags. Dabei werden im ersten Schritt gemeinsam die notwendigen und abgesprochenen personenbezogenen Accounts zur Nutzung der CENDAS Software zur Baustellendigitalisierung des Auftraggebers in der CENDAS Software erstellt und mit Auth0 (https://auth0.com/de) authentifiziert. Im Zuge eines konkreten Pilotprojektes wird von der Planungs- und Vorbereitungsphase über die Projektdurchführung bis hin zum Projektabschluss gemeinsam die CENDAS Nutzung erprobt. Stimmt der Auftraggeber dem zu, werden des Weiteren die Daten zur Erfüllung abgesprochener Marketingkonzepte und der Öffentlichkeitsarbeit genutzt. Dazu können verschiedene Marketinginstrumente, sowie unterschiedliche Kanäle und Plattformen genutzt werden, z. B. Instagram, LinkedIn, Facebook oder auch Messebesuche und Printmaterialien.
   3. Art der Daten
      Es werden folgende Daten verarbeitet:
      Kontaktdaten, Adressdaten, Kommunikationsdaten, Bild-, Ton- und Videoaufnahmen, Erfahrungsberichte, Statements, Firmendaten, Firmenlogos, Firmenaufnahmen von Mitarbeitern oder Leistungen. Die Zustimmung zur Nutzung dieser Daten erfolgt separat je Mitarbeiter durch den Auftraggeber.
   4. Kategorien der betroffenen Personen
      Von der Verarbeitung betroffen sind: Mitarbeiter des Auftraggebers, Mitarbeiter des Auftragnehmers, Kunden des Auftragnehmers.
4. Pflichten des Auftragnehmers
   1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist
      gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
   2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
   3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
   4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
   5. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
   6. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
   7. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Recht geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
   8. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
   9. Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
   10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
5. Sicherheit der Verarbeitung
   1. Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
   2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
   3. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
   4. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
   5. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
   6. Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
   7. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
   8. Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12 Monate unaufgefordert und sonst jederzeit auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden. Nachweise sind mindestens bis zum Ablauf drei Kalenderjahren nach Beendigung der Auftragsverarbeitung aufzubewahren und dem Auftraggeber jederzeit auf Verlangen vorzulegen.
6. Regelungen zur Berichtigung, Löschung und Sperrung von Daten
   1. Die zur Verfügung gestellten Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
   2. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
7. Unterauftragsverhältnisse
   1. Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten
      Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben
      unberührt. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte
      Änderung in Bezug auf den Einsatz oder die Ersetzung von Subunternehmern. Der
      Auftraggeber kann solchen Änderungen innerhalb von zwei (2) Wochen nach der Mitteilung an support@cendas.net widersprechen.
   2. Der Auftragnehmer stellt sicher, dass dem Subunternehmer vertraglich mindestens
      Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag Vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.
   3. Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam
      ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern
      durchzuführen oder durch Dritte durchführen zu lassen.
   4. Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.
   5. Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.
   6. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen
      Maßnahmen sorgfältig aus.
   7. Die Weiterleitung der vom Auftraggeber bereitgestellten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat,
      dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat.
   8. Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist. Soweit aktuell gültige Standardvertragsklauseln auf Basis einer Entscheidung der EU-Kommission (z.B. gemäß Kommissionsentscheidung 2010/87/EU) oder Standarddatenschutzklauseln gem. Art. 46 DSGVO als angemessene Garantien eingesetzt werden, bevollmächtigt der Auftraggeber den Auftragnehmer unter Befreiung vom Verbot der Doppelvertretung gemäß § 181 BGB, zur Vornahme aller hierfür erforderlichen Handlungen sowie zur Abgabe und Entgegennahme von Willenserklärungen gegenüber dem Subunternehmer. Ferner ist der Auftragnehmer berechtigt, die Rechte und Befugnisse des Auftraggebers aus dieser Vereinbarung gegenüber dem Subunternehmer auszuüben.
   9. Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber unaufgefordert vorzulegen. Der Auftragnehmer bewahrt die Dokumentation über durchgeführte Prüfungen mindestens bis zum Ablauf des dritten Kalenderjahres nach Beendigung der Auftragsverarbeitung auf und legt diese dem Auftraggeber auf Verlangen jederzeit vor.
   10. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.
   11. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.
8. Rechte und Pflichten des Auftraggebers
   1. Für die Beurteilung der Zulässigkeit der Verarbeitung der übermittelten Daten, sowie für die Wahrung der Rechte von Betroffenen, insbesondere der Angestellten des Arbeitgebers ist allein der Auftraggeber verantwortlich.
   2. Der Auftraggeber erteilt Weisungen gemäß der übermittelten Daten dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
   3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
   4. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang
      selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.
   5. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.
9. Mitteilungspflichten
   1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
      1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
      2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
      3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
      4. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
   2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
   3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
   4. Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.
10. Weisungen
    1. Ausschließlich die Administratoren des Auftraggebers sowie ggf. weitere dem Auftragnehmer vom Auftraggeber schriftlich benannte Personen sind zur Erteilung von Weisungen befugt. Der Auftragnehmer benennt die zur Annahme von Weisungen ausschließlich befugten Personen in Anlage 3.
    2. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
    3. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
    4. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren
11. Beendigung des Auftrags
    1. Befinden sich bei Beendigung des Auftragsverhältnisses verarbeitete Daten oder Kopien derselben noch in der Verfügungsgewalt des Auftragnehmers, hat dieser nach Wahl des Auftraggebers die Daten entweder zu vernichten oder an den Auftraggeber zu übergeben. Die Wahl hat der Auftraggeber innerhalb von 2 Wochen nach entsprechender Aufforderung durch den Auftragnehmer zu treffen. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399. Hierbei gilt mindestens Schutzklasse P3.
    2. Der Auftragnehmer ist verpflichtet, die unverzügliche Vernichtung bzw. Rückgabe auch bei Subunternehmern herbeizuführen.
    3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber auf Aufforderung hin unverzüglich vorzulegen.
    4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.
12. Haftung
    1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.
    2. Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.
    3. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Verarbeitung der genannten Daten schuldhaft verursachen.
    4. Absätze (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.
    5. Der Auftraggeber ist sich im Klaren, dass die zur Verfügung gestellten Daten im Internet von beliebigen Personen abgerufen werden können. Trotz aller technischer Vorkehrungen kann somit nicht ausgeschlossen werden, dass die Daten weiterverwendet oder an andere Personen weitergeben werden. Hierfür trägt der Auftragnehmer keine Schuld.
13. Sonderkündigungsrecht
    1. Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechtedes Auftraggebers vertragswidrig verweigert.
    2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
    3. Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.
    4. Der Auftragnehmer hat dem Auftraggeber alle Kosten zu erstatten, die diesem durch die verfrühte Beendigung des Hauptvertrags oder dieses Vertrages in Folge einer außerordentlichen Kündigung durch den Aufraggeber entstehen.
14. Sonstiges
    1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
    2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
    3. Für Nebenabreden sind die Schriftform und die ausdrückliche Bezugnahme auf diese Vereinbarung erforderlich.
    4. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
    5. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

** Dieser Auftragsverarbeitungsvereinbarung wird als Teil der Allgemeine
Geschäftsbedingungen für Leistungen von CENDAS ohne gesonderte Erklärung zwischen den Parteien verbindlich vereinbart. **

Anlage 1 – Technisch-organisatorische Maßnahmen

Im Folgenden werden die auftragsbezogenen technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen.

1. Vertraulichkeit
   1. Zutritts-, Zugangs-, Speicher- und Datenträgerkontrolle
      1. Schlüsselregelung (Schlüsselverwaltung: Schlüsselausgabe etc.)
      2. Automatisches Zutrittskontrollsystem, Ausweisleser
      3. Türsicherung (elektrischer Türöffner, Zahlenschloss, usw.)
      4. Sicherheitsschlösser
      5. Chipkarten-/Transponder-Schließsystem
      6. Manuelles Schließsystem
   2. Zugangs- und Benutzerkontrolle
      1.  Passwortvergabe
         1. Länge des Passworts: 8 Zeichen
         2. Wechselfristen 3 Monate
         3. Anzahl der Fehleingaben 3
      2. Authentifikation mit Benutzername/Passwort
      3. Biometrisches Merkmal mit PIN/Passwort­
      4. Einsatz von VPN-Technologie­
      5. Verschlüsselung von mobilen Datenträgern­
      6. Verwaltung von Berechtigungen­
      7. Clean Desk Policy (CDP)
      8. Einsatz einer Firewall­
      9. Einsatz von Anti-Viren-Software­
      10. Erstellen von Benutzerprofilen
      11. Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
      12. Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und Fahrzeugen sichere Transportbehälter/-verpackungen und sicherer Umgang
          z.B. beim Transport von Laptops im PKW­
      13. Sicherung von Datenträgertransporten (verschließbarer Transportbehälter), auch für Papier
   3. Auftragskontrolle­
      1. Vorhandene Vereinbarungen zur Auftragsverarbeitung­
      2. Kontrolle der Vertragsausführung
      3. Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
      4. Regelung von Wartungen
      5. Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
2. Integrität
   1. Eingabekontrolle/Verarbeitungskontrolle
      1. Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
      2. Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
   2. Dokumentationskontrolle
      1. Führung eines Verarbeitungsverzeichnisses
      2. Dokumentation der eingesetzten IT- Systeme und deren Systemkonfiguration
      3. Auflistung der TOM
      4. Zulässigkeit eines Datentransfers in Drittländer ist gegeben
   3. Verfügbarkeitskontrolle
      1. Überspannungsschutz
      2. Schutz gegen Umwelteinflüsse (Sturm, Wasser)
      3. Feuer- und Rauchmeldeanlagen
      4. Testen von Datenwiederherstellung
      5. Schutzsteckdosenleisten
      6. Datensicherungskonzept
      7. Virenschutzsystem
      8. Erstellen eines Backup-& Recovery-Konzepts
3. Trennungsgebot
   1. Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
   2. Versehen von Datensätze mit Zweckattributen/Datenfeldern
   3. Logische Mandantentrennung (softwareseitig), z.B. Orderstruktur je Kunde
   4. Trennung von Produktiv- und Testsystem
   5. Trennung von Daten verschiedener Auftraggeber
   6. Erstellung eines Berechtigungskonzepts