1. Umfang

Dies sind die Allgemeinen Geschäftsbedingungen ("AGB") der Friday Finance GmbH, eingetragen im Handelsregister B des Amtsgerichts Charlottenburg unter HRB 226357 B, Neue Schönhauser Straße 3-5, 10178 Berlin ("Friday Finance"). Friday Finance betreibt eine Finanzmanagement-Software ("Software"). Diese AGB regeln die Geschäftsbeziehung zwischen Friday Finance und Personen, die sich für die Nutzung der von Friday Finance zur Verfügung gestellten Software über die Anwendungssoftware ("App") registrieren ("Nutzer")

1.1. Friday Finance erbringt Finanzmanagement-, Buchhaltungs- und damit verbundene Dienstleistungen ("Dienstleistungen"). In einigen Fällen erbringt Friday Finance die Dienstleistungen unter Einbeziehung von Partnerunternehmen.

1.2. Friday Finance erbringt seine Leistungen ausschließlich für Nutzer, die Unternehmer im Sinne des § 14 BGB sind.

1.3. Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen von Nutzern werden nur dann Vertragsbestandteil, wenn Friday Finance ihrer Geltung ausdrücklich in Textform zugestimmt hat. Dieses Zustimmungserfordernis gilt auch dann, wenn Friday Finance in Kenntnis der Allgemeinen Geschäftsbedingungen eines Nutzers mit der Leistungserbringung beginnt.

2. Gegenstand des Abkommens

2.1. Die App und die Software ermöglichen es dem Nutzer, Zahlungskonten zu verwalten, insbesondere den Cashflow zu verfolgen, Cashflow-Prognosen zu erstellen und die Finanzberichterstattung zu unterstützen.

2.2. Der genaue Umfang der Dienste hängt von dem vom Nutzer gewählten Abonnement (Starter, Premium oder Enterprise) ab. Details finden Sie unter www.fridayfinance.com/pricing.

2.3. Die Software ist online über die Website app.fridayfinance.com zugänglich. Die Software kann nicht heruntergeladen werden, sondern ist nur online als Software-as-a-Service ("SaaS") zugänglich. Daher sind für den Zugriff eine Internetverbindung und ein Browser erforderlich.

2.4. Die Bereitstellung des Internetzugangs, der für die Nutzung der App und der Software erforderlich ist, ist nicht Teil der Dienstleistung von Friday Finance.

2.5. Verträge im Zusammenhang mit der Eröffnung und Führung eines Kontos (z.B. Kontovertrag, Rahmenvertrag für Zahlungsdienste, Zahlungsverträge) werden ausschließlich zwischen dem Nutzer und einem oder mehreren Kreditinstituten geschlossen. Friday Finance wird nicht Partei dieser Verträge.

2.6. Friday Finance bemüht sich im Rahmen seines Einflussbereiches um eine möglichst hohe Verfügbarkeit der App und der Software, garantiert jedoch keine bestimmte Verfügbarkeit. Die Erreichbarkeit der App und der Software kann eingeschränkt oder unmöglich sein, insbesondere während Wartungs- und/oder Reparaturarbeiten. Friday Finance kündigt Wartungsarbeiten nach Möglichkeit 72 Stunden im Voraus an.

2.7. Der mit Friday Finance und dem Nutzer geschlossene Vertrag, §§ 675c ff. BGB ("Nutzungsvertrag") ist unabhängig von den zwischen dem Nutzer und dem zahlungskontoführenden Zahlungsdienstleister (in der Regel ein Kreditinstitut) des Nutzers bestehenden Vereinbarungen und bleibt von diesen unberührt. Dies gilt insbesondere im Hinblick auf etwaige Entgelte, die der kontoführende Zahlungsdienstleister des Nutzers für vom Nutzer über Friday Finance bestellte Leistungen erhebt.

3. Allgemeine Voraussetzungen für die Nutzung der App und der Software

Die Nutzung der über die App angebotenen Software setzt zunächst eine Registrierung und Anmeldung über die App und den damit verbundenen Abschluss einer Nutzungsvereinbarung mit der zugehörigen Auftragsdatenverarbeitungsvereinbarung (mit Inhalt gemäß Zusatz 1) mit Friday Finance (siehe unten Ziffer 4) voraus (die "DPA").

4. Registrierung, Vertragsabschluss, Benutzerkonto

4.1. Die Registrierung des Nutzers erfolgt über den dafür vorgesehenen Onboarding-Prozess in der App. Ein Anspruch auf Registrierung oder Abschluss einer Nutzungsvereinbarung mit der zugehörigen DPA besteht nicht.

4.2. Der Nutzer wählt ein persönliches Zugangspasswort, mit dem er sich nach erfolgreicher Registrierung in sein Nutzerkonto einloggen kann (Zugangspasswort und die bei der Registrierung angegebene E-Mail-Adresse des Nutzers im Folgenden zusammen "Zugangsdaten"). Durch Anklicken eines im Onboarding-Prozess vorgesehenen Buttons gibt der Nutzer ein verbindliches Angebot an Friday Finance zum Abschluss eines Nutzungsvertrages mit zugehörigem Datenverarbeitungsvertrag gemäss diesen AGB ab. Nach dem Absenden des Registrierungsformulars erhält der Nutzer eine Eingangsbestätigung von Friday Finance. Diese E-Mail stellt keine Annahmeerklärung seitens Friday Finance dar. Erst mit der Freischaltung des Nutzerkontos durch Friday Finance kommt ein Nutzungsvertrag mit der zugehörigen DPA mit Friday Finance zustande.

4.3. Der Nutzer ist verpflichtet, bei der Registrierung wahrheitsgemäße Angaben zu machen und dafür Sorge zu tragen, dass die im Nutzerkonto gespeicherten Daten stets auf dem aktuellen Stand sind. Bei Änderungen oder Unrichtigkeiten der gespeicherten Daten ist der Nutzer verpflichtet, diese Daten unverzüglich und unaufgefordert zu aktualisieren oder zu berichtigen. Der Benutzer kann dies im Benutzerkonto tun. Ist es nicht möglich, die Daten im Benutzerkonto zu aktualisieren oder zu korrigieren, muss der Teilnehmer die aktualisierten oder korrigierten Daten unverzüglich und unaufgefordert per E-Mail an support@fridayfinance.com senden.

4.4. Der Nutzer kann eine oder mehrere Personen, z. B. Teammitglieder, zur Nutzung des Nutzerkontos ermächtigen (im Folgenden "autorisierte Personen") und ihnen gegebenenfalls unterschiedliche Berechtigungsstufen einräumen. Der Nutzer muss Friday Finance die Namen und Kontaktdaten der autorisierten Personen mitteilen. Wenn es mehr als eine autorisierte Person gibt, muss der Nutzer Friday Finance (1) mindestens einen von ihnen benennen, der das Benutzerkonto in technischer Hinsicht verwaltet (nachfolgend "Administrator"), und (2) eine Kontaktperson, die im Hinblick auf die Nutzungsvereinbarung autorisiert ist.

4.5. Nutzerkonten sind individualisiert und dürfen nur vom Nutzer und den berechtigten Personen genutzt werden. Eine Weitergabe der Zugangsdaten oder eine sonstige Gestattung oder Ermöglichung der Nutzung des Nutzerkontos durch Dritte, die nicht berechtigte Personen sind, ist untersagt. Der Nutzer ist verpflichtet, die Zugangsdaten geheim zu halten, sicher zu verwahren und vor dem unberechtigten Zugriff Dritter zu schützen. Der Nutzer ist ferner verpflichtet, die Berechtigten Personen entsprechend zu instruieren, insbesondere wenn er ihnen die Nutzung der App und der Software auf eigenen Endgeräten gestattet. Der Nutzer ist verpflichtet, Friday Finance bei Verdacht auf Missbrauch unverzüglich zu informieren.

• 4.5.1. Der Nutzer haftet für die von ihm beauftragten Personen wie für eigene Pflichtverletzungen und eigenes Verschulden.
• 4.5.2. Das Rechtsverhältnis des Nutzers mit dem Betreiber des App-Stores, über den der Nutzer die App bezieht, und die Allgemeinen Geschäftsbedingungen dieses App-Stores bleiben unberührt.

5. Verpflichtungen des Nutzers

5.1. Durch die Benennung eines Zahlungskontos für die Aufnahme in die App und die Software stimmt der Nutzer Friday Finance in vollem Umfang für alle Aktivitäten im Zusammenhang mit den Dienstleistungen in Bezug auf dieses Zahlungskonto zu. Friday Finance kann ohne diese Zustimmung keine Dienstleistungen für den Nutzer erbringen.  

5.2. Der Nutzer ist für die von ihm oder von autorisierten Personen in die App und Software eingegebenen Daten und Inhalte verantwortlich.

5.3. Der Nutzer und die Berechtigten dürfen keine Inhalte in die App oder Software eingeben oder übertragen, die gegen gesetzliche Vorschriften, behördliche Anordnungen oder die guten Sitten verstoßen. Es ist ferner untersagt, Daten einzugeben oder zu übermitteln, die Rechte Dritter, insbesondere Urheberrechte und/oder gewerbliche Schutzrechte sowie wettbewerbsrechtliche Ansprüche (z.B. auf Geheimhaltung von Betriebsgeheimnissen) verletzen.

5.4. Der Nutzer stellt Friday Finance von sämtlichen Ansprüchen frei, die Dritte gegenüber Friday Finance wegen der Verletzung ihrer Rechte oder wegen Rechtsverletzungen geltend machen, die auf den vom Nutzer oder von autorisierten Personen bereitgestellten oder übermittelten Inhalten beruhen. Insoweit trägt der Nutzer auch die notwendigen Kosten der Rechtsverteidigung von Friday Finance, einschließlich Gerichts- und Anwaltskosten. Die Freistellungsverpflichtung gilt nicht, wenn der Nutzer die Rechtsverletzung nicht zu vertreten hat.

5.5. Der Nutzer und die autorisierten Personen haben alles zu unterlassen, was das Funktionieren oder den Betrieb der App und der Software gefährden oder stören könnte. Sie haben insbesondere Folgendes zu unterlassen,

• die Verwendung automatisierter Software-Mechanismen (wie z. B. Robots, Crawler, Spider, Scraper) in Verbindung mit der App und der Software;
• die App und die Software zu anderen als den im Vertrag vorgesehenen Zwecken zu nutzen, insbesondere nicht zur Übertragung von sogenannten Viren, Würmern oder Trojanern;
• bestehende technische oder konventionelle Fehler der App und/oder der Plattform zu nutzen, um Zugangssperren, gesetzliche Verbote zu umgehen und/oder Dritte zu schädigen;
• die Verbreitung illegaler Inhalte;
• sonstige Handlungen vorzunehmen, die geeignet sind, den reibungslosen Betrieb der App und der Software zu beeinträchtigen.

5.6. Der Nutzer darf die Nutzungsvereinbarung zusammen mit der zugehörigen DPA nicht an Dritte übertragen.

5.7. Der Nutzer verpflichtet sich, Friday Finance alle Schäden zu ersetzen, die aus der schuldhaften Verletzung der vorgenannten Pflichten entstehen.

6. Sperrung und Löschung von Konten

6.1. Friday Finance ist berechtigt, das Benutzerkonto nach eigenem Ermessen vorübergehend oder dauerhaft zu sperren,

• wenn der Nutzer bei der Registrierung unrichtige Angaben gemacht hat und diese Angaben - gegebenenfalls trotz Aufforderung durch Friday Finance - nicht unverzüglich korrigiert;
• bei missbräuchlicher, unbefugter oder betrügerischer Nutzung des Benutzerkontos oder wenn aufgrund konkreter Anhaltspunkte eine solche Nutzung zu befürchten ist;
• wenn der Nutzer oder eine berechtigte Person Inhalte auf der Plattform einstellt oder über die Nachrichten- und Kommunikationsfunktionen der Plattform übermittelt, die nach den geltenden Gesetzen strafbar sind oder der Vorbereitung strafbarer Handlungen dienen;
• wenn der Nutzer oder eine bevollmächtigte Person gegen eine der Verpflichtungen aus diesen AGB verstößt und der Nutzer den Verstoß trotz Abmahnung nicht innerhalb einer angemessenen Frist beseitigt;
• wenn der Nutzer einem unbefugten Dritten die Nutzung des Kontos oder der Zugangsdaten, für die der Nutzer verantwortlich ist, gestattet oder anderweitig ermöglicht hat; oder
• wenn andere Umstände vorliegen, die Friday Finance zu einer Kündigung aus wichtigem Grund berechtigen würden.

6.2. Bei der Entscheidung über Maßnahmen gemäß Abschnitt 6.1 wird Friday Finance die berechtigten Interessen des betroffenen Nutzers angemessen berücksichtigen.

7. Preise

7.1. Friday Finance bietet ein Tarifsystem an, das sich an die Aktivität und den Umfang der Nutzung anpasst. Einzelheiten zu den in den einzelnen Tarifen erhobenen Gebühren sind in der Rubrik "Preise" auf www.fridayfinance.com/pricing aufgeführt . Überschreitet der Nutzer eine der dort genannten Grenzen für den von ihm aktuell genutzten Tarif, gilt für ihn ab dem nächsten Monat automatisch die nächsthöhere Tarifstufe. Friday Finance wird den Kunden hierüber unverzüglich in Textform informieren.

7.2. Die Dienste, auf die der Nutzer und die autorisierten Personen zugreifen können, hängen von dem Abonnement ab, das der Nutzer abgeschlossen hat.

7.3. Die Preise sind immer in Euro und ohne Mehrwertsteuer angegeben.

7.4. Friday Finance behält sich das Recht vor, die Preise jederzeit zu ändern. Friday Finance wird den Nutzer über Preisänderungen mindestens vier Wochen im Voraus in Textform informieren. Sollte der Nutzer mit den Änderungen nicht einverstanden sein, behält sich Friday Finance das Recht vor, die Nutzungsvereinbarung mit dem dazugehörigen DPA zu kündigen.

8. Rechnungsstellung und Zahlung

8.1. Friday Finance stellt dem Nutzer die Gebühr für den entsprechenden Zeitraum im Voraus in Rechnung. Es gibt keine Rückerstattungen oder Gutschriften für Zeiträume, in denen die App und die Software nicht genutzt wurden, und auch nicht in anderen Fällen, es sei denn, dies ist in der Rückerstattungsrichtlinie (Abschnitt 9) festgelegt.  

8.2. Zahlungen können per Bankeinzug, Kreditkarte oder PayPal erfolgen. Im Falle der Zahlung per Lastschrift ermächtigt der Nutzer Friday Finance, die von ihm zu leistenden Zahlungen von einem vom Nutzer zu benennenden Zahlungskonto einzuziehen. Der Nutzer ist verpflichtet, seine Bank von der Einzugsermächtigung zu unterrichten und für eine ausreichende Deckung des Zahlungskontos zu sorgen. Der Nutzer trägt die Kosten einer von ihm zu vertretenden Rückbuchung zuzüglich einer weiteren Bearbeitungsgebühr von 20 Euro netto.

8.3. Die Rechnungen sind bei Erhalt fällig.

8.4. Es gelten die gesetzlichen Bestimmungen über Verzug und Verzugszinsen.

8.5. Wenn eine Rechnung nicht sofort nach Fälligkeit bezahlt wird, schickt Friday Finance dem Nutzer eine Mahnung in Textform. Friday Finance kann das Nutzerkonto zwei Tage nach Versendung dieser Mahnung sperren, bis der ausstehende Betrag beglichen ist. Daraus ergeben sich keine Ansprüche des Nutzers.

8.6. Schadensersatzansprüche und Kündigungsrechte von Friday Finance bleiben hiervon unberührt.

9. Erstattungspolitik

9.1. Der Nutzer hat ein Sonderkündigungsrecht innerhalb des ersten Monats der Nutzung.

9.2. Macht der Nutzer von seinem Sonderkündigungsrecht nach dem vorstehenden Absatz Gebrauch, erstattet Friday Finance die vom Nutzer gezahlte Gebühr in voller Höhe (netto) und ohne Zinsen zurück. Das Benutzerkonto wird auf das kostenlose Abonnement zurückgestuft.

10. Änderungen der App und Software

10.1. Friday Finance behält sich das Recht vor, die App und die Software weiterzuentwickeln und damit verbundene Änderungen am Umfang der Dienstleistungen vorzunehmen, z. B. durch die Verwendung neuerer oder anderer Technologien, Systeme, Verfahren oder Standards. Friday Finance wird den Nutzer mindestens einen Monat vor dem Änderungsdatum über wesentliche Änderungen an den Dienstleistungen und das Datum ihrer Umsetzung ("Änderungsdatum") informieren. Erleidet der Nutzer durch die Weiterentwicklung oder Leistungsänderung nachweislich wesentliche Nachteile, ist er berechtigt, die Nutzungsvereinbarung und die damit verbundene DPA außerordentlich zum Änderungsdatum zu kündigen. Die Kündigung kann nur innerhalb von zwei Wochen nach Zugang der Änderungsmitteilung beim Teilnehmer in Textform gegenüber Friday Finance erklärt werden.

10.2. Friday Finance ist nicht verpflichtet, unwesentliche Änderungen der Leistung mitzuteilen.

11. Laufzeit und Beendigung des Abkommens 

11.1. Die Laufzeit und Beendigung des Nutzungsvertrags mit der zugehörigen DPA richtet sich nach den Bestimmungen des vom Kunden abgeschlossenen Abonnements.

11.2. Sofern nichts anderes bestimmt ist, verlängert sich die Nutzungsvereinbarung mit der zugehörigen DPA nach Ablauf der ursprünglichen Laufzeit automatisch um einen Zeitraum, der der Dauer der ersten Laufzeit entspricht, es sei denn, die Nutzungsvereinbarung mit der zugehörigen DPA wird von einer der Parteien mindestens zwei Wochen vor Ablauf der jeweiligen Laufzeit ordnungsgemäß gekündigt.

11.3. Das Recht zur außerordentlichen Kündigung bleibt hiervon unberührt. Gründe für eine außerordentliche Kündigung seitens Friday Finance sind u.a. ein Zahlungsverzug des Nutzers von mehr als einer Woche oder die Eröffnung eines Insolvenzverfahrens über das Vermögen des Nutzers.  

11.4. Die Kündigung muss in Textform (E-Mail) erfolgen. Der Nutzer hat auch die Möglichkeit, die Nutzungsvereinbarung mit der zugehörigen DPA im entsprechenden Bereich der App zu kündigen.

11.4. Dreißig (30) Tage nach dem Datum des Inkrafttretens der Kündigung wird Friday Finance alle Inhalte eines Benutzerkontos löschen, es sei denn, Friday Finance ist verpflichtet oder berechtigt, diese aus berechtigten Interessen aufzubewahren. Der Nutzer ist für die Aufbewahrung von Daten verantwortlich, die er nach Beendigung des Vertrages noch benötigt.

12. Urheberrecht und geistiges Eigentum

12.1. Das Homepage-Layout, die verwendeten Grafiken und Bilder, die Inhaltssammlung sowie einzelne Inhalte einschließlich der Systemdarstellungstexte von Friday Finance sowie alle sonstigen Erscheinungsformen und Funktionalitäten von App und Software können gewerblichen Schutzrechten und/oder Urheberrechten und sonstigen Rechten von Friday Finance oder des jeweiligen Erfinders oder Urhebers oder sonstigen Rechtsinhabers unterliegen (nachfolgend zusammenfassend "Geschützte Inhalte"). Sofern nicht ausdrücklich etwas anderes in Textform vereinbart oder gesetzlich geregelt ist, ist die Vervielfältigung oder Nutzung dieser geschützten Inhalte durch den Nutzer nicht gestattet.

12.2. Dem Nutzer ist es nicht gestattet, den Quellcode der App oder der Software zu verändern, anzupassen, zu übersetzen, zu dekompilieren, zu disassemblieren, zurückzuentwickeln oder anderweitig zu versuchen, diesen abzuleiten.

12.3. Wenn der Nutzer oder autorisierte Personen Inhalte in die App oder Software zum Zwecke der Bearbeitung einstellen, verbleiben die Eigentums-, Vermögens- und Urheberrechte daran beim Nutzer. Der Nutzer sichert Friday Finance zu, dass er auch die Rechte an den von autorisierten Personen eingestellten Inhalten besitzt. Der Nutzer räumt Friday Finance hiermit ein unentgeltliches, nicht ausschließliches, zeitlich und örtlich unbegrenztes Nutzungsrecht an allen vom Nutzer oder von autorisierten Personen eingestellten Inhalten ein. Die Rechteübertragung umfasst insbesondere das Recht zur Vervielfältigung, Speicherung und Bearbeitung sowie das Recht zur Darstellung, Sendung und Verbreitung der Inhalte über die Plattform. Die Rechte, die der Teilnehmer Friday Finance im Rahmen dieser Lizenz einräumt, sind auf den Zweck des Betriebs der App und der Software sowie der Erbringung der damit verbundenen Dienstleistungen beschränkt.

12.4. Der Nutzer verpflichtet sich, keine Rechte an den geschützten Inhalten zu verletzen. Der Nutzer verpflichtet sich, die mit der App und der Software verbundene Dokumentation weder direkt noch indirekt in irgendeiner Eigenschaft, Form oder aus irgendeinem Grund unbefugten Dritten zur Verfügung zu stellen.

13. Referenz

Friday Finance darf den Namen des Nutzers zu Referenzzwecken im Geschäftsverkehr verwenden, sofern der Nutzer dies nicht ausdrücklich in Textform untersagt.

14. Vertraulichkeit

14.1. Für die Zwecke der Nutzungsvereinbarung bezeichnet der Begriff "vertrauliche Informationen" alle Geschäftsgeheimnisse, die der Nutzer oder autorisierte Personen auf der Plattform veröffentlichen.

14.2. Friday Finance ist verpflichtet, 

• vertrauliche Informationen streng vertraulich zu behandeln und sie nur zum Zweck der Erfüllung ihrer vertraglichen Verpflichtungen aus der Nutzungsvereinbarung mit der zugehörigen Auftragsverarbeitungsvereinbarung zu verwenden, 
• vertrauliche Informationen nicht an Dritte weiterzugeben oder ihnen den Zugang dazu zu ermöglichen, 
• angemessene Maßnahmen zu ergreifen, um zu verhindern, dass unbefugte Personen Zugang zu vertraulichen Informationen erhalten; und
• die vertraulichen Informationen durch geeignete Geheimhaltungsmaßnahmen gegen den unbefugten Zugriff Dritter zu sichern und bei der Verarbeitung der vertraulichen Informationen die gesetzlichen und vertraglichen Bestimmungen zum Datenschutz einzuhalten. Dazu gehören auch dem aktuellen Stand der Technik angepasste technische Sicherheitsmaßnahmen (Art. 32 DSGVO) und die Verpflichtung der Mitarbeiter zur Verschwiegenheit und zur Einhaltung des Datenschutzes (Art. 28 Abs. 3 lit. b DSGVO).

14.3. Die Verpflichtungen nach Abschnitt 14.2 gelten nicht für vertrauliche Informationen, die aufgrund zwingender gesetzlicher Vorschriften oder einer Entscheidung eines Gerichts und/oder einer Behörde offengelegt werden müssen.

14.4. Die Verpflichtungen aus dieser Ziffer 14 bleiben für einen Zeitraum von 3 Jahren über die Beendigung der Nutzungsvereinbarung hinaus in Kraft. Die gesetzlichen Bestimmungen zum Schutz von Geschäftsgeheimnissen bleiben unberührt.  

15. Datenschutz

15.1. Friday Finance hält die geltenden Bestimmungen zum Datenschutz ein. Dies gilt auch für den Abschluss einer DPA im Zusammenhang mit dem Abschluss der Nutzungsvereinbarung.  

15.2. Die Daten, die der Nutzer oder die autorisierten Nutzer in die App und die Software eingeben, werden auf den Servern von Google in der Europäischen Union gehostet.

15.3. Der Nutzer willigt ein, dass Friday Finance seine personenbezogenen Daten im Rahmen der Registrierung und Nutzung der App und Software verarbeitet. Erlaubt der Nutzer autorisierten Personen die Nutzung der App, so stellt dies eine Erklärung dar, dass diese in die Verarbeitung ihrer personenbezogenen Daten eingewilligt haben. Weitere Informationen über die Verarbeitung personenbezogener Daten durch Friday Finance und die Rechtsgrundlage für die Datenverarbeitung finden Sie in der Datenschutzrichtlinie von Friday Finance, die unter www.fridayfinance.com/privacy-policy ("Datenschutzrichtlinie") abrufbar ist.

16. Haftung

16.1. Friday Finance haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit von Friday Finance, ihren Erfüllungsgehilfen und gesetzlichen Vertretern, für leichte Fahrlässigkeit jedoch nur bei der Verletzung wesentlicher Vertragspflichten. Wesentliche Vertragspflichten sind Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Nutzungsvertrages überhaupt erst ermöglicht und auf deren Einhaltung der Nutzer regelmäßig vertrauen darf.

16.2. Die Haftung bei Fahrlässigkeit ist auf den vertragstypischen Schaden begrenzt, mit dessen Entstehen Friday Finance bei Vertragsschluss aufgrund der zu diesem Zeitpunkt bekannten Umstände rechnen musste, höchstens jedoch auf die Höhe des Entgelts für ein Jahr nach dem vom Nutzer gewählten Abonnement.

16.3. Die vorstehenden Haftungsbeschränkungen gelten nicht bei der Übernahme ausdrücklicher Garantien, bei Ansprüchen wegen des Fehlens zugesicherter Eigenschaften und für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. Unberührt bleibt auch die Haftung nach dem Produkthaftungsgesetz.

17. Informationen zu Kontoinformationsdiensten

17.1. Um die Dienstleistungen von Friday Finance in vollem Umfang nutzen zu können, ist es erforderlich, dass der Nutzer einen Vertrag mit einem Kontoinformationsdienstleister über die Erbringung von Kontoinformationsdiensten abschließt und den Kontoinformationsdienstleister anweist, Kontoinformationen an Friday Finance weiterzuleiten. 

17.2. Der Kontoinformationsdienstleister ist kein Erfüllungsgehilfe von Friday Finance und wird unabhängig handeln.

17.3. Friday Finance hat zu keinem Zeitpunkt Zugang zu den Sicherheitsmerkmalen des Nutzers, die für den Zugriff auf das Zahlungskonto des Nutzers erforderlich sind.

17.4. Friday Finance haftet nicht für die Vollständigkeit und Richtigkeit der Kontoinformationen, die Friday Finance vom kontoführenden Zahlungsdienstleister des Nutzers oder vom Kontoinformationsdienstleister zur Verfügung gestellt werden, und dafür, dass diese ohne Verletzung des Bankgeheimnisses und anderer gesetzlicher Bestimmungen übermittelt wurden.

18. Unterauftragnehmer für die Erbringung von Dienstleistungen, Übertragung des Abkommens

18.1. Friday Finance ist berechtigt, nach eigenem Ermessen Subunternehmer einzusetzen und mit diesen bei Bedarf Verträge zur Datenverarbeitung im Unterauftrag abzuschließen.

18.2. Friday Finance ist berechtigt, den Nutzungsvertrag in seiner Gesamtheit auf einen Dritten zu übertragen. Friday Finance wird den Nutzer hiervon rechtzeitig, spätestens jedoch einen Monat vor Wirksamwerden der Übertragung, in Kenntnis setzen. Der Nutzer ist dann zur außerordentlichen Kündigung aus wichtigem Grund innerhalb von zwei Wochen nach Zugang der Mitteilung berechtigt.

19. Trennbarkeit

Die Ungültigkeit einer Bestimmung berührt nicht die Gültigkeit der übrigen Bestimmungen der Nutzungsvereinbarung.

20. Änderungen der vorliegenden AGB

20.1. Änderungen dieser AGB werden dem Nutzer spätestens zwei Monate vor dem vorgeschlagenen Zeitpunkt ihres Wirksamwerdens in Textform angeboten.

20.2. Die von Friday Finance angebotenen Änderungen werden nur dann wirksam, wenn der Nutzer sie annimmt, ggf. im Wege der nachstehend beschriebenen fiktiven Zustimmung.

20.3. Die Zustimmung des Nutzers gilt als erteilt, wenn der Nutzer Friday Finance seine Ablehnung nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens der Änderungen angezeigt hat (fiktive Zustimmung). Friday Finance wird den Nutzer in seinem Änderungsangebot ausdrücklich auf diese Wirkung der Zustimmung hinweisen. 

Wenn der Nutzer mit Friday Finance im Rahmen der Geschäftsbeziehung einen elektronischen Kommunikationskanal vereinbart hat oder ein solcher üblicherweise genutzt wird, können die Änderungen auch auf diesem Wege angeboten werden.

20.4. Trifft die vorstehende Zustimmungsfiktion aus irgendeinem Grund nicht zu, so gilt das Schweigen des Nutzers nur dann als Annahme des Änderungsangebots, wenn

• 20.4.1. Das Änderungsangebot von Friday Finance erfolgt, um die Konformität der Vertragsbestimmungen mit einer veränderten Rechtslage wiederherzustellen, weil eine Bestimmung der AGBs

• aufgrund einer Änderung der Rechtslage, einschließlich der unmittelbar geltenden Rechtsvorschriften der Europäischen Union, nicht mehr der Rechtslage entspricht oder
• durch eine rechtskräftige gerichtliche Entscheidung, auch in erster Instanz, ungültig wird oder nicht mehr verwendet werden darf, oder
• aufgrund einer verbindlichen Anordnung einer für die von Friday Finance zuständige nationalen oder internationalen Behörde (z.B. der Bundesanstalt für Finanzdienstleistungsaufsicht oder der Europäischen Zentralbank) nicht mehr den aufsichtsrechtlichen Verpflichtungen entspricht, 

• und
• 20.4.2. der Nutzer das Änderungsangebot von Friday Finance nicht vor dem vorgeschlagenen Zeitpunkt des Inkrafttretens der Änderungen abgelehnt hat.

20.5. Friday Finance wird den Nutzer in jedem Fall über die Folgen seines Schweigens auf das Änderungsangebot informieren.

20.6. Die Zustimmungsfiktion gilt in jedem Fall nicht für den Fall 

• im Falle von Änderungen, die sich auf die Hauptpflichten der Vereinbarung auswirken, oder
• Änderungen, die dem Abschluss eines neuen Abkommens gleichkommen, oder
• bei Änderungen, die das zuvor vereinbarte Verhältnis zwischen Leistung und Gegenleistung erheblich zugunsten von Friday Finance verschieben würden.

In solchen Fällen wird Friday Finance die Zustimmung des Nutzers zu den Änderungen auf anderem Wege einholen.

20.7. Wenn Friday Finance von der Zustimmungsfiktion Gebrauch macht, kann der Nutzer den Vertrag auch vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens der Änderungen fristlos und kostenfrei kündigen.

20.8. Friday Finance wird den Nutzer in seinem Änderungsangebot auf dieses Kündigungsrecht besonders hinweisen.

21. Anwendbares Recht und Gerichtsstand

21.1 Erfüllungsort und ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit dem Vertragsverhältnis einschließlich dieser AGB zwischen Friday Finance und dem Nutzer ist Berlin. Friday Finance bleibt jedoch berechtigt, am Sitz des Nutzers zu klagen.

21.2 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Übereinkommens über Verträge über den internationalen Warenkauf.

‍

Zusatz 1: Datenverarbeitungsabkommen ("DPA")

Präambel

Der für die Verarbeitung Verantwortliche hat den Datenverarbeiter in einem bereits abgeschlossenen Vertrag (nachstehend "Hauptvertrag" genannt) für die darin genannten Leistungen beauftragt. Teil der Vertragserfüllung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt besondere Anforderungen an eine solche Auftragsverarbeitung. Um diesen Anforderungen gerecht zu werden, schließen die Parteien die folgende Datenverarbeitungsvereinbarung (im Folgenden "Vereinbarung" genannt), deren Erfüllung nicht gesondert vergütet wird, es sei denn, dies wird ausdrücklich vereinbart.

§ 1 Begriffsbestimmungen

(1) Gemäß Art. 4 Abs. 7 DSGVO ist der für die Verarbeitung Verantwortliche die Stelle, die allein oder gemeinsam mit anderen für die Verarbeitung Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

(2) Gemäß Art. 4 Abs. 8 DSGVO ist ein Datenverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(3) Gemäß Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen über eine bestimmte oder bestimmbare natürliche Person (im Folgenden "betroffene Person"); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

(4) Besonders schutzbedürftige personenbezogene Daten sind personenbezogene Daten nach Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit der betroffenen Person hervorgehen, personenbezogene Daten gemäß Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln, sowie genetische Daten gemäß Art. 4 (13) GDPR, biometrische Daten gemäß Art. 4 (14) GDPR, Gesundheitsdaten gemäß Art. 4 (15) GDPR und Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.

(5) Nach Artikel 4 Absatz 2 DSGVO ist die Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, das Ordnen, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten.

(6) Gemäß Artikel 4 (21) DSGVO ist die Aufsichtsbehörde eine unabhängige staatliche Einrichtung, die von einem Mitgliedstaat gemäß Artikel 51 DSGVO eingerichtet wurde.

§ 2 Vertragsgegenstand

(1) Der Datenverarbeiter erbringt die im Hauptvertrag genannten Leistungen für die verantwortliche Stelle. Dabei erhält der Datenverarbeiter Zugang zu personenbezogenen Daten, die er ausschließlich im Auftrag und nach Weisung der verantwortlichen Stelle für diese verarbeitet. Der Umfang und der Zweck der Datenverarbeitung durch den Datenverarbeiter sind im Hauptvertrag und den dazugehörigen Leistungsbeschreibungen festgelegt. Für die Beurteilung der Zulässigkeit der Datenverarbeitung ist der für die Verarbeitung Verantwortliche zuständig.

(2) Die Parteien schließen diese Vereinbarung, um die gegenseitigen datenschutzrechtlichen Rechte und Pflichten festzulegen. Im Zweifelsfall haben die Bestimmungen dieser Vereinbarung Vorrang vor den Bestimmungen des Hauptvertrags.

(3) Die Bestimmungen dieses Vertrages gelten für alle Tätigkeiten im Zusammenhang mit dem Hauptvertrag, bei denen der Datenverarbeiter und seine Mitarbeiter oder von ihm beauftragte Personen mit personenbezogenen Daten in Berührung kommen, die von der verantwortlichen Stelle stammen oder für die verantwortliche Stelle erhoben wurden.

(4) Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrages, soweit sich nicht aus den nachfolgenden Bestimmungen weitere Verpflichtungen oder Kündigungsrechte ergeben.

§ 3 Weisungsrecht

(1) Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrags und nach den Weisungen der verantwortlichen Stelle erheben, verarbeiten oder nutzen. Ist der Datenverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu einer Weiterverarbeitung verpflichtet, so hat er die verantwortliche Stelle vor der Verarbeitung über diese rechtlichen Anforderungen zu unterrichten.

(2) Die Weisungen der verantwortlichen Stelle werden zunächst durch diesen Vertrag bestimmt. Danach können sie von der verantwortlichen Stelle in Schrift- oder Textform durch Einzelweisungen (Einzelweisungen) geändert, ergänzt oder ersetzt werden. Die verantwortliche Stelle ist jederzeit berechtigt, solche Weisungen zu erteilen. Dazu gehören auch Weisungen hinsichtlich der Berichtigung, Löschung und Sperrung von Daten. 

(3) Alle erteilten Weisungen sind vom Disponenten zu dokumentieren. Weisungen, die über die im Hauptvertrag vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

(4) Ist der Datenverarbeiter der Auffassung, dass eine Weisung der verantwortlichen Stelle gegen datenschutzrechtliche Bestimmungen verstößt, so hat er dies der verantwortlichen Stelle unverzüglich mitzuteilen. Der Auftragsdatenverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie von der verantwortlichen Stelle bestätigt oder geändert wird. Der Datenverarbeiter kann sich weigern, eine offensichtlich rechtswidrige Weisung auszuführen.

§ 4 Arten der verarbeiteten Daten, Gruppe der betroffenen Personen, Drittland

(1) Im Rahmen der Durchführung des Hauptvertrages hat der Datenverarbeiter Zugriff auf die in Anlage 1 näher bezeichneten personenbezogenen Daten. 

(2) Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Anhang 2 aufgeführt.

(3) Eine Übermittlung personenbezogener Daten in ein Drittland darf nur unter den Voraussetzungen der Art. 44 ff. GDPR.

§ 5 Schutzmaßnahmen des Datenverarbeiters

(1) Der Datenverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen zum Datenschutz zu beachten und die aus dem Bereich der verantwortlichen Stelle gewonnenen Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind unter Berücksichtigung des Standes der Technik gegen die Kenntnisnahme durch Unbefugte zu sichern.

(2) Der Auftragsverarbeiter hat die interne Organisation in seinem Verantwortungsbereich so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat die in Anlage 3 genannten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten der verantwortlichen Stelle gemäß Art. 32 DSGVO getroffen, die von der verantwortlichen Stelle als angemessen anerkannt werden. Der Datenverarbeiter behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern und dabei sicherzustellen, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Den bei der Datenverarbeitung durch den Datenverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Datenverarbeiter hat alle von ihm mit der Verarbeitung und Erfüllung dieses Vertrages betrauten Personen (im Folgenden "Mitarbeiter") entsprechend zu verpflichten (Verschwiegenheitspflicht, Art. 28 (3) lit. b GDPR) und stellt die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicher.

(4) Der Datenverarbeiter hat einen Datenschutzbeauftragten bestellt. Der Datenschutzbeauftragte des Datenverarbeiters ist die heyData GmbH, Kantstr. 99, 10627 Berlin, datenschutz@heydata.eu, www.heydata.eu. 

§ 6 Informationspflichten des Datenverarbeiters

(1) Bei Störungen, vermuteten Datenschutzverletzungen oder Verstößen gegen vertragliche Pflichten des Auftragsverarbeiters, vermuteten sicherheitsrelevanten Vorfällen oder sonstigen Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, durch von ihm im Rahmen des Auftrags eingesetzte Personen oder durch Dritte hat der Auftragsverarbeiter die verantwortliche Stelle unverzüglich zu informieren. Das Gleiche gilt für Überprüfungen des Auftragsverarbeiters durch die Datenschutzaufsichtsbehörde. Die Meldung einer Verletzung des Schutzes personenbezogener Daten muss mindestens die folgenden Angaben enthalten:

(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der betroffenen Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;

(b) eine Beschreibung der vom Datenverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes und gegebenenfalls Maßnahmen zur Abmilderung seiner möglichen nachteiligen Auswirkungen;

(c) eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten.

(2) Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen, unterrichtet den für die Verarbeitung Verantwortlichen darüber und fordert weitere Anweisungen an.

(3) Darüber hinaus ist der Datenverarbeiter verpflichtet, der verantwortlichen Stelle jederzeit Auskunft zu erteilen, soweit Daten der verantwortlichen Stelle von einer Verletzung nach Absatz 1 betroffen sind.

(4) Der Datenverarbeiter hat die verantwortliche Stelle über wesentliche Änderungen der Sicherheitsmaßnahmen nach § 5 Abs. 2 zu unterrichten.

§ 7 Kontrollrechte des für die Verarbeitung Verantwortlichen

(1) Die verantwortliche Stelle kann sich von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters vor Beginn der Datenverarbeitung und danach regelmäßig in jährlichen Abständen überzeugen. Zu diesem Zweck kann die verantwortliche Stelle z.B. Auskünfte bei dem Auftragsverarbeiter einholen, vorhandene Bescheinigungen von Sachverständigen, Zertifizierungen oder interne Audits einholen oder nach rechtzeitiger Abstimmung die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters während der üblichen Geschäftszeiten persönlich überprüfen oder durch einen fachkundigen Dritten überprüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der für die Verarbeitung Verantwortliche führt die Kontrollen nur in dem erforderlichen Umfang durch und darf dabei den Betrieb des Auftragsverarbeiters nicht unverhältnismäßig stören.

(2) Der Datenverarbeiter verpflichtet sich, der verantwortlichen Stelle auf deren mündliche oder schriftliche Anfrage innerhalb einer angemessenen Frist alle Informationen und Nachweise zur Verfügung zu stellen, die für eine Überprüfung der technischen und organisatorischen Maßnahmen des Datenverarbeiters erforderlich sind.

(3) Der für die Verarbeitung Verantwortliche dokumentiert die Ergebnisse der Kontrolle und teilt sie dem Auftragsverarbeiter mit. (4) Stellt die verantwortliche Stelle insbesondere bei der Kontrolle der Ergebnisse der Kontrolle Fehler oder Unregelmäßigkeiten fest, so hat sie den Auftragsverarbeiter unverzüglich zu unterrichten. Werden bei der Kontrolle Tatsachen festgestellt, deren künftige Vermeidung eine Änderung des angeordneten Verfahrens erfordert, so teilt der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter unverzüglich die erforderlichen Verfahrensänderungen mit.

§ 8 Inanspruchnahme von Dienstleistern

(1) Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 4 genannten Dienstleister (im Folgenden "Unterauftragsverarbeiter") erbracht. Die verantwortliche Stelle erteilt dem Auftragsverarbeiter die allgemeine Erlaubnis im Sinne von Artikel 28 Abs. 2 S. 1 DSGVO, im Rahmen seiner vertraglichen Verpflichtungen weitere Unterauftragsverarbeiter zu beauftragen oder bereits beauftragte Unterauftragsverarbeiter zu ersetzen.

(2) Der Datenverarbeiter informiert den für die Verarbeitung Verantwortlichen im Voraus per E-Mail-Newsletter über jede beabsichtigte Änderung in Bezug auf die Einschaltung oder den Austausch eines Unterauftragsverarbeiters. Den E-Mail-Newsletter erhält der für die Verarbeitung Verantwortliche, nachdem er eine E-Mail mit dem Betreff "Subscribe" an hello@fridayfinance.com gesendet hat. Der für die Verarbeitung Verantwortliche kann der beabsichtigten Beauftragung oder Ersetzung eines Unterauftragsverarbeiters aus einem wichtigen datenschutzrechtlichen Grund widersprechen.

(3) Der Widerspruch gegen die beabsichtigte Einschaltung oder Ersetzung eines Unterauftragsverarbeiters muss innerhalb von 2 Wochen nach Versendung der Information im E-Mail-Newsletter erfolgen. Erfolgt kein Widerspruch, gilt die Einschaltung oder Ersetzung als genehmigt. Liegt ein wichtiger datenschutzrechtlicher Grund vor und kann keine einvernehmliche Lösung zwischen der verantwortlichen Stelle und dem Auftragsverarbeiter gefunden werden, hat der Auftragsverarbeiter ein Sonderkündigungsrecht zum Ende des auf den Widerspruch folgenden Monats.

(4) Bei der Beauftragung von Unterauftragsverarbeitern hat der Datenverarbeiter diese gemäß den Bestimmungen dieser Vereinbarung zu verpflichten. 

(5) Ein Unterauftragsverarbeitungsverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Hilfsdienste anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versanddienste, Reinigungsdienste, Telekommunikationsdienste ohne besonderen Bezug zu den vom Datenverarbeiter für den Verantwortlichen erbrachten Dienstleistungen und Bewachungsdienste. Wartungs- und Prüfdienste stellen zustimmungspflichtige Unterauftragsverarbeiterverhältnisse dar, soweit sie für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Dienstleistungen für den für die Verarbeitung Verantwortlichen genutzt werden.

§ 9 Anträge und Rechte der betroffenen Personen

(1) Der Datenverarbeiter hat die verantwortliche Stelle durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung ihrer Pflichten nach den Artikeln 12-22 und 32 bis 36 DSGVO zu unterstützen.

(2) Macht eine betroffene Person Rechte wie das Recht auf Auskunft, Berichtigung oder Löschung ihrer Daten unmittelbar gegenüber dem Auftragsverarbeiter geltend, so wird dieser nicht selbständig tätig, sondern verweist die betroffene Person an den für die Verarbeitung Verantwortlichen und wartet dessen Weisungen ab.

§ 10 Haftung

(1) Im Innenverhältnis zum Auftragsverarbeiter haftet allein die verantwortliche Stelle gegenüber dem Betroffenen auf Ersatz des Schadens, der dem Betroffenen durch eine unzulässige oder unrichtige datenschutzrechtliche Verarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung entsteht.

(2) Der Datenverarbeiter haftet unbeschränkt für Schäden, soweit die Schadensursache auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung des Datenverarbeiters, seines gesetzlichen Vertreters oder Erfüllungsgehilfen beruht.

(3) Der Auftragsverarbeiter haftet für fahrlässiges Verhalten nur bei der Verletzung einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung die verantwortliche Stelle regelmäßig vertraut und vertrauen darf, jedoch begrenzt auf den vertragstypischen Durchschnittsschaden. Im Übrigen ist die Haftung des Auftragsverarbeiters - auch für seine Erfüllungsgehilfen - ausgeschlossen.

(4) Die Haftungsbeschränkung nach § 10.3 gilt nicht für Schadensersatzansprüche aus der Verletzung des Lebens, des Körpers, der Gesundheit oder aus der Übernahme einer Garantie.

§ 11 Beendigung des Hauptvertrages

(1) Nach Beendigung des Hauptvertrages hat der Auftragsverarbeiter alle ihm überlassenen Unterlagen, Daten und Datenträger an die verantwortliche Stelle zurückzugeben oder - auf Verlangen der verantwortlichen Stelle, soweit nicht nach Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Pflicht zur Aufbewahrung der personenbezogenen Daten besteht - zu löschen. Dies gilt auch für etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat auf Verlangen einen Nachweis über die ordnungsgemäße Löschung der Daten zu erbringen.

(2) Die verantwortliche Stelle hat das Recht, die vollständige und vertragsgemäße Rückgabe oder Löschung der Daten beim Datenverarbeiter in geeigneter Weise zu kontrollieren.

(3) Der Auftragsverarbeiter ist verpflichtet, die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten auch über das Ende des Hauptvertrages hinaus geheim zu halten. Diese Vereinbarung gilt über das Ende des Hauptvertrages hinaus, solange der Auftragsverarbeiter über personenbezogene Daten verfügt, die ihm von der verantwortlichen Stelle übermittelt wurden oder die er für die verantwortliche Stelle erhoben hat.

§ 12 Schlussbestimmungen

(1) Soweit der Auftragsverarbeiter Unterstützungsleistungen im Rahmen dieses Vertrages nicht ausdrücklich unentgeltlich erbringt, kann er der verantwortlichen Stelle hierfür ein angemessenes Entgelt in Rechnung stellen, es sei denn, eigene Handlungen oder Unterlassungen des Auftragsverarbeiters haben eine solche Unterstützung unmittelbar erforderlich gemacht.

(2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für einen Verzicht auf dieses Formerfordernis. Der Vorrang einzelvertraglicher Vereinbarungen bleibt hiervon unberührt.

(3) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt.

(4) Diese Vereinbarung unterliegt dem deutschen Recht.

‍

Anhang

Anhang 1 - Beschreibung der Daten/Datenkategorien

Name, E-Mail, IP-Adresse, Firmenname, (geschäftliche) Telefonnummer, Bankverbindung

Anhang 2 - Beschreibung der betroffenen Personen/Gruppen von betroffenen Personen

Für die Verarbeitung Verantwortlicher, Mitarbeiter des für die Verarbeitung Verantwortlichen, Geschäftspartner des für die Verarbeitung Verantwortlichen

Anhang 3 - Technische und organisatorische Maßnahmen des Datenverarbeiters

1. Einleitung

Dieses Dokument fasst die technischen und organisatorischen Maßnahmen zusammen, die der Auftragsverarbeiter im Sinne von Art. 32 (1) GDPR. Dies sind Maßnahmen, mit denen der Auftragsverarbeiter personenbezogene Daten schützt. Zweck des Dokuments ist es, den Auftragsverarbeiter bei der Erfüllung seiner Rechenschaftspflicht nach Art. 5 (2) GDPR ZU UNTERSTÜTZEN.

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b GDPR)

2.1 Zugangskontrolle

Die folgenden Maßnahmen verhindern, dass sich Unbefugte Zugang zu den Datenverarbeitungsanlagen verschaffen können:

• Alarmanlage
• Schutz von Gebäudeschächten
• Automatisches Zugangskontrollsystem
• Chipkarten-/Transponder-Schließsystem
• Lichtschranken / Bewegungsmelder
• Sicherheitsschlösser
• Videoüberwachung der Eingänge
• Klingelanlage mit Kamera
• Personenkontrolle am Pförtner oder am Empfang
• Protokollierung der Besucher (z. B. Besucherbuch)
• Schlüsselverordnung / Schlüsselbuch
• Sorgfältige Auswahl des Sicherheitspersonals
• Pflicht zum Tragen von Personal- und Gästeausweisen
• Besucher nur in Begleitung von Personal
• Sorgfältige Auswahl des Reinigungspersonals

2.2 Zugangskontrolle

Die folgenden Maßnahmen verhindern den Zugriff Unbefugter auf die Datenverarbeitungssysteme:

• Authentifizierung mit Benutzer und Passwort
• Einsatz von Antiviren-Software
• Einsatz von Firewalls
• Verwendung der 2-Faktor-Authentifizierung
• Personenkontrolle am Pförtner oder am Empfang
• Protokollierung der Besucher (z. B. Besucherbuch)
• Schlüsselverordnung / Schlüsselbuch
• Allgemeine Unternehmenspolitik zum Datenschutz oder zur Datensicherheit
• Firmenpolitik "Löschen/Vernichten

2.3 Zugangskontrolle

Die folgenden Maßnahmen stellen sicher, dass Unbefugte keinen Zugang zu personenbezogenen Daten haben:

• Einsatz von Aktenvernichtern (mit Cross-Cut-Funktion)
• Protokollierung des Zugriffs auf Anwendungen (insbesondere bei Eingabe, Änderung und Löschung von Daten)
• Verwendung eines Genehmigungskonzepts
• Die Anzahl der Administratoren wird so gering wie möglich gehalten.
• Sichere Aufbewahrung von Datenträgern
• Verwaltung von Benutzerrechten durch Systemadministratoren
• Anweisung an die Mitarbeiter, dass nur absolut notwendige Daten ausgedruckt werden
• Belehrung der Mitarbeiter, dass Daten nur nach Rücksprache gelöscht werden

2.4 Trennungskontrolle

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden:

• Erstellung eines Genehmigungskonzepts
• Einstellung der Datenbankrechte

3. Integrität (Art. 32 Abs. 1 lit. b GDPR)

3.1 Übertragungskontrolle

Es wird sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Um dies zu gewährleisten, werden die folgenden Maßnahmen durchgeführt:

• E-Mail-Verschlüsselung
• WLAN-Verschlüsselung (WPA2 mit sicherem Passwort)
• Protokollierung von Zugriffen und Abrufen
• Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS
• Einsatz von Signaturverfahren

3.2 Eingabekontrolle

Die folgenden Maßnahmen gewährleisten, dass überprüft werden kann, wer zu welchem Zeitpunkt personenbezogene Daten in Datenverarbeitungssystemen verarbeitet hat:

• Anweisung an die Mitarbeiter, Daten nur nach Rücksprache zu löschen

4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b GDPR)

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind und dem Kunden jederzeit zur Verfügung stehen:

• Feuerlöscher in Serverräumen
• Brand- und Rauchmeldeanlagen
• Geräte zur Überwachung von Temperatur und Luftfeuchtigkeit in Serverräumen
• Klimatisierung der Serverräume
• Schutzsteckdosenleisten in Serverräumen
• Unterbrechungsfreie Stromversorgung (UPS)
• Datenschutz sicher
• RAID-System / Festplattenspiegelung
• Videoüberwachung in Serverräumen
• Alarmmeldung bei unbefugtem Zutritt zu Serverräumen
• Regelmäßige Backups
• Erstellung eines Sicherungs- und Wiederherstellungskonzepts
• Kontrolle des Sicherungsprozesses
• Datensicherung an einem sicheren, externen Ort
• Erstellen Sie einen Notfallplan (z.B. BSI IT-Grundschutz 100-4)
• Regelmäßige Datenwiederherstellungstests und Protokollierung der Ergebnisse
• Keine sanitären Einrichtungen im oder über dem Serverraum
• Trennung von Betriebssystemen und Daten
• Hosting (zumindest der wichtigsten Daten) bei einem professionellen Hoster

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32(1)(d) GDPR; Art. 25(1) DS-GVO)

5.1 Verwaltung des Datenschutzes

Die folgenden Maßnahmen sollen sicherstellen, dass eine Organisation vorhanden ist, die die grundlegenden Anforderungen des Datenschutzrechts erfüllt:

• Nutzung der heyData-Plattform für das Datenschutzmanagement
• Ernennung des Datenschutzbeauftragten heyData
• Verpflichtung der Mitarbeiter auf das Datengeheimnis
• Regelmäßige Schulungen der Mitarbeiter zum Thema Datenschutz
• Überblick über die Verarbeitungstätigkeiten (Art. 30 GDPR)

5.2 Management der Reaktion auf Vorfälle

Die folgenden Maßnahmen sollen sicherstellen, dass im Falle von Datenschutzverletzungen Meldeverfahren eingeleitet werden:

• Meldeverfahren für Datenschutzverstöße gemäß Art. 4 Nr. 12 DS-GVO gegenüber den Aufsichtsbehörden (Art. 33 DS-GVO)
• Verfahren zur Meldung von Datenschutzverletzungen gemäß Art. 4 Nr. 12 DS-GVO gegenüber betroffenen Personen (Art. 34 DS-GVO)
• Einschaltung des Datenschutzbeauftragten bei Sicherheitsvorfällen und Datenschutzverletzungen
• Einsatz von Antiviren-Software
• Einsatz von Firewalls

5.3 Datenschutzfreundliche Voreinstellungen (Art. 25 (2) GDPR)

Die folgenden Maßnahmen tragen den Anforderungen der Grundsätze "Privacy by Design" und "Privacy by Default" Rechnung:

• Schulung der Mitarbeiter in "Privacy by design" und "Privacy by default".
• Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

5.4 Auftragskontrolle

Die folgenden Maßnahmen stellen sicher, dass personenbezogene Daten nur gemäß den Anweisungen verarbeitet werden können:

• Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsbearbeitungsvertrag)
• Sicherstellung der Vernichtung der Daten nach Abschluss der Bestellung, z.B. durch Einholung entsprechender Bestätigungen.
• Bestätigung der Auftragnehmer, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (in der Regel im Auftragsverarbeitungsvertrag)
• Sorgfältige Auswahl von Auftragnehmern (insbesondere im Hinblick auf die Datensicherheit)
• Laufende Überprüfung der Auftragnehmer und ihrer Tätigkeiten

Anhang 4 - Derzeitige Unterauftragsverarbeiter