Vertrag über die Nutzung der Workist-Platform

Präambel
Workist bietet seinen Kunden im Rahmen einer Software-as-a-Service-Lösung einen webbasierten Zugang zu seiner KI-gestützten Prozessautomatisierungsplattform („Plattform„) an. Über diese ist es dem Kunden möglich repetitive Vorgänge in der Dokumentenverarbeitung zu automatisieren. Dieser Vertrag einschließlich seiner Anlagen Datenschutzerklärung für die Nutzung der Workist-Plattform und Vereinbarung zur Auftragsdatenvereinbarung regelt das Vertragsverhältnis zwischen Workist und dem Kunden über die Nutzung der IT-Infrastruktur.

1. Gegenstand und Zustandekommen des Vertrages; AGB des Kunden

1.1 Der Vertrag über die Nutzung der Plattform kann entweder durch Ausfertigung dieses Vertrages in schriftlicher Form oder aber durch Registrierung auf der Plattform erfolgen. Die Registrierung erfolgt durch einen von den Kunden hinreichend bevollmächtigten Mitarbeiter.

1.2 Die Registrierung erfolgt dabei über ein Formular unter Angabe, insbesondere dem Ausfüllen des Bestellscheins gemäß Anlage 1, verschiedener Daten. Nach Abschluss des Registrierungsprozesses erhält der Kunde die Zugangsdaten für die Plattform.

1.3 Workist behält sich vor, geeignete Angaben anzufragen und Nachweise zu verlangen, aus denen sich ergibt, dass es sich beim Kunden nicht um einen Verbraucher gemäß § 13 BGB handelt.

1.4 Mit dem Abschluss des Registrierungsprozesses oder der Übersendung des Vertrags gibt der Kunde gegenüber Workist einen rechtlich verbindlichen Antrag auf Abschluss eines Vertrags ab. Ein Vertrag zwischen Workist und dem Kunden kommt erst zustande, wenn Workist das Angebot angenommen hat. Als Bestätigung hierüber erhält der Kunde entweder eine E-Mail oder der Zugang zur Plattform wird für ihn freigeschaltet.

1.5 Ein Kunde ist berechtigt, mehrere Nutzer gemäß Anlage 1 zu registrieren. Hierbei ist jedem Nutzer ein eigener Account zugeordnet.

1.6 Allgemeine Geschäftsbedingungen des Kunden werden nur dann Vertragsbestandteil, wenn dies ausdrücklich schriftlich vereinbart wurde.

1.7 Die angebotenen Leistungen von Workist richten sich ausschließlich an Unternehmer im Sinne des § 14 BGB.

2. Leistungen von Workist

2.1 Workist stellt dem Kunden zeitlich befristet für die Laufzeit des Vertrages den Zugriff auf die Plattform über das Internet zur Verfügung. Der genaue Umfang der von Workist bereitzustellenden Leistungen ergibt sich aus der Leistungsbeschreibung in der Anlage 1. Über die vereinbarten Leistungen hinaus hat der Kunde keinen Anspruch auf eine bestimmte Ausgestaltung oder bestimmte Funktionalitäten der Plattform

2.2 Betrieb und Wartung der Plattform liegt in der Verantwortung von Workist. Für das Vorhalten des Internetzugangs und der für den Zugang zur Plattform ggf. beim Kunden erforderlichen Hardware (z.B. Router, Smart Device) oder Software (z.B. Browser, Plug-Ins, Apps) ist der Kunde verantwortlich. Der Kunde hat keinen Anspruch auf Zugang zu den Quellcodes der von Workist bereitgestellten Plattform. Die Bedienung und Konfiguration der Plattform obliegt dem Kunden.

2.3 Die durchschnittliche Verfügbarkeit der Plattform beträgt 95% im Jahresmittel. Ausgenommen davon sind erforderliche geplante Wartungsarbeiten sowie Störungen, die nicht im Einflussbereich von Workist liegen; insbesondere höhere Gewalt. Workist wird den Kunden nach Möglichkeit über geplante Wartungsarbeiten rechtzeitig in Textform an den gegenüber Workist im Bestell-Formular benannten Ansprechpartner in Kenntnis setzen. Allerdings bleibt es Workist ausdrücklich vorbehalten, falls erforderlich, auch unangekündigte Wartungsarbeiten durchzuführen, insbesondere wenn dies für die Daten- und Betriebssicherheit erforderlich ist.

2.4 Workist führt täglich Datensicherungen der Plattform sowie der vom Kunden hinterlegten Daten durch, die drei Tage aufbewahrt bleiben. Eine individuelle Überprüfung der Richtigkeit und Vollständigkeit der Datensicherungen erfolgt nicht und ist nicht geschuldet.

2.5 Workist stellt dem Kunden eine Dokumentation der Plattform sowie Hinweise zu deren Benutzung in elektronischer Form in deutscher und/oder englischer Sprache online zum Abruf zur Verfügung. Der Kunde ist nicht berechtigt, die Dokumentation oder Benutzungshinweise zu bearbeiten, zu verbreiten oder öffentlich zugänglich zu machen.

2.6 Workist ist berechtigt, zur Leistungserbringung nach eigenem Ermessen Subunternehmer als Erfüllungsgehilfen zu beauftragen.

2.7 Workist ist berechtigt, aber nicht verpflichtet, den Funktionsumfang der Plattform zu erweitern und weiterzuentwickeln. Es bleibt Workist vorbehalten, Erweiterungen und Weiterentwicklungen nur gegen Zahlung eines zusätzlichen Entgeltes anzubieten. Bucht der Kunde eine Erweiterung oder Weiterentwicklung kostenpflichtig durch eine entsprechende Ergänzungsvereinbarung zu diesem Vertrag hinzu, gelten für diese Buchung die Regelungen dieses Vertrags entsprechend. Stellt Workist nach Vertragsschluss erweiterte oder zusätzliche Funktionen kostenlos zur Verfügung, gelten diese bereitgestellten Funktionen als freiwillige Leistung von Workist.

2.8 Workist kann den Funktionsumfang der Plattform jederzeit in einem für den Kunden angemessenen Umfang ändern. Die Änderung ist insbesondere zumutbar, wenn sie aus wichtigem Grund erforderlich wird – zum Beispiel durch Störungen der Leistungserbringung durch Subunternehmer oder aus sicherheitstechnischen Gründen – und die in der Leistungsbeschreibung definierten Leistungsmerkmale im Wesentlichen sowie die Hauptleistungspflichten von Workist erhalten bleiben. Betreffen die Änderungen nicht ausschließlich Erweiterungen der Funktion oder nicht nur unwesentliche Bestandteile der von Workist zu erbringenden Leistungen, wird Workist den Kunden über die Änderung mindestens vier Wochen vor deren Inkrafttreten per E-Mail hinweisen.

2.9 Workist ist berechtigt, den Zugang des Kunden zur Plattform zu sperren, wenn
a) Anhaltspunkte bestehen, dass die Zugangsdaten des Kunden missbraucht wurden oder werden oder die Zugangsdaten einem unbefugten Dritten überlassen wurden oder werden oder Zugangsdaten durch mehr als eine natürliche Person verwendet werden;
b) Anhaltspunkte bestehen, dass sich Dritte anderweitig Zugang zu der dem Kunden bereitgestellten IT-Infrastruktur verschafft haben;
c) die Sperrung aus technischen Gründen erforderlich ist;
d) Workist aufgrund geltender Gesetze oder gerichtlich oder behördlich zur Sperrung verpflichtet ist;
e) der Kunde mehr als zwei Wochen mit der Zahlung des vereinbarten Entgelts im Sinne der Ziffer 5 des Vertrags in Verzug ist;
f) der Kunde falsche oder ungültige Kontaktdaten hinterlegt hat und eine Kommunikation zwischen Workist und dem Kunden nicht mehr möglich ist;
g) der Kunde falsche Bankverbindungsdaten hinterlegt hat und eine regelmäßige Erfüllung der Leistungspflichten des Kunden nicht gewährleistet ist.
Workist soll die Sperrung dem Kunden spätestens einen Werktag vor Inkrafttreten der Sperrung in Text- oder Schriftform ankündigen, soweit die Ankündigung unter Abwägung der beiderseitigen Interessen zumutbar und mit dem Zweck der Sperrung vereinbar ist.

3. Pflichten des Kunden

3.1 Der Kunde hat die Zugangsdaten zu der Plattform sicher zu verwahren und darf diese nur jeweils berechtigten Mitarbeitern zugänglich machen. Der Kunde verpflichtet sich, seine Mitarbeiter zum vertraulichen Umgang mit den Zugangsdaten zu verpflichten und Workist unverzüglich in Kenntnis setzen, wenn der Verdacht besteht, dass die Zugangsdaten unbefugten Personen bekannt geworden sein könnten. Weiterhin verpflichtet sich der Kunde alle Sicherheitsvorkehrungen, funktionellen und sonstigen Einschränkungen der Plattform einzuhalten. Insbesondere darf der Kunde Schutz- oder Authentifizierungsmechanismen nicht entfernen, überwinden, deaktivieren oder anderweitig umgehen oder die Plattform für andere als die beabsichtigten oder ausdrücklich in Anlage 1 genannten Zwecke verwenden, insbesondere ist eine Überlassung der Plattform durch den Kunden an Dritte untersagt.

3.2 Der Kunde hat seine Daten selbst regelmäßig und gefahrentsprechend zu sichern, soweit ihm dies technisch möglich ist. Dies gilt sowohl für die Daten auf den lokalen Systemen des Kunden als auch für diejenigen Daten, die der Kunde auf der von Workist bereitgestellten Plattform speichert.

3.3 Der Kunde benennt Workist gegenüber in dem im Bestell-Formular bzw. im Registrierungsprozess dafür vorgesehenen Abschnitt einen Ansprechpartner in seinem Unternehmen, der zum Empfang und zur Abgabe von Willenserklärungen im Zusammenhang mit dem Vertrag mit Workist bevollmächtigt ist

3.4 . Der Kunde räumt Workist an sämtlichen Inhalten, die er auf die Server von Workist im Rahmen der Nutzung der Plattform überträgt, ein einfaches, räumlich und zeitlich unbeschränktes Nutzungsrecht ein, die Inhalte insoweit zu nutzen, wie dies zur Erfüllung des Vertrages mit dem Kunden erforderlich ist, insbesondere die Inhalte zu vervielfältigen und sie entsprechend der Einstellungen des Kunden Dritten zugänglich zu machen. Workist ist berechtigt, an seine Erfüllungsgehilfen Unterlizenzen zu erteilen, soweit dies für die Vertragserfüllung erforderlich ist. Im Übrigen ist das Nutzungsrecht nicht übertragbar. Workist ist berechtigt, über die Dauer des Vertrages hinaus Inhalte des Kunden vorzuhalten, soweit dies technisch oder rechtlich erforderlich ist. Insbesondere ist Workist befugt, Sicherungskopien der vom Kunden bereitgestellten Inhalte aufzubewahren und solche Informationen vorübergehen oder dauerhaft zu speichern, die für Buchhaltungs-, Dokumentations- und Abrechnungszwecke benötigt werden.

3.5 Der Kunde garantiert, dass er bei der Verwendung der Plattform sämtliche anwendbaren rechtlichen Vorschriften, insbesondere des Urheber- und Datenschutzrechts, beachten wird. Der Kunde stellt Workist von sämtlichen Ansprüchen Dritter frei, die diese wegen der Verwendung der Plattform durch den Kunden gegenüber Workist geltend machen. Workist wird den Kunden unverzüglich über von Dritten geltend gemachte Ansprüche informieren und die zur Verteidigung erforderlichen Informationen und Unterlagen auf Anfrage zur Verfügung stellen. Zudem wird Workist die Verteidigung entweder dem Kunden überlassen oder in Absprache mit diesem vornehmen. Insbesondere wird Workist von Dritten geltend gemachte Ansprüche ohne Rücksprache mit dem Kunden weder anerkennen noch unstreitig stellen. Die Regelungen dieser Ziffer gelten entsprechend für Vertragsstrafen sowie behördliche oder gerichtliche Buß- und Ordnungsgelder, soweit der Kunde sie zu vertreten hat.

3.6 Der Kunde sollte – im Rahmen des technisch zumutbaren und möglichen – sicherstellen, dass der normale Geschäftsbetrieb des Kunden weiterhin ordnungsgemäß funktioniert, auch wenn die Plattform nicht verfügbar ist, unabhängig davon, ob dies auf ein Verschulden von Workist oder des Kunden zurückzuführen ist.

4. Nutzungsrechte

4.1 Mit Vertragsbeginn räumt Workist dem Kunden das zeitlich auf die Vertragslaufzeit beschränkte, nicht ausschließliche, weltweite, nicht übertragbare und nicht unterlizenzierbare Recht ein, die Plattform vertragsgemäß zu nutzen.

4.2 Von der Rechteeinräumung ausgenommen sind Bestandteile der Plattform, die für den Kunden erkennbar Rechten Dritter und insbesondere Open Source Lizenzen unterliegen. Als erkennbar gelten insbesondere solche Bestandteile, die von Workist innerhalb der Plattform oder in mitgelieferten Textdateien als Inhalte Dritter offengelegt werden.

5. Entgelte

5.1 Der Kunde zahlt Workist die im Bestellformular vereinbarte Gebühr für die Nutzung der Plattform.

5.2 Soweit nicht anders angegeben, gelten die Entgelte monatlich und netto zzgl. anwendbarer Umsatzsteuer.

5.3 Die Rechnungstellung erfolgt entsprechend der Festlegung im Bestell-Formular. Die in Rechnung gestellten Entgelte sind mit Rechnungsstellung fällig.

6. Gewährleistung

6.1 Für kostenlose Leistungen leistet Workist Gewährleistung nach den gesetzlichen Bestimmungen.

6.2 Im Übrigen leistet Workist für Mängel bei der Bereitstellung der Plattform Gewährleistung ausschließlich nach Maßgabe der nachfolgenden Bestimmungen.

6.3 Mängel sind wesentliche Abweichungen von dem vertraglich vereinbarten Funktionsumfang der Plattform.

6.4 Sind die von Workist nach diesem Vertrag zu erbringenden Leistungen mangelhaft, wird Workist innerhalb angemessener Frist und nach Zugang einer schriftlichen (E-Mail ausreichend) Mängelrüge des Kunden die Leistungen nach seiner Wahl nachbessern oder erneut erbringen. Beim Einsatz von Software Dritter, die Workist zur Nutzung durch den Kunden lizenziert hat, besteht die Mängelbeseitigung in der Beschaffung und Einspielung von allgemein verfügbaren Upgrades, Updates oder Patches. Als Nachbesserung gilt auch die Bereitstellung von Nutzungsanweisungen, mit denen der Kunde aufgetretene Mängel zumutbar umgehen kann, um die Plattform vertragsgemäß zu nutzen.

6.5 Schlägt die mangelfreie Erbringung der Leistungen aus Gründen, die Workist zu vertreten hat, auch innerhalb einer vom Kunden schriftlich (E-Mail genügt) gesetzten angemessenen Frist fehl, kann der Kunde die vereinbarte Vergütung um einen angemessenen Betrag mindern. Das Recht zur Minderung ist auf die Höhe des den mangelhaften Leistungsteil betreffenden monatlichen Festpreises beschränkt.

6.6 Erreicht die Minderung nach Ziffer 6.5 in zwei aufeinander folgenden Monaten oder in zwei Monaten eines Quartals den in Ziffer 6.5 genannten Höchstbetrag, kann der Kunde den Vertrag ohne Einhaltung einer Frist kündigen.

6.7 Der Kunde wird Workist eventuell auftretende Mängel unverzüglich in Schriftform (E-Mail genügt) anzeigen. Weiterhin wird der Kunde Workist bei der Behebung von Mängeln unentgeltlich in zumutbarer Weise unterstützen und Workist insbesondere sämtliche Informationen und Dokumente zukommen lassen, die Workist für die Analyse und Beseitigung von Mängeln benötigt.

7. Schadensersatz und Haftung

7.1 Für kostenlose Leistungen haftet Workist nach den gesetzlichen Bestimmungen.

7.2 Im Übrigen haftet Workist für Vorsatz und grobe Fahrlässigkeit sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

7.3 In Fällen einfacher Fahrlässigkeit haftet Workist bei Verletzung einer wesentlichen Vertragslpflicht. Eine wesentliche Vertragspflicht im Sinne dieser Ziffer ist eine Pflicht deren Erfüllung die Durchführung des Vertrages erst ermöglicht und auf deren Erfüllung sich der Kunde deswegen regelmäßig verlassen darf.

7.4 Workist haftet im Fall von Ziffer 7.3 nicht für mangelnden wirtschaftlichen Erfolg, entgangenen Gewinn und mittelbare Schäden.

7.5 Die Haftung gemäß der vorstehenden Ziffer 7.3 ist auf den im Zeitpunkt des Vertragsschlusses typischen, vorhersehbaren Schaden begrenzt.

7.6 Die Haftung für Schäden aufgrund von Datenverlust sind im Fall von 7.3 auf den Betrag der Wiederherstellung der Daten beschränkt, der auch bei regelmäßiger und gefahrentsprechender Sicherung der Daten durch den Kunden angefallen wäre.

7.7 Die Haftungsbeschränkungen gelten zugunsten der Mitarbeiter, Beauftragten und Erfüllungsgehilfen von Workist entsprechend.

7.8 Eine etwaige Haftung Workist für gegebene Garantien (die ausdrücklich als solche bezeichnet sein müssen) und für Ansprüche auf Grund des Produkthaftungsgesetzes bleibt unberührt.

7.9 Eine weitergehende Haftung von Workist ist ausgeschlossen.

8. Vertraulichkeit und Geheimhaltung

8.1 Der Kunde verpflichtet sich, vertrauliche Informationen und Unterlagen („vertrauliche Informationen“) von Workist, die entweder offensichtlich als vertraulich anzusehen sind oder von Workist als vertraulich bezeichnet wurden, wie Betriebsgeheimnisse zu behandeln und Dritten nicht zugänglich zu machen. Als Dritte im Sinne dieser Vereinbarung gelten auch verbundene Unternehmen, an denen der Kunde keine Kapital- und Stimmenmehrheit besitzt. Die Mitarbeiter des Kunden sowie sonstige vom Kunden beauftragte Dritte (einschließlich Subunternehmer und Freelancer) sind entsprechend zu verpflichten.

8.2 Als vertrauliche Informationen gelten insbesondere die Plattform sowie sämtliche Technologien von Workist, Auskünfte, die Workist im Rahmen von Supportanfragen oder der Zusammenarbeit zwecks Fehlerbehebung erteilt, sowie dieser Vertrag einschließlich seiner Anlagen. Die von Workist eingeräumten Nutzungsrechte bleiben jedoch unberührt.

8.3 Der Kunde ist berechtigt, die ihm zugänglich gemachten vertraulichen Informationen an Dritte weiterzugeben, sofern und soweit dies für die Erfüllung dieses Vertrages oder die Ausübung vertraglicher Rechte unerlässlich ist oder dies aus gesetzlichen oder aufsichtsrechtlichen Gründen zwingend erforderlich ist. Bei Anfragen von Dritten, Gerichts- oder Verwaltungsbehörden betreffend die Offenlegung von vertraulichen Informationen hat der Kunde Workist unverzüglich schriftlich oder in Textform zu informieren und Workist in seinen Bestrebungen zur Verhinderung der Offenlegung der vertraulichen Informationen zu unterstützen.

8.4 Die Geheimhaltungspflicht gilt nicht, soweit die vertraulichen Informationen dem Kunden schon vor der Offenlegung durch Workist bekannt waren, allgemein bekannt sind oder ohne Verschulden des Kunden bekannt werden, vom Kunden ohne Zugriff auf die vertraulichen Informationen von Workist selbst entwickelt wurden oder dem Dritten durch einen gutgläubigen, dazu berechtigten Dritten zur Kenntnis gebracht werden. Vorbehalten bleiben die zwingenden gesetzlichen Aufklärungspflichten. Beruft sich der Kunde auf einen oder mehrere der vorgenannten Gründe, hat er sie durch die Vorlage geeigneter Beweismittel zu belegen.

8.5 Die Geheimhaltungspflicht beginnt mit der Kenntnisnahme der vertraulichen Informationen und besteht über die gesamte Laufzeit dieses Vertrages und darüber hinaus fünf Jahre ab Kündigung oder Ende der Vertragslaufzeit, soweit gesetzliche Bestimmungen keine längere Geheimhaltungspflicht vorsehen. Der Kunde gewährleistet im Rahmen des rechtlich Möglichen, dass die Geheimhaltungspflichten auch für seine Rechtsnachfolger, Zessionare und verbundene Unternehmen verbindlich sind.

8.6 Während der Geltungsdauer dieser Geheimhaltungspflicht sind vertrauliche Informationen auf erstes Verlangen von Workist unverzüglich, unbeschädigt und vollständig zurückzugeben. Workist kann zudem anordnen, dass bestimmte vertrauliche Informationen zu vernichten, zu löschen oder in sichere Verwahrung zu nehmen sind und dass der Vollzug von dem Kunden schriftlich bestätigt wird. Die vorstehenden Regelungen in dieser Ziffer gelten nur soweit dies die vertragskonforme Nutzung der vertraglichen Leistung nicht erheblich beeinträchtigt.

8.7 Unbeschadet der vorstehenden Regelungen ist Workist berechtigt, den Kunden unter Nennung des vollen Firmennamens und unter Nutzung des Firmenlogos in Marketingmaterialien (einschließlich Webseiten) als Referenzkunden zu benennen.

8.8 Mit Ausnahme von Ziffer 8.7 begründen die vorstehenden Regelungen keinerlei immaterialgüterrechtlichen Nutzungsrechte. Sämtliche unter diesem Vertrag eingeräumten Nutzungsrechte bleiben von den vorstehenden Regelungen unberührt.

9. Laufzeit und Kündigung

9.1 Der Vertrag beginnt mit dem im Bestell-Formular benannten Stichtag.

9.2 Soweit im Bestell-Formular nicht abweichend vereinbart, beträgt die Vertragslaufzeit ein Jahr ab Vertragsbeginn.

9.3 Der Vertrag verlängert sich um die vereinbarte Laufzeit, wenn der Vertrag nicht entsprechend der jeweils gemäß Leistungsbeschreibung im Bestell-Formular geltenden Frist zum Ende der jeweiligen Laufzeit durch eine der Parteien schriftlich gekündigt wird.

9.4 Workist ist weiterhin berechtigt, den Vertrag fristlos zu kündigen, wenn der Kunde länger als sechs Wochen mit der Zahlung des vereinbarten Entgelts in Verzug ist und Workist die Kündigung mit einer Frist von zwei Wochen zum Inkrafttreten der Kündigung in Text- oder Schriftform dem Kunden gegenüber angedroht hat.

9.5 Workist bleibt vorbehalten, die Funktionalität der Plattform aus anderen als den in Ziffer 2.7 und 2.8 genannten Gründen unter den Voraussetzungen der Ziffer 10 einzuschränken oder einzustellen. Widerspricht der Kunde den Änderungen entsprechend Ziffer 10 steht Workist ein außerordentliches Kündigungsrecht zum Termin des Inkrafttretens der Änderungen zu.

9.6 Die Kündigung aus wichtigem Grund bleibt für beide Parteien unberührt.

9.7 Bei Beendigung des Vertrages, gleich aus welchem Grund, wird Workist die personenbezogenen Daten des Kunden entsprechend der Vereinbarungen in Anlage 2 löschen. Workist ist berechtigt, aber nicht verpflichtet, Daten aus Sicherheitsgründen für einen Zeitraum von vier Wochen über die Beendigung des Vertragsverhältnisses hinaus zu speichern, um den Kunden vor versehentlichem Datenverlust zu bewahren. Workist ist zudem berechtigt, Daten über die Beendigung des Vertragsverhältnisses aufzubewahren, wenn Workist hierzu gesetzlich oder behördlich verpflichtet ist, insbesondere aus handels- und steuerrechtlichen Gründen. Appendix 2.

10. Änderungen der Nutzungsbedingungen

10.1 Diese Allgemeinen Geschäftsbedingungen können zwischen dem Kunden und Workist durch entsprechende Vereinbarung wie nachfolgend beschrieben geändert werden: Workist übermittelt die geänderten Bedingungen vor dem geplanten Inkrafttreten in Textform und weist auf die Neuregelungen sowie das Datum des geplanten Inkrafttretens gesondert hin. Zugleich wird Workist dem Kunden eine angemessene, mindestens zwei Monate lange Frist für die Erklärung einräumen, ob er die geänderten Nutzungsbedingungen für die weitere Inanspruchnahme der Leistungen akzeptiert. Erfolgt innerhalb dieser Frist, welche ab Erhalt der Nachricht in Textform zu laufen beginnt, keine Erklärung, so gelten die geänderten Bedingungen als vereinbart. Workist wird den Kunden bei Fristbeginn gesondert auf diese Rechtsfolge, d.h. das Widerspruchsrecht, die Widerspruchsfrist und die Bedeutung des Schweigens hinweisen.

10.2 Änderungen, die sich auf wesentliche Vertragspflichten beziehen, sind nur zulässig, wenn diese erforderlich sind, weil die Leistungen durch Workist ohne die Änderung der wesentlichen Vertragspflichten aus Gründen der IT-Sicherheit oder aufgrund einer geänderten Gesetzeslage notwendig sind.

11. Schlussbestimmungen

11.1 Änderungen und Nebenabreden zu diesem Vertrag bedürfen der Schriftform. Dies gilt auch für diese Schriftformklausel.

11.2 Im Falle von Widersprüchen zwischen den Anlagen und dem Vertrag gehen die Regelungen der Anlagen vor.

11.3 Der Kunde kann gegen Forderungen von Workist nur dann aufrechnen oder ein Zurückbehaltungsrecht geltend machen, wenn die Gegenforderung unbestritten oder rechtskräftig zuerkannt ist oder in einem synallagmatischen Verhältnis zu dem jeweils betroffenen Anspruch steht.

11.4 Die Vertragssprache ist Deutsch. Übersetzungen in andere Sprachen dienen ausschließlich der Verständlichkeit und sind rechtlich unverbindlich.

11.5 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

11.6 Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Berlin, vorausgesetzt die Vertragsparteien sind Kaufleute oder der Kunde hat keinen allgemeinen Gerichtsstand in Deutschland oder in einem anderen EU-Mitgliedsstaat oder hat seinen festen Wohnsitz nach Wirksamwerden dieser Allgemeinen Geschäftsbedingungen ins Ausland verlegt oder der Wohnsitz oder gewöhnliche Aufenthaltsort ist im Zeitpunkt der Klageerhebung nicht bekannt.

Datenschutzerklärung für die Nutzung der Workist-Plattform

Workist bietet seinen Kunden im Rahmen einer Software-as-a-Service-Lösung einen webbasierten Zugang zu seiner KI-gestützten Prozessautomatisierungsplattform („Plattform“) an. Mit dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir über unsere Plattform erheben und für welche Zwecke wir diese Daten verwenden.

1. Verantwortlicher und Kontakt

Workist GmbH
Linienstr. 126
10115 Berlin

vertreten durch die Geschäftsführer Alexander Müller und Tim Wegner
(nachfolgend „Workist“oder „wir“ genannt)‎
Wenn Sie Fragen oder Anregungen zum Thema Datenschutz haben, können Sie sich gerne per E-Mail an folgende Adresse wenden: privacy@workist.com.
Unseren Datenschutzbeauftragten erreichen Sie unter folgender E-Mail-Adresse: privacy@workist.com.
Bitte beachten Sie: Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten, ist für diese Verarbeitung der Kunde verantwortlich. Diese Datenschutzerklärung bezieht sich ausschließlich auf die Datenverarbeitung durch Workist in eigener Verantwortlichkeit.

2. Gegenstand des Datenschutzes

Gegenstand des Datenschutzes sind personenbezogene Daten. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen über eine identifizierte oder identifizierbare natürliche Person; dazu gehören beispielsweise der Name oder Identifikationsnummern.

3. Automatisierte Datenerfassung

Beim Zugriff auf unsere Plattform übermittelt Ihr Endgerät aus technischen Gründen automatisch Daten. Folgende Daten werden getrennt von anderen Daten, die Sie unter Umständen an uns übermitteln, gespeichert:

– IP-Adresse
– URL der abgerufenen Seite
– Datum und Uhrzeit

Wir speichern diese Daten zu folgenden Zwecken:
– Loadbalancing, d.h. um die Zugriffe auf unsere Plattform auf mehrere Geräte zu verteilen und Ihnen möglichst schnelle Ladezeiten bieten zu können;
– Gewährleistung der Sicherheit unserer IT-Systeme, z.B. zur Abwehr von konkreten Angriffen auf unsere Systeme und Erkennung von Angriffsmustern;
– Sicherstellung des ordnungsgemäßen Betriebs unserer IT-Systeme, z.B. wenn Fehler auftreten, die wir nur durch die Speicherung der IP-Adresse beheben können;
– um bei konkreten Hinweisen auf Straftaten eine Strafverfolgung, Gefahrenabwehr oder Rechtsverfolgung zu ermöglichen.
Ihre IP-Adresse wird dabei nur für einen Zeitraum von 90 Tagen gespeichert.
In diesem Fall erfolgt die Verarbeitung aufgrund unserer überwiegenden oben genannten berechtigten Interessen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO).

4. Registrierung und Vertragsschluss

Der Vertrag über die Nutzung der Plattform kann entweder in schriftlicher Form oder im Rahmen der Registrierung auf der Plattform abgeschlossen werden. In beiden Fällen erhalten Sie anschließend die Zugangsdaten für die Plattform.
Damit Sie alle Funktionen unserer Plattform nutzen können, müssen Sie sich, unabhängig von der Form des Vertragsschlusses, registrieren. Dazu müssen Sie die folgenden Pflichtangaben machen:

– Vor- und Nachname
– E-Mail-Adresse
– Passwort

Ihre Registrierungsdaten werden benötigt, um einen Account für Sie einzurichten und zu verwalten und damit Sie unsere Plattform nutzen können, Art. 6 Abs. 1 Satz 1 lit. b DSGVO. Um diesen Account einrichten zu können, müssen Sie uns diese Daten zur Verfügung zu stellen. Sie sind aber weder vertraglich noch gesetzlich zum Abschluss des Vertrages und damit zur Bereitstellung der Daten verpflichtet.
Sofern ein Kunde von Workist („Kunde“) für weiteren Personen, bspw. Mitarbeiter, einen Nutzeraccount anlegt oder diesen die Registrierung ermöglicht, erfolgt deren Registrierung entsprechend den oben beschriebenen Abläufen. In diesem Fall verarbeitet Workist die Registrierungsdaten jedoch im Auftrag des Kunden, mithin nicht als eigenständig Verantwortlicher, sondern als Auftragsverarbeiter auf Grundlage der mit dem Kunden geschlossenen Auftragsverarbeitungsvereinbarung. In diesem Fall ist die Rechtsgrundlage für die Verarbeitung der Registrierungsdaten durch Workist Art. 28 Abs. 1 DSGVO. Datenschutzrechtlich verantwortlich ist in diesem Fall der Kunde.

5. Datenverarbeitung im Rahmen der Nutzung der Plattform

Die Verarbeitung personenbezogener Daten, die in den Inhalten enthalten sein können, die der Kunde oder seine Nutzer in die Plattform einbringen oder für die sie die Plattform nutzen („Kundeninhalte“), erfolgt ausschließlich im Auftrag des Kunden. Mithin handelt Workist hier nicht als eigenständig Verantwortlicher, sondern als Auftragsverarbeiter auf Grundlage der mit dem Kunden geschlossenen Auftragsverarbeitungsvereinbarung. In diesem Fall ist die Rechtsgrundlage für die Verarbeitung der in Kundeninhalten enthaltenen personenbezogenen Daten durch Workist Art. 28 Abs. 1 DSGVO. Datenschutzrechtlich verantwortlich ist in diesem Fall der Kunde.

6. Weitergabe von Daten

Grundsätzlich erfolgt eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung nur in den nachfolgend genannten Fällen:
Wenn es zur Aufklärung einer rechtswidrigen Nutzung unserer Dienste oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden sowie gegebenenfalls an geschädigte Dritte weitergeleitet. Dies geschieht jedoch nur dann, wenn konkrete Anhaltspunkte für ein gesetzwidriges beziehungsweise missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch dann stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderer Vereinbarungen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen und die Finanzbehörden.
Die Weitergabe dieser Daten erfolgt auf Grundlage unseres berechtigten Interesses an der Bekämpfung von Missbrauch, der Verfolgung von Straftaten und der Sicherung, Geltendmachung und Durchsetzung von Ansprüchen und dass Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten nicht überwiegen, Art. 6 Abs. 1 Satz 1 lit. f DSGVO bzw. aufgrund einer gesetzlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c DSGVO.
Wir sind für die Erbringung unserer Dienste auf vertraglich verbundene Fremdunternehmen und externe Dienstleister („Auftragsverarbeiter“) angewiesen. In solchen Fällen werden personenbezogene Daten an diese Auftragsverarbeiter weitergegeben, um diesen die weitere Bearbeitung zu ermöglichen. Diese Auftragsverarbeiter werden von uns sorgfältig ausgewählt und regelmäßig überprüft, um sicherzugehen, dass Ihre Rechte und Freiheiten gewahrt bleiben. Die Auftragsverarbeiter dürfen die Daten ausschließlich zu den von uns vorgegebenen Zwecken verwenden und werden darüber hinaus von uns vertraglich verpflichtet, Ihre Daten ausschließlich gemäß dieser Datenschutzerklärung sowie den deutschen Datenschutzgesetzen zu behandeln.
Im Einzelnen verwenden wir folgende Auftragsverarbeiter:

– Amazon Web Services (AWS) – Hosting
– Microsoft Azure – Hosting
– ABBYY Europe GmbH – Cloud Services
– Telekom Deutschland – Cloud Services

Wir geben Daten an Verarbeiter auf der Grundlage von Art. 28 Abs. 1 DSGVO.. Für den Fall, dass personenbezogene Daten an einen Datenverarbeiter außerhalb der EU weitergegeben werden und keine Angemessenheitsentscheidung vorliegt, stellen wir die ordnungsgemäße Verarbeitung der Daten durch Maßnahmen wie in Art. 46 ff. DSGVO beschrieben sicher. Für weitere Informationen wenden Sie sich bitte an die oben angegebene E-Mail-Adresse.
Im Rahmen der Weiterentwicklung unseres Geschäfts kann sich die Struktur der Workist GmbH durch Rechtsformwechsel, Gründung, Erwerb oder Veräußerung von Tochtergesellschaften, Unternehmensteilen oder Komponenten ändern. Bei solchen Transaktionen werden Kundeninformationen mit dem Teil des zu übertragenden Unternehmens geteilt. Bei jeder Weitergabe personenbezogener Daten an Dritte in dem vorstehend beschriebenen Umfang stellen wir sicher, dass dies in Übereinstimmung mit dieser Datenschutzerklärung und den einschlägigen Datenschutzgesetzen erfolgt.
Die Weitergabe personenbezogener Daten ist dadurch gerechtfertigt, dass wir ein berechtigtes Interesse daran haben, unsere Gesellschaftsform den wirtschaftlichen und rechtlichen Gegebenheiten entsprechend anzupassen und dass Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten nicht überwiegen, Art. 6 Abs. 1 Satz 1 lit. f) DSGVO.

7. Automatisierte Einzelentscheidungen oder Maßnahmen zum Profiling

Wir nutzen Ihnen gegenüber keine automatisierten Verarbeitungsprozesse zur Herbeiführung einer Sie betreffenden Entscheidung oder zum Profiling.

8. Löschung der Daten

Soweit nicht anders angegeben, löschen oder anonymisieren wir Ihre personenbezogenen Daten, sobald sie für die Zwecke, für die wir sie nach den vorstehenden Ziffern erhoben oder verwendet haben, nicht mehr erforderlich sind. In der Regel speichern wir Ihre personenbezogenen Daten für die Dauer des Nutzungs- bzw. des Vertragsverhältnisses über die Plattform, sowie für einen Zeitraum von 4 Wochen, in dem wir nach dem Vertragsende Sicherungskopien speichern. Wir bewahren Ihre Daten außerdem weiter auf, wenn wir hierzu aus gesetzlichen Gründen verpflichtet sind oder die Daten für die strafrechtliche Verfolgung oder zur Sicherung, Geltendmachung oder Durchsetzung von Rechtsansprüchen länger benötigt werden.
Soweit Daten aus gesetzlichen Gründen aufbewahrt werden müssen, wird die Verarbeitung eingeschränkt. Die Daten stehen einer weiteren Verwendung dann nicht mehr zur Verfügung. Die über das Vertragsverhältnis hinausgehende Speicherung erfolgt auf Grundlage unserer vorgenannten berechtigten Interessen nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO.

9. Ihre Rechte als Betroffener

Als von der Verarbeitung personenbezogener Daten betroffene Person haben Sie ein Recht auf Auskunft über die verarbeiteten Daten, ein Recht auf Berichtigung Ihrer personenbezogenen Daten, ein Recht auf Löschung Ihrer personenbezogenen Daten, ein Recht auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten und ein Recht auf Übermittlung Ihrer personenbezogenen Daten.
Darüber hinaus haben Sie jederzeit das Recht, aus Gründen, die sich auf Ihre besondere Situation beziehen, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, wenn die Datenverarbeitung auf Art. 6 Abs. 1 Satz 1 e oder lit. f) DSGVO gestützt wird (einschließlich Profilerstellung) oder wenn Daten für Zwecke des Direktmarketings verarbeitet werden.
Im Falle einer Einwilligung haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen, Art. 7 Abs. 3 Satz 1 DSGVO. Sie können dies tun, indem Sie eine Mitteilung an privacy@workist.com senden.
Sie haben auch das Recht, Beschwerden an eine Aufsichtsbehörde zu richten.
Schließlich weisen wir darauf hin, dass wir die bei Ausübung Ihrer Rechte gem. Art. 15 bis 22 DSGVO von Ihnen übermittelten personenbezogenen Daten zum Zweck der Umsetzung dieser Rechte verarbeiten und um den Nachweis hierüber erbringen zu können. Diese Verarbeitungen beruhen auf der Rechtsgrundlage des Art. 6 Abs. 1 Satz 1 lit. c DSGVO.

10. Änderung dieser Datenschutzerklärung

Die aktuelle Fassung dieser Datenschutzerklärung ist stets unter  workist.com/nutzungsbedingungen abrufbar.
Status: 8.Januar 2021

Vereinbarung zur Auftragsverarbeitung

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der von der Workist GmbH, Linienstr. 126, 10115 Berlin (nachfolgend „Auftragnehmer“) für den Kunden (nachfolgend „Auftraggeber“) verarbeiteten personenbezogenen Daten unter dem zwischen den Parteien geschlossenen Vertrages über die Nutzung der Workist-Plattform (nachfolgend „Hauptvertrag“).

1. Anwendungsbereich

Bei der Erbringung der Leistungen gemäß dem Hauptvertrag verarbeitet der Auftragnehmer personenbezogene Daten, die der Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Im Falle von Widersprüchen zwischen dieser AVV und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser AVV vor.

2. Weisungsbefugnisse des Auftraggebers

2.1. Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht aus dem Recht der Europäischen Union oder eines Mitgliedsstaates gesetzlich dazu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.2. Soweit nicht im Hauptvertrag abweichend vereinbart, erfolgt die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser AVV spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.

2.3. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

2.4. Die Verarbeitung der personenbezogenen Daten findet grundsätzlich in Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Es ist dem Auftragnehmer gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieser AVV auch außerhalb des EWR zu verarbeiten oder durch weitere Auftragnehmer nach Maßgabe von Ziffer 5 dieser AVV verarbeiten zu lassen, wenn die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt. Ist hierzu der Abschluss von Standardvertragsklauseln erforderlich, bevollmächtigt der Auftraggeber den Auftragnehmer hiermit, diese in seinem Namen mit einem etwaigen weiteren Auftragsverarbeiter abzuschließen. Soweit dies nicht möglich ist, wird der Auftragnehmer auf Weisung des Auftraggebers den weiteren Auftragsverarbeitern gegenüber unverzüglich alle Weisungen und Rechte durchsetzen, die dem Datenexporteur unter den EU-Standardvertragsklauseln zustehen und diese dem Auftraggeber auf Anforderung abtreten.

2.5. Die Weisungen ergeben sich aus dem Hauptvertrag. Der Auftraggeber ist darüber hinaus zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten berechtigt. Diese Weisungen bedürfen der Schrift- oder Textform. Mündliche Weisungen wird der Auftraggeber schriftlich oder per E-Mail bestätigen. Sämtliche Weisungen sind durch die Parteien zu dokumentieren. Die weisungsberechtigten Personen und Weisungsempfänger ergeben sich aus Anhang 1. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.

2.6. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diese AVV, die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten verstößt, wird er den Auftraggeber hierüber unverzüglich in Schrift- oder Textform informieren. Der Auftragnehmer ist berechtigt, die Ausführung einer solchen Weisung solange auszusetzen, bis der Auftraggeber sie in Schrift- oder Textform bestätigt. Besteht der Auftraggeber trotz der vom Auftragnehmer vorgebrachten Bedenken auf die Durchführung einer Weisung, stellt der Auftraggeber den Auftragnehmer von sämtlichen Schäden und Kosten frei, die dem Auftragnehmer durch die Ausführung der Weisung des Auftraggebers entstehen. Der Auftragnehmer wird den Auftraggeber über gegen ihn geltend gemachte Schäden und ihm entstehende Kosten hinweisen und Ansprüche Dritter nicht ohne Zustimmung des Auftraggebers anerkennen und die Verteidigung nach Wahl des Auftragnehmers in Abstimmung mit dem Auftraggeber vornehmen oder diesem überlassen.

3. Anforderungen an Personal

3.1. Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, zur Vertraulichkeit zu verpflichten soweit diese nicht einer angemessenen gesetzlichen Verschwiegenheit unterliegen.

3.2. Der Auftragnehmer stellt sicher, dass ihm unterstellte Personen, die Zugang zu Auftraggeber-Daten haben, diese nur nach Maßgabe dieser AVV sowie nach Weisungen des Auftraggebers verarbeiten; es sei denn, sie sind nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

4. Sicherheit der Verarbeitung

4.1. Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und – soweit dem Auftragnehmer bekannt – der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.

4.2. Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 3 zu dieser AVV spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während der Dauer des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.

4.3. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist der Auftragnehmer berechtigt und verpflichtet, alternative, adäquate Maßnahmen umzusetzen, um das Sicherheitsniveau der in Anhang 3 festgelegten Maßnahmen nicht zu unterschreiten . Nimmt der Auftragnehmer wesentliche Änderungen an den in Anhang 3 festgelegten Maßnahmen vor, wird er den Auftraggeber hierüber vorab informieren Anhang 3 festgelegten Maßnahmen vor, wird er den Auftraggeber hierüber vorab informieren

4.4. Es obliegt dem Auftraggeber, die von dem Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen zu überprüfen, insbesondere ob diese auch im Hinblick auf Umstände der Datenverarbeitung ausreichend sind, die dem Auftragnehmer nicht bekannt sind.

5. Inanspruchnahme weiterer Auftragsverarbeiter

5.1. Der Auftragnehmer setzt bei der Verarbeitung der Auftraggeber-Daten die in Anhang 2aufgelisteten weiteren Auftragsverarbeiter ein. Diese gelten mit Abschluss des AVV als genehmigt.

5.2. Der Auftragnehmer darf zur Verarbeitung von Auftraggeber-Daten weitere Auftragsverarbeiter unter folgender Maßgabe in Anspruch nehmen: Der Auftragnehmer informiert den Auftraggeber mindestens 15 Werktage vor der Inanspruchnahme des Weiteren Auftragsverarbeiters in Text- oder Schriftform. Soweit der Auftraggeber nicht innerhalb von 5 Werktagen Einspruch erhebt, gilt die Inanspruchnahme als genehmigt.

5.3. Widerspricht der Auftraggeber dem Einsatz eines weiteren Auftragsverarbeiters, ist der Auftragnehmer berechtigt, nach seiner Wahl die Leistungen weiter, ohne den entsprechenden Auftragsverarbeiter zu erbringen oder den Hauptvertrag sowie diese AVV zum Zeitpunkt des geplanten Einsatzes des Auftragsverarbeiters zu kündigen.

5.4. Der Auftragnehmer hat jeden weiteren Auftragsverarbeiter im Wege eines schriftlichen Vertrags ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieser Vereinbarung gegenüber dem Auftraggeber verpflichtet ist.

5.5. Der Auftragnehmer ist verpflichtet, nur solche weiteren Auftragsverarbeiter auszuwählen und in Anspruch zu nehmen, die hinreichenden Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung der Auftraggeber-Daten entsprechend den Anforderungen der DSGVO und dieser AVV erfolgt.

6. Rechte der betroffenen Personen

6.1. Der Auftragnehmer wird alle zumutbaren technischen und organisatorischen Maßnahmen treffen, um den Auftraggeber dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen zustehenden Rechte nachzukommen.

6.2. Der Auftragnehmer wird insbesondere:
– den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;
– dem Auftraggeber unverzüglich alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt;
– Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich berichtigen, löschen oder in der Verarbeitung einschränken;
– sicherstellen, dass der Auftraggeber die im Verantwortungsbereich des Auftragnehmers verarbeiteten Auftraggeber-Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann und erhält, soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten besitzt.

7. Sonstige Unterstützungspflichten des Auftragnehmers

7.1. Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.

7.2. Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

7.3. Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

7.4. Der Auftragnehmer wird unter Berücksichtigung der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten unterstützen.

7.5. Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder betroffene Personen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten. Der Auftragnehmer ist insbesondere verpflichtet, sämtliche potentiellen Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten ermöglicht.

7.6. Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

8. Datenlöschung und -zurückgabe

8.1. Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrags alle Auftraggeber-Daten entweder vollständig löschen oder an den Auftraggeber zurückgeben und etwaig vorhandene Kopien löschen, sofern nicht nach dem Recht der Europäischen Union oder eines Mitgliedsstaates eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.

8.2. Der Auftragnehmer ist jedoch berechtigt, für einen Zeitraum von 30 Tagen Sicherungskopien der Auftraggeber-Daten aufzubewahren, soweit eine Löschung der Auftraggeber-Daten aus diesen Sicherungskopien technisch oder im Hinblick auf Art. 32 DSGVO unmöglich ist. Für diesen Zeitraum gelten die Rechte und Pflichten der Parteien aus dieser AVV in Bezug auf die Sicherungskopien abweichend von Ziffer 2.3 fort.

8.3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeber-Daten dienen, sind durch den Auftragnehmer entsprechend der gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

9. Nachweise und Überprüfungen

9.1 Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser AVV einschließlich des in Anhang 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten sowie den Weisungen des Auftraggebers in Einklang steht.

9.2. Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser AVV in geeigneter Weise dokumentieren und dem Auftraggeber alle erforderlichen Nachweise über die Einhaltung der Pflichten des Auftragnehmers nach der DSGVO und dieser AVV auf dessen Anfrage vorlegen.

9.3. Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung der Regelungen dieser AVV, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anhang 3, selbst oder durch einen qualifizierten und zur Verschwiegenheit verpflichteten Prüfer zu überprüfen; einschließlich durch Inspektionen. Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei; unter anderem durch die Gewährung der notwendigen Zugangs- und Zugriffsrechte und die Bereitstellung aller notwendigen Informationen.

9.4. Die Überprüfungen und Inspektionen sollen den Auftragnehmer in seinem normalen Geschäftsbetrieb nach Möglichkeit nicht behindern und diesen nicht über Gebühr belasten. Insbesondere sollen Inspektionen bei dem Auftragnehmer ohne konkreten Anlass nicht mehr als einmal im Kalenderjahr und nur während der üblichen Geschäftszeiten des Auftragnehmers stattfinden. Der Auftraggeber hat dem Auftragnehmer Inspektionen rechtzeitig vorab in Schrift- oder Textform anzukündigen.

9.5. Gemäß den Bestimmungen der DSGVO unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Anforderung durch den Auftraggeber wird der Auftragnehmer die gewünschten Informationen an die Aufsichtsbehörde liefern und dieser die Möglichkeit zur Prüfung einräumen; davon umfasst sind Inspektionen beim Auftragnehmer durch die Aufsichtsbehörde oder die von ihr benannten Personen. Der Auftragnehmer gewährt der zuständigen Aufsichtsbehörde in diesem Rahmen die erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.

10. Haftung

Die Parteien haften im Rahmen dieser AVV nach den gesetzlichen Bestimmungen.

Anlage 1 - Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der betroffenen Personen

Zweck der Datenverarbeitung

Betrieb einer KI Prozessautomatisierungssoftware mit dem Ziel, Datenfelder aus Dokumenten automatisch zu erfassen, zu extrahieren und an ein vom Auftraggeber definiertes Zielsystem (z.B. ein ERP-System) weiterzuleiten

Kundenspezifisches Training des AI Worker-Algorithmus

Art und Umfang der Datenverarbeitung

– Konvertierung

– Verknüpfung, Organisation und Ordnen

– Auslesen und Abgleich

Art der betriebenen Anwendungen: Selbstbetriebene webbasierte Software-Lösung („Software-as-a-Service“) sowie Anwendungen von Auftragsverarbeitern laut Anhang 2. Ort der Datenverarbeitung: Deutschland bzw. EWR (laut Anhang 2)

Type of Data

– Namen und Vornamen

– Firmenzugehörigkeit

– Kontaktdaten (Adresse, Telefonnummer, E-Mail)

– Kunden- und Bestellnummern

– Zahlungsinformationen (bspw. Bankverbindungsdaten)

– Inhalte von Bestellungen oder sonstigen Nachrichten

– Liefer- und Versandinformationen

Kreis der betroffenen Personen

– Endkunden und sonstige Kontakte (z.B. Interessenten) des Auftraggebers

– Mitarbeiter von Endkunden und sonstigen Kontakten des Auftraggebers

– Mitarbeiter des Auftraggebers

Weisungsberechtigte Personen und Kontaktpersonen des Auftraggebers

Weisungsempfänger des Auftragnehmers

Anlage 2 - Weitere Auftragsgeber

Unternehmen, Sitz

Amazon Web
Services, Inc
P.O.Box 81226
Seattle, WA 98108-
1226
United States of
America

Auftragsleistungen

Bereitstellung und technische Wartung der AWS Services zum Betrieb
der Workist AI Workbench. Folgende AVV wurde als
Teil der Service Vereinbarung mit der AWS Inc. vereinbart:
https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pd
https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf Es werden von dem
Unterauftragsdatenverarbeiter Amazon Webservices (AWS) folgende Services (Anwendungen) verwendet: AWS Elasticsearch, AWS
Textract, AWS Workmail.
Die Services werden auf Serverstandorten in
Deutschland (Frankfurt) ausgeführt.

Microsoft Ireland
Operations, Ltd.
One Microsoft Place
South County
Business Park
Leopardstown
Dublin 18, D18
P521, Ireland

Bereitstellung und technische Wartung der Azure Services zum Betrieb der
Workist AI Workbench. Folgender AVV (Stand
Januar 2020) wurde als Teil der Service Vereinbarung (Stand
April 2020) mit der Microsoft Ireland Operations, Ltd. vereinbart:
https://www.microsoftvolumelicensing.com/Downloader.aspx?
https://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=17713
Es werden von dem Unterauftragsdatenverarbeiter Microsoft Ireland Operator Ltd.
Folgende Azure Services (Anwendungen) verwendet: Azure Database for
PostgreSQL, Container Registry, Azure Virtuelle Computer, Azure
Kubernetes Service, Azure Blobspeicher, Azure Cache for Redis, Azure
Cognitive Services, Azure Key Vault. Die Services werden auf
Serverstandorten in Deutschland (Frankfurt) Region Deutschland Europa-Westen-Mitte
(alle Services) oder in den Niederlanden Region Europa-Westen ausgeführt (Azure
Cognitive Services, Azure Virtuelle Computer mit GPU Kernen).

ABBYY Europe
GmbH Landsberger
Str. 300,
80687 Munich,
Deutschland

Bereitstellung und technische Wartung der ABBYY Cloud OCR Services.
Folgende AVV (Stand 1. April 2019) wurde als Teil der
Service Vereinbarung mit der ABBYY Europe GmbH vereinbart:
https://www.ocrsdk.com/dpa/
https://www.ocrsdk.com/dpa/ Es wird von dem Unterauftragsdatenverarbeiter ABBYY Europe GmbH das Produkt ABBYY Cloud OCR SDK verwendet.
Cloud OCR SDK product.

Telekom
Deutschland GmbH
Landgrabenweg 151
53227 Bonn

Bereitstellung und technische Wartung der
Service der Open Telekom Cloud. Es wurde eine AVV geschlossen, welche auf Anfrage weitergegeben wird.
Es werden von dem Unterauftragsdatenverabeiter Deutsche Telekom GmbH
das Produkt Elastic Cloud Server GPU accelerated bezogen.

Anlage 3 - Technische und organisatorische Maßnahmen

1. Vertraulichkeit
Vertraulichkeitsschutz

AWS Inc. erfüllt folgende Zertifizierungen (SOC 1/SSAE 16/ISAE 3402 (vormals SAS 70), SOC2, SOC3, FISMA, DoD SRG, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MCTS Tier3) sowie implementiert AWS Inc. den Anforderungskatalog Cloud Computing (C5) des Bundesamt für Sicherheit in der Informationstechnik. Microsoft Ireland Operations, Ltd. erfüllt folgende Zertifizierungen: SOC 1/2/3, ISO 27001, ISO 27002
und ISO 27018, sowie die Vorgaben des EU-US Datenschutzschild und der Standardvertragsklauseln der Europäischen Union Artikeln 29 DSGVO. Die Einhaltung der Standards der Zertifizierung werden mit Hilfe von regelmäßigen Audits durch unabhängige Dritte überprüft. ABBYY Cloud OCR SDK ist SOC 2 Type II zertifiziert.

Zutritt

Unbefugten ist der räumliche Zutritt zu Datenverarbeitungsanlagen zu verwehren.

Büroebene
– Alarmanlage
– Chipkarten-/Transponder-Schließsystem
– Sicherheitsschlösser
– Schlüsselregelung

Applikationsebene (inklusive AWS & Azure)
– Videoüberwachung der Gebäude
– Elektronische Eindringungserkennungssystem (Intrusion Detection System)
– Chipkarten-/Transponder-Schließsystem
– Mitarbeiter- und Besucherausweise
– Tragepflicht von Ausweisen im Rechenzentrum
– Empfang mit Protokollierung der Besucher
– Ständige Begleitung der Besucher durch Mitarbeiter

Applikationsebene (Azure)
– Microsoft beschränkt den Zugang zu Einrichtungen, in denen sich Kundendaten verarbeitende Informationssysteme befinden, auf identifizierte, autorisierte Personen
– Weitere siehe Anlage A DPA Microsoft Online Services

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Büroebene
– Passwortregeln
– Schlüsselregelung
– Verschlüsselung von Datenträgern
– Authentifikation mit Benutzer + Passwort

Applikationsebene (inklusive AWS & Azure)
– AWS Netzwerk: Firewalls
– Azure Netzwerk: Firewalls
– AWS Netzwerk: Authentifikation
– Azure Netzwerk: Firewalls
– Azure Virtual Private Network
– Passwortregeln
– Authentifikation mit Benutzer + Passwort

Es ist zu gewährleisten, dass systemische Datenzugriffsmöglichkeiten nur im Umfang von Befugnissen und Erforderlichkeiten bestehen, z.B. durch Verschlüsselung.
– Verschlüsselung von Datenträgern
– Berechtigungskonzept
– Passwortregeln
– Anzahl der Administratoren auf der „Notwendigste“ (aktuell 1) reduzieren
– Verwaltung der Benutzerrechte nur durch Systemadministratorenrechte
– Datenübertragung erfolgt ausschließlich per HTTPS

Weitergabe

Es ist zu gewährleisten, dass auf personenbezogene Daten bei Übertragung, Transport oder auf Datenträgern nicht unbefugt zugegriffen und dass festgestellt werden kann, welchen Stellen die Daten offengelegt wurden, z.B. durch Verschlüsselung.
– Datenübertragung erfolgt ausschließlich per HTTPS

2. Integrität
Integritätsschutz

Unser System ist so ausgelegt wird, dass protokolliert wird wann welcher Nutzer, welche Daten hinzugefügt, gelöscht, bzw. geändert hat. Darüber hinaus werden nicht mehr benötigte Daten gelöscht.

Eingabe

Es ist zu gewährleisten, dass festgestellt werden kann, ob und von wem personenbezogene Daten verarbeitet wurden.
– Protokollierung der Eingabe, Änderung und Löschung von Daten
– Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
– Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Datentrennung

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
– Speicherung der Daten von unterschiedlichen Sytemen auf durch Virtualisierung getrennte Datenträgern
– Trennung von Produktiv- und Testsystem
– Festlegung von Datenbankenrechten
– Logische Mandantentrennung (softwareseitig)
– Erstellung eines Berechtigungskonzepts

3. Verfügbarkeit

Es ist zu gewährleisten, dass personenbezogene Daten gegen Verlust geschützt sind.

Applikationsebene
– Replikation der Datenhaltung in der Azure
– Tägliche Erstellung von verschlüsselten Back-Ups der Daten die in dem Service Azure Database for Postgresql gespeichert werden