Contract Documents

Version: v07

Nutzungsbedingungen

Der 1.Teil gilt für die Software-as-Service Leistungen der Auftragnehmerin. Soweit eine Auftragsverarbeitung gem. Art. 28 DSGVO vorliegt gilt der 2. Teil ergänzend. Soweit Kunden der berufsrechtlichen Verschwiegenheit unterliegen (wie z.B. dem anwaltlichen Berufsgeheimnis) gilt der 3. Teil ergänzend.

1. Teil Allgemeine Geschäftsbedingungen

§ 1 Geltungsbereich

(1) Verträge werden mit der AnalystHAUS GmbH (im Folgenden Auftragnehmerin) geschlossen.

(2) Die Auftragnehmerin schließt Verträge ausschließlich mit Unternehmen gemäß § 14 BGB (im Folgenden Kunden) zur Bereitstellung an den Kunden und die von ihm autorisierten Nutzer (im Folgenden Nutzer). Im Besonderen ausgeschlossen ist eine Nutzung durch Justizbehörden sowie im Rahmen der alternativen Streitbeilegung, um bei der Ermittlung und Auslegung von Sachverhalten und Rechtsvorschriften und bei der Anwendung des Rechts auf konkrete Sachverhalte zu unterstützen.

(3) Individuelle Vertragsabreden haben Vorrang vor diesen AGB.

(4) Abweichende, entgegenstehende oder ergänzende AGB werden nicht Vertragsbestandteil, es sei denn, ihrer Geltung wird ausdrücklich zugestimmt. Dieses Zustimmungserfordernis gilt in jedem Fall und zwar auch dann, wenn die Auftragnehmerin in Kenntnis der AGB des Kunden die Leistung vorbehaltlos ausführt.

(5) Sofern nichts anderes vereinbart, gelten diese AGB in der zum Zeitpunkt des Vertragsschlusses gültigen bzw. jedenfalls in der dem Kunden zuletzt in Textform mitgeteilten Fassung als Rahmenvereinbarung auch für gleichartige künftige Verträge, ohne dass in jedem Einzelfall wieder auf diese hingewiesen werden müsste.

§ 2 Vertragsschluss, Vertragsunterlagen, Garantien

(1) Die Auftragnehmerin erbringt ihre Leistungen aufgrund eines zwischen dem Kunden und der Auftragnehmerin geschlossenen Vertrages. Der Leistungsumfang ergibt sich aus den Vertragserklärungen der Parteien und den dazugehörenden Unterlagen der Auftragnehmerin. Die darin enthaltenen Angaben sind als Leistungsbeschreibungen zu verstehen und nicht als Garantien. Eine Garantie wird nur gewährt, wenn sie als solche ausdrücklich bezeichnet worden ist.

(2) Die Angebote der Auftragnehmerin sind freibleibend.

(3) Ist die Bestellung des Kunden als Angebot (§ 145 BGB) zu qualifizieren, kann die Auftragnehmerin das Angebot binnen zwei (2) Wochen annehmen. Die Bestellung des Kunden stellt ein verbindliches Angebot des Kunden dar. Nach Eingang der Bestellung übersendet die Auftragnehmerin eine Eingangsbestätigung per E-Mail, welche keine Annahme darstellt. Die Annahme erfolgt durch eine Auftragsbestätigung per E-Mail, mit Zahlungsaufforderung oder mit Freischaltung des Zugangs. Wenn mehrere der vorgenannten Umstände erfüllt sind gilt der jeweils frühere Umstand als Annahme.

(4) An Abbildungen, Zeichnungen, Kalkulationen und sonstigen Unterlagen, welche im Rahmen der Vorbereitung des Vertragsschlusses oder während der Vertragslaufzeit an den Kunden übermittelt werden, behält sich die Auftragnehmerin alle Rechte vor, insbesondere das Eigentumsrecht und das Urheberrecht vor. Vor der Weitergabe an Dritte benötigt der Kunde die Zustimmung der Auftragnehmerin.

(5) In Prospekten, Anzeigen und sonstigen Unterlagen enthaltene Abbildungen oder Zeichnungen können aufgrund der technisch bedingten Darstellungsmöglichkeiten geringfügig anders aussehen.

(6) Die Mitarbeiter der Auftragnehmerin sind nicht befugt, mündliche Nebenabreden zu treffen oder mündliche Zusicherungen zu geben, die über den Inhalt des schriftlichen oder textförmlichen Vertrags hinausgehen.

(7) Vertragssprache ist deutsch. Etwaige Übersetzungen dienen ausschließlich der Nutzerfreundlichkeit; maßgeblich für Abschluss, Auslegung und Durchführung des Vertrags ist allein die deutsche Fassung.

(8) Der Vertragstext wird nach dem Vertragsschluss von der Auftragnehmerin gespeichert und dem Kunden per E-Mail übersandt.

(9) Erklärungen des Kunden in Bezug auf den Vertrag bedürfen der Textform.

§ 3 Mitarbeiter, Art Leistungserbringung, Dritte (Subunternehmer)

(1) Die Mitarbeiter der Auftragnehmerin, welche die Leistung erbringen, sucht die Auftragnehmerin aus. Der Kunde hat keinen Anspruch auf Leistungserbringung durch bestimmte Mitarbeiter der Auftragnehmerin.

(2) Die Auftragnehmerin bestimmt Zeit, Ort, Art und Weise der Leistungserbringung.

(3) Der Kunde hat gegenüber Mitarbeitern der Auftragnehmerin kein Weisungsrecht.

(4) Die Auftragnehmerin ist berechtigt die von ihr geschuldeten Leistungen teilweise oder vollständig von Dritten erbringen zu lassen. Vgl. zu den datenschutzrechtlichen Anforderungen auch § 15 Abs. 4.

§ 4 Leistungen der Auftragnehmerin

(1) Die Auftragnehmerin stellt dem Kunden für die vereinbarte Dauer eine webbasiert bereitgestellte Software-as-a-Service-Lösung zur KI-gestützten Recherche europäischer Rechtsnormen (im Folgenden Software) in der jeweils aktuellen Version im vereinbarten Umfang entgeltlich am Übergabepunkt (Routerausgang des Rechenzentrums in dem der Server steht) zur Nutzung für eigene Zwecke bereit. Die Software, die für die Nutzung erforderliche Rechenleistung auf den IT-Systemen der Auftragnehmerin bzw. einer von der Auftragnehmerin beauftragten Dienstleisters werden von der Auftragnehmerin bereitgestellt. Die Auftragnehmerin schuldet nicht die Herstellung und Aufrechterhaltung der Datenverbindung zwischen den IT-Systemen des Kunden und dem Übergabepunkt.

(2) Die Auftragnehmerin bindet im Backend über eine API ein großes Sprachmodell (Large Language Model, LLM) eines Dritten ein, die mittels generativer künstlicher Intelligenz Inhalte (Output) erstellen, die auf den Eingaben des Kunden (Kundeninput) beruhen (KI-Modell). Die Funktionsweise dieser Technologien basiert auf der Analyse von Daten, um statistische Muster zu erkennen und darauf basierend Wahrscheinlichkeiten für passenden Output zu berechnen. Dabei erfolgt keine Prüfung auf Richtigkeit, Vollständigkeit oder Aktualität des Outputs. Bei der Nutzung ist dem Kunden daher bewusst und er bestätigt, dass der Output keinen Anspruch auf Richtigkeit, Vollständigkeit oder Aktualität haben kann. Der Kunde bleibt verpflichtet, die Ergebnisse fachlich zu prüfen (Mensch-in-der-Schleife-Prinzip).

(3) Der Kundeninput wird nicht zum Training des KI-Modells genutzt. Das KI-Modell wird nicht verändert und es wird lediglich durch eine API, Kontext-Injektion (RAG) und System-Prompts auf das KI-Modell zugegriffen.

(4) Die Auftragnehmerin bietet keine Rechtsdienstleistungen an. Die Software ist nicht dazu konzipiert eine professionelle rechtliche Beurteilung oder Entscheidungsfindung zu ersetzen. Der Output dient der Unterstützung des Kunden bei der eigenverantwortlichen juristischen Arbeit und ersetzt keine individuelle Rechtsberatung. Die Software führt keine rechtliche Prüfung des Einzelfalls durch. Die Prüfung, insbesondere rechtliche Prüfung, des Outputs obliegt alleine dem Kunden.

(5) Die Software ist nicht für eine Nutzung durch Justizbehörden sowie im Rahmen der alternativen Streitbeilegung, um bei der Ermittlung und Auslegung von Sachverhalten und Rechtsvorschriften und bei der Anwendung des Rechts auf konkrete Sachverhalte zu unterstützen, konzipiert. Solch eine Nutzung ist ausgeschlossen.

(6) Die Beschaffenheit, Funktionalitäten, bestimmungsgemäße und erlaubte Nutzung, technische Voraussetzungen der Software ergeben sich abschließend aus den Vertragserklärungen sowie den der Vertragserklärung beigefügten Dokumenten. Die darin enthaltenen Angaben sind als Leistungsbeschreibungen zu verstehen und nicht als Garantien.

(7) Der Kunde kann während der Laufzeit des Vertrages den Umfang der Nutzung vergütungspflichtig erweitern und bei der Auftragnehmerin nachbestellen, vorbehaltlich der Verfügbarkeit sowie der Annahme der Auftragnehmerin. Es gelten die jeweils zum Zeitpunkt der Nachbestellung aktuellen Preislisten der Auftragnehmerin. Eine Nachbestellung hat auf die Laufzeit des Vertrages keinen Einfluss.

(8) Die Auftragnehmerin gewährleistet die Funktionsfähigkeit und Verfügbarkeit der Software während der Dauer des Vertrages, wie es im Vertrag vereinbart ist. Die Auftragnehmerin wird die Software in einem zum vertragsgemäßen Gebrauch geeigneten Zustand erhalten sowie einen First Level Support gem. § 6 bereitstellen.

(9) Die Benutzerdokumentation ist jederzeit während Nutzung der Software einsehbar und kann in einem gängigen Format unter conformi.eu/docs heruntergeladen werden.

(10) Eine Anpassung auf die individuellen Bedürfnisse oder die IT-Umgebung des Kunden schuldet die Auftragnehmerin nicht.

(11) Nach Vertragsende bleibt der Export von Daten, in dem Umfang in dem die Auftragnehmerin die Exportfunktion zur Verfügung stellt, für einen Zeitraum von 30 Kalendertagen möglich, soweit dem keine gesetzlichen Aufbewahrungspflichten oder überwiegenden Sicherheitsinteressen entgegenstehen. Danach löscht die Auftragnehmerin die im Auftrag verarbeiteten Inhalte nach Maßgabe von Teil 2, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(12) Führt eine Verletzung allgemeiner oder besonderer vertraglicher Mitwirkungspflichten oder gesetzlicher Mitwirkungspflichten des Kunden zu einer Verzögerung, werden Leistungsfristen der Auftragnehmerin entsprechend gehemmt und Leistungstermine entsprechend verschoben. Dadurch verursachter Mehraufwand ist der Auftragnehmerin zusätzlich zur vereinbarten Vergütung auf der Grundlage der jeweils geltenden Tagessätze/-Stundensätze vom Kunden zu erstatten. Ein gesetzliches Kündigungsrecht des Auftragnehmers bleibt unberührt, welches in Textform auszuüben ist.

§ 5 Nutzungsumfang und -rechte

(1) Die Auftragnehmerin bzw. ihre Lizenzgeber bleiben alleinige und ausschließliche Inhaber sämtlicher Rechte an der Software.

(2) Eine physische Überlassung der Software an den Kunden erfolgt nicht.

(3) Die Auftragnehmerin räumt dem Kunden das nicht ausschließliche, nicht unterlizenzierbare, nicht weiterlizenzierbare, nicht vermietbare und nicht übertragbare Recht ein, die in dem Vertrag bezeichnete Software in der jeweils aktuellen Version im vertraglich vereinbarten Umfang während der Dauer des Vertrages über einen Browser über das Internet bestimmungsgemäß für eigene geschäftliche Zwecke zu nutzen oder durch autorisierte Nutzer nutzen zu lassen. Das gilt auch für den Output der Software, solange und soweit urheber- oder leistungsschutzrechtliche schutzfähige Inhalte entstehen und der Auftragnehmerin diese Rechte zustehen. Eine Gewähr für Schutzfähigkeit, Exklusivität oder Rechtsbeständigkeit des Outputs wird nicht übernommen.

(4) Der Kunde darf die Software nur im Rahmen seiner eigenen Tätigkeit selbst und/oder durch eigene Mitarbeiter nutzen. Als Dritte gelten auch konzernverbundene Unternehmen. Eine Weitervermietung der Software ist dem Kunden stets nicht gestattet.

(5) Der Kunde ist nicht berechtigt Inhalte und/oder Datenbanken, inklusive des Outputs, für Text und Data Mining zu nutzen. In diesem Zusammenhang behält sich die Auftragnehmerin gemäß § 44b Abs. 3 UrhG oder einer Nachfolgeregelung dieses Recht selbst vor.

(6) Verstößt der Kunde gegen eine der vorstehenden Bestimmungen, werden sämtliche im Rahmen dieses Vertrags erteilten Nutzungsrechte sofort unwirksam und fallen automatisch an die Auftragnehmerin zurück.

(7) Der Kunde räumt, soweit dies für die bestimmungsgemäße Nutzung der Software angemessen und erforderlich ist, der Auftragnehmerin an dem von ihm im Rahmen der Nutzung der Software zur Verfügung gestellten Kundeninput die für die vorgenannten Zwecke erforderlichen einfachen, räumlich unbeschränkten, zeitlich auf die Laufzeit des Vertrages beschränkten Nutzungsrechte ein.

§ 6 Support und Service-Level

(1) Die Auftragnehmerin erbringt einen First-Level-Support zu Funktionen der Software und etwa auftretender Störungen während der Geschäfts- und Servicezeiten. Geschäfts- und Servicezeiten sind Mo-Fr 09:00 Uhr bis 17:00 mit Ausnahme von gesetzlichen Feiertagen am Sitz der Auftragnehmerin. Für die Zeiträume gelten die Zeiten der Zeitzone am Sitz der Auftragnehmerin. Der 1st Level Support wird durch die von der Auftragnehmerin freigegebenen Kommunikationskanäle nach Wahl der Auftragnehmerin durchgeführt.

(2) Die Verfügbarkeit der Software beträgt 99,0 % im Monatsmittel am Übergabepunkt. Nicht als Ausfallzeiten gelten

• angekündigte Wartungsfenster,
• kurzfristige Notfallwartungen, soweit technisch erforderlich,
• Zeiten unerheblicher Beeinträchtigungen,
• sowie Ausfälle, die außerhalb des Verantwortungsbereichs der Auftragnehmerin liegen.

Für den Nachweis der Verfügbarkeit sind die Messinstrumente des Providers im Rechenzentrum maßgeblich.

(3) Die Reaktions- und Entstörungszeiten sind Zielzeiten. Die Reaktions- und Entstörungszeiten beginnen mit der Meldung einer Störung durch den Kunden. Ferner beginnen und enden die Reaktions- und Entstörungszeiten nur während der Servicezeiten der Auftragnehmerin. Außerhalb der Servicezeiten sind die Reaktions- und Entstörungszeiten gehemmt. Die Reaktions- und Entstörungszeiten sind auch gehemmt, solange der Kunde seinen Mitwirkungsobliegenheiten nicht nachkommt oder die Störung außerhalb des Verantwortungsbereichs der Anbieterin liegt. Reaktionszeit ist der Zeitraum in der die Auftragnehmerin auf eine Meldung einer Störung des Kunden reagieren muss. Entstörungszeit ist der Zeitraum in dem die Auftragnehmerin nach einer Meldung einer Störung des Kunden die Störung, auch durch einen Work-Around, zu beheben hat.

(4) Störungen werden in folgende Klassen eingeteilt:

• Klasse 1 (schwerwiegende Störung): Die Nutzung der Software insgesamt oder einer wesentlichen Hauptfunktion ist nicht möglich.
• Klasse 2 (erhebliche Störung): Haupt- oder Nebenfunktionen der Software sind gestört, können aber unter Einschränkungen genutzt werden.
• Klasse 3 (unerhebliche Störung): Haupt- oder Nebenfunktionen der Software sind gestört, können aber genutzt werden.

Der Kunde hat bei Meldung der Störung die Stufe der Kritikalität, welche nach seiner Ansicht vorliegt, anzugeben. Die endgültige Entscheidung über die Stufe der Kritikalität liegt bei der Auftragnehmerin und wird dem Kunden mitgeteilt.

(5) Reaktionszeiten innerhalb der Servicezeiten:

• Klasse 1: 4 Stunden
• Klasse 2: 1 Werktag
• Klasse 3: Ermessen

(6) Entstörungszeiten innerhalb der Servicezeiten:

• Klasse 1: unverzüglich nach Aufnahme der Bearbeitung, Zielzeit 2 Werktage
• Klasse 2: Zielzeit 4 Werktage
• Klasse 3: Behebung im Rahmen der regulären Release- und Wartungsplanung

§ 7 Pflichten des Kunden

(1) Der Kunde verpflichtet sich die Software ausschließlich für eigene interne geschäftliche Zwecke im Rahmen der vertraglich vorausgesetzten Nutzung bestimmungsgemäß zu nutzen. Der Kunde hat sicherzustellen, dass die Nutzung nur im vertraglich vereinbarten Umfang erfolgt.

(2) Der Kunde hat die ihm übermittelten Zugangsdaten dem Stand der Technik entsprechend vor Zugriffen Dritter zu schützen und zu verwahren. Der Kunde hat sicherzustellen, dass seine Nutzerkonten nur von dem jeweils berechtigten Nutzer verwendet werden. Ein unberechtigter Zugriff ist der Auftragnehmerin unverzüglich mitzuteilen.

(3) Der Kunde ist für sämtliche Handlungen seiner Nutzer wie für eigenes Handeln verantwortlich und stellt sicher, dass nur von ihm autorisierte Nutzer auf die Software zugreifen und diese Nutzungsbedingungen einhalten.

(4) Der Kunde verpflichtet sich, insbesondere die Software nicht

• a) zur Ersetzung einer eigenverantwortlichen fachlichen, rechtlichen oder tatsächlichen Prüfung,
• b) für automatisierte oder teilautomatisierte Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung ohne menschliche Prüfung,
• c) für die in § 1 Abs. 2 ausgeschlossenen Zwecke,
• d) für die nicht von der Auftragnehmerin festgelegten Zweckbestimmung,
• e) nach Art. 5 Abs. 1 KI-VO verbotenen KI-Praktiken.
• f) in rechtswidriger Weise, insbesondere unter Verstoß gegen Datenschutzrecht, Strafrecht, Persönlichkeitsrechte, geistige Eigentumsrechte oder sonstige Rechte Dritter oder
• g) unter Umgehung technischer Schutzmaßnahmen oder zur Beeinträchtigung von Sicherheit, Verfügbarkeit oder Integrität der Systeme der Auftragnehmerin,

zu verwenden.

(5) Der Kunde verpflichtet sich, insbesondere nicht

• a) die Software „hacken“ oder in sonstiger Weise versuchen, sich unbefugt Zugang zur Software oder zu verbundenen Systemen zu verschaffen oder Sicherheitsvorkehrungen zu umgehen,
• b) den Quellcode, Objektcode, Algorithmen, Methoden, Prozesse oder sonstige technische Bestandteile der Software entschlüsseln, dekompilieren, reproduzieren, rekonstruieren (Reverse Engineering) oder auf andere Weise zu ermitteln versuchen, soweit dies nicht gesetzlich zwingend zulässig ist,
• c) Logos oder rechtliche Hinweise auf Urheber-, Marken- oder ähnliche Rechte ändern oder entfernen,
• d) automatisierte Bots, Crawler oder vergleichbare technische Mittel einsetzen, soweit die Auftragnehmerin hierfür nicht ausdrücklich eine technische Schnittstelle oder Funktion bereitstellt, oder
• e) die ihm zur Verfügung gestellten Ressourcen in einer Weise nutzen, die die Sicherheit, Verfügbarkeit oder Integrität der Systeme oder der Software der Auftragnehmerin beeinträchtigen kann.

(6) Der Kunde ist verpflichtet seinen Datenbestand mit der Sorgfalt eines ordentlichen Kaufmanns regelmäßig zu sichern. Die Datensicherungen sind so zu verwahren, dass eine jederzeitige Wiederherstellung der gesicherten Daten möglich ist. Die Auftragnehmerin empfiehlt dem Kunden regelmäßig selbst einen Test zur Datenwiederherstellung aus den Backups durchzuführen. Der Kunde wird darauf hingewiesen, dass ein sog. „Raid-System“ keine Datensicherung ist.

(7) Für die Nutzung der Software müssen die sich aus der Leistungsbeschreibung ergebenden Systemvoraussetzungen beim Kunden erfüllt sein. Der Kunde trägt hierfür selbst die Verantwortung. Der Kunde hat sich über die wesentlichen Funktionsmerkmale der Software informiert, welche Gegenstand eines Vertrages sind und trägt das Risiko, ob die Software seinen betrieblichen Bedürfnissen und Anforderungen entspricht.

(8) Der Kunde ist verpflichtet im Rahmen des Test- oder Echtbetriebs festgestellte Störungen unverzüglich und so präzise wie möglich unter Beschreibung der Symptome der Einsatzbedingungen, vorausgegangener Anweisungen an das IT-System sowie etwaiger relevanter Drittmaschinen oder -IT-Systeme zu dokumentieren und zu protokollieren und an die Auftragnehmerin über die Kontaktwege, welche im Vertrag festgehalten sind angegeben sind, anzuzeigen. Der Kunde ist verpflichtet die Klasse der Störung nach billigem Ermessen unter Berücksichtigung der Interessen des Auftragnehmers bei der Meldung mitzuteilen, wobei die Klasse der Störung schließlich durch die Auftragnehmerin verbindlich eingestuft und dem Kunden mitgeteilt wird. Der Kunde hat vor der Meldung einer Störung im Rahmen seiner Möglichkeiten eine Analyse der Systemumgebung durchzuführen, um sicherzustellen, dass der Fehler nicht auf Systemkomponenten zurückzuführen ist, die nicht Gegenstand des Vertrages sind.

(9) Der Kunde ist allein verantwortlich für

• a) die Auswahl, den Inhalt, die Angemessenheit, Richtigkeit, Genauigkeit, rechtliche Zulässigkeit und Eignung des von ihm eingegebenen Kundeninputs; dies umfasst insbesondere die Einhaltung berufs- und standesrechtlicher Pflichten, datenschutzrechtlicher Vorgaben, strafrechtlicher Bestimmungen sowie der Rechte Dritter, insbesondere Persönlichkeits-, Urheber- und sonstiger Immaterialgüterrechte;
• b) die fachliche Prüfung, Validierung und Bewertung der von der Software erzeugten Ergebnisse (Output) im Hinblick auf Richtigkeit, Vollständigkeit, Aktualität, Angemessenheit und Eignung für den vom Kunden verfolgten Zweck;
• c) sämtliche Entscheidungen, Maßnahmen, Interpretationen und Schlussfolgerungen, die auf dem Kundeninput, dem Output oder deren Verwendung beruhen;
• d) die angemessene Unterrichtung seiner Nutzer über die Funktionsweise, Grenzen und zulässige Nutzung der Software sowie über alle rechtlich erforderlichen Hinweise, insbesondere nach Datenschutzrecht und der KI-Verordnung.

(10) Der Kunde erkennt an, dass die Software fehlerhafte, unvollständige, nicht aktuelle oder sonst ungeeignete Ergebnisse erzeugen kann, insbesondere sog. Halluzinationen. Die Auftragnehmerin übernimmt daher keine Gewähr dafür, dass der Output richtig, vollständig, aktuell oder für einen bestimmten Zweck geeignet ist.

(11) Der Kunde darf den Output nicht ungeprüft verwenden und bleibt verpflichtet, ihn vor jeder Verwendung eigenverantwortlich fachlich zu überprüfen und erforderlichenfalls zu korrigieren (Mensch-in-der-Schleife-Prinzip). Die Nutzung des Outputs erfolgt auf eigenes Risiko des Kunden.

§ 8 Gewährleistung

(1) Hinsichtlich der Gewährung der Nutzung der Software gelten die Gewährleistungsvorschriften des Mietrechts (§§ 535 ff. BGB).

(2) Die Gewährleistung für nur unerhebliche Minderungen der Tauglichkeit der Leistung wird ausgeschlossen. Die verschuldensunabhängige Haftung gem. § 536a Abs. 1 BGB für Mängel, die bereits bei Vertragsschluss vorlagen, ist ausgeschlossen.

§ 9 Haftung

(1) Soweit sich aus diesen AGB einschließlich der nachfolgenden Bestimmungen nichts anderes ergibt, haftet die Auftragnehmerin bei einer Verletzung von vertraglichen und außervertraglichen Pflichten nach den gesetzlichen Vorschriften.

(2) Auf Schadensersatz haftet die Auftragnehmerin – gleich aus welchem Rechtsgrund – im Rahmen der Verschuldenshaftung bei Vorsatz und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit haftet die Auftragnehmerin, vorbehaltlich gesetzlicher Haftungsbeschränkungen (zB Sorgfalt in eigenen Angelegenheiten; unerhebliche Pflichtverletzung), nur

• für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit,
• für Schäden aus der Verletzung einer wesentlichen Vertragspflicht (Verpflichtung, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertraut und vertrauen darf,); in diesem Fall ist die Haftung jedoch auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt.

(3) Die sich aus Abs. 2 ergebenden Haftungsbeschränkungen gelten auch bei Pflichtverletzungen durch bzw. zugunsten von Personen, deren Verschulden die Auftragnehmerin nach gesetzlichen Vorschriften zu vertreten hat. Sie gelten nicht im Falle der Arglist oder im Falle der Garantie oder für Ansprüche nach dem Produkthaftungsgesetz.

§ 10 Haftungshöchstsumme

Es wird folgende Haftungshöchstsumme vereinbart 500.000,00 € (fünfhunderttausend Euro).

§ 11 Force Majeure

(1) Soweit und solange ein Fall höherer Gewalt ("Force Majeure") vorliegt, sind die Parteien zeitweise von ihren Leistungspflichten befreit.

(2) Force Majeure ist ein betriebsfremdes, von außen durch elementare Naturkräfte oder durch Handlungen dritter Personen herbeigeführtes Ereignis, das nach menschlicher Einsicht und Erfahrung unvorhersehbar ist, mit wirtschaftlich erträglichen Mitteln auch durch die äußerste, nach der Sachlage vernünftigerweise zu erwartende Sorgfalt nicht verhütet oder unschädlich gemacht werden kann und auch nicht wegen seiner Häufigkeit in Kauf zu nehmen ist.

(3) Die Parteien können den Vertrag in Textform kündigen, wenn ein Force Majeure Ereignis länger als ein Monat andauert und eine einvernehmliche Vertragsanpassung nicht erzielt werden kann.

§ 12 Freistellung

Der Kunde sichert zu, dass die Nutzung der Software durch den Kunden, nicht gegen geltendes Recht, behördliche Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstoßen. Der Kunde verpflichtet sich, bei einer Zuwiderhandlung gegen diese Ziffer, der Auftragnehmerin von jeder Haftung und jeglichen Kosten, einschließlich möglicher und tatsächlicher Kosten eines gerichtlichen Verfahrens, freizustellen, falls die Auftragnehmerin von Dritten, auch von Mitarbeitern des Kunden, in Anspruch genommen wird, es sei denn der Kunde hat dies nicht zu vertreten. Die Auftragnehmerin wird den Kunden über die Inanspruchnahme unterrichten und ihm, soweit dies rechtlich möglich ist, Gelegenheit zur Abwehr des geltend gemachten Anspruchs geben. Gleichzeitig wird der Kunde die Auftragnehmerin unverzüglich alle ihm verfügbaren Informationen über den Sachverhalt, der Gegenstand der Inanspruchnahme ist, vollständig mitteilen.

§ 13 Vergütungs- und Zahlungsbedingungen

(1) Die Vergütung und der Zahlungsplan ergeben sich aus dem Vertrag.

(2) Alle Preise sind Nettobeträge ohne Steuern, die auf Umsätze erhoben werden, wie etwa Umsatzsteuer, GST (Goods and Services Tax) und Quellensteuern. Etwaige Zölle, Gebühren, Steuern und sonstige öffentliche Abgaben trägt der Kunde.

(3) Sofern nichts anderes vereinbart ist, sind Rechnungen sofort und ohne Abzug fällig. Ist ein Zahlungstermin nicht vereinbart, so richtet sich der Eintritt des Verzuges nach den gesetzlichen Vorschriften.

(4) Der Kunde ist stets für die Vergütung vorleistungspflichtig.

(5) Verzögert der Kunde die Zahlung einer fälligen Vergütung um mehr als vier Wochen, ist die Auftragnehmerin nach vorheriger Mahnung mit Fristsetzung und Ablauf der Frist zur Sperrung des Zugangs zur Software berechtigt.

(6) Der Vergütungsanspruch der Auftragnehmerin bleibt von der Sperrung unberührt. Der Zugang zur Software wird nach Begleichung der Rückstände unverzüglich wieder freigeschaltet. Das Recht zur Zugangssperrung besteht als milderes Mittel auch dann, wenn der Auftragnehmerin ein Recht zur außerordentlichen Kündigung zu steht.

(7) Der Kunde stimmt der Übermittlung von Rechnungen im Sinne des Umsatzsteuergesetzes auf elektronischem Weg, insbesondere durch E-Mail, zu.

§ 14 Laufzeit und Beendigung

(1) Solange und soweit individuell nichts anderes vereinbart ist, beginnt der Vertrag mit Abschluss des Vertrages.

(2) Solange und soweit individuell nichts vereinbart ist, läuft der Vertrag auf unbestimmte Zeit und kann jederzeit von beiden Parteien mit einer Frist von einem (1) Monat gekündigt werden.

(3) Die außerordentliche fristlose Kündigung aus wichtigem Grund bleibt beiden Parteien bei Vorliegen der gesetzlichen Voraussetzungen vorbehalten. Ein wichtiger Grund für die Auftragnehmerin liegt insbesondere dann vor, wenn der Kunde trotz Mahnung mehr als zwei Monate mit der Zahlung einer fälligen Vergütung in Verzug ist. Sofern der Kunde den Kündigungsgrund zu vertreten hat, ist der Kunde verpflichtet, der Auftragnehmerin die vereinbarte Vergütung abzüglich ersparter Aufwendungen bis zu dem Termin zu zahlen, an dem der Vertrag bei einer ordentlichen Kündigung frühestens enden würde. Ein wichtiger Grund für die Auftragnehmerin liegt insbesondere auch dann vor, wenn der Kunde oder ein ihm zuzurechnender Nutzer gegen § 7 Abs. Abs. 1, Abs. 2, Abs. 4 oder Abs. 5 verstößt und der Verstoß trotz Abmahnung nicht innerhalb angemessener Frist abgestellt wird oder eine Abmahnung entbehrlich ist.

(4) Bei Beendigung des Vertrags erlischt das Nutzungsrecht und der Zugang des Kunden.

(5) Kündigungserklärungen bedürfen der Textform.

§ 15 Datenschutz; Auftragsverarbeitung

(1) Die Parteien werden die für sie jeweils geltenden anwendbaren datenschutzrechtlichen Bestimmungen einhalten.

(2) Sofern und soweit die Auftragnehmerin personenbezogene Daten im Auftrag des Kunden verarbeitet erfolgt dies im Rahmen einer Auftragsverarbeitung und es gelten die Bedingungen gem. Teil 2. Der Kunde bleibt in diesem Fall sowohl im vertragsrechtlichen als auch im datenschutzrechtlichen Sinne verantwortliche Stelle und hat daher dafür zu sorgen, dass die Regelungen nach der DSGVO eingehalten werden. Der Kunde hat, insbesondere stets zu prüfen und dafür zu sorgen, ob die Verarbeitung der Daten von entsprechenden Erlaubnistatbeständen getragen ist. Der Kunde ist, insbesondere selbst für die nach dem Datenschutzrecht erforderlichen Zustimmungserklärungen der betroffenen Personen (z.B.: Mitarbeiter, Kunden des Kunden, Vertragspartner des Kunden) verantwortlich.

(3) Darüber hinaus verarbeitet die Auftragnehmerin als Verantwortliche personenbezogene Daten, insbesondere zur Verwaltung und Überwachung der Geschäftsbeziehung mit dem Kunden (Anlegung von Nutzerkonten, Verwaltung von Verträgen, Bestellungen, Abonnements, Rechnungsstellung usw.). Hierzu gehören, insbesondere die ihr vom Kunden überlassenen personenbezogenen Daten von Mitarbeitern des Kunden. Der Kunde ist verpflichtet diese Personen, die in die Durchführung der Vertragsbeziehung eingebunden werden, anhand der unter conformi.eu/datenschutz zu informieren, dass und in welchem Umfang die Auftragnehmerin ihre personenbezogenen Daten verarbeitet.

(4) Die Auftragnehmerin kann die Leistungen durch weitere Auftragnehmer (Unterauftragnehmer und Sub-Unterauftragnehmer) im In- und Ausland erbringen, hat aber mit den weiteren Auftragnehmern den Bestimmungen gemäß dieses § entsprechende Bedingungen zu vereinbaren. Bei weiteren Auftragnehmern außerhalb des Europäischen Wirtschaftsraums wird ein ausreichendes Datenschutzniveau durch die Auftragnehmerin sichergestellt. Vgl. zum Ganzen 2. Teil und für Berufsgeheimnisträger darüber hinaus 3.Teil.

§ 16 Geheimhaltung

(1) Die Parteien werden alle Informationen (einschließlich Geschäftsgeheimnisse), die sich auf den Vertrag beziehen und als vertraulich gekennzeichnet sind oder deren Vertraulichkeit sich aus den Umständen ergibt, unabhängig davon, ob sie in schriftlicher, elektronischer, sonst verkörperter oder mündlicher Form mitgeteilt wurden, einschließlich, aber nicht beschränkt auf den Kundeninput und die Informationen, die sich auf die verwendeten Technologien, den Geschäftsbetrieb und die Strategien, auf Kunden, Preisgestaltung und Marketing beziehen („Vertrauliche Informationen“), vertraulich behandeln, aufbewahren und nicht an Dritte weitergeben. Ausgenommen davon sind Berater der Parteien, die einer beruflichen Schweigepflicht unterliegen, und die Mitarbeiter, die diese Informationen kennen müssen („need to know“), wobei die Vertraulichkeitsverpflichtungen für Berater der Parteien und Mitarbeiter nicht weniger streng sein dürfen als hier vereinbart.

(2) Nicht zu den vertraulichen Informationen zählen Informationen, von denen die empfangende Partei nachweisen kann, dass sie:

• ihr bereits vor Abschluss des Vertrags bekannt waren,
• ihr von einem Dritten ohne Verletzung einer gesetzlichen oder vertraglichen Geheimhaltungspflicht offenbart wurden,
• ohne Verschulden der empfangenden Partei öffentlich bekannt waren oder werden oder

aufgrund einer gerichtlichen oder behördlichen Anordnung zur Offenlegung verpflichtet ist.

Die Bestimmungen des Gesetzes zum Schutz von Geschäftsgeheimnissen bleiben unberührt.

(3) Die Parteien unterhalten angemessene Geheimhaltungsmaßnahmen, um vertrauliche Informationen in angemessener Weise nach anerkannten Sicherheitsstandards entsprechend den anerkannten Regeln der Technik aufzubewahren. Das Sicherheitsniveau darf nicht niedriger sein als für die eigenen Vertraulichen Informationen des Kunden bzw. der Auftragnehmerin.

(4) Die Nutzung der Software kann der berufsrechtlichen Verschwiegenheit unterliegen (wie z.B. dem anwaltlichen Berufsgeheimnis). Die Auftragnehmerin verpflichtet sich in diesem Fall zur Einhaltung der berufsrechtlichen Verschwiegenheitspflicht gemäß dem 3.Teil., die zusätzlich zu den hier geregelten Verschwiegenheitspflichten gilt.

§ 17 Meldung und Stellungnahme

(1) Jede natürliche oder juristische Person, insbesondere der Kunde können Inhalte, die sie für rechtswidrig halten, über die aktuellen Kontaktinformationen auf der Webseite der Auftragnehmerin insbesondere im Rahmen des Impressums per E-Mail melden.

(2) Falls die Auftragnehmerin den Zugang sperrt, wird der betroffene Kunde über die Gründe der Entscheidung informiert. Dem Kunden steht hiergegen das Recht zur Stellungnahme zu.

(3) Alle Maßnahmen erfolgen objektiv, sorgfältig und verhältnismäßig. Dabei werden insbesondere die Grundrechte der Kunden gemäß der Charta der Grundrechte der Europäischen Union berücksichtigt, insbesondere das Recht auf freie Meinungsäußerung, die Freiheit und der Pluralismus der Medien.

§ 18 Schlussbestimmungen

(1) Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist Erfüllungsort der Sitz der Auftragnehmerin.

(2) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des Kollisionsrechts und des UN-Kaufrechts.

(3) Ist der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist Gerichtsstand für alle Streitigkeiten aus dem Vertrag das an dem Geschäftssitz von dem Auftragnehmer zuständige Gericht, sofern nicht ein ausschließlicher Gerichtsstand gegeben ist. Die Auftragnehmerin ist jedoch auch berechtigt, den Kaufmann an seinem Wohn- oder Geschäftssitzgericht zu verklagen. Die Zuständigkeit aufgrund eines ausschließlichen Gerichtsstands bleibt hiervon unberührt.

(4) Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt.

(5) Der Kunde hat der Auftragnehmerin innerhalb angemessener Frist über Veränderungen in seiner Gesellschaftsform, seiner Geschäftsadresse zu informieren. Sollte der Kunde diese Informationen nicht rechtzeitig zur Verfügung stellen, so haftet er für sich daraus ergebende Nachteile und Kosten

2. Teil Auftragsverarbeitungsbedingungen (im Folgenden auch „AVB“)

§ 19 Gegenstand, Umfang, Dauer

1. Allgemeines

Gegenstand des 2. Teils sind Vereinbarungen über die Rechte und Pflichten des Kunden (im Folgenden auch Auftraggeber) und AnalystHAUS GmbH (im Folgenden auch Auftragnehmer), solange und soweit im Rahmen der Erbringung der Leistung eine Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers erfolgt und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert (im Folgenden „Auftraggeber-Daten“), vgl. Art. 28 DSGVO.

2. Umfang

Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anhang 1 zu diesen AVB.

Die Identität des Auftraggebers und des Auftragnehmers sowie die Pflichten und Rechte der Parteien ergeben sich aus dem Hauptvertrag und diesen AVB.

Soweit der Hauptvertrag für die in Satz 1 genannten Pflichtinhalte ergänzend herangezogen wird, gilt dies nur, soweit die betreffenden Dokumente diesen AVB formgerecht beigefügt oder anderweitig in einer Weise einbezogen sind, die die Anforderungen des Art. 28 Abs. 9 DSGVO erfüllt.

3. Dauer

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags sowie dem Zeitraum, in dem nach Vertragsende noch personenbezogene Daten im Auftrag des Kunden verarbeitet, zurückgegeben oder gelöscht werden. Eine isolierte Beendigung dieser AVB ist ausgeschlossen. Das Recht zur außerordentlichen Kündigung bleibt unberührt.

§ 20 Rechte und Pflichten des Auftragnehmers

1. Aufsichtsbehörde

Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

2. Verarbeitungsort

Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieser AVB auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 - 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

3. Datenverarbeitung

Der Auftragnehmer verarbeitet die Auftraggeber-Daten ausschließlich im Rahmen der Erfüllung dieser AVB und des Hauptvertrags und nach Weisung des Auftraggebers gem. § 21 Ziff. 2 dieser AVB. Der Auftragnehmer verwendet die Auftraggeber-Daten zu keinen anderen Zwecken und wird die Auftraggeber-Daten nicht an unberechtigte Dritte weitergegeben. Kopien und Duplikate werden ohne Einwilligung des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung. Der Auftragnehmer stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

4. Technische organisatorische Maßnahmen

Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO. Eine Liste der technischen und organisatorischen ergeben sich aus Anhang 2. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Über wesentliche Änderung der Sicherheitsmaßnahmen gem. dieser Ziffer hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.

5. Datenschutzbeauftragter

Der Auftragnehmer gewährleistet, soweit gesetzlich erforderlich, die Bestellung eines Datenschutzbeauftragten. Die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Datenschutz-Kontaktstelle werden auf der Website des Auftragnehmers veröffentlicht oder dem Auftraggeber auf Anfrage in Textform mitgeteilt.

6. Vertraulichkeit

Der Auftragnehmer hat alle die zur Verarbeitung der Auftraggeber-Daten befugten Personen zur Vertraulichkeit zu verpflichten, soweit diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7. Privatwohnungen

Die Verarbeitung von Auftraggeber-Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Mitarbeitern des Auftragnehmers) ist gestattet. Die Maßnahmen nach Art. 32 DSGVO werden sichergestellt.

8. Meldung von Zwischenfällen

Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer, durch Mitarbeiter oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde.

Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze; b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

9. Unterstützung Kapitel III DSGVO

Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Art. 12-23 DSGVO) der DSGVO genannten Rechte der betroffenen Person nachzukommen. Der Auftragnehmer kann für Unterstützungsleistungen eine angemessene Vergütung verlangen, soweit diese nicht durch einen vom Auftragnehmer zu vertretenden Verstoß gegen Datenschutzrecht oder diese AVB veranlasst sind. Es gilt die jeweils bei Auftragserteilung gültige Preisliste des Auftragnehmers. Soweit ein Betroffener seine Betroffenenreche direkt ggü. dem Auftragnehmer geltend macht, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

10. Dokumentation von Weisungen

Der Auftragnehmer dokumentiert die vom Auftraggeber erteilten Weisungen, soweit diese nicht bereits vom Auftraggeber dokumentiert wurden.

11. Unterstützung Art. 32 – 36 DSGVO

Der Auftragnehmer unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen, soweit die Unterstützung nicht infolge eines vom Auftragnehmer zu vertretenden Verstoßes gegen Datenschutzrecht oder diese AVB erforderlich ist. Es gilt die jeweils bei Auftragserteilung gültige Preisliste des Auftragnehmers.

§ 21 Rechte und Pflichten des Auftraggebers

1. Zulässigkeit der Datenverarbeitung

Der Auftraggeber ist Verantwortlicher im Sinne der DSGVO und ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO allein verantwortlich. Der Auftraggeber ist in seinem Verantwortungsbereich dafür verantwortlich, dass die gesetzlich notwendigen Voraussetzungen, wie z.B. durch Einholung von Einwilligungserklärungen, geschaffen werden, damit der Auftragnehmer die vereinbarten Leistungen rechtmäßig erbringen kann.

2. Weisungen

Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den dokumentierten Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht gesetzlich dazu verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Die Weisungen des Auftraggebers werden anfänglich durch diese AVB und den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

3. Nachweis

Der Auftragnehmer ist verpflichtet dem Auftraggeber auf dessen Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO sowie dieser AVB niedergelegten Pflichten zur Verfügung zu stellen.

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

4. Überprüfungen, Inspektionen

Der Auftragnehmer stellt dem Auftraggeber alle in seinem Besitz befindlichen Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen AVB sowie in Art. 28 DSGVO vorgesehenen Verpflichtungen nachzuweisen. Hierzu können insbesondere aktuelle Beschreibungen der technischen und organisatorischen Maßnahmen, Zertifikate, Auditberichte, Testate, Selbstauskünfte, Berichte unabhängiger Stellen sowie sonstige geeignete Nachweise gehören. Zusätzliche Informationen werden dem Auftraggeber auf schriftlichen Antrag zur Verfügung gestellt, soweit diese beim Auftragnehmer vorhanden sind und weder vertraulich sind noch Betriebs- oder Geschäftsgeheimnisse des Auftragnehmers oder Dritter entgegenstehen.

Soweit die vorstehenden Informationen im Einzelfall nicht ausreichen, um dem Auftraggeber die Einhaltung der in diesen AVB und in Art. 28 DSGVO genannten Verpflichtungen nachzuweisen, werden sich die Parteien über Anlass, Gegenstand, Umfang, Zeitpunkt und Durchführung einer weitergehenden Überprüfung abstimmen.

Der Auftraggeber weist den Auftragnehmer hiermit an, Kontrollen und Prüfungen bei Unterauftragsverarbeitern selbst durchzuführen, soweit und solange dies zur Erfüllung der dem Auftragnehmer nach diesen AVB und Art. 28 DSGVO obliegenden Kontroll- und Überwachungspflichten erforderlich ist. Der Auftragnehmer stellt dem Auftraggeber die ihm vorliegenden Informationen über die Unterauftragsverarbeiter zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen AVB und in Art. 28 DSGVO genannten Verpflichtungen nachzuweisen.

Im Übrigen verpflichten sich die Parteien, im Fall von Inspektionen, Prüfungen oder sonstigen Untersuchungen durch eine Aufsichtsbehörde miteinander und mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten und sich gegenseitig die hierfür erforderlichen Informationen zur Verfügung zu stellen

5. Abschluss der Verarbeitung, Rückgabe, Löschung

Der Auftragnehmer wird nach Beendigung des Hauptvertrages alle Auftraggeber-Daten nach Wahl des Auftraggebers entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten eine Verpflichtung zur Speicherung der Auftraggeber-Daten besteht. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung von dem Auftraggeber zu verlangen. Es gilt die jeweils bei Auftragserteilung gültige Preisliste des Auftragnehmers.

Der Auftraggeber kann seine Wahl bis spätestens zum Ablauf von 30 Kalendertagen nach Vertragsende in Textform mitteilen. Erfolgt innerhalb dieser Frist keine Wahl, ist die der Auftragnehmer berechtigt, die Daten zu löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Soweit der Auftragnehmer dem Auftraggeber Exportfunktionen zur Verfügung stellt, gelten diese als zulässiger Rückgabemechanismus, sofern sie eine vollständige und gebräuchliche Herausgabe der vom Auftrag umfassten Daten ermöglichen.

Gesetzlich aufzubewahrende Daten werden während der Dauer der Aufbewahrungspflicht gesperrt und nicht zu anderen Zwecken verarbeitet.

§ 22 Inanspruchnahme weiterer Auftragsverarbeiter

1. Allgemeine Genehmigung

Der Auftraggeber genehmigt in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragsverarbeiter und Sub-Unterauftragsverarbeiter) durch den Auftragnehmer, welche in Anhang 3 benannt sind.

2. Keine weiteren Auftragsverarbeiter

Nicht als Unterauftragsverhältnisse im Sinne dieser AVB sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. reine Telekommunikationsleistungen, Post-, Transport und Versandleistungen, Reinigungsleistungen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

3. Information bei Änderung, Sonderkündigungsrecht

Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter unaufgefordert in Textform informieren. Die Information enthält mindestens Firma, Rechtsform, Anschrift, Aufgabenbereich und – soweit einschlägig – den Verarbeitungsort des weiteren Auftragsverarbeiters. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus datenschutzrechtlich sachlichen, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung in Textform Einspruch erhebt, erlischt sein. Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber in Textform Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen AVB mit einer Frist von 1 Monat in Textform zu kündigen. Im Falle zugelassener Änderungen wird der Auftragnehmer die Liste der weiteren Auftragsverarbeiter entsprechend aktualisieren und dem Auftraggeber unverlangt zur Verfügung stellen.

4. Auswahl

Es obliegt dem Auftragnehmer den weiteren Auftragsverarbeiter gem. diesen AVB zu verpflichten. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein dieser AVB entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

5. Drittländer, Vollmacht

Unter Einhaltung der Anforderungen des § 20 Ziff. 2 dieser AVB gelten die Regelungen dieses § 22 der AVB auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat (d.h. Länder, die keine Mitgliedsstaaten der EU/EWR sind und über kein angemessenes Datenschutzniveau verfügen) eingeschaltet wird. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit einem weiteren Auftragsverarbeiter einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern zu schließen. Der Auftragnehmer wird von den Beschränkungen des § 181 BGB befreit. Der Auftraggeber erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 49 DSGVO im erforderlichen Maße mitzuwirken.

6. Sub-Unterauftragsverarbeiter

Die Inanspruchnahme von Sub-Unterauftragsverarbeiter ist nach Maßgabe der Regelungen dieses § 22 entsprechend zulässig.

§ 23 Haftung

1. Verantwortungsbereich Auftraggeber

Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

2. Freistellung

Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

3. Haftungshöchstsumme.

Es wird eine Haftungshöchstsumme i.H.v. 500.000,00 € (fünfhunderttausend Euro) für den Auftragnehmer vereinbart.

§ 24 Schlussbestimmungen

1. Gültigkeit

Sollten einzelne Bestimmungen dieser AVB ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

2. Vorrangregelung

Im Fall von Widersprüchen zwischen dieser AVB und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieser AVB vor.

3. Rechtswahl, Gerichtsstand

Dieser AVB unterliegt deutschem Recht unter Ausschluss des UN-Kaufrechts.

Ist der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist Gerichtsstand für alle Streitigkeiten aus diesem AVB das an dem Geschäftssitz des Auftragnehmers zuständige Gericht, sofern nicht ein ausschließlicher Gerichtsstand gegeben ist. Der Auftragnehmer ist jedoch auch berechtigt, den Kaufmann an seinem Wohn- oder Geschäftssitzgericht zu verklagen. Die Zuständigkeit aufgrund eines ausschließlichen Gerichtsstands bleibt hiervon unberührt.

Anhang 1 – Gegenstand, Art, Zweck, Datenarten, Betroffenenkategorien

1. Gegenstand der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung und der Betrieb einer webbasierten Software-as-a-Service-Lösung zur KI-gestützten Recherche von europäischen Rechtsnormen einschließlich der Verarbeitung von Nutzeranfragen, der Erzeugung und Anzeige KI-gestützter Rechercheergebnisse, der Speicherung von Konversationsverläufen, der Authentifizierung und Nutzerverwaltung sowie der nutzungsbezogenen Protokollierung und Abrechnung. Die Software verwendet hierzu eine Retrieval-Komponente, System-Prompts und die Anbindung eines großen Sprachmodells eines Drittanbieters über API. Der Kundeninput wird dabei nach der Produktbeschreibung nicht zum Training des zugrunde liegenden KI-Modells verwendet.

Es wird auf den Hauptvertrag inkl. der Leistungsbeschreibung nebst den einbezogenen AGB des Auftragnehmers Bezug genommen.

2. Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere

• a) das Erfassen, Entgegennehmen und Speichern von Registrierungs-, Organisations- und Nutzungsdaten,
• b) das Entgegennehmen, Speichern und Verarbeiten von Nutzeranfragen in Freitextfeldern,
• c) das strukturierte oder unstrukturierte Verarbeiten von Freitextinhalten im Rahmen der Recherchefunktion,
• d) das Abrufen, Zusammenstellen, Aufbereiten und Ausgeben von Rechercheergebnissen einschließlich KI-generierter Antworten und Quellenverweisen,
• e) das Speichern, Vorhalten, Anzeigen, Exportieren und Löschen von Konversationsverläufen,
• f) das Authentifizieren von Nutzern und das Verwalten von Rollen- und Berechtigungen innerhalb der Kundenorganisation,
• g) das Erstellen und Vorhalten von Nutzungs-, Sicherheits-, Audit- und Systemprotokollen,
• h) das Erfassen und Verarbeiten abrechnungsbezogener Nutzungsdaten.

Es wird auf den Hauptvertrag inkl. der Leistungsbeschreibung nebst den einbezogenen AGB des Auftragnehmers Bezug genommen.

3. Art der personenbezogenen Daten

Der Auftraggeber bzw. die von ihm berechtigten Nutzer geben personenbezogene Daten eigenständig in die Software ein; deren konkrete Art und ihr konkreter Inhalt können von der Auftragnehmerin nicht abstrakt und abschließend vorbestimmt werden. Zu den personenbezogenen Daten können daher insbesondere gehören:

Stamm- und Kontaktdaten, insbesondere Personenstammdaten, Adressdaten und Kommunikationsdaten (z. B. Telefon, E-Mail)

Vertrags- und Organisationsdaten, insbesondere Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Name, Organisationszugehörigkeit und Rolle des Nutzers

Authentifizierungsdaten, z. B. Passkey-Informationen

Nutzungs-, Protokoll- und Metadaten, insbesondere benutzerbezogene oder personenbezogene Protokolldaten (z. B. Benutzername, IP-Adresse, Zeitstempel, User-Agent)

Inhaltsdaten, insbesondere Rechercheanfragen (Freitext-Input), sonstige vom Nutzer eingegebene Freitextinhalte sowie sonstige personenbezogene Daten, die Nutzer eigenständig in Freitextfelder oder sonstige Eingabefunktionen eingeben

Ausgabedaten, insbesondere generierte Antworten und Quellenverweise

Abrechnungs- und Verbrauchsdaten

freiwillige Angaben der betroffenen Personen

4. Kategorien betroffener Personen

Der Auftraggeber bzw. die von ihm berechtigten Nutzer geben personenbezogene Daten eigenständig in die Software ein; deren konkrete Art und ihr konkreter Inhalt können von der Auftragnehmerin nicht abstrakt und abschließend vorbestimmt werden. Zu den betroffenen Personen können daher insbesondere gehören:

• a) Nutzer und/oder Kunde der Software, insbesondere Mitarbeiter, freie Mitarbeiter oder sonstige Berechtigte des Auftraggebers;
• b) Ansprechpartner des Auftraggebers, insbesondere Account-Owner, Administratoren, Vertrags-, Rechnungs- oder sonstige Organisationsansprechpartner;
• c) natürliche Personen, deren personenbezogene Daten Nutzer im Rahmen von Freitextanfragen, Konversationen oder hochgeladenen bzw. eingefügten Inhalten eingeben oder referenzieren.

5. Besondere Kategorien personenbezogener Daten

Je nach Eingabe des Auftraggebers können auch besondere Kategorien personenbezogener Daten verarbeitet werden, was aber nicht bestimmungsgemäß ist. Die Software ist für die Recherche in EU-Rechtstexten konzipiert und nicht für die gezielte Verarbeitung besonderer Kategorien personenbezogener Daten oder sonstiger sensibler personenbezogener Daten Dritter.

Anhang 2 – Technische organisatorische Maßnahmen (TOM)

Stand: 28.03.2026

1. Vertraulichkeit

Zutrittskontrolle

Die Auftragnehmerin betreibt keine eigenen Server oder Rechenzentren. Die gesamte Infrastruktur läuft auf Google Cloud Platform (GCP). Die Rechenzentren sind ISO 27001 und SOC 2 Type II zertifiziert (biometrische Zugangskontrollen, Videoüberwachung, Sicherheitspersonal, mehrstufige Perimetersicherung). Standorte: europe-west9 (Paris) und europe-west3 (Frankfurt). Alle Daten verbleiben in der EU.

Zugangskontrolle

• Ausschließlich passwortlose Authentifizierung über WebAuthn/FIDO2 (Passkeys). Kein Passwort-Fallback.
• Klon-Erkennung bei jedem Login (Counter-Validierung).
• Session-Tokens kryptographisch signiert (HMAC SHA-256), Ablauf: 7 Tage (Passkey-Login), 1 Stunde (SAML-SSO).
• Sichere Cookies: httpOnly, secure, sameSite strict (Passkey) bzw. lax (SAML-SSO).
• API-Key-Authentifizierung: Schlüssel serverseitig als SHA-256-Hash gespeichert. Max. 10 aktive Keys pro Nutzer.
• Rate-Limiting auf allen Endpunkten (20–600 Anfragen/Minute je nach Endpunkt-Typ, Cloud Armor + Anwendungsebene).
• SAML-SSO optional für Organisationen (Signaturvalidierung, Audience-Prüfung).
• DDoS-Schutz über Google Cloud Armor mit Adaptive Protection (Layer-7-Anomalieerkennung), WAF-Regeln (OWASP CRS v3.3: SQLi, XSS, LFI, RFI).
• Service-to-Service-Kommunikation über Google-internes Netzwerk mit Identity-Token-Authentifizierung.
• Secrets in Google Secret Manager (regionale Replikation, IAM-geschützt).

Zugriffskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC): Owner, Admin, Member mit abgestuften Berechtigungen.
• Mandantentrennung: Jeder Request wird gegen die Organisationszugehörigkeit validiert. Cross-Organisation-Zugriff wird auf Anwendungs- und Datenbankebene unterbunden.
• Konversationen standardmäßig privat (nur für Ersteller sichtbar). Teilen erfordert explizite Aktion.
• Eingabevalidierung: Längenbeschränkungen und Whitelist-Prüfung auf allen Eingabefeldern.
• Keine physischen Datenträger — ausschließlich Cloud-basierte Speicherung mit Google-verwalteter Verschlüsselung (AES-256).
• GoBD-konformes Audit-Log mit kryptographischer Hash-Verkettung (SHA-256). Alle Transaktionen protokolliert.
• Löschung: Nutzer kann Konversationen einzeln löschen (Hard-Delete). Account-Deaktivierung: Soft-Delete, Audit-Trail bleibt erhalten.

Pseudonymisierung

• Nutzer werden intern über UUIDs identifiziert, nicht über Klarnamen.
• Audit-Logs enthalten nur UUIDs, keine personenbezogenen Daten.
• Zahlungsdaten (Kreditkarte, SEPA) werden ausschließlich vom Zahlungsdienstleister Stripe verarbeitet und erreichen die Systeme der Auftragnehmerin nicht.

2. Integrität

Weitergabekontrolle

• TLS 1.2+ für alle externen Verbindungen. HTTP wird automatisch auf HTTPS umgeleitet.
• Backend-Services sind nicht öffentlich erreichbar (nur über interne Identity-Token-Authentifizierung).
• Restriktive Content Security Policy und Sicherheitsheader (X-Content-Type-Options, X-Frame-Options, Referrer-Policy).
• CORS-Beschränkung: Nur explizit aufgelistete Origins erlaubt.
• JWT-Tokens kryptographisch signiert. API-Keys als SHA-256-Hash gespeichert.

Eingabekontrolle

• Append-only-Transaktionsprotokoll mit kryptographischer Hash-Verkettung (SHA-256). Jeder Eintrag referenziert den Hash des Vorgängers (Manipulationsschutz).
• Separate Audit-Logs, partitioniert nach Organisation und Zeitraum.
• Idempotenz-Schlüssel zur Verhinderung doppelter Buchungen.
• Atomare Schreibvorgänge mit Optimistic Locking.
• Strukturiertes Logging mit Trace-IDs in allen Backend-Services, Erfassung in Google Cloud Logging (regional).

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

• Auto-Scaling: Frontend min. 2, max. 100 Instanzen. Backend nach Bedarf.
• Automatisierte Health-Checks alle 10–30 Sekunden auf allen Services.
• Multi-Zone-Redundanz innerhalb der Region europe-west9.
• DDoS-Schutz und automatische Anomalie-Erkennung über Google Cloud Armor.
• Verschlüsselung at Rest: Google-verwaltete Verschlüsselung (AES-256) für alle gespeicherten Daten.
• Objekt-Versionierung auf dem Konversations-Speicher (Wiederherstellung bei versehentlichem Überschreiben).
• Datenlebenszyklusmanagement: Pipeline-Daten nach 90 Tagen automatisch gelöscht. Konversationsdaten werden bei Löschung durch den Nutzer unwiderruflich entfernt (Hard-Delete). Audit-Logs und Transaktionsprotokoll unbefristet aufbewahrt.

Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

• Tägliche Datenbank-Backups (Firestore) in separatem Cloud-Storage-Bucket.
• Tägliche Backups der Vektordatenbank (Qdrant Cloud, 30 Tage Aufbewahrung).
• Objekt-Versionierung ermöglicht Wiederherstellung früherer Datenstände.
• Nutzer können Konversationen jederzeit exportieren (PDF, DOC, Markdown in DE/EN/FR).
• 30 Tage Nachfrist nach Vertragsende für Datenexport vor endgültiger Löschung.
• Automatischer Neustart bei Container-Fehlern. Datenbank als Managed Service mit 99,999 % Verfügbarkeits-SLA des Anbieters.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d, Art. 25 Abs. 1 DSGVO)

Incident-Response-Management

• Zentrales Monitoring und Logging über Google Cloud Logging und Cloud Monitoring.
• Uptime-Checks mit automatischen Alerts bei Nichterreichbarkeit.
• Produktionsumgebung: generische Fehlermeldungen an Nutzer (keine technischen Details). Detaillierte Fehler nur im internen Logging.
• Automatischer Neustart bei fehlgeschlagenen Health-Checks.
• Meldeprozess für Datenschutzverletzungen gemäß Art. 33/34 DSGVO.

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

• Privacy by Default: Konversationen standardmäßig privat. Teilen erfordert explizite Aktion.
• Datenminimierung bei Registrierung: nur E-Mail-Adresse erforderlich.
• Passwortlose Authentifizierung: kein Passwort-Leak-Risiko durch kryptographische Schlüsselpaare.
• KI-Transparenz gemäß Art. 50 AI Act: UI-Disclaimer, Quellenverweise, Kennzeichnung als KI-generierter Inhalt.
• Beschränkung der Datenmenge: Kontingentsteuerung über Recherchen-Kontingent, Eingabelängenbeschränkung.
• Beschränkung der Speicherfrist: Pipeline-Daten 90 Tage automatische Löschung. Konversationsdaten durch Nutzer jederzeit löschbar (Hard-Delete).
• Mehrstufige Zugriffskontrolle: Mandantentrennung, RBAC, Datenbank-Sicherheitsregeln.

Auftragskontrolle

• Auftragsverarbeitungsbedingungen als Teil 2 der Nutzungsbedingungen.
• 5 Unterauftragnehmer, alle mit Sitz oder Verarbeitung in der EU (siehe Anhang 3).
• Geschäftsführer auf Datengeheimnis verpflichtet. Künftige Mitarbeiter: schriftliche Verpflichtung.
• Dienstleister-Auswahl nach Kriterien: EU-Sitz/Verarbeitung, Zertifizierung (ISO 27001, SOC 2, PCI-DSS), vertragliche Absicherung (DPA/AV-Vertrag).
• Regelmäßige Überprüfung der Subprocessor-Zertifizierungen und Datenschutzvereinbarungen.

5. TOMs der weiteren Auftragsverarbeiter (Anhang 3)

Auftragsverarbeiter	Zertifizierungen	Wesentliche Maßnahmen	DPA/TOM-Dokument
Google Cloud EMEA Ltd.	ISO 27001, SOC 2 Type II, SOC 3	AES-256 Verschlüsselung at Rest, Verschlüsselung in Transit, CMEK verfügbar, IAM, Incident Response, regelmäßige Audits	cloud.google.com/terms/data-processing-addendum
Qdrant GmbH	SOC 2 Type II	Verschlüsselung at Rest und in Transit, RBAC, Netzwerk-Isolation, gehärtete Container, API-Key-Rotation	cloud.qdrant.io/dpa
Stripe Payments Europe, Limited; zusätzlich Stripe Technology Europe, Limited (soweit für autorisierte Zahlungsdienste / Acquiring einschlägig)	PCI DSS Level 1; SOC 1 Type II; SOC 2 Type II	Verschlüsselung at Rest und in Transit, keine direkte Kartenspeicherung, Zugangsbeschränkung, Vertraulichkeitsverpflichtung	stripe.com/legal/dpa
UD Media GmbH	RZ: ISO 27001, ISAE 3402, PCI-DSS	Videoüberwachung, Zugangskontrolle, redundante Infrastruktur, 99,9% Verfügbarkeit, Standort ausschließlich Deutschland	AVV über Kundenpanel (hilfe.udmedia.de)
Scaleway SAS	ISO 27001:2022, HDS	LUKS-Verschlüsselung, TLS/SSL, Netzwerk-Segmentierung, ISMS, jährliches Auditrecht, alle RZ in EU	scaleway.com DPA (PDF)

Anhang 3 - Weitere Auftragsverarbeiter SaaS

Name und Anschrift: Google Cloud EMEA Ltd., 70 Sir John Rogerson's Quay, Dublin 2, Irland

Leistung: Cloud-Infrastruktur (Cloud Run, Firestore, Cloud Storage, Vertex AI)

Leistungsort: EU (GCP europe-west9, Paris)

Angemessenes Datenschutzniveau: EU-Standardvertragsklauseln, Data Processing Addendum

Name und Anschrift: Qdrant GmbH, Chausseestraße 86, 10115 Berlin

Leistung: Vektordatenbank

Leistungsort: EU (GCP europe-west3, Frankfurt)

Angemessenes Datenschutzniveau: Sitz in Deutschland, Verarbeitung in EU

Name und Anschrift: Stripe Technology Europe, Limited, 1 Wilton Park, Wilton Place, Grand Canal Street Lower, Dublin 2, D02 FX04, Ireland

Leistung: Zahlungsabwicklung / technische Verarbeitung von Zahlungsdaten

Leistungsort: EU (Irland)

Angemessenes Datenschutzniveau: Sitz in der EU; PCI DSS Level 1; SOC-Berichte vorhanden

Name und Anschrift: UD Media GmbH, Kölner Str. 28, 41812 Erkelenz

Leistung: E-Mail-Versand

Leistungsort: EU (Deutschland)

Angemessenes Datenschutzniveau: Sitz in Deutschland

Name und Anschrift: Scaleway SAS, 8 rue de la Ville-l'Évêque, 75008 Paris

Leistung: Embedding und LLM

Leistungsort: EU (Paris)

Angemessenes Datenschutzniveau: Sitz in Frankreich, Verarbeitung in EU

3. Teil: Verschwiegenheitsvereinbarung für Berufsgeheimnisträger

(1) Bei Erfüllung der Pflichten der Auftragnehmerin ist nicht auszuschließen, dass die Auftragnehmerin Zugang zu Informationen erhält, die der berufsrechtlichen Verschwiegenheitspflicht des Kunden unterliegen. Die berufsrechtliche Verschwiegenheitspflicht ergibt sich für Rechtsanwälte aus §§ 43a, 43e BRAO, 2 BORA, für Notare aus §§ 18 und 26a BNotO, für Patentanwälte aus §§ 39a, 39c PAO, für Steuerberater aus §§ 57, 62a StBerG und für Wirtschaftsprüfer aus §§ 43, 50a WPO.

(2) Hinsichtlich dieser Informationen verpflichtet sich die Auftragnehmerin gegenüber dem Kunden zur Wahrung der Verschwiegenheit wie folgt:

• a) Die Auftragnehmerin wirkt als Dienstleister an der beruflichen Tätigkeit des Kunden, der einer beruflichen Verschwiegenheitsverpflichtung unterliegt, als Softwareanbieter und IT-Dienstleister mit. Die Auftragnehmerin wahrt in Kenntnis der strafrechtlichen Folgen einer Verletzung der Verschwiegenheitspflicht gemäß § 203 StGB (Freiheitsstrafe bis zu einem Jahr oder Geldstrafe) und den sonst anwendbaren rechtlichen Vorschriften fremde Geheimnisse, die der Auftragnehmerin vom Kunden zugänglich gemacht werden.
• b) Der Kunde ermöglicht der Auftragnehmerin grundsätzlich nur Einblick in fremde Geheimnisse, als dies zur Erfüllung der vertraglichen Verpflichtungen der Auftragnehmerin erforderlich ist. Demgegenüber verpflichtet sich die Auftragnehmerin nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist.
• c) Die Auftragnehmerin ist berechtigt, Dritte (insbesondere Subunternehmer) heranzuziehen. Beim Einsatz von Dritten verpflichtet sich die Auftragnehmerin, diese in Textform, unter Belehrung der strafrechtlichen Folgen einer Pflichtverletzung zur Verschwiegenheit zu verpflichten, soweit diese im Rahmen ihrer vertraglichen Tätigkeit Kenntnissen von fremden Geheimnissen im Sinne dieser Vereinbarung erlangen könnten.
• d) Die Auftragnehmerin wird die zur Erfüllung des mit dem Kunden bestehenden Vertrages eingesetzten Mitarbeiter in schriftlicher Form belehren, insbesondere über die strafrechtlichen Folgen, und zur beruflichen Verschwiegenheit verpflichten.
• e) Diese Verschwiegenheitspflicht gilt zeitlich unbegrenzt und gegenüber jedermann.

(3) Der Auftragnehmerin ist, insbesondere folgendes bekannt:

• a) Offenbart die Auftragnehmerin ein in Ausübung oder bei Gelegenheit der Leistung bekannt gewordenes fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, welches dem Kunden anvertraut wurde, kann dies mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft werden (§ 203 Abs. 1, Abs. 4 Satz 1 StGB). Die Strafandrohung gilt auch für Personen, die für die Auftragnehmerin an der Dienstleistung mitwirken oder für sie tätige Datenschutzbeauftragte (§ 203 Abs. 4 Satz 1 StGB);
• b) Geheimnisse sind alle Informationen, die nur einem beschränkten Personenkreis bekannt sind und an deren Geheimhaltung derjenige, den die Informationen betreffen (Geheimnisträger), ein sachlich begründetes Interesse hat. Hierzu gehören insbesondere alle Informationen über Mandatsverhältnisse zum Kunden.
• c) Handelt es sich bei der Auftragnehmerin nicht um eine natürliche Person, trifft die Strafandrohung die für die Auftragnehmerin mitwirkenden natürlichen Personen.
• d) Im Fall der Einschaltung Dritter (z. B. Subunternehmer) macht sich die Auftragnehmerin bzw. die für ihn handelnde Person bei Strafandrohung von Freiheitsstrafe bis zu einem Jahr oder Geldstrafe strafbar, wenn der Dritte unbefugt ein bei der Ausübung oder bei Gelegenheit seiner Tätigkeit bekannt gewordenes fremdes Geheimnis offenbart und die Auftragnehmerin nicht dafür Sorge getragen hat, dass der Dritte zur Geheimhaltung verpflichtet wurde (§ 203 Abs. 1, Abs. 4 Satz 2 Nr. 2 StGB).
• e) Die angedrohte Strafe beträgt bis zu zwei Jahre oder Geldstrafe, wenn der Täter gegen Entgelt oder in der Absicht handelt, sich zu bereichern oder durch die Tat einen anderen zu schädigen (§ 203 Abs. 6 StGB). Gleiches gilt, wenn der Täter ein dem Berufsträger anvertrautes fremdes Geheimnis unbefugt verwertet (§ 204 StGB).

Leistungsbeschreibung Conformi

Auftragnehmerin: AnalystHAUS GmbH

Produkt: Conformi (conformi.eu)

Version: 3.2

Stand: 19.03.2026

---

Einordnung in die Vertragsstruktur

Diese Leistungsbeschreibung ist Bestandteil der Nutzungsbedingungen und beschreibt den Funktionsumfang, die Systemgrenzen und die Nutzungsvoraussetzungen der Software.

---

1. Gegenstand

Conformi ist eine webbasierte Software as a Service (SaaS) für die KI-gestützte Recherche in europäischem Recht. Die Software richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB.

---

2. Funktionsumfang

2.1 Dokumentenabdeckung

• EU-Sekundärrecht: Verordnungen, Richtlinien, Beschlüsse und delegierte Rechtsakte der letzten 5 Jahre
• Konsolidierte Fassungen: Konsolidierte Versionen der letzten 5 Jahre
• Soft Law: Entscheidungen, Stellungnahmen, Leitlinien und Empfehlungen der letzten 5 Jahre
• EU-Verträge: EUV, AEUV und EU-Grundrechtecharta

Der Gesamtbestand umfasst derzeit ca. 48.000 Rechtsakte (Stand 2026). Diese Angabe dient der unverbindlichen Beschreibung des typischen Datenbestands und stellt keine garantierte Mindestmenge dar. Rechtsakte, die außer Kraft getreten sind, verlassen den Bestand automatisch, sobald ihr Gültigkeitsende mehr als 5 Jahre zurückliegt. Rechtsakte, die weiterhin in Kraft sind, verbleiben unabhängig von ihrem Alter im Bestand.

Datenquelle: EUR-Lex (CELLAR) der Europäischen Union.

Sprachen: Deutsch, Englisch und Französisch. Nicht alle Rechtsakte sind in allen drei Sprachen verfügbar.

2.2 Aktualisierung

• Automatische Synchronisation mit EUR-Lex mehrmals täglich
• Tägliche Prüfung auf nicht mehr geltende Rechtsakte
• Zwischen einer Änderung auf EUR-Lex und der Verfügbarkeit in Conformi können mehrere Stunden vergehen

2.3 Suche

• Hybride Suche: Kombination aus semantischer Suche und Volltextsuche
• Strukturierte Aufteilung der Rechtsakte nach Artikeln und Absätzen

2.4 Antwortgenerierung

• Antworten werden durch ein großes Sprachmodell (LLM) eines Drittanbieters über API erzeugt
• Antworten enthalten Quellenverweise mit CELEX-Nummern und Verlinkungen zu EUR-Lex
• Der Kundeninput wird nicht zum Training des KI-Modells verwendet

2.5 Qualitätsprofile

Profil	Beschreibung
Speed	Optimiert auf schnelle Beantwortung. Geeignet für einfache Fragen und erste Orientierung.
Quality	Umfangreichere Recherche mit aufwändigerer Prüfung. Markiert Aussagen, die sich im Gesetzestext wiederfinden lassen.

Beide Profile können fehlerhafte Ergebnisse liefern. Das Quality-Profil reduziert das Risiko, eliminiert es aber nicht.

2.6 Transparenz

• Öffentlich einsehbares Bestandsverzeichnis der indexierten Rechtsakte
• Änderungen am Dokumentenbestand werden serverseitig protokolliert

2.7 Export

• Konversationen können als PDF, DOC oder Markdown exportiert werden
• Exporte sind in Deutsch, Englisch und Französisch verfügbar
• Alle Exporte enthalten einen KI-Hinweis (vgl. Abschnitt 9.3)

2.8 REST-API (Maschine-zu-Maschine)

Für die maschinelle Anbindung stellt die Software eine REST-API bereit:

• Authentifizierung über API-Keys (Bearer-Token)
• Einreichen von Rechercheanfragen und Abrufen von Ergebnissen
• Unterstützung der Sprachen Deutsch, Englisch und Französisch
• Unterstützung beider Qualitätsprofile (Speed, Quality)

Die Verfügbarkeit der API richtet sich nach dem jeweils gewählten Plan.

Parameter	Beschreibung
Rate Limits	Anfragen pro Minute sind planabhängig begrenzt. Bei Überschreitung: HTTP 429.
Fehlerklassen	HTTP-Statuscodes (4xx/5xx) mit maschinenlesbarer Fehlerbeschreibung.
Versionierung	Derzeit v1. Nicht abwärtskompatibler Wechsel wird 90 Tage vorher angekündigt.
Deprecation	Veraltete Endpunkte per HTTP-Header (Deprecation, Sunset) gekennzeichnet.
Key-Rotation	API-Keys können jederzeit widerrufen und neu erzeugt werden.

---

3. Kundendaten und Speicherung

3.1 Vom Kunden erzeugte Daten

• Konversationen: Nutzeranfragen und KI-generierte Antworten mit Quellenverweisen
• Account-Daten: E-Mail-Adresse, Organisationszugehörigkeit, Rolle, Authentifizierungsdaten
• Transaktionslog: Buchungshistorie über Guthabenverbrauch und Auffüllungen

3.2 Verfügungsgewalt des Kunden

Der Nutzer kann Konversationen einsehen, exportieren (PDF, DOC, Markdown), einzeln löschen und die Sichtbarkeit steuern (privat, organisationsintern, öffentlich).

Neue Konversationen sind standardmäßig privat. Eine organisationsinterne oder öffentliche Freigabe erfolgt ausschließlich durch aktive Auswahl des Nutzers.

3.3 Datenherausgabe nach Vertragsende

Nach Beendigung des Vertrages hat der Kunde 30 Tage Zeit, seine Daten über die Exportfunktion herunterzuladen. Danach werden die Konversationsdaten gelöscht. Das Transaktionslog wird gemäß den gesetzlichen Aufbewahrungspflichten aufbewahrt.

---

4. Lizenzmodell

4.1 Organisationslizenz

Rolle	Berechtigung
Owner	Vertragspartner; volle Verwaltungsrechte
Admin	Nutzerverwaltung, Einladungen
Member	Nutzung der Software

4.2 Vergütung

Die Vergütung richtet sich nach dem jeweils gewählten Plan (conformi.eu/preise).

Eine vergütungspflichtige Recherche liegt vor, wenn die Software auf eine Nutzeranfrage hin eine KI-gestützte Antwort mit Quellenverweisen erzeugt und hierfür eine Recherche vom Kontingent abgezogen wird. Folgefragen zählen jeweils als separate Recherche.

Keine Recherche wird belastet, wenn die Anfrage aufgrund eines technischen Fehlers der Auftragnehmerin nicht zu einer inhaltlichen Antwort führt. Bereits belastete Recherchen werden automatisch gutgeschrieben.

---

5. Nicht Bestandteil der Software

• Rechtsprechung (EuGH-Urteile)
• Nationales Recht der Mitgliedstaaten
• Rechtsberatung oder rechtliche Prüfung im Einzelfall
• Vertragsprüfung, Compliance-Audit, Zertifizierung
• Fallbezogene Subsumtion

---

6. Systemgrenzen und Risiken

• Latenz: Variiert nach Profil und Komplexität
• Halluzination: Das Sprachmodell kann Inhalte erzeugen, die nicht in den Quellen enthalten sind
• Aktualisierungverzögerung: Mehrere Stunden zwischen EUR-Lex-Änderung und Verfügbarkeit

Die Auftragnehmerin gewährleistet nicht die Vollständigkeit, minutengenaue Aktualität oder Richtigkeit jeder einzelnen Aussage.

---

7. Zielgruppen

Bestimmungsgemäße Nutzer: Compliance-Manager, Juristen in Rechtsabteilungen, Berater und Wirtschaftsprüfer.

Die Software ist nicht bestimmt für: Verbraucher i.S.d. § 13 BGB, Justizbehörden, alternative Streitbeilegung, Verwendung als Beweismittel, maschinellen Zugriff außerhalb der REST-API.

---

8. Systemvoraussetzungen

• Aktueller Webbrowser (Chrome, Firefox, Safari, Edge)
• Internetverbindung
• WebAuthn/FIDO2-Gerät (Passkey)

---

9. KI-Transparenz (Art. 50 AI Act)

Nach derzeitiger Ausgestaltung dient die Software als KI-gestütztes Recherche-Tool. Sie ist nicht für Hochrisiko-Anwendungen gemäß Art. 6 i.V.m. Anhang III AI Act bestimmt.

Transparenzmaßnahmen: Fest eingebauter KI-Hinweis (DE/EN/FR), maschinenlesbare HTTP-Header, KI-Hinweis in allen Exportformaten.

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

---

10. Service-Level

Verfügbarkeit, Support und Störungsklassen richten sich nach § 6 der AGB.

---

Dieses Dokument ist Bestandteil der Nutzungsbedingungen der AnalystHAUS GmbH für das Produkt Conformi.