to teach – Allgemeine Geschäftsbedingungen für Endkunden
1. Gegenstand und Anwendungsbereich
1.1 Der über die Website https://to-teach.ai/ abrufbare Dienst to-teach.ai bietet Lehrkräften Funktionen zur Erstellung von Übungsaufgaben, Arbeitsblättern und Unterrichtsentwürfen. Das Angebot des Dienstes unterteilt sich in einen kostenfreien und kostenpflichtigen Funktionsumfang.
1.2 Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für die Nutzung der kostenpflichtigen Funktionen des Dienstes to-teach.ai durch natürliche Personen, die sich über die Website https://to-teach.ai/ als Endnutzer für den Dienst registriert haben. Diese gelten nicht für den Zugriff und die Nutzung des Dienstes im Rahmen einer Schullizenz.
1.3 Der Dienst to-teach.ai wird durch die
thea GmbH
Rostocker Str. 68
20099 Hamburg
bereitgestellt. Angaben zu den Vertretungsberechtigungen und Kontaktmöglichkeiten der thea GmbH können dem Impressum unter https://to-teach.ai/info/notice entnommen werden.
1.4 Es gelten die folgenden Begriffsbestimmungen:
a. Anbieter bezeichnet die thea GmbH;
b. Dienst bezeichnet die unter https://to-teach.ai/ abrufbare Anwendung;
c. Kunde bezeichnet die natürliche Person, die sich über die Website https://to-teach.ai/ als Endnutzer für den Dienst registriert hat;
d. Verbraucher bezeichnet eine natürliche Person gem. § 13 BGB;
e. Vereinbarung bezeichnet die mit Kunden geschlossene Leistungsvereinbarung und diese AGB.
2. Leistungsumfang
2.1 Der Anbieter stellt mit to-teach.ai einen webbasierten Dienst zur Verfügung, über den Lehrkräfte Übungsaufgaben, Arbeitsblätter und Unterrichtsentwürfe erstellen und abrufen können. Der Anbieter bieten den Mitgliedern verschiedene Abonnement-Pläne, die einen unterschiedlichen Funktionsumfang umfassen. Der konkrete Funktionsumfang des gewählten Abonnements ergibt sich aus der im Buchungsprozess dargestellten Übersicht.
2.2 Beschreibungen zum Funktionsumfang des Dienstes sowie Aussagen und Erläuterungen auf Werbematerialien, Websites sowie in Dokumentationen verstehen sich ausschließlich als Beschreibungen der Beschaffenheit und nicht als Garantie oder Zusicherung einer Eigenschaft.
3. Registrierung und Vertragsschluss
3.1 Die Präsentation des Dienstes und einzelnen im Rahme des Dienstes angebotenen kostenpflichtigen Inhalten im Internet stellt kein Angebot, sondern nur eine Aufforderung zur Abgabe eines Angebots dar. Der Anbieter kann die Annahme binnen 24 Stunden entweder durch eine Auftragsbestätigung per E-Mail oder durch die Bereitstellung der Leistung an den Kunden erklären. Der Kunde verzichtet in letzterem Fall auf den Zugang der Annahmeerklärung. Erst durch diese Annahme kommt ein Vertrag zwischen dem Kunden und dem Anbieter zustande. Der Anbieter ist zur Annahme des Angebots nicht verpflichtet.
3.2 Der Dienst kann durch registrierte Kunden in beschränktem Umfang kostenlos genutzt werden. Hierbei hat der Kunde nur Zugriff auf einzelne kostenfreie Funktionen. Der Kunde kann sich auf der Website https://to-teach.ai/signup unter Angabe seiner E-Mail und einem selbst gewählten Passwort (Klick auf „Account erstellen“) oder über eines der angebotenen Single-Sign-On-Verfahren einen Account anlegen und so registrieren.
3.3 Der Kunde kann über den Dienst weitere kostenpflichtige Funktionen abrufen. Zur Buchung der kostenpflichtigen Inhalte ist es erforderlich, dass der Kunde seine Rechnungs- und Zahlungsdaten eingibt. Die Buchung eines kostenpflichtigen Abonnements gilt als verbindliches Angebot des Kunden auf Abschluss eines kostenpflichtigen Vertrages über den ausgewählten Funktionsumfang, welches gemäß Ziffer 3.1. durch den Anbieter angenommen werden kann.
3.4 Mit Abgabe des Angebots sichert der Kunde zu, dass er volljährig ist.
3.5 Der Vertragstext wird durch den Anbieter gespeichert. Der Kunde erhält den Vertragstext nebst AGB und ggf. der Widerrufsbelehrung in Textform (z.B. E-Mail) zugeschickt.
4. Gesetzliches Widerrufsrecht
4.1 Kunden, die Verbrauchern sind, steht ein gesetzliches Widerrufsrecht zu.
4.2 Nähere Informationen zum Widerrufsrecht ergeben sich aus der als Anlage 1 beigefügten Widerrufsbelehrung des Anbieters.
5. Leistungserbringung und Nutzungsrecht
5.1 Der Dienst wird als webbasierte SaaS- bzw. Cloud-Lösung betrieben. Dem Kunden wird ermöglicht, den auf den Servern des Anbieters bzw. eines durch den Anbieter beauftragten Dienstleisters gespeicherte und ablaufenden Dienst über eine Internetverbindung während der Laufzeit des Vertrags für eigene Zwecke zu nutzen. Eine Überlassung des Dienstes an den Kunden erfolgt nicht.
5.2 Der Anbieter stellt dem Kunden den Dienst in der jeweils aktuellen Version am Router-Ausgang des Rechenzentrums, in dem der Server mit dem Dienst steht („Übergabepunkt“), zur Nutzung bereit. Der Dienst, die für die Nutzung erforderliche Rechenleistung und der erforderliche Speicher- und Datenverarbeitungsplatz werden durch den Anbieter bereitgestellt. Der Anbieter schuldet jedoch nicht die Herstellung und Aufrechterhaltung der Datenverbindung zwischen den IT-Systemen des Kunden und dem beschriebenen Übergabepunkt.
5.3 Soweit der Dienst ausschließlich auf den Servern des Anbieters oder eines beauftragten Dienstleisters abläuft, bedarf der Kunde keiner urheberrechtlichen Nutzungsrechte an dem Dienst, und der Anbieter räumt solche Rechte auch nicht ein. Der Anbieter räumt dem Kunden aber für die Nutzung der vom Dienst umfassten Inhalte das nicht-ausschließliche, nicht übertragbare und zeitlich auf die Dauer des Vertrags beschränkte Recht ein, die Benutzeroberfläche des Dienstes zur Anzeige auf dem Bildschirm in den Arbeitsspeicher der vertragsgemäß hierfür verwendeten Endgeräte zu laden und die dabei entstehenden Vervielfältigungen der Benutzeroberfläche vorzunehmen. Zudem ist der Kunde berechtigt, durch den Anbieter bereitgestellte Dokumente zu speichern und in angemessener Anzahl für den eigenen Gebrauch zu vervielfältigen und auszudrucken.
5.4 Eine weitere Vervielfältigung oder das sonstige Verwerten von Inhalten des Dienstes ist nur mit vorangehender schriftlicher Zustimmung des Anbieters zulässig, es sei denn, es handelt sich hierbei um eine einmalige und nicht systematische Vervielfältigung oder sonstige Verwertung eines nach Art und Umfang unwesentlichen Elements des Dienste. Der systematische automatisierte Abruf von Inhalten, das Erstellen systematischer Sammlungen aus abgerufenen Inhalten sowie die systematische Weitergabe von Inhalten oder deren systematische Zugänglichmachung an Dritte sind unzulässig.
5.5 Der Dienst darf Dritten nicht zur Verfügung gestellt werden, soweit das nicht von den Parteien ausdrücklich vereinbart wurde oder im Rahmen der bestimmungsgemäßen Nutzung des Dienstes vorgesehen ist.
5.6 Der Anbieter ist berechtigt, technische Maßnahmen zu treffen, durch die eine Nutzung über den zulässigen Umfang hinaus verhindert wird, insbesondere entsprechende Zugangssperren zu installieren. Der Kunde darf keine Vorrichtungen, Erzeugnisse oder sonstigen Mittel einsetzen, die dazu dienen, die technischen Maßnahmen zu umgehen oder zu überwinden. Er darf insbesondere keine Webcrawler-, Spider-Programme, Metasuchmaschinen oder vergleichbare Technologien einsetzen, die automatisiert Inhalte aus der Website abrufen. Bei einer missbräuchlichen Nutzung sind wir berechtigt, den Zugang zum Dienst sofort zu sperren. Weitere Rechte und Ansprüche, insbesondere das Recht zu außerordentlichen Kündigung aus wichtigem Grund sowie Ansprüche auf Schadensersatz bleiben unberührt.
6. Preise und Zahlungsbedingungen
6.1 Es gelten die Preise, welche im Zeitpunkt der Bestellung dargestellt sind. Alle Preisangaben verstehen sich, vorbehaltlich anderslautender Angaben, als Gesamtpreise einschließlich der jeweils gültigen gesetzlichen Umsatzsteuer (MwSt.). Liefer- und Versandkosten fallen nicht an.
6.2 Zahlungen sind, sofern nicht anders vereinbart, ohne Abschlag, Skonti oder andere Nachlässe zu leisten.
6.3 Beim Einsatz von Finanzinstituten und anderen Zahlungsdienstleistern, gelten im Hinblick auf die Bezahlung zusätzlich die Geschäftsbedingungen und Datenschutzhinweise der Zahlungsdienstleister. Kunden werden gebeten diese Regelungen und Hinweise als auch Informationen im Rahmen des Bezahlungsvorgangs zu beachten. Dies insbesondere, weil die Zurverfügungstellung von Zahlungsmethoden oder der Ablauf des Zahlungsverfahrens auch von den Vereinbarungen zwischen dem Kunden und Finanzinstituten und Zahlungsdienstleister abhängig sein können (z.B. vereinbarte Ausgabelimits, ortsbeschränkte Zahlungsmöglichkeiten, Verifizierungsverfahren, etc.).
6.4 Der Kunde sorgt dafür, dass er die ihm obliegenden Voraussetzungen erfüllt, die zur erfolgreichen Bezahlung mittels der gewählten Zahlungsart erforderlich sind. Hierzu gehören insbesondere die hinreichende Deckung von Bank- und anderen Zahlungskonten, Registrierung, Legitimierungen und Autorisierung bei Bezahldiensten sowie die Bestätigung von Transaktionen.
6.5 Der Anbieter bietet dem Kunden derzeit die folgenden Zahlungsmöglichkeiten an:
- Kreditkarte (Maestro/VISA/MasterCard/American Express);
- Zahlung per PayPal.
6.6 Rechnungen werden elektronisch per E-Mail an die im Konto hinterlegte E-Mail-Adresse des Kunden versendet. Gleiches gilt für Zahlungserinnerungen.
7. Zahlungsverzug; Sperre
Der Anbieter ist berechtigt den Account oder den Zugriff auf den Dienst zu sperren, wenn sich der Kunde im Zahlungsverzug befindet. Die Verpflichtung des Kunden zu Zahlung der vereinbarten Nutzungsgebühren bleibt davon unberührt.
8. Pflichten des Kunden
8.1 Der Kunde ist verpflichtet, die Angaben in seinem Konto stets aktuell zu halten. Dies gilt insbesondere für die hinterlegte E-Mail-Adresse, da der Anbieter diese nutzt, um dem Kunden vertragswesentliche Mitteilungen zu machen.
8.2 Der Kunde verpflichtet sich, sein Konto durch ein ausreichend sicheres Passwort gegen unbefugten Zugriff zu schützen. Der Anbieter empfiehlt dem Kunden, zur Sicherung seines Kontos ein Passwort bestehend aus mindestens acht Zeichen, unter Verwendung von Klein- und Großbuchstaben, Zahlen und Sonderzeichen zu wählen und das Passwort regelmäßig zu ändern. Der Anbieter ist berechtigt, technisch Mindestanforderungen an die Sicherheit des Passwortes zu stellen.
8.3 Der Kunde ist verpflichtet, sein Passwort sowie alle Daten, die einen unbefugten Zugang über sein Konto ermöglichen, geheim zu halten und sie unverzüglich zu ändern bzw. das Passwort durch den Anbieter zurücksetzen zu lassen, wenn er vermutet, dass unberechtigte Dritte davon Kenntnis erlangt haben.
8.4 Es ist dem Kunden untersagt, jedwede Handlung durchzuführen oder zu fördern, die dazu dient oder potenziell geeignet ist, die Funktionalität und/oder Integrität des Dienstes zu beeinträchtigen, insbesondere diesen übermäßig zu belasten, zu beeinflussen, zu unterbrechen oder zu verändern, sowie Handlungen vorzunehmen, die eine Rückwärtsentwicklung (“reverse engineering") oder Dekompilierung (“decompiling”) von Daten oder Funktionen des Dienstes ermöglichen oder fördern.
8.5 Es ist dem Kunden untersagt, Inhalte und Informationen des Dienstes (insbesondere Inhalte, Texte, Logos, Bilder, Diagramme, Grafiken, Auswertungsergebnisse etc.) zu verbreiten und/oder öffentlich wiederzugeben oder in externe Systeme und/oder Datenbanken zu überführen, außer diese Verbreitung und öffentliche Wiedergabe ist im Rahmen der bestimmungsgemäßen Nutzung des Dienstes vorgesehen.
8.6 Soweit der Kunde dem Anbieter geschützte Inhalte überlässt (z.B. Profilbild, Grafiken und sonstige geschützte Inhalte), räumt er dem Anbieter sämtliche für die Durchführung der vertraglichen Vereinbarung erforderlichen Rechte ein. Das umfasst insbesondere das Recht, die entsprechenden Inhalte der Öffentlichkeit zugänglich zu machen. Der Kunde versichert in diesem Zusammenhang, dass er alle erforderlichen Rechte an überlassenen Inhalten besitzt, um dem Anbieter die entsprechenden Rechte einzuräumen.
8.7 Der Kunde ist verpflichtet, mit dem Dienst bzw. einzelnen Funktionen keine Daten oder Informationen zu nutzen oder zu verwenden, deren Nutzung gegen geltendes Recht, behördliche Anordnungen, Rechte Dritter oder Vereinbarungen mit Dritten verstößt.
8.8 Der Kunde ist dafür verantwortlich, dass in seinem Bereich die technischen Voraussetzungen für den Zugang zu dem Dienst geschaffen und aufrechterhalten werden, insbesondere hinsichtlich der eingesetzten Hardware und Betriebssystemsoftware, der Verbindung zum Internet und der aktuellen Browsersoftware. Die ordnungsgemäße Nutzbarkeit des Dienstes setzt voraus, dass bei den vom Kunden eingesetzten Rechnern die von unserem Server übermittelten Cookies akzeptiert werden. Es obliegt dem Kunden, die entsprechenden Einstellungen vorzunehmen.
8.9 Der Kunde ist verpflichtet, die zur Sicherung seiner Systeme gebotenen Vorkehrungen zu treffen, insbesondere die gängigen Sicherheitseinstellungen des Browsers zu nutzen und aktuelle Schutzmechanismen zur Abwehr von Schadsoftware einzusetzen
9. Verfügbarkeit
9.1 Dem Kunden ist bekannt, dass sich nach dem aktuellen Stand der Technik trotz größter Sorgfalt und Gewissenhaftigkeit Programmfehler und systemimmanente Störungen nicht sicher ausschließen lassen. Insbesondere Wartungs-, Sicherheits- oder Kapazitätsbelange sowie Ereignisse, die nicht im Machtbereich des Anbieters stehen (wie z. B. Störungen von öffentlichen Kommunikationsnetzen, Stromausfälle, höhere Gewalt etc.), können zu einem Nutzungsausfall führen. Es ist auch nicht möglich, Software oder Services einzusetzen, die jede vorhandene Schadsoftware (Virus, Malware etc.) entdecken. Selbst bei ordnungsgemäß laufendem System kann daher keine 100 %-ige Verfügbarkeit des Dienstes gewährleistet werden. Der Anbieter bemüht sich natürlich, den Dienst konstant verfügbar zu halten. Auch die vom Kunden genutzte Hard- und Software und technische Infrastruktur kann Einfluss auf die Leistungen des Anbieters haben. Soweit derartige Umstände Einfluss auf die Verfügbarkeit oder Funktionalität der durch den Anbieter erbrachten Leistung haben, hat dies keine Auswirkung auf die Vertragsgemäßheit der erbrachten Leistungen.
9.2 Planbare Wartungsarbeiten an der Website oder dem Dienst werden regelmäßig zwischen 00:00 und 08:00 Uhr morgens durchgeführt. Nach Möglichkeit werden Wartungsarbeiten auf der Website des Anbieters angekündigt.
10. Datenschutz
10.1 Im Zusammenhang mit der Bereitstellung des Dienstes werden durch den Anbieter personenbezogene Daten sowohl als Verantwortlicher gem. Art. 4 Nr. 7 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), als auch als Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO verarbeitet.
10.2 Als Verantwortlicher verarbeitet der Anbieter personenbezogene Daten über Personen, die sich für den Dienst registrieren oder die dem Anbieter anderweitig personenbezogene Daten über sich im Zusammenhang mit diesem Vertrag zur Verfügung stellen. Die Verarbeitung dieser Daten, die der Anbieter als Verantwortlicher verarbeitet, ist in den Datenschutzhinweisen beschrieben, die unter https://to-teach.ai/legal/privacy verfügbar sind.
10.3 Als Auftragsverarbeiter verarbeitet der Anbieter solche personenbezogenen Daten, die der Kunde dem Anbieter im Rahmen der Nutzung des Dienstes zur Verfügung stellt und die sich nicht auf den Kunden selbst beziehen. Hinsichtlich dieser Datenverarbeitung gilt der gesondert vereinbarte Vertrag zur Auftragsverarbeitung, der diesem Vertrag als Anlage 2 beigefügt ist.
11. Einschränkungen von Informationen und Inhalten
11.1 Durch den Kunden dürfen nur rechtmäßige Inhalte in den Dienst eingestellt werden. Es dürfen keine Inhalte wie Texte, Bilder, Grafiken und Links eingestellt und/oder verbreiten werden, die gegen geltende Rechtsvorschriften verstoßen und/oder Schutz-, Urheber- oder sonstige Rechte Dritter verletzen. Der Kunde ist für die von ihm eingestellten Inhalte selbst verantwortlich. Der Anbieter ist nicht verpflichtet, durch den Kunden eingestellte Inhalte proaktiv auf Rechtmäßigkeit und Vereinbarkeit mit Rechten Dritter zu überprüfen. Bei Kenntniserlangung von rechtswidrigen Inhalten und Verletzungen von Rechten Dritter trifft der Anbieter gleichwohl die folgenden Maßnahmen:
- Löschung von rechtswidrigen Inhalten;
- Verwarnung des Kunden;
- Einschränkungen der Nutzung, insbesondere der Möglichkeit zur Einstellung von Inhalten;
- (vorläufige oder endgültige) Sperrung des Accounts.
11.2 Bei der Entscheidung über die nach Ziffer 11.1 zu treffenden Maßnahmen berücksichtigt der Anbieter die jeweiligen objektiven Umstände des Einzelfalls, die Schwere, Häufigkeit und Dauer der begangenen Verstöße, die berechtigten Interessen des betroffenen Kunden sowie seine Absichten und ein etwaiges Verschulden.
11.3 Sofern der Anbieter eine Maßnahme ergreift, wird er den betroffene Kunde im Rahmen der gesetzlichen Verpflichtung über die Maßnahme mit einer Begründung informieren.
11.4 Vor einer vorläufigen oder endgültigen Sperrung eines Accounts spricht der Anbieter eine Verwarnung an den betreffenden Kunden aus, soweit dies dem Zweck der Sperrung nicht entgegensteht.
11.5 Im Rahmen der Entscheidung über Maßnahmen gegen rechtswidrige Inhalte erfolgt, abhängig vom Einzelfall, eine menschliche Überprüfung, eine automatisierte Überprüfung oder eine Kombination aus menschlicher und automatisierter Überprüfung. Die technischen Mittel zur automatisierten Überprüfung werden hier beschrieben.
12. Änderung und Weiterentwicklung des Dienstes
12.1 Der Anbieter wird Änderungen an dem Dienst vornehmen, um die vertragsgemäße Bereitstellung des Dienstes und hierzu erforderliche Aktualisierungen sicherzustellen.
12.2 Der Anbieter bemüht sich, den Dienst kontinuierlich weiterzuentwickeln. Der Anbieter behält sich daher Änderungen zur Anpassung des Systems an den Stand der Technik, Änderungen zur Optimierung des Systems, insbesondere zur Verbesserung der Nutzerfreundlichkeit, sowie Änderungen an Inhalten vor, sofern letztere zur Korrektur von Fehlern, zur Aktualisierung und Vervollständigung, zur programmtechnischen Optimierung oder aus lizenzrechtlichen Gründen erforderlich sind. Aus solchen Änderungen entstehen für den Kunden keine zusätzlichen Kosten.
12.3. Führt eine Änderung im Sinne von Ziffer 12.2. zu einer nicht nur unerheblichen Beeinträchtigung der Zugriffsmöglichkeit des Kunden auf den Dienst oder der Nutzbarkeit des Dienstes durch den Kunden, wird der Anbieter den Kunden rechtzeitig vor dem Zeitpunkt der Änderung per E-Mail über diese informieren. Ist der Kunde Verbraucher, steht ihm in diesem Fall das Recht auf Beendigung des Nutzungsvertrags gem. § 327 Abs. 3 BGB zu.
13. Gewährleistung und Haftung
13.1 Es gelten grundsätzlich die gesetzlichen Regelungen zur Gewährleistung.
13.2. Der Anbieter haftet, gleich aus welchem Rechtsgrund, im Rahmen der gesetzlichen Bestimmungen nur in folgendem Umfang:
a. Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit und bei Ansprüchen nach dem Produkthaftungsgesetz sowie bei vorsätzlicher oder grob fahrlässiger Pflichtverletzung.
b. Der Anbieter haftet unter Begrenzung auf Ersatz des vertragstypischen vorhersehbaren Schadens für solche Schäden, die auf einer leicht fahrlässigen Verletzung wesentlicher Vertragspflichten beruhen. Das sind Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglichen und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf (Kardinalpflichten). In sonstigen Fällen ist die Haftung für leichte Fahrlässigkeit - soweit gesetzlich zulässig - ausgeschlossen.
13.3 Soweit die Haftung ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung der Gesellschafter, Mitarbeiter, Vertreter und Erfüllungsgehilfen des Anbieters.
14. Anpassung der AGB
14.1 Der Anbieter ist dazu berechtigt, den Inhalt der Vereinbarung zu ändern,
a. wenn durch Änderungen, die für den Anbieter unvorhersehbar waren und die der Anbieter nicht veranlasst und auf die der Anbieter keinen Einfluss hat, das bei Vertragsschluss bestehende Äquivalenzverhältnis in nicht unbedeutendem Maße gestört wird,
b. wenn die Änderung der Anpassung an den technischen Fortschritt dient oder der Anbieter den Funktionsumfang des Dienstes gemäß Ziffer 12 ändert, anpasst oder erweitert (z.B. neue Services, Dienstleistungen, Anwendungen oder Funktionen einführt) und dadurch eine Anpassung der Leistungsbeschreibung in der Vereinbarung erforderlich wird, soweit sich daraus keine unzumutbaren Einschränkungen für die vom Kunden genutzten Funktionen ergeben oder eine vergleichbare alternative Funktion zur Verfügung steht, oder
c. wenn eine Klausel dieser AGB aufgrund einer Gesetzesänderung unwirksam wird oder von der Rechtsprechung für unwirksam erklärt wird und daraus Schwierigkeiten bei der Durchführung des Vertrages entstehen, die nur durch die Anpassung oder Ergänzung beseitigt werden können.
14.2 Im Falle der Änderung wird der Anbieter dem Kunden den Änderungsvorschlag unter Benennung des Grundes und des konkreten Umfangs in Textform (E-Mail an die im Konto hinterlegte Adresse reicht) mitteilen. Die Änderungen gelten als genehmigt, wenn der Kunde ihnen nicht schriftlich widerspricht (E-Mail an die im Impressum angegebene Adresse reicht). Der Anbieter wird den Kunden auf diese Folge in der Mitteilung besonders hinweisen. Der Widerspruch muss innerhalb von einem (1) Monat nach Zugang der Mitteilung bei dem Anbieter eingegangen sein. Übt der Kunde sein Widerspruchsrecht aus, gilt der Änderungswunsch als abgelehnt. Der Vertrag wird dann ohne die vorgeschlagenen Änderungen fortgesetzt. Das Recht des Kunden aus Ziffer 15. zur Kündigung seines Vertrages bleibt davon unberührt.
15. Laufzeit und Kündigung
15.1 Die durch den Kunden ausgewählte Laufzeit der Vereinbarung beginnt mit dem Datum des Vertragsschlusses und endend am gleichen Tag des Monats, in dem die vereinbarte Laufzeit abläuft. Das Vertragsverhältnis verlängert sich nach Ablauf der vereinbarten Laufzeit automatisch für einen unbestimmten Zeitraum, wenn der Kunde nicht zuvor seine Kündigung erklärt hat. Nach der automatischen Verlängerung kann das verlängerte Vertragsverhältnis jederzeit mit einer Frist von einem Monat gekündigt werden gekündigt werden.
15.2 Das beiderseitige Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
15.3 Der Anspruch des Kunden auf Erstattung von Zahlungen, welche im Voraus erfolgt sind, ist im Fall der außerordentlichen Kündigung ausgeschlossen, es sei denn, der Kunde kündigt aus einem wichtigen Grund, den der Anbieter zu vertreten hat. Der Anspruch des Kunden auf Erstattung von Nutzungsgebühren, welche er im Voraus bezahlt hat, ist in jedem Fall ausgeschlossen, wenn der Anbieter den Vertrag aus einem wichtigen Grund kündigt, den der Kunde zu vertreten hat oder wenn der Anbieter den Account gemäß Ziffer 7. oder Ziffer 11. sperrt.
16. Online-Streitbeilegung
Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit, die Sie unter https://ec.europa.eu/consumers/odr/ finden. Verbraucher haben die Möglichkeit, diese Plattform für die Beilegung ihrer Streitigkeiten zu nutzen. Wir sind nicht bereit und nicht verpflichtet an einem Streitbeilegungsverfahren vor einer Verbraucherstreitschlichtungsstelle teilzunehmen.
17. Schlussbestimmungen
17.1 Der Kunde erklärt sich bereit, dass die Kommunikation – auch in Vertragsangelegenheiten – per E-Mail erfolgen kann. Der Kunde verpflichtet sich, in seinem Account stets eine aktuelle E-Mail-Adresse zu hinterlegen. Die E-Mail-Adresse des Anbieters ist dem Impressum zu entnehmen.
17.2 Es gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ist der Kunde Verbraucher, gilt dies nur, soweit dem keine zwingenden Bestimmungen des Rechts des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat (insbesondere Verbraucherschutzvorschriften), entgegenstehen.
Stand: Juli 2024
Anlage 1 –Widerrufsbelehrung und Formular
Verbrauchern steht ein Widerrufsrecht nach folgender Maßgabe zu, wobei Verbraucher jede natürliche Person ist, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können:
A. Widerrufsbelehrung
Widerrufsrecht
Sie haben das Recht, binnen 14 Tage ohne Angabe von Gründen diesen Vertrag zu widerrufen.
Die Widerrufsfrist beträgt 14 Tage ab dem Tag des Vertragsabschlusses.
Um Ihr Widerrufsrecht auszuüben, müssen Sie uns (thea GmbH, Rostocker Str. 68, 20099 Hamburg, hello@to-teach.ai) mittels einer eindeutigen Erklärung (z. B. ein mit der Post versandter Brief oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren.
Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.
Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.
Folgen des Widerrufs
Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzuzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrags bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet.
B. Widerrufsformular
Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden es zurück.
An
thea GmbH
Rostocker Str. 68
20099 Hamburg
hello@to-teach.ai
Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag über den Kauf der folgenden Waren (*)/die Erbringung der folgenden Dienstleistung (*)
_________________________________________________________________
_________________________________________________________________
Bestellt am (*) _____________ / erhalten am (*) __________________
_________________________________________________________________
Name des/der Verbraucher(s)
_________________________________________________________________
Anschrift des/der Verbraucher(s)
_________________________________________________________________
Unterschrift des/der Verbraucher(s) (nur bei Mitteilung auf Papier)
_________________________
Datum
(*) Unzutreffendes streichen
Anlage 2 – Vertrag zur Auftragsverarbeitung gem. Artikel 28 DSGVO
________________________________________________________________________________
Vereinbarung
zwischen dem
Kunden
– nachfolgend „Verantwortlicher“ genannt –
und der
thea GmbH
Rostocker Str. 68
20099 Hamburg
– nachfolgend „Auftragsverarbeiter“ genannt –
Verantwortlicher und Auftragsverarbeiter jeweils einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.
______________________________________________________________________________
§ 1 Vertragsgegenstand
(1) Im Rahmen des zwischen den Parteien bestehenden Leistungsverhältnisses über die Bereitstellung und Nutzung der Web-Anwendung fiete.ai (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer als Auftragsverarbeiter mit personenbezogenen Daten umgeht, für die der Auftraggeber Verantwortlicher ist. Mit diesem Vertrag soll die Einhaltung von Art 28 Abs. 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) sichergestellt werden.
(2) Der Vertrag gilt für die Verarbeitung personenbezogener Daten gemäß Anhang I.
(3) Die Anhänge I bis III sind Bestandteil dieses Vertrags.
§ 2 Auslegung
(1) Werden in diesem Vertrag die in der DSGVO definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der DSGVO.
(2) Diese Klauseln sind im Lichte der Bestimmungen der DSGVO auszulegen. Sie dürfen nicht in einer Weise ausgelegt werden, die den in der DSGVO vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
§ 3 Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang I aufgeführt.
§ 4 Dauer der Verarbeitung
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang I angegebene Dauer verarbeitet.
§ 5 Weisungen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die DSGVO oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
§ 6 Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für die in Anhang I genannten spezifischen Zwecke, sofern er keine weiteren Weisungen des Verantwortlichen erhält.
§ 7 Sicherheit der Verarbeitung
(1) Der Auftragsverarbeiter ergreift mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
(2) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 8 Unterstützung des Verantwortlichen
(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
(2) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten.
(3) Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Art. 33 und 34 der DSGVO nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen zudem bei der Einhaltung der folgenden Pflichten:
a) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
b) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz- Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
c) Verpflichtungen gemäß Art. 32 DSGVO.
Bei der Erfüllung dieser Pflichten befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
§ 9 Dokumentation und Einhaltung dieses Vertrags
(1) Die Parteien müssen die Einhaltung dieses Vertrags nachweisen können.
(2) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
(3) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diesen Vertrag fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
(4) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
§ 10 Einsatz von Unterauftragsverarbeitern
(1) Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Die vereinbarte Liste ist dem Vertrag als Anlage III beigefügt. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens 14 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
(2) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß dieses Vertrags gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend dieses Vertrags und gemäß der DSGVO unterliegt.
(3) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen außerdem die durch den Unterauftragsverarbeiter vorlegten geeigneten Garantien gem. Art. 28 Abs. 1 DSGVO zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
§ 11 Internationale Datenübermittlung
(1) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der DSGVO im Einklang stehen.
(2) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der DSGVO sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Art. 46 Abs. 2 DSGVO erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
§ 12 Verstöße und Beendigung des Vertrags
(1) Falls der Auftragsverarbeiter seinen Pflichten aus diesem Vertrag nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der DSGVO – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er die Pflichten einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diesen Vertrag einzuhalten.
(2) Der Verantwortliche ist berechtigt, den Hauptvertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesem Vertrag betrifft, wenn
a) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diesen Vertrag verstößt oder seine Verpflichtungen gemäß der DSGVO nicht erfüllt;
b) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesem Vertrag und/oder der DSGVO zum Gegenstand hat, nicht nachkommt.
(3) Der Auftragsverarbeiter ist berechtigt, den Hauptvertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen verstoßen.
(4) Wird der Hauptvertrag gekündigt oder auf andere Weise beendet, gilt ach dieser Vertrag als aufgehoben. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
(5) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieses Vertrags.
§ 13 Schlussbestimmungen
Im Falle eines Widerspruchs zwischen diesem Vertrag und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, hat dieser Vertrag Vorrang.
Anhang I – Beschreibung der Verarbeitung
1. Allgemeine Beschreibung der Verarbeitung
To Teach ist ein webbasierter Dienst, der Lehrkräfte bei der Erstellung Übungsaufgaben, Arbeitsblättern und Unterrichtsentwürfen unterstützt. Hierzu wird auch generative künstliche Intelligenz (KI) eingesetzt. KI-Modelle verschiedener Anbieter sind in den Dienst eingebunden.
2. Verarbeitungstätigkeit „to teacht-Account“
Zweck der Verarbeitung
Durchführung schulorganisatorischer Maßnahmen – Bereitstellung to teach-Account
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:
⎯ Lehrkräfte
Kategorien personenbezogener Daten, die verarbeitet werden:
⎯ Name
⎯ E-Mail-Adresse
Art der Verarbeitung
Die personenbezogenen Daten werden erhoben, gespeichert und verwendet, um den to teach-Account für die Lehrkraft einzurichten und der Lehrkraft die personalisierte Nutzung von to teach zu ermöglichen.
Dauer der Verarbeitung
⎯ Laufzeit der Schullizenz
3. Verarbeitungstätigkeit „Inhalte erstellen“
Zweck der Verarbeitung
Durchführung schulorganisatorischer Maßnahmen – Unterstützung bei der Vorbereitung des Unterrichts
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden:
Dritte (nur wenn personenbezogene Daten über Dritte in eingegebenen Informationen oder hochgeladenen Dokumenten enthalten sind)
Kategorien personenbezogener Daten, die verarbeitet werden:
Durch die Lehrkraft eingegebene Informationen (Inhalte von Texten, Prompts)
Hochgeladene Dateien (Dokumente, Bild- oder Audiodateien)
Verlinkte YouTube-Videos oder Websites
Art der Verarbeitung
Lehrkräfte tragen Texte als sog „Prompts“ in ein Webformular ein, laden eine Text-, Bild- oder Audiodatei hoch oder verlinken ein YouTube-Video oder eine Website (Inhalte).
Die Inhalte werden über die Schnittstelle an die KI-Modell übermittelt.
Das KI-Modell generiert auf der Grundlage der Inhalte Übungsaufgaben, ein Arbeitsblatt oder einen Unterrichtsentwurf.
Dauer der Verarbeitung
⎯ Laufzeit der Schullizenz
Anhang II – Technische und organisatorische Maßnahmen
Im Folgenden werden die auftragsbezogenen technischen und organisatorischen Maßnahmen (TOM) zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragsverarbeiter mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.
Die Datenverarbeitung erfolgt im Wesentlichen auf Systemen, die durch genehmigte Unterauftragsverarbeiter bereitgestellt werden. Nachfolgend sind nur diejenigen TOM aufgeführt, die unmittelbar durch den Auftragsverarbeiter eingerichtet und aufrechterhalten werden.
| 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DSGVO) und Verschlüsselung (Art. 32 Abs. 1 lit. a) DSGVO) |
| Zutrittskontrolle Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: |
| - Endgeräte werden nach der Arbeitszeit in abschließbaren Schränken oder Schubladen verwahrt - Weitere Maßnahmen werden durch die Unterauftragsverarbeiter umgesetzt |
|
Zugangskontrolle/Verschlüsselung Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen: |
| - Zugang zu extern gehosteten/betriebenen IT-Systemen ist besonders gesichert (Verschlüsselung, VPN) - Zugang zu IT-Systemen nur mit Benutzerkennung und individuellem Passwort möglich - Zugangsberechtigungen werden dokumentiert - Passwortrichtlinie wird über Active Directory durchgesetzt. - IT-Systeme werden bei wiederholt erfolglosem Anmeldeversuch automatisch gesperrt - Funktionale Zuordnung einzelner Endgeräte und Protokollierung der Systemnutzung - Bildschirmsperre an Arbeitsstationen, automatische Sperrung bei längerer Abwesenheit - Zwei-Faktor-Identifizierung - Weitere Maßnahmen werden durch die Unterauftragsverarbeiter umgesetzt |
|
Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können: |
| - Individuelle Zugriffsrechte für jeden einzelnen Benutzer (in einem schriftlichen Berechtigungskonzept dokumentiert), zentrale Verwaltung und Steuerung - Zugriffsberechtigungen werden aufgabenbezogen und nach dem Need-to-know-Prinzip erteilt - Regelmäßige Überprüfung der Zugriffsberechtigungen. Nicht mehr erforderliche Berechtigungen werden unverzüglich entzogen - Es ist technisch unterbunden, dass Daten auf lokale IT-Systeme kopiert werden - Aufzeichnung von Zugriffen auf das IT-System - Weitere Maßnahmen werden durch die Unterauftragsverarbeiter umgesetzt |
|
Trennungskontrolle/Zweckbindungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: |
| - Trennung der Zugriffsregelungen über Datenbankprinzip - Softwareseitige Mandantentrennung - Trennung von Produktiv- und Testsystemen (in getrennten Datenbanken) - Weitere Maßnahmen werden durch die Unterauftragsverarbeiter umgesetzt. |
|
2. Integrität (Art. 32 Abs. 1 lit. b) DSGVO) |
| Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: |
| - Datenspeicherung und -verarbeitung erfolgt auf IT-Systemen im Rechenzentrum - Verbindung zwischen Clients und Server ist besonders gesichert (Verschlüsselung, VPN) - Elektronische Unterzeichnung - Weitere Maßnahmen werden durch die Unterauftragsverarbeiter umgesetzt |
|
Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können: |
| Maßnahmen werden durch die Unterauftragsverarbeiter umgesetzt |
|
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DSGVO), rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) DSGVO |
| Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (die Angaben beziehen sich auf eigene IT-Systeme des Auftragnehmers): |
| - Versionierte Daten- und Systembackups nach Backup-Plan (täglich/wöchentlich) - Schadsoftwareschutz - Sicherheitsrelevante Updates und Patches werden regelmäßig und zeitnah eingespielt - Weitere Maßnahmen werden durch die Unterauftragsverarbeiter umgesetzt |
|
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO, Art. 25 Abs. 1 DSGVO) |
| Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können: |
| - Auftragnehmer werden sorgfältig ausgesucht - Klare und unzweifelhafte vertragliche Regelungen zur Datenverarbeitung - Kontrolle des Auftragnehmers durch die Geschäftsführung oder den Datenschutzbeauftragten |
| Datenschutz-Management Maßnahmen, die eine Steuerung der Datenschutzprozesse ermöglichen und die Einhaltung der datenschutzrechtlichen Vorgaben nachweisbar sicherstellen: |
| Beschäftigte werden regelmäßig im Datenschutz geschult und sensibilisiert und sind über die Vertraulichkeit von Daten belehrt |
|
5. Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO, Art. 25 Abs. 1 DSGVO) Maßnahmen, die gewährleisten, dass personenbezogene Daten in einer Weise verarbeitet werden, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen. |
| Risiko der Verarbeitung macht keine Maßnahme notwendig |
Anhang III – Unterauftragsverarbeiter
| Auftragsverarbeiter | Anschrift/Land | Auftragsinhalt | Geeignete Garantien |
| Google Cloud EMEA Limited | 70 Sir John Rogerson’s Quay Dublin 2 Ireland, EU | Cloud Firestore – Bereitstellung einer Datenbank Cloud Storage – Bereitstellung von Speicherplatz | Abrufbar unter https://cloud.google.com/terms/data-processing-addendum |
| Sendinblue GmbH | Köpenicker Straße 126 10179 Berlin Deutschland, EU | Versendung von E-Mails | |
| OpenAI, Ireland Ltd | 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper Dublin 1 D01 YC43 Ireland, EU | Hosting von Sprachmodellen (via API in den Dienst eingebunden) | |
| Microsoft Corporation | One Microsoft Way Redmond WA 98052-6399, California USA | Hosting von Sprachmodellen über Microsoft Azure (via API in den Dienst eingebunden) | |
| Anthropic Ireland, Limited | 6th Floor, South Bank House, Barrow Street Dublin 4, D04 TR29 Ireland, EU | Hosting von Sprachmodellen (via API in den Dienst eingebunden) |