Allgemeine Geschäftsbedingungen

für den Verkauf, die Lieferung und den Support von Software und Hardware.

für die Auftragsverarbeitung nach Art 28 DSGVO. V1.40

Der Verantwortliche:

Der Auftragsverarbeiter:

Bezieher der Leistungen des Auftragsverarbeiters

SCRIMO GmbH

Dr. Hermann Thuner Str. 3 A-4060 Leonding ATU69868501

(im Folgenden Auftraggeber)

(im Folgenden Auftragnehmer)

1. VERTRAGSUMFANG UND GÜLTIGKEIT

1.1. Die nachstehenden Bedingungen gelten für alle Dienstleistungen und Lieferungen, die der Auftragnehmer im Rahmen dieses Vertrages durchführt. Einkaufsbedingungen des Auftraggebers werden für das gegenständliche Rechtsgeschäft und die gesamte Geschäftsbeziehung hiermit ausgeschlossen. Angebote sind grundsätzlich freibleibend.

1.2. Die Durchführung der vertragsgegenständlichen Leistungen durch den Auftragnehmer erfolgt, soweit nichts anderes vereinbart wurde, nach seiner Wahl am Standort des Computersystems oder in den Geschäftsräumen des Auftragnehmers innerhalb der normalen Arbeitszeit des Auftragnehmers. Erfolgt ausnahmsweise und auf Wunsch des Auftraggebers eine Leistungserbringung außerhalb der normalen Arbeitszeit, werden die Mehrkosten gesondert in Rechnung gestellt. Die Auswahl des die vertragsgegenständlichen Leistungen erbringenden Mitarbeiters obliegt dem Auftragnehmer, der berechtigt ist, hierfür auch Dritte heranzuziehen.

2. GEGENSTAND DER VEREINBARUNG

(1) Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:

ERP-Hosting: Speicherung und Sicherung von Unternehmensprozessdaten des Auftragnehmers. (siehe Punkt 3)

o Der Auftragnehmer kümmert sich um die Speicherung und Verwaltung der Daten über Drittanbieter (keine eigene Serverlandschaft beim Auftragnehmer).

o Sollte der Auftraggeber sich selbst um die Speicherung der Daten des Hauptsystems kümmern, so kann es dennoch sein, dass der Auftragnehmer für Testzwecke die Daten sowohl lokal als auch bei Drittanbietern, welche dem Auftragsnehmer kommuniziert werden, speichert und diese Speicherung im Sinne des DSGVO erfolgt.

o Sollte der Auftraggeber sich selbst um die Speicherung der Daten des Hauptsystems kümmern, so obliegt es dem Auftraggeber sich, um die DSGVO relevanten Themen zu kümmern, sowie um deren Sicherheit.

Beschaffung von Drittanbieter-Applikationen: Der Auftragnehmer hält sich hier nach bestem Wissen und Gewissen an die Vorgaben des Drittherstellerapplikationseigentümers. Der Auftragnehmer sorgt im Falle der Anschaffung einer Drittanbieter-Software für die ordnungsgemäße Lizenzierung und Verwendungsberechtigung für den Auftraggeber. Der Auftragnehmer behält sich vor, dass er unter diesen Gesichtspunkten bei Kundenanforderungen auf ihm bekannte Drittanbietersoftware zugreift und diesen Zeit- und Kostenvorteil, sofern gegeben, auch an den Auftraggeber weitergibt.

ERP-Consulting: Unterstützung bei der Speicherung und Sicherung von Informationen von Unternehmensprozessdaten des Auftragnehmers.

o Im Rahmen des Consultings ist es möglich, dass der Auftragnehmer personenbezogene Daten des Auftraggebers einsieht und verarbeitet. Sollte die Speicherung der Daten vom Auftraggeber selbst bzw. von einem Drittunternehmen koordiniert werden (keine Hostingverwaltung durch den Auftragsnehmer), so hat sich der Auftraggeber um die Erfüllung der korrekten Speicherung der Daten im Sinne der DSGVO zu kümmern.

Softwareweiterentwicklung: Weiterentwicklung des Datenverarbeitungssystems für die Speicherung von Unternehmensprozessen.

IT-Verwaltung, Management und Support von zentralen Servern bzw. servernahen Einzelgeräten (z.B.: Zeiterfassungsterminals)

IT-Verwaltung, Management und Support von Clientendgeräten (PC, Notebooks, mobile Endgeräte)
Verarbeitung von Daten (z.B.: Verrechnungsdaten, Kundendaten, Bonitätsdaten, Bestelldaten, Angebotsdaten, Entgeltdaten, Personaldaten, Zeiterfassungsdaten, Schadensfalldaten, Reklamationsdaten, Newsletter Empfängerliste, Videoüberwachungsdaten)
Der Zweck der Verarbeitung der Daten ist die Erfüllung der unternehmerischen Tätigkeit des jeweiligen Gegenstandes des Auftraggebers.
Es werden im Rahmen der Zusammenarbeit auch sensible Informationen gespeichert (z.B.: Religionsbekenntnis, Geburtsdatum, Sterbedatum,biometrische Informationen und andere)

(2) Folgende Kategorien betroffener Personen unterliegen der Verarbeitung:

• Kunden, Interessenten, Lieferanten, Ansprechpartner, Mitarbeiter, Vertragspartner

(3) Gültigkeit des Gegenstandes der Vereinbarung:

Es werden nur jene Aufgaben und Daten Gegenstände der Vereinbarung, welche vom Auftragnehmer verwaltet bzw. eingerichtet wurden, die im Rahmen dieser Vereinbarung zum Datum des zustande Kommens der Zusammenarbeit dem Auftragnehmer vom Auftraggeber bekanntgegeben wurden. Durch die Bereitstellung der Systeme können personenbezogene Daten auch in einer unstrukturierten Form verarbeitet werden (z.B. in Notizfeldern, etc.). Der Auftragnehmer weist explizit darauf hin, dass die Speicherung in unstrukturierter Form nicht empfohlen wird.

3. DAUER DER VEREINBARUNG

Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von 3 Monaten zum Kalenderviertaljahr gekündigt werden.

4. APPLIKATIONSSHARING

Der Auftragsnehmer entwickelt im Rahmen der verwendeten ERP-Lösung eigenständige Module, welche auch anderen Auftragnehmern zur Verfügung gestellt werden können. Eine gegenseitige Dateneinsicht ist damit nicht verbunden. Im Falle einer Erweiterungsbeauftragung eines dieser Module vom Auftraggeber kann es vorkommen, dass diese Erweiterungsbeauftragung auch anderen Auftragnehmern zur Verfügung gestellt wird. Wenn dies nicht gewünscht ist, ist darauf im Rahmen der Erweiterungsbeauftragung explizit vom Auftraggeber hinzuweisen.

Dem Auftraggeber ist es vom Auftragnehmer expliziert untersagt, Applikationen bzw. Applikationsteile, welche im Rahmen des Applikationssharings zur Verfügung gestellt wurden, für andere Zwecke als den eigenen Betrieb zu verwenden.

Die Applikationen dürfen vom Auftraggeber nur im Rahmen der Zusammenarbeit mit dem Auftragnehmer verwendet werden. Wird die Vereinbarung aufgelöst erlischt das Recht, sämtliche vom Auftragnehmer zur Verfügung gestellten Applikationen weiter zu verwenden. Der entwickelte Code bleibt im Eigentum des Auftragsnehmers.

Im Falle einer Zuwiderhandlung behält es sich der Auftragnehmer vor, die Applikationssteile, die dem Auftraggeber zur Verfügung gestellt wurden und vom Auftragnehmer weiterverwendet werden, nach marktüblichen Bedingungen zu verrechnen.

5. VERGÜTUNG UND DESSEN INHALT

Folgende Dienstleistungen können mit der Vereinbarung vom Auftragnehmer bezogen werden. Die jeweilige Vergütung, sowie Abrechnungsmodalität ergibt sich aus einem eigenen Angebot.

(1) Applikationsserverbetreuung

Inhalt: Grundsätzliche Bereitstellung von Personalressourcen des Auftragnehmers der in dieser Vereinbarung dargelegten Punkte. Lokale bzw. serverseitige Bereitstellung der Ressourcen, welche für die Weiterentwicklung der Aufgaben des Auftragnehmers notwendig sind. Optionale Bereitstellung eines GIT-Repositories (Softwareverwaltungsprogramm). Betreuung des dedizierten Datenspeichers für die Verarbeitung von Daten laut Richtlinien dieses Vertrages.

(2) ERP-Hosting

Inhalt: Bereitstellung eines Datenspeichers für die Verarbeitung von Daten, regelmäßige Sicherung der bekannten Datenbank und des Filesystems auf einen anderen physischen Server. Bereitstellung eines Testsystems mit eigenem Dienst. Verwendung eines GIT-Repositories zur Verwaltung des individuellen Sourcecodes. Überwachung und Pflege der Server und der Serverinfrastruktur.

(3) ERP-Betreuung Monatspauschale

Inhalt: Bereitstellung von Personalressourcen im Umfang von vereinbarten Stunden.

Die Faktura erfolgt im Rahmen der Vertragsabrechnung und beinhaltet den Support und Service sowie Anfragen im Rahmen der Vereinbarung. Außerdem können von dem Stundenkontingent Entwicklungsleistungen beansprucht werden. Hardware ist davon explizit ausgenommen. Stundenkontingente, die nicht in Anspruch genommen werden, verfallen nach 12 Monaten. Sollte das Stundenkontingent übersteigen erfolgt eine Nachfaktura der Mehrstunden (d.h. bei einem Stundenkontingent von 2h und einer Beauftragung von 5h erfolgt eine Nachverrechnung von 3h). Für gesonderte Projekte bzw. weitreichendere Schulungen kommt der vereinbarte Stundensatz zur Anwendung.

(4) ERP-Consulting/ERP-Entwicklung/IT Verwaltung und Support

Inhalt: Bereitstellung von Personalressourcen für die Beratung, Konzeptionierung, Schulung, Weiterentwicklung, Problembehebung und Einrichtung im Datenspeicher des Auftraggebers bzw. dessen Endgeräten.

6. FAKTURIERUNG/ABRECHNUNG

Faktura: Wenn keine Pauschalen für einzelne Dienstleistungsarten (z.B.: Schulung, Entwicklung, Projektmanagement, ...) vereinbart wurden (Text: „Pauschale“ als Mengeneinheit in Angeboten), werden zu Monatsbeginn die tatsächlichen Aufwände, welche die Mitarbeiter der SCRIMO GmbH sowie eventuelle Subunternehmer für das jeweilige Kundenprojekt bzw. für die jeweilige Kundenaufgabe dokumentiert haben, vom Vormonat abgerechnet.

Der Auftraggeber erhält in diesem Fall mit der Faktura eine Aufstellung der geleisteten Tätigkeit.

Fahrtkosten und Spesen sind nicht inkludiert und werden, wenn keine individuelle Vereinbarung getroffen wurde, zu 1 €/km vom Arbeitsplatz bzw. vom Wohnort des Consultants berechnet.

Eventuelle Übernachtungskosten bzw. sonstige Spesen werden weiterverrechnet.

7. INDEXANPASSUNG

Eine jährliche Indexerhöhung kann durch den Auftragnehmer vorgenommen werden. Als Zahlungsziel gelten 14 Tage netto nach Rechnungserhalt, sofern keine andere Vereinbarung getroffen wurde. Die Faktura erfolgt üblicherweise zum Monatsersten mit Leistungszeitraum des Vormonats. Hardware, sowie Softwarelizenzen oder Softwarepakete werden in der Regel unmittelbar nach Auslieferung fakturiert. Wir behalten uns vor nach Rücksprache

Fakturen unmittelbar nach bzw. in gewissen Fällen auch vor Leistungserbringung zu erstellen.

8. SCRIMO APPS UND SCRIMO WARTUNG

Im Rahmen dieses Vertrags stellt der Auftraggeber Erweiterungsapplikationen zur Verfügung. Diese Erweiterungsapplikationen (SCRIMO APPS) sind eigenständige Applikationen oder aber auch Erweiterungsapplikationen. Diese Apps werden mit einem Listenpreis kalkuliert, welcher einmalig zur Abrechnung kommt. Außerdem wird für jede Applikation eine jährliche Benutzungs- und Wartungsgebühr in Rechnung gestellt.

9. GEMEINWOHL FÜR NGOS UND NON-PROFIT ORGANISATIONEN

10. PFLICHTEN DES AUFTRAGNEHMERS

Für NGOs und Non-Profit Organisationen, die deren Geschäftstätigkeit auf Basis des Gemeinwohls fokussieren, bieten wir reduzierte Stundensätze an.

(1) Der Auftraggeber

Mitwirkungspflichten

Leistungserbringung

vertragliche Pflicht darstellt. Falls nicht anders vereinbart, ist der Auftraggeber verpflichtet, die für die Leistungserbringung des Auftragnehmers erforderlichen Räumlichkeiten, technischen Umgebungen, Systemzugriffe, Auskunftspersonen und Unterlagen ohne Kosten für den Auftragnehmer zur Verfügung zu stellen.

erkennt an, dass die Erfüllung seiner grundlegende Voraussetzung für die durch den Auftragnehmer ist und insoweit eine

(2) DerAuftragnehmerverpflichtetsich,DatenundVerarbeitungsergebnisseausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
(3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und dem Ausscheiden beim Auftragnehmer aufrecht.
(4) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage 1 zu entnehmen). Dies gilt nur, wenn der Auftraggeber über

den Auftragnehmer ein Datenhosting betreibt.

(5) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. Die dafür notwendigen Aufwände werden vom Auftragnehmer an den Auftraggeber in Rechnung gestellt.

(6) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation). Die dafür notwendigen Aufwände werden vom Auftragnehmer an den Auftraggeber in Rechnung gestellt.
(7) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.
(8) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
(9) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben bzw. in dessen Auftrag zu vernichten. Die dafür notwendigen Aufwände werden vom Auftragnehmer an den Auftraggeber in Rechnung gestellt.
(10) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

11. ORT DER DURCHFÜHRUNG DER DATENVERARBEITUNG

Alle Datenspeicherungen, welche direkt über den Auftragnehmer abgewickelt werden, werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt.

12. SUB-AUFTRAGSVERARBEITER

Der Auftragnehmer ist befugt Unternehmen als Sub-Auftragsverarbeiter hinzuziehen.

Dabei werden europäische Rechenzentren bzw. Unternehmen beauftragt, die im Einzelfall jederzeit bekannt gegeben werden können. Bei der Auswahl der Subunternehmung wird auf die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO geachtet. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Sub- Auftragsverarbeiter gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub- Auftragsverarbeiters. Wenn die Speicherung der Daten, also der Ort der Daten, vom Auftraggeber direkt verwaltet wird (kein Hosting über den Auftragnehmer), so hat sich der Auftraggeber, direkt bzw. über den Lieferanten, bei dem diese Daten gespeichert sind, im Sinne des Art28 Abs 4 DSGVO darum zu kümmern.

13. LOGO UND REFERENZVERWENDUNG

Im Rahmen von Marketing-Aktivitäten des Auftragnehmers kann es vorkommen, dass der Name des Auftraggebers und dessen Logo, Schriftzug sowie Slogan in den Plattformen, welche durch den Auftragnehmer verwaltet werden, verwendet werden.

Dazu gehören unter anderem: Facebook, Instagram, Xing, LinkedIn, die Homepage der SCRIMO GmbH (www.scrimo.com) sowie die Homepage www.odoo.com.

Im Rahmen dieser Vereinbarung wird explizit darauf hingewiesen.

Sollte dies nicht erwünscht sein, oder ein bestehendes Posting nicht im Sinne des Auftraggebers erfolgt sein, so wird der Auftragnehmer innerhalb einer entsprechenden Frist die entsprechenden Einträge im Rahmen der Möglichkeiten des Auftragnehmers entfernen.

ANLAGE 1 – TECHNISCH-ORGANISATORISCHE MASSNAHMEN VERTRAULICHKEIT

Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen wird durch den Subauftragverarbeiter geregelt.
Zugangskontrolle: Schutz vor unbefugter Systembenutzung wird durch den Subauftragsverarbeiter sowie mittels entsprechender Passwortverwaltungssoftware mit 2 Faktoren Authentifizierung geschützt.
Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems. Für die korrekte Handhabung und der entsprechenden Komplexität der Passwörter für die dem Auftraggeber zur Verfügung gestellten Zugriffsbenutzer, hat der Auftraggeber Sorge zu leisten. Der Auftragnehmer kann ein Passwortpolicy-Programm zur Verfügung stellen.
INTEGRITÄT1
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur.
Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.
VERFÜGBARKEIT UND BELASTBARKEIT
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust trägt der Subauftragnehmer der Auftragnehmer (unterbrechungsfreie Stromversorgung, Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene) - nur bei Hosting über Auftragnehmer - eine tägliche Backup-Strategie (auf anderen physischen Server), wenn die Daten direkt beim Kunden gespeichert werden, so ist der Auftraggeber für die Verfügbarkeitskontrolle verantwortlich.
Rasche Wiederherstellbarkeit ist im Falle eines SCRIMO Hostings gewährleistet. VERFAHREN ZUR REGELMÄßIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG
Datenschutz-Management einschließlich regelmäßiger Mitarbeiter-Schulungen
Datenschutzfreundliche Voreinstellungen
Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne
entsprechende Weisung des Auftraggebers, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters, Vorabüberzeugungspflicht, Nachkontrollen.

1 Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.