Demotermin buchen
Bereitstellung einer webbasierten Softwarelösung als SaaS-Modell durch die ESGbot GbR an den Kunden
Enthaltene Dokumente:
(1) Diese Allgemeinen Geschäftsbedingungen (nachfolgend "AGB") regeln die Bereitstellung und Nutzung der Software-as-a-Service-Lösung (nachfolgend "Software") durch die ESGbot GbR, Waldstraße 28, 93161 Sinzing, team@ESGbot.de (nachfolgend "Anbieter").
(2) Diese AGB gelten ausschließlich gegenüber Unternehmen im Sinne des § 14 BGB. Verbraucher sind von der Nutzung ausgeschlossen. Der Anbieter kann vor Vertragsschluss einen Nachweis über die Unternehmereigenschaft verlangen.
(3) Vertragliche Grundlage ist der Nutzungsvertrag, der durch Registrierung und Buchung zustande kommt. Abweichende AGB des Kunden finden keine Anwendung, es sei denn, der Anbieter stimmt deren Geltung ausdrücklich zu.
(1) Die Darstellung der Software auf der Website stellt kein bindendes Angebot dar. Der Kunde registriert sich unter Angabe seiner Firmendaten und wählt ein Nutzungsmodell. Mit Abschluss der Buchung gibt der Kunde ein verbindliches Angebot ab. Der Vertrag kommt zustande, wenn der Anbieter dieses Angebot annimmt oder die Software bereitstellt.
(2) Jede juristische Person darf nur einen Account führen, der mehrere Nutzer beinhalten kann. Die Zugangsdaten dürfen nicht weitergegeben werden.
(1) Die Software ist eine webbasierte Anwendung zur Informationsbeschaffung zu ESG-relevanten Gesetzen und Dokumenten sowie zur Unterstützung bei der Bearbeitung gesetzlicher Anforderungen. Sie dient der Digitalisierung und Optimierung angeknüpfter Prozesse. Die Software wird auf Servern des Anbieters oder seiner Sub-Dienstleister betrieben und gewartet. Die Server werden in EU-Standorten betrieben, mit Deutschland als Hauptstandort, und ggf. ergänzenden EU-Standorten für KI-Module bei Azure.
(2) Der konkrete Leistungsumfang ergibt sich aus dem jeweils aktuellen Angebot auf der Website.
(3) Der Anbieter gewährleistet die technische Weiterentwicklung durch Updates, sofern sie zur Sicherheit, Funktionalität oder Rechtskonformität erforderlich sind. Funktionale Erweiterungen können gesondert angeboten werden. Darüberhinausgehende Leistungen werden von dem Anbieter aufgrund dieses Vertrages nicht geschuldet.
(1) Die Software steht grundsätzlich 24/7 zur Verfügung. Der Anbieter garantiert eine durchschnittliche Jahresverfügbarkeit von 99 %, bezogen auf den Routerausgang (Übergabepunkt) des Rechenzentrums. Ab dem Übergabepunkt ist der Kunde für die Nutzung der Software verantwortlich. Für den Nachweis der Verfügbarkeit sind die Messwerte des Anbieters im Rechenzentrum maßgeblich. Im Zusammenhang mit der Berechnung der Verfügbarkeit bleiben folgende Zeiten außer Betracht: unerhebliche Störungen, Störungen, die innerhalb der Behebungszeiten beseitigt werden, Wartungsarbeiten, höhere Gewalt, Verschulden Dritter.
(2) Wartungsarbeiten erfolgen in der Regel werktags zwischen 22:00 und 04:00 Uhr. Diese werden mindestens 24 Stunden im Voraus angekündigt, sofern planbar. Die Behebung einer Störung ist Montag bis Freitag zwischen 14:00 und 20:00 Uhr (Servicezeit) gewährleistet.
(3) Störungen sind unverzüglich an den Anbieter per E-Mail zu melden. Kritische Ausfälle werden während der Servicezeiten (Mo-Fr, 14:00–20:00 Uhr) binnen 6 Stunden bearbeitet. Mittlere Fehler binnen 12 Stunden.
(4) Im Übrigen wird auf das SLA verwiesen.
(1) Der Kunde erhält für die Vertragslaufzeit ein einfaches, nicht übertragbares Nutzungsrecht für die Software im vertraglich vereinbarten Umfang und ausschließlich für die Dauer der Vertragslaufzeit. Eine Überlassung an Dritte, Weiterverkauf, Reverse Engineering oder Nutzung zur Entwicklung konkurrierender Produkte ist untersagt.
(2) Nach Vertragsende erlischt das Nutzungsrecht automatisch.
(3) Die Software kann Open Source Software-Komponenten enthalten. Die Nutzung dieser Komponenten unterliegt ausschließlich den entsprechenden Nutzungsbedingungen der Open Source Software-Komponenten, die im Rahmen der Open Source Software-Komponenten übermittelt und/oder referenziert werden. Im Falle von Widersprüchen oder entgegenstehenden Vorschriften von Lizenzbestimmungen der Open Source Software und den Bestimmungen dieser AGB genießen die Lizenzbestimmungen der Open Source Software Vorrang.
(4) Stellt der Anbieter APIs oder Add-Ons für Drittsoftware zur Verfügung ist diese Drittsoftware von der hiesigen Rechteeinräumung nicht erfasst. Der Kunde ist für die Einholung entsprechender Nutzungsrechte selbst verantwortlich.
(1) Der Anbieter stellt dem Kunden einen verbindlichen Nutzungsleitfaden in der jeweils aktuellen Fassung zur Verfügung. Dieser beschreibt die ordnungsgemäße technische und funktionale Nutzung der Software sowie die einzuhaltenden Voraussetzungen für einen störungsfreien und funktionalen Betrieb.
(2) Der Nutzungsleitfaden wird dem Kunden bei Vertragsschluss ausgehändigt oder elektronisch zur Verfügung gestellt. Der Nutzungsleitfaden ist Bestandteil des Nutzungsvertrags und gilt ergänzend zu diesen AGB. Änderungen des Leitfadens durch den Anbieter sind zulässig, sofern sie dem Kunden mindestens zwei Wochen vor Inkrafttreten mitgeteilt werden und keine nachteilige Einschränkung der vertraglich zugesicherten Leistungen darstellen.
(3) Der Kunde verpflichtet sich, die Software ausschließlich im Einklang mit dem Nutzungsleitfaden zu verwenden. Insbesondere hat der Kunde die dort beschriebenen Systemvoraussetzungen, Sicherheitsmaßnahmen und vor allem die Bedienhinweise zu beachten.
(4) Der Anbieter übernimmt keine Haftung für Schäden, Funktionsstörungen oder Datenverluste, die auf einer Nutzung der Software entgegen dem Nutzungsleitfaden beruhen. Dies gilt insbesondere für Fälle, in denen:
• empfohlene technische Maßnahmen und notwendige Kontrollen/Prüfungen der durch die Software ausgewiesenen Quellen nicht vorgenommen wurden,
• Schnittstellen fehlerhaft bedient oder unsachgemäß konfiguriert wurden,
• Daten in nicht vorgesehener Weise importiert oder verarbeitet wurden.
(5) Eine etwaige Haftung des Anbieters bleibt im Übrigen unberührt, sofern der Kunde nachweist, dass der Schaden nicht auf der Missachtung des Nutzungsleitfadens beruht.
(1) Alle Preise verstehen sich netto zuzüglich Umsatzsteuer.
(2) Die Rechnungsstellung erfolgt je nach Abo-Modell monatlich oder jährlich und ist innerhalb von 14 Tagen zu begleichen. Bei Zahlungsverzug kann der Anbieter den Zugang zur Software sperren. Bleibt der Zahlungsverzug länger als 60 Tage bestehen, kann der Anbieter außerordentlich kündigen.
(3) Der Anbieter behält sich vor, Entgelte mit Wirkung für zukünftige Vertragsperioden anzupassen. Preisänderungen werden mit einer Frist von 8 Wochen angekündigt. Erhöht sich der Preis um mehr als 10%, kann der Kunde mit einer Frist von 14 Tagen zum Ende der laufenden Periode kündigen.
(1) Der Kunde verpflichtet sich, die Software nur im Rahmen des vertraglich vereinbarten Umfangs zu nutzen. Er trifft angemessene Schutzvorkehrungen gegen unbefugten Zugriff.
(2) Für die Inhalte und Daten, die er über die Software verarbeitet, ist allein der Kunde verantwortlich. Der Kunde hat sicherzustellen, dass diese keine Rechte Dritter verletzen oder gesetzliche Vorschriften missachten.
(1) Die Vertragsparteien schließen vor Beginn der Nutzung eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Der Anbieter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden und trifft angemessene technische und organisatorische Schutzmaßnahmen.
(2) Daten bleiben im Eigentum des Kunden. Nach Vertragsende kann der Kunde seine Daten binnen drei Monaten in einem gängigen Format exportieren lassen. Anschließend erfolgt die Löschung.
(1) Der Anbieter haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit. Bei leichter Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), beschränkt auf den vertragstypischen, vorhersehbaren Schaden.
(2) Die Haftung für Datenverlust wird auf den Wiederherstellungsaufwand bei ordnungsgemäßer Datensicherung begrenzt. Die verschuldensunabhängige Haftung für Mängel bei Vertragsschluss ist ausgeschlossen.
(1) Der Vertrag läuft zunächst über einen Zeitraum von 12 Monaten und verlängert sich automatisch um weitere 12 Monate, wenn er nicht mit einer Frist von 30 Tagen zum Laufzeitende gekündigt wird.
(2) Das Recht zur außerordentlichen Kündigung bleibt unberührt. Eine solche liegt insbesondere bei Zahlungsverzug, wiederholter Pflichtverletzung oder Insolvenz vor.
(3) Nach Vertragsende erlischt der Zugang zur Software. Daten werden nach Ablauf der Exportfrist gelöscht.
(1) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist Sinzing, sofern beide Parteien Kaufleute sind.
(2) Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt. Anstelle der unwirksamen Regelung tritt eine solche, die dem wirtschaftlichen Zweck am nächsten kommt.
Zwischen [Kunde] als Verantwortlicher (hier bezeichnet als „Auftraggeber")
und
ESGbot GbR, Waldstraße 28, 93161 Sinzing als Auftragsverarbeiter (hier bezeichnet als „Auftragnehmer")
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der Bereitstellung der Software-as-a-Service-Lösung (SaaS) gemäß dem Hauptvertrag. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
(1) Verantwortlicher ist gem. Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
(2) Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(3) Personenbezogene Daten sind gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
(4) Besonders schutzbedürftige personenbezogene Daten sind personenbezogenen Daten gem. Art. 9 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DS-GVO, biometrischen Daten gem. Art. 4 Abs. 14 DS-GVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
(5) Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(6) Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.
(1) Zuständige Aufsichtsbehörde für den Auftraggeber ist:
Der Beauftragte für Datenschutz und Informationsfreiheit des Bundeslandes [Bundesland eintragen].
(2) Zuständige Aufsichtsbehörde für den Auftragnehmer ist:
Der Beauftragte für Datenschutz und Informationsfreiheit des Bundeslandes Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz.
(3) Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
(1) Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der Zurverfügungstellung einer Software (ESGbot) auf Grundlage des Vertrags vom ([Datum Hauptvertrag]) („Hauptvertrag"). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung). Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
(2) Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
(3) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
(4) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Die weisungsberechtigten Personen ergeben sich aus Anlage 5. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.
(3) Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
(1) Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die in Anlage 1 näher spezifizierten personenbezogenen Daten.
(2) Der Kreis der von der Datenverarbeitung Betroffenen ist in Anlage 2 dargestellt.
Die Software steht dem Kunden zu 99 % im Jahresmittel zur Verfügung. Grundlage ist die Messung am Routerausgang des Rechenzentrums des Anbieters. Zeiten geplanter Wartungsarbeiten und Störungen außerhalb des Einflussbereichs des Anbieters bleiben bei der Berechnung der Verfügbarkeit unberücksichtigt.
• Regelmäßige Wartungsarbeiten erfolgen werktags zwischen 22:00 Uhr und 04:00 Uhr (MEZ).
• Wartungsfenster dürfen insgesamt bis zu 6 Stunden pro Woche betragen.
• Planbare Wartungsarbeiten werden dem Kunden mindestens 24 Stunden im Voraus angekündigt.
• Dringende außerplanmäßige Wartungsmaßnahmen, die zur Aufrechterhaltung der Betriebssicherheit notwendig sind, dürfen auch kurzfristig durchgeführt werden.
• Gesamtausfall der Software oder Ausfall einer Hauptfunktion
• Reaktionszeit: innerhalb von 6 Stunden während der Servicezeiten
• Teilweise eingeschränkte Nutzung, Hauptfunktionen sind gestört, aber verfügbar
• Reaktionszeit: innerhalb von 12 Stunden während der Servicezeiten
• Nicht betriebsrelevante oder kosmetische Fehler
• Behebung nach technischer Möglichkeit innerhalb der regulären Entwicklungszyklen
• Supportanfragen können über folgende Kanäle gestellt werden: E-Mail: team@ESGbot.de
• Supportzeiten: Montag bis Freitag, 14:00 – 20:00 Uhr (MEZ) (ausgenommen gesetzliche Feiertage am Sitz des Anbieters)
Bei nicht fristgerechter Behebung eines kritischen Fehlers erfolgt eine Eskalation an die technische Leitung des Anbieters. Weitere interne Eskalationsstufen werden dokumentiert und sind bei Bedarf einsehbar.
Der Anbieter erstellt auf Wunsch monatliche Berichte zur Systemverfügbarkeit, dokumentierten Ausfällen und Wartungszeiträumen.
Für den Nachweis der Einhaltung der vereinbarten Verfügbarkeit gelten die Messinstrumente des Anbieters im Rechenzentrum als maßgeblich. Nichtverfügbarkeiten aufgrund von höherer Gewalt oder Ursachen außerhalb des Einflussbereichs des Anbieters bleiben unberücksichtigt.
Stand: Mai 2025
Im Rahmen der SaaS-Nutzung „ESGbot" verarbeitet der Auftragnehmer folgende personenbezogene Datenkategorien des Auftraggebers. Besondere Kategoriedaten gemäß Art. 9 DSGVO werden nicht systematisch erhoben, können jedoch inzident in hochgeladenen Unterlagen vorkommen (siehe Nr. 7).
1. Stamm- und Kontaktdaten
• Vor- und Nachname
• geschäftliche E-Mail-Adresse
• Funktions-/Rollenbezeichnung (z. B. ESG-Beauftragte:r)
• Firmenzugehörigkeit, Abteilung
2. Authentifizierungs- und Zugangsdaten
• Benutzername (in der Regel E-Mail)
• Passphrase-Hash (bcrypt, salted)
• API-Tokens / Session-IDs
3. Nutzungs- und Protokolldaten (Log-Daten)
• Zeitstempel von Log-ins / Log-outs
• ausgeführte API-Routen, GraphQL-Queries
• IP-Adresse und User-Agent des Endgeräts • Änderungs- und Löschhistorie
4. Kommunikationsinhalte
• Chat-Nachrichten mit vom Nutzer eingegebenem Freitext
• Systemnachrichten des ESG-Assistenten (AI-Antworten)
• Konversationen enthalten ggf. Firmeninterna oder personenbezogene Referenzen
5. Zahlungs- und Abrechnungsdaten
• Stripe-Kunden-ID und Abo-ID
• Stripe Event-Informationen inklusive Rechnungs- und Buchungshistorie
• Kontakt- und Anschriftendaten für die Rechnung
6. Hochgeladene Dateien / Dokumenteninhalte
• PDF-Dokumente (Jahresberichte, ESG-Berichte, Verträge, Audits)
• Metadaten: Dateiname, Upload-Datum, Dokumentenkategorie
• Volltext-Index (tokenisierte Textabschnitte für AI-Verarbeitung)
Hinweis: Der Auftraggeber entscheidet über die Inhalte; eine Vorab-Filterung besonderer Kategorien findet nicht statt (Bring-your-own-data).
7. Besondere Kategorien personenbezogener Daten i. S. d. Art. 9 DSGVO (nur falls in Nr. 6 enthalten)
• Besondere Kategorien wie Gesundheits-, Gewerkschafts-, ethnische Angaben o. Ä. können in frei hochgeladenen Dokumenten vorkommen.
• Verarbeitung erfolgt rein speichernd im Auftrag; ESGbot nimmt keine gezielte inhaltliche Auswertung besonderer Kategorien vor.
• Auftraggeber bleibt für Rechtsgrundlage und White-Listing solcher Inhalte verantwortlich (vgl. Hauptvertrag § 8 Abs. 2).
8. Technische Geräte- und Metadaten (kein Personenbezug ohne Zusatzwissen)
• Browser-Typ, Betriebssystem, Bildschirmauflösung
• Antwortzeit, Fehlermeldungen (Performance-Logs)
Erfüllung der Verpflichtungen zur Berichterstattung über die Nachhaltigkeit.
Navigation durch sowie Informationsbeschaffung zu unterschiedlichen Gesetzen aus den Bereichen ESG, Energie, Immobilien und Business.
Mitarbeitende des Auftraggebers wie beispielsweise: ESG-/Nachhaltigkeitsbeauftragter, Fach- und Führungskräfte, Geschäftsführung, Rechts- und Unternehmensberater
1. Datenschutzrechtlich verantwortliche Person
Vincent Wypior, An der Frauenwiese 9, 93183 Kallmünz
Email: vincent.wypior@esgbot.de
2. Regelmäßige Schulungen und Belehrungen
Alle Mitarbeitenden erhalten mindestens einmal jährlich eine Datenschutz- und IT-Sicherheitsunterweisung; Teilnahme und Lernerfolg werden dokumentiert.
3. Regelmäßige Sicherheitsüberprüfungen
Der Quell- und Container-Code wird wöchentlich automatisiert auf Schwachstellen geprüft (Software-Composition- & Vulnerability-Scans). Externe Penetrationstests werden nach Bedarf beauftragt.
4. Kontrollen zur Einhaltung datenschutzrechtlicher Vorschriften
Die verantwortliche Person führt planmäßig interne Audits durch und dokumentiert deren Ergebnisse.
5. Ort der Datenverarbeitung
Personenbezogene Daten werden ausschließlich in Rechenzentren innerhalb Deutschlands bzw. der EU verarbeitet (Hetzner Online, Microsoft Azure EU).
1. Vertraulichkeit
a) Zutrittskontrolle
• Physische Sicherheit der Server wird vollständig durch Hetzner Online bzw. Microsoft Azure gewährleistet (Karten-, Video- und Schließsysteme).
• Gebäudezutrittsregelungen bestehen provider-seitig.
b) Zugangskontrolle
• Einsatz von Firewall-Regeln sowie server-seitigem Virenschutz.
• Passwortrichtlinie: mind. 12 Zeichen, drei Zeichengruppen; Kennwortwechsel nach definiertem Zyklus.
• Automatische Sperrung des Kontos nach mehrmaligen Fehlversuchen; Off-boarding-Prozess deaktiviert Zugänge umgehend.
• Unterschiedliche Konten für Systemadministratoren und reguläre Nutzer.
• Systemadministrationen werden lückenlos protokolliert und ausgewertet.
• Betriebssystem-Sicherheitsupdates werden automatisiert eingespielt.
• Schriftliche Richtlinien zur Nutzung von IT-Systemen und Kennwörtern liegen vor.
c) Zugriffskontrolle
• Authentifizierung über ein token-basiertes Verfahren; sämtliche API-Aufrufe werden rollen- und rechtebasiert geprüft.
• Zugriffsvorgänge werden protokolliert und regelmäßig ausgewertet.
d) Trennungskontrolle
• Logische Datentrennung mittels Rechteverwaltung.
• Strikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen.
• Funktionstrennung ist formell festgelegt.
Die nachfolgenden Unternehmen sind genehmigte Subunternehmer im Sinne des § 9:
Hetzner Online GmbH
Name & Rechtsform: Hetzner Online GmbH
Anschrift: Industriestr. 25, 91710 Gunzenhausen, Deutschland
Kontakt: Tel. +49 (0) 9831 505-0, info@hetzner.com
Microsoft Azure (Microsoft Ireland Operations Limited)
Name & Rechtsform: Microsoft Ireland Operations Limited
Anschrift: One Microsoft Place, South County Business Park, Leopardstown, Dublin D18 P521, Irland
Kontakt: Tel. +353 1 295 3826, eureg@microsoft.com
Stripe Payments Europe, Limited
Name & Rechtsform: Stripe Payments Europe, Limited
Anschrift: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland
Kontakt: media@stripe.com (Press) | lerequests@stripe.com (Legal)
Weisungsberechtigte Personen des Auftraggebers sind
[Owner des ESGbot Account ist automatisch Weisungsberechtigter und wird somit automatisch ausgefüllt]
Weisungsempfänger beim Auftragnehmer sind
Herr Fabian Raschke, Waldstraße 28, 93161 Sinzing