Cash 365Fraud Prevention 365Contact us
Contact usEN

Rechtliche Aspekte & Compliance

Datenschutz
Impressum
Allgemeine Geschäftsbedingungen für die Nutzung: Fraud Prevention 365
Allgemeine Geschäftsbedingungen für die Nutzung: Cash 365

Datenschutz

Datenschutzerklärung für Microsoft Account von BANQR Digital Solutions GmbH

‍

I. Allgemeine Hinweise

Diese Datenschutzerklärung gilt für den Microsoft Account von BANQR.

Sie können diese Datenschutzerklärung jederzeit unter der Rubrik „Datenschutzerklärung“ abrufen.

‍

II. Name und Anschrift des Verantwortlichen

BANQR ist als Betreiber der Webseite die verantwortliche Stelle für Ihre personenbezogenen Daten, die aufgrund der Nutzung dieser Webseite verarbeitet werden.

BANQR Digital Solutions GmbH

Thyssenstrasse 6-8

32312 Lübbecke

E-Mail: info@getbanqr.com

‍

III. Datenverarbeitungen

Die im Folgenden genannten Datenverarbeitungen beziehen sich sowohl auf die Nutzung unserer Webseite zu reinen Informationszwecken als auch auf die von uns zum Herunterladen bereitgestellten Inhalte.

  1. Kontaktaufnahme
  2. Beschreibung und Umfang der Datenverarbeitung

Sie haben die Möglichkeit, mit uns auf verschiedene Weise in Kontakt zu treten. Sofern Sie auf unserer Website das von uns bereitgestellte Kontaktformular benutzen, werden Sie gebeten folgende personenbezogene Daten anzugeben:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Inhalt der Nachricht

Darüber hinaus steht es Ihnen frei mit uns über die auf unserer Website angegebenen E-Mail-Adressen in Kontakt zu treten, unter anderem durch Senden einer E-Mail an info@getbanqr.com.

  • Rechtsgrundlage der Datenverarbeitung

Die Verarbeitung der von Ihnen angegebenen Daten erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO.

Sofern durch die Nachricht vorvertragliche Maßnahmen eingeleitet werden oder diese im Zusammenhang mit einem bestehenden Vertrag versendet wurde, erfolgt die Verarbeitung der betreffenden Daten nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO.

  • Zweck der Datenverarbeitung

Die von Ihnen im Formular angegebenen personenbezogenen Daten werden verarbeitet, um Ihre Anfrage schnellstmöglich beantworten zu können.

  • Dauer der Speicherung

Wir anonymisieren Ihre personenbezogenen Daten, wenn sie für die Erreichung des Zweckes ihrer Verarbeitung nicht mehr erforderlich sind.

Für personenbezogene Daten, die an uns im Rahmen Ihrer Kontaktaufnahme per Kontaktformular übersandt wurden, ist dies nach 30 Tagen der Fall, nachdem die jeweilige Konversation mit Ihnen beendet ist. Beendet ist die Konversation, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt geklärt wurde.

Sofern durch die Nachricht im Kontaktformular vorvertragliche Maßnahmen eingeleitet werden oder eine laufende Vertragsbeziehung betrifft, werden die angegebenen Daten nach Ablauf der Verjährungsfrist gelöscht, beginnend mit dem Schluss des Jahres, in dem das Vertragsverhältnis beendet wurde. Nach Eintritt der Verjährung werden Ihre Daten gesperrt und nach Ablauf der gesetzlichen Aufbewahrungspflichten gelöscht (siehe hierzu V. Aufbewahrungspflichten).

  • Widerruf der Einwilligung

Ihre Einwilligung in die Verarbeitung der von Ihnen im Kontaktformular angegebenen personenbezogenen Daten können Sie jederzeit nach Art. 7 DSGVO widerrufen. Hierzu wenden Sie sich bitte an: datenschutz@getbanqr.com. Die Rechtmäßigkeit der bis dahin aufgrund der Einwilligung erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

  • Vertragsabwicklung

a) Beschreibung und Umfang der Datenverarbeitung
Wir bieten Ihnen die Möglichkeit an, unsere Software gegen Zahlung einer Lizenzgebühr herunterzuladen. Hierzu verarbeitet wir folgende personenbezogene Daten von Ihnen:

  • Anrede
  • Vorname, Nachname
  • E-Mail-Adresse
  • Anschrift

b) Rechtsgrundlage der Datenverarbeitung
Rechtsgrundlage für die Verarbeitung Ihrer Daten, die im Zuge der Vertragsabwicklung erhoben und weiterverarbeitet werden, ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.

c) Zweck der Datenverarbeitung
Der Zweck der Datenverarbeitung ist die Vertragsabwicklung.

d) Dauer der Speicherung
Wir löschen Ihre personenbezogenen Daten, wenn sie für die Erreichung des Zweckes Ihrer Verarbeitung nicht mehr erforderlich sind. Das ist in der Regel nach Ablauf der Verjährungsfrist der Fall, beginnend mit dem Schluss des Jahres, in dem das Vertragsverhältnis beendet wird. Nach Eintritt der Verjährung werden Ihre Daten gesperrt und nach Ablauf der gesetzlichen Aufbewahrungspflichten gelöscht (siehe hierzu V. Aufbewahrungspflichten).

‍

IV. Ihre Rechte

Dieser Abschnitt informiert Sie über Ihre Rechte und wie Sie diese ausüben können.

‍

1. Auskunftsrecht

Sie haben jederzeit gemäß Art. 15 DSGVO das Recht auf unentgeltliche Auskunft über die Verarbeitung Ihrer personenbezogenen Daten. Eine solche Auskunft enthält eine Übersicht über die Sie betreffenden Daten sowie eine Kopie dieser Daten, sofern angefordert. Wir werden Ihnen Ihre persönlichen Daten in einer gängigen elektronischen Form zur Verfügung stellen.

‍

2. Recht auf Berichtigung

Sollten Daten unrichtig sein oder werden, sind wir verpflichtet, die Angaben nach Art. 16 DSGVO auf Ihren Wunsch hin zu korrigieren.

‍

3. Recht auf Löschung („Recht auf Vergessenwerden“)

Sie können jederzeit nach Art. 17 DSGVO die Löschung von Daten verlangen.

‍

4. Recht auf Einschränkung der Verarbeitung

Immer dann, wenn wir Ihre Daten nicht löschen können (etwa wegen gesetzlicher Aufbewahrungspflichten), schränken wir die Verarbeitung der betreffenden Daten nach Maßgabe von Art. 18 DSGVO ein. Die Verarbeitung wird auch eingeschränkt, wenn Sie der Meinung sind, dass die von uns gespeicherten Daten nicht korrekt sind oder wenn es Uneinigkeit über die Rechtmäßigkeit der Verarbeitung gibt.

‍

5. Recht auf Datenübertragbarkeit

Sie können uns jederzeit gemäß Art. 20 DSGVO auffordern, Ihre persönlichen Daten an Sie oder einen Dritten Ihrer Wahl zu übertragen, sofern die gesetzlichen Voraussetzungen gegeben sind.

‍

6. Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Sie haben nach Art. 22 DSGVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

‍

7. Widerspruchsrecht

Sie haben gemäß Art. 21 DSGVO das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, wenn diese Verarbeitung auf einem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO beruht.

‍

8. Recht auf Beschwerde

Sie haben das Recht, sich mit einer Beschwerde an eine Datenschutzaufsichtsbehörde zu wenden, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutzgrundverordnung verstößt. In der Regel können Sie hierfür an die Aufsichtsbehörde Ihres Aufenthaltsortes oder unseres Unternehmens wenden. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Kavalleriestr. 2-4

40213 Düsseldorf

Telefon: 0211/38424-0

Fax: 0211/38424-999

E-Mail: poststelle@ldi.nrw.de

‍

9. Widerruf der Einwilligung

Gemäß Art. 7 Abs. 3 DSGVO haben Sie das Recht, Ihre Einwilligung, sofern Sie diese uns gegenüber erklärt haben, jederzeit zu widerrufen. Sollten Sie Ihre Einwilligung widerrufen, so werden wir ab dem Zeitpunkt des Widerrufs keine Ihrer personenbezogenen Daten mehr verarbeiten. Der Widerruf hat jedoch keinen Einfluss auf die Rechtmäßigkeit früherer Verarbeitungen. Wenn Sie Ihre Einwilligung, die Sie uns erteilt haben, widerrufen möchten, richten Sie Ihre Anfrage an: datenschutz@getbanqr.com.

‍

V. Aufbewahrungspflichten

Wir löschen alle personenbezogenen Daten mit Ausnahme einiger Kategorien zur Erfüllung unserer gesetzlichen Aufbewahrungspflichten. Diese Daten werden nach Ablauf der Fristen unverzüglich gelöscht, ohne dass Sie die Löschung erneut beantragen müssen.

Sofern die Aufbewahrung Ihrer personenbezogenen Daten erforderlich ist, ist sie für folgende Zwecke und Gesetze erforderlich:

1. Erfüllung von handels- und steuerrechtlichen Aufbewahrungsfristen, die sich auf folgende Gesetze beziehen: Handelsgesetzbuch (HGB), Abgabenordnung (AO) und Umsatzsteuergesetz (UStG). Die gesetzlichen Aufbewahrungsfristen und Dokumentationspflichten liegen zwischen sechs und zehn Jahren.

2. Sicherstellung einer ordnungsgemäßen Disaster Recovery, Durchführung von IT-Audits: GDPR (DSGVO) und BGB (Bürgerliches Gesetzbuch). Die gesetzlichen Fristen und Dokumentationspflichten liegen bei drei Jahren.

3. Forderungs- und Beweismanagement: DSGVO (Datenschutzgrundverordnung) und BGB (Bürgerliches Gesetzbuch). Die gesetzlichen Fristen und Dokumentationspflichten liegen bei drei Jahren ab Ende des Jahres, in welchem das zu dokumentierende Ereignis stattfand.

‍

Impressum

‍

Angaben gemäß § 5 DDG:

BANQR Digital Solutions GmbH
Thyssenstrasse 6-8
32312 Lübbecke
Deutschland

‍

Kontakt:
E-Mail: info@getbanqr.com

‍

Vertreten durch:

Geschäftsführer: Wolfgang Gehrlicher

‍

Registereintrag:

Eintragung im Handelsregister.
Registergericht: Amtsgericht Bad Oeynhausen

Registernummer: HRB 19403

‍

Umsatzsteuer-ID:

Umsatzsteuer-Identifikationsnummer gemäß § 27 a Umsatzsteuergesetz: DE366899855

‍

Verantwortlich für den Inhalt nach § 18 Abs. 2 MStV:

BANQR Digital Solutions GmbH
Thyssenstrasse 6-8
32312 Lübbecke
Deutschland

‍

Haftung für Links

Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

‍

Urheberrecht

Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet.

Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.

‍

Streitbeilegung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr. Unsere E-Mail-Adresse finden Sie oben im Impressum. Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§ 36 VSBG).

‍

Realisierung dieser Website

BANQR Digital Solutions GmbH
Thyssenstrasse 6-8
32312 Lübbecke
Deutschland

‍

Aktualisierungsdatum:

Dieses Impressum wurde zuletzt am 07. Oktober 2024 aktualisiert. Wir behalten uns das Recht vor, diese Angaben bei Bedarf anzupassen, um den aktuellen rechtlichen Anforderungen zu entsprechen oder Änderungen unserer Dienstleistungen im Impressum umzusetzen. Für Ihren erneuten Besuch gilt die jeweils aktuelle Version des Impressums.

Allgemeine Geschäftsbedingungen für die Nutzung der Software „Fraud Prevention 365" von BANQR (AGB)

§ 1 Geltungsbereich

(1) Die vorliegenden AGB finden Anwendung auf die zwischen der BANQR Digital Solutions GmbH, Thyssenstrasse 6-8, 32312 Lübbecke, vertreten durch den Geschäftsführer: Wolfgang Gehrlicher, eingetragen im Handelsregister B des Amtsgerichts Bad Oeynhausen unter HRB 19403 (im Folgenden „BANQR") und Kunden (gemeinschaftlich im Folgenden auch „Parteien") über das Online-Portal von BANQR, abrufbar unter www.banqr.io (im Folgenden: „Portal") geschlossenen Verträgen über die nachfolgenden Dienstleistungen.

(2) BANQR erbringt Dienstleistungen im Bereich Software-as-a-Service (SaaS). Die Software "Fraud Prevention 365" dient der Verifizierung von Bankkontodaten und ermöglicht dem Kunden, über das Portal in Echtzeit Kontodaten auf ihre Gültigkeit zu überprüfen (im Folgenden: „Verifizierungsprozess"). Der Kunde registriert sich im Portal von BANQR, erwirbt darüber ein API-Kontingent und kann anschließend Daten zur Verifizierung eingeben. Diese Daten werden an die Datenbank-Schnittstelle der Deutschen Bank (im Folgenden: „DB") weitergeleitet. Die Ergebnisse der Verifizierung werden dem Kunden in Echtzeit (Realtime) oder nahezu in Echtzeit (Neartime) bereitgestellt (vgl. § 3 Abs. 2).

(3) Kunden von BANQR können nur natürliche, juristische Personen oder rechtsfähige Personengesellschaften sein, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln. BANQR schließt ausdrücklich keine Verbraucherverträge.

(4) Der Geltung der Allgemeinen Geschäftsbedingungen des Kunden wird ausdrücklich widersprochen.

§ 2 Vertragsgegenstand

(1) BANQR stellt dem Kunden die SaaS-Lösung "Fraud Prevention 365" (im Folgenden: „Software") für die Dauer dieses Vertrages in der jeweils aktuellen Version über das Portal entgeltlich zur Verfügung.

(2) Der Kunde erhält durch Registrierung und Zahlung Zugang zum Portal und kann API-Kontingente erwerben.

(3) Der Kunde kann über das Portal Kontonummer und Kontoinhaber eingeben, die zur Verifizierung an die Schnittstelle der DB weitergeleitet werden.

(4) BANQR speichert diese Daten ausschließlich und nur temporär für die Verifizierungsprozess und zeigt dem Kunden das Ergebnis der Verifizierung in Echtzeit oder nahezu in Echtzeit an.

§ 3 Der Verifizierungsprozess

(1) Der Verifizierungsprozess ermöglicht es dem Kunden, die Gültigkeit von Konten und bestimmte kontobezogene Daten zu überprüfen, in dem er über die im Portal bereitgestellte Funktion entweder einzelne Verifizierungsanträge (z. B. für IBAN und Kontoinhaber) oder mehrere Anträge in Form eines Dateiimports (z. B. Excel oder CSV) übermitteln. Hierbei werden die zu überprüfenden Daten anhand des Datenpools der DB verifiziert, der nicht nur Konten der DB (einschließlich ihrer Zweigstellen und Tochtergesellschaften), sondern auch Daten von Drittbanken außerhalb der DB-Gruppe umfasst. Voraussetzung für die Verifizierung ist, dass die jeweilige Bank über die im Rahmen des Antrags angeforderten Informationen über das Vorhandensein der Konten und/oder der zugehörigen Daten verfügen.

(2) Da der Antrag des Kunden an die Datenbank-Schnittstelle der DB weitergeleitet wird, muss hinsichtlich der Anträge Folgendes unterschieden werden:

a. Betrifft der Antrag des Kunden ein Konto und/oder kontobezogene Daten einer Drittbank, die nicht zur DB-Gruppe gehört, wird nur die Weiterleitung des Antrags an die Drittbank durch BANQR geschuldet. BANQR ist in einem solchen Fall auf die Kooperation der Drittbank angewiesen und kann daher keinen Einfluss auf die Entgegennahme oder Bearbeitung des Antrags nehmen oder auf die Verifizierung hinwirken. Sollte die betreffende Drittbank nicht auf den Antrag des Kunden reagieren, ist BANQR allenfalls in der Lage dem Kunden ein Verifizierungsergebnis anhand historischer Informationen über die oder im Zusammenhang mit vom Kunden im Antrag angefragten Daten (z.B. Informationen, die sich auf das letzte Transaktionsdatum und/oder den letzten Zahlungsstatus beziehen) zukommen zu lassen, sofern BANQR solche historischen Danken über die Datenbank-Schnittstelle der DB bereitgestellt bekommt. In einem solchen Fall wird das Verifizierungsergebnis nicht in Realtime, sondern nur in Neartime bereitgestellt. Es kann außerdem nicht bestätigt werden, dass die zugrundeliegenden historischen Informationen zum Zeitpunkt der Bereitstellung des Verifizierungsergebnisses an Kunden noch richtig, vollständig und/oder aktuell sind. Dies erkennt der Kunde an und erklärt sich mit diesem Vorgehen einverstanden.

b. Betrifft der Antrag des Kunden ein Konto und/oder kontobezogene Daten der DB, einer ihrer Zweigstellen oder Tochtergesellschaften, dann kann die Verifizierung des Kontos und/oder kontobezogenen Daten durchgeführt werden, sofern die jeweilige Stelle über die im Rahmen des Antrags angeforderten Informationen verfügt. Diese Verifizierungsergebnisse werden dann in Realtime bereitgestellt.

(3) Der Kunde erkennt an und erklärt sich damit einverstanden, dass alle über die Datenbank-Schnittstelle der DB erhaltene Antworten zeitkritisch sind und ihr Inhalt ausschließlich die empfangenen Informationen zum Zeitpunkt der Verifizierung widerspiegeln und somit nach einer gewissen Zeit veraltet sein können.

(4) BANQR ist an den Antrag des Kunden gebunden und kann nicht über dessen Umfang hinausgehen oder den Antrag nachträglich ändern. BANQR ist außerdem weder in der Lage, die von der jeweiligen Bank auf den Antrag des Kunden hin bereitgestellten Informationen anzupassen noch wird dies von BANQR beabsichtigt. BANQR leitet lediglich die Anträge des Kunden an die Banken, wertet die von den Banken bereitgestellten Informationen aus und leitet das Verifizierungsergebnis an den Kunden weiter. Eine weitergehende Leistung wird von BANQR nicht geschuldet.

(5) Die Durchführbarkeit des Verifizierungsprozesses steht in Abhängigkeit zu der technischen Verfügbarkeiten Datenbank-Schnittstelle der DB. Sollte die Datenbank-Schnittstelle der DB aus irgendeinem Grund nicht funktionieren oder verfügbar sein, die DB ihren Dienst aussetzen oder dauerhaft einstellen, informiert BANQR den Kunden ohne schuldhaftes Zögern hierüber. Für den Fall einer länger andauernden Aussetzung oder dauerhaften Aussetzung der Dienste, kommen die Parteien bereits im Zeitpunkt des Vertragsschlusses überein, eine einvernehmliche Lösung für das weitere Vorgehen finden zu wollen.

§ 4 API-Kontingente und Bezahlung

(1) Der Kunde kann über das Portal API-Kontingente kostenpflichtig erwerben, solange solche verfügbar sind. Die API-Kontingente ermöglichen ihm je nach Angebot eine bestimmte Anzahl an Verifizierungsanfragen. Die Nutzung erworbener API-Kontingente ist zeitlich nicht befristet, steht aber in Abhängigkeit zu dem bereitgestellten Service der DB.

(2) Nach Verbrauch eines erworbenen API-Kontingents, steht es dem Kunden frei ein weiteres API-Kontingent zu erwerben.

(3) Die Bezahlung erfolgt im Voraus per Kreditkarte oder einem anderen von BANQR im Portal bereitgestellten Zahlungsmittel.

(4) Die Abrechnung erfolgt ebenfalls direkt über das Portal.

§ 5 Instandhaltung

(1) BANQR ist zur Aufrechterhaltung der vertraglich vereinbarten Beschaffenheit der Software während der Vertragslaufzeit ("Instandhaltung") verpflichtet. Die vertraglich geschuldete Beschaffenheit der Software bestimmt sich nach Maßgabe der Anlage 1. Zur Erfüllung der BANQR obliegenden Pflicht zur Instandhaltung wird BANQR die nach dem Stand der Technik erforderlichen Wartungs- und Instandhaltungsmaßnahmen durchführen.

(2) BANQR ist zu einer Änderung oder einer Anpassung der Software nur dann verpflichtet, wenn eine solche Änderung oder Anpassung zur Instandhaltung der Software nach dem Stand der Technik erforderlich ist. Im Übrigen ist BANQR zu einer Änderung, Anpassung und Weiterentwicklung der Software nur dann verpflichtet, wenn die Parteien dies gesondert vereinbaren. Ohne eine solche gesonderte Vereinbarung ist BANQR insbesondere nicht zu einer Weiterentwicklung der Software verpflichtet.

§ 6 Nutzungsrechte an der Software

(1) BANQR ist alleiniger und ausschließlicher Inhaber sämtlicher Rechte an der Software.

(2) BANQR räumt dem Kunden ein einfaches, nicht ausschließliches und nicht übertragbares, zeitlich auf die Vertragsdauer und örtlich auf das Gebiet der Bundesrepublik Deutschland beschränktes Recht ein, die Software bestimmungsgemäß und nur für interne Geschäftsprozesse zu nutzen.

(3) Soweit dies für die vertragsgemäße Nutzung erforderlich ist, ist der Kunde berechtigt, die gelieferte Software zu vervielfältigen. Als für die vertragsgemäße Nutzung erforderliche Vervielfältigung ist insbesondere das Laden der Software in den Arbeitsspeicher auf dem Server von BANQR anzusehen. Im Übrigen ist der Kunde zu einer Vervielfältigung nicht berechtigt, soweit gesetzlich nicht anderes bestimmt.

(4) Der Kunde ist nicht berechtigt, die Software Dritten entgeltlich oder unentgeltlich zur Nutzung zur Verfügung zu stellen. Eine Weitervermietung der Software wird dem Kunden somit ausdrücklich nicht gestattet. Eine Weitergabe oder Unterlizenzierung der Software an Dritte, auch verbundene Unternehmen iSd. § 15 AktG, ist untersagt.

(5) Der Kunde ist nicht berechtigt, die Software zu verändern und zu bearbeiten, es sei denn, es handelt sich bei der Änderung bzw. Bearbeitung um eine für die vertragsgemäße Nutzung der Software erforderliche Beseitigung eines Mangels, mit welcher sich BANQR in Verzug befindet.

§ 7 Support

(1) Sofern es sich nicht um Fälle der Gewährleistung handelt, stellt BANQR dem Kunden gegen die Zahlung eines gesonderten Entgelts einen Support zur Verfügung. Für diesen Zweck hält BANQR eine Hotline vor, die der zügigen Klassifizierung und Bearbeitung der Anfrage dient. Der Umfang des Supports und eine nähere Beschreibung zu dessen Inhalt, insbesondere Verfügbarkeit, ist in der Anlage 2 ("Support") geregelt.

(2) Als Anlage 3 schließen die Parteien einen Vertrag gemäß Art. 28 Abs. 3 DSGVO („Auftragsverarbeitungsvertrag") ab, sofern dies für die vereinbarten Supportleistungen erforderlich ist.

§ 8 Vergütung

(1) Der Kunde hat die Möglichkeit, ein API-Kontingent zu erwerben (vgl. § 4). Mit Erwerb des API-Kontingents ist auch die Vergütung für die Zurverfügungstellung der Software und die Einräumung der Nutzungsrechte an der Software abgegolten. Die Preise hierfür sind in der Anlage 4 („Vergütung") aufgeführt.

(2) Soweit zwischen den Parteien weitere Sonderleistungen vereinbart wurden, gelten die in der Anlage 4 ausgewiesenen Preise.

(3) Alle Entgelte verstehen sich zzgl. der gesetzlichen Umsatzsteuer.

(4) Die Höhe der monatlich zu zahlenden Gesamtvergütung sowie die Zahlungsinformationen ergeben sich ebenfalls aus Anlage 4.

§ 9 Sicherungspflicht

(1) Der Kunde ist verpflichtet, durch geeignete Maßnahmen Vorsorge zu treffen und dadurch sicherzustellen, dass unbefugte Dritte nicht auf die Software zugreifen können.

(2) Der Kunde ist insbesondere dazu verpflichtet, seine Registrierungsdaten geheim zu halten.

§ 10 Gewährleistung

(1) Sollte der Kunde Mängel an der Software feststellen, so hat der Kunde diese BANQR unverzüglich schriftlich anzuzeigen. Ein Mangel liegt insbesondere dann vor, wenn die Software nicht die nach Anlage 1 geschuldeten Komponenten aufweist.

(2) BANQR ist verpflichtet, die angezeigten Mängel an der Software innerhalb einer angemessenen Frist zu beheben. Die Kosten der Mängelbeseitigung trägt BANQR.

(3) Der Kunde ist nicht dazu berechtigt, eine Minderung der Vergütung dadurch geltend zu machen, dass er den Minderungsbetrag von der monatlich zu zahlenden Vergütung eigenständig abzieht. Der bereicherungsrechtliche Anspruch des Kunden, den aufgrund einer berechtigten Minderung zu viel gezahlten Teil der Vergütung zurückzufordern, bleibt hiervon unberührt.

(4) Im Falle des Fehlschlags der nach § 10 Abs. 2 geschuldeten Mangelbeseitigung ist der Kunde zur außerordentlichen Kündigung dieses Vertrags berechtigt. Ein Fehlschlag der Mangelbeseitigung liegt insbesondere dann vor, wenn die Mangelbeseitigung für BANQR unmöglich ist, wenn BANQR die Mängelbeseitigung verweigert oder wenn die Mangelbeseitigung durch den BANQR aus sonstigen Gründen für den Kunde unzumutbar ist.

§ 11 Haftung und Freistellung

(1) BANQR haftet unbeschränkt:

a) bei Arglist, Vorsatz oder grober Fahrlässigkeit;

b) im Rahmen einer von ihm ausdrücklich übernommenen Garantie;

c) für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit;

d) für die Verletzung einer wesentlichen vertraglichen Pflicht, deren Erfüllung die ordnungsgemäße Durchführung dieses Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut und vertrauen darf ("Kardinalpflicht"), jedoch begrenzt auf den bei Eintritt des Vertragsschlusses vernünftigerweise zu erwartenden Schaden;

e) nach den Vorschriften des Produkthaftungsgesetzes.

(2) Im Übrigen ist eine Haftung von BANQR ausgeschlossen. Insbesondere haftet BANQR nicht für bereits bei Vertragsschluss vorhandene Mängel, soweit kein Fall des § 11 Abs. 1 gegeben ist.

(3) Die zur Verifizierung herangezogenen Daten stammen nicht von BANQR, sondern werden dem Kunden von der betreffenden Bank bereitgestellt, sodass keine Haftung für diese Daten übernommen wird, insbesondere nicht für die Richtigkeit, Vollständigkeit oder Aktualität der Daten. BANQR haftet außerdem nicht für die Antwortzeiten oder die Qualität der Antworten durch die Banken.

(4) Die vorstehenden Haftungsregeln gelten entsprechend für das Verhalten von und Ansprüchen gegen Mitarbeiter, gesetzliche Vertreter und Erfüllungsgehilfen von BANQR.

(5) BANQR gewährleistet dem Kunde, dass die Software keine Rechte Dritter verletzt ("Schutzrechtsverletzung"). BANQR wird den Kunden von allen Ansprüchen Dritter wegen vom BANQR zu vertretenen Schutzrechtsverletzungen im Zusammenhang mit der vertragsgemäßen Nutzung der Software auf erstes Anfordern hin freistellen und auch die angemessenen Kosten einer Rechtsverteidigung für den Kunde übernehmen. Der Kunde wird BANQR unverzüglich über die geltend gemachten Ansprüche Dritter informieren; er ist nicht berechtigt, solche Ansprüche tatsächlich oder rechtlich entgegenzunehmen, es sei denn BANQR hat dem zuvor schriftlich zugestimmt. Der Freistellungsanspruch nach diesem § 11 Abs. 5 erlischt, wenn der Kunde BANQR nicht unverzüglich über die Geltendmachung von Ansprüchen durch Dritte informiert und sofern kein Fall einer unbeschränkten Haftung nach § 11 Abs. 1 vorliegt.

(6) Wird der Kunde wegen eines Mangels der Software nach § 10 Abs. 1 S. 2 in Anspruch genommen, gilt § 11 Abs. 5 entsprechend; sollte eine Freistellung im Außenverhältnis nicht möglich sein, gilt die Verpflichtung im Innenverhältnis.

§ 12 Vertragsdauer und Kündigung

(1) Der Kunde kann die im Portal bereitgestellten, kostenpflichtigen Funktionalitäten erst nutzen, wenn er sich dafür registriert hat. Der Vertrag über die Nutzung des Portals tritt somit mit Registrierung des Kunden in Kraft und läuft auf unbestimmte Zeit.

(2) Der Kunde kann den Vertrag über die Nutzung des Portals jederzeit ohne Angabe von Gründen kündigen, indem er sich endgültig vom Portal abmeldet. Mit erfolgreicher Abmeldung endet das Vertragsverhältnis und der Kunde kann seinen Zugang nicht mehr nutzen.

(3) BANQR kann den Vertrag jederzeit unter Einhaltung einer angemessenen Frist ordentlich kündigen. Bei der Bemessung der Frist wird BANQR auf die berechtigten Belange des Kunden Rücksicht nehmen, insbesondere eine Frist von 60 Tagen nicht unterschreiten.

(4) Das Recht beider Parteien zur jederzeitigen außerordentlichen und fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn BANQR oder der Kunde vorsätzlich oder fahrlässig gegen eine wesentliche Pflicht aus diesem Vertrag verstößt und deswegen der kündigenden Partei das Festhalten am Vertag nicht mehr zumutbar ist. BANQR ist hiernach insbesondere zur außerordentlichen und fristlosen Kündigung des Vertrags berechtigt, wenn der Kunde gegen die Bestimmungen des § 6 verstößt und seine Verletzungshandlungen nicht innerhalb einer angemessenen Frist abstellt, wenn BANQR diesen zuvor zur Unterlassung dieser Verletzungshandlungen abgemahnt hat.

§ 13 Einstellung der Nutzung

Die gemäß § 6 an den Kunden eingeräumten Nutzungsrechte erlöschen mit Beendigung des Vertrags. Damit ist jede Nutzung der Software nach Beendigung des Vertrags unzulässig und der Kunde ist verpflichtet, die Nutzung der Software einzustellen. BANQR behält sich vor, den Zugang des Kunden zum Portal mit Beendigung des Vertrags zu sperren.

§ 14 Vertraulichkeit

(1) „Vertrauliche Informationen" sind alle Informationen und Unterlagen der jeweils anderen Partei, die als vertraulich gekennzeichnet oder aus den Umständen heraus als vertraulich anzusehen sind, insbesondere Informationen über Produkte der jeweiligen Partei, einschließlich Object Codes, Dokumentationen und sonstige Unterlagen, betriebliche Abläufe, Geschäftsbeziehungen und Know-how.

(2) Die Parteien vereinbaren, über solche vertrauliche Informationen Stillschweigen zu wahren. Diese Verpflichtung besteht für einen Zeitraum von nach Beendigung des Vertrags fort.

(3) Von dieser Verpflichtung ausgenommen sind solche vertraulichen Informationen,

a) die dem Empfänger bei Abschluss des Vertrags nachweislich bereits bekannt waren oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden;

b) die bei Abschluss des Vertrags öffentlich bekannt sind oder danach öffentlich bekannt gemacht werden, soweit dies nicht auf einer Verletzung dieses Vertrags beruht;

c) die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichtes oder einer Behörde offen gelegt werden müssen. Soweit zulässig und möglich wird der zur Offenlegung verpflichtete Empfänger die andere Partei vorab unterrichten und ihr Gelegenheit geben, gegen die Offenlegung vorzugehen.

(4) Die Parteien werden nur solchen Beratern Zugang zu vertraulichen Informationen gewähren, die dem Berufsgeheimnis unterliegen oder denen zuvor den Geheimhaltungsverpflichtungen dieses Vertrags entsprechende Verpflichtungen auferlegt worden sind. Des Weiteren werden die Parteien nur denjenigen Mitarbeitern die vertraulichen Informationen offen legen, die diese für die Durchführung dieses Vertrags kennen müssen, und diese Mitarbeiter auch für die Zeit nach ihrem Ausscheiden in arbeitsrechtlich zulässigem Umfang zur Geheimhaltung verpflichten.

§ 15 Änderungsvorbehalt

(1) BANQR behält sich vor, diese AGB jederzeit mit Wirksamkeit auch innerhalb der bestehenden Vertragsverhältnisse zu ändern, soweit

a. dies aus triftigen Gründen, insbesondere aufgrund einer geänderten Rechtslage oder höchstrichterlichen Rechtsprechung, technischer Änderungen oder Weiterentwicklungen, Regelungslücken in den AGB, Veränderung der Marktgegebenheiten oder anderen gleichwertigen Gründen erforderlich ist und den Kunden nicht unangemessen benachteiligt, und

b. durch die Änderungen nicht die wesentlichen Geschäftseigenschaften des Vertrags, insbesondere die von BANQR geschuldeten entgeltlichen Leistungen, umgestaltet werden.

(2) Über derartige Änderungen wird BANQR den Kunde mindestens zwei (2) Monate vor dem geplanten Inkrafttreten der Änderungen in Kenntnis setzen. Der Kunde kann den Änderungen vor ihrem geplanten Inkrafttreten entweder zustimmen oder die Änderungen ablehnen. Seine Zustimmung gilt als erteilt, wenn der Kunde keine Ablehnung vor dem geplanten Inkrafttreten der Änderungen angezeigt hat. Auf diese Genehmigungswirkung wird BANQR den Kunden in seinem Angebot besonders hinweisen.

(3) Lehnt der Kunde die Änderungen ab, haben beide Parteien das Recht, den Vertrag außerordentlich zu beenden. Auf dieses beidseitige außerordentliche Kündigungsrecht wird BANQR den Kunden im Rahmen der Änderungsmitteilung gesondert hinweisen.

§ 16 Schlussbestimmungen

(1) Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Lücke in den AGB.

(2) Anlagen, auf die in diesen AGB Bezug genommen wird, sind Vertragsbestandteil.

(3) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AGB ist der Sitz von BANQR. BANQR bleibt berechtigt, am allgemeinen Gerichtsstand des Kunden zu klagen.

(4) Auf diese AGB findet das Recht der Bundesrepublik Deutschland Anwendung unter Ausschluss seiner kollisionsrechtlichen Bestimmungen und des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenverkauf vom 11.4.1980 (UN-Kaufrecht).

Anlagenverzeichnis

  • Anlage 1 -- Vertragsgegenstand
  • Anlage 2 -- Support
  • Anlage 3 -- Auftragsverarbeitungsvertrag
  • Anlage 4 -- Vergütung

Anlage 1 -- Vertragsgegenstand

1. Allgemeine Beschreibung der Software

Fraud Prevention 365 ist eine Software-as-a-Service (SaaS)-Lösung, die der Verifizierung von Bankkontodaten dient. Die Software ermöglicht es dem Kunden, über das Online-Portal von BANQR (im Folgenden: „Portal") in Echtzeit (Realtime) oder nahezu in Echtzeit (Neartime) Kontodaten auf ihre Gültigkeit zu überprüfen.

Der Kunde kann sich im Portal registrieren, ein API-Kontingent erwerben und anschließend Bankkontodaten zur Verifizierung eingeben. Diese Daten werden über eine Schnittstelle an die Datenbank der Deutschen Bank (im Folgenden: „DB") weitergeleitet. Das Ergebnis der Verifizierung wird dem Kunden innerhalb des Portals bereitgestellt.

2. Funktionsumfang der Software

Die Software umfasst folgende Hauptfunktionen:

a) Kontoverifizierung über das Portal

  • Direkte Eingabe von IBAN und Kontoinhaber durch den Kunden
  • Automatische Weiterleitung an die Datenbank der DB
  • Rückmeldung über die Gültigkeit der Kontodaten in Realtime bzw. Neartime

b) API-Zugang für automatisierte Verifizierungsprozesse

  • Kunden können ein API-Kontingent erwerben und in ihre Geschäftsprozesse integrieren

c) Datenverarbeitung & Sicherheitsmaßnahmen

  • Temporäre Speicherung der eingegebenen Daten für die Dauer des Verifizierungsprozesses
  • Verschlüsselte Übertragung über TLS 1.2/1.3
  • Keine Speicherung von Kontodaten nach Abschluss der Verifizierung

3. Nutzungsabhängige Komponenten

Die Nutzung der Software basiert auf einem flexiblen Preismodell mit folgenden Komponenten:

  1. API-Kontingent, das der Kunde erwerben kann (siehe Anlage 4: Vergütung)
  2. Zusätzliche Dienstleistungen (z. B. Support, Sonderlösungen gemäß Anlage 3)

4. Technische Nutzungsvoraussetzungen

Der Kunde muss folgende Voraussetzungen erfüllen, um die Software nutzen zu können:

  • Registrierung im Portal mit Name, E-Mail-Adresse und Zahlungsdaten
  • Erwerb eines API-Kontingents für den Zugriff auf die Verifizierungsfunktion
  • Internetverbindung & Zugang zu einem unterstützten Webbrowser (Chrome, Edge, Firefox, Safari)

Anlage 2 -- Support

Übersicht der Supportleistungen

BANQR bietet einen Basis-Supportplan, der bis zu 5 Supportstunden pro Monat zu einem Pauschalpreis von 350,00 EUR umfasst. Jede weitere Supportstunde wird mit 160,00 EUR pro Stunde berechnet.

Erreichbarkeit: Montag bis Freitag, von 09:00 bis 18:00 Uhr (MEZ)
E-Mail-Support: Antwortzeit innerhalb von 24 Stunden

Alle Supportleistungen werden innerhalb der oben genannten Servicezeiten erbracht.
Für Supportanfragen wenden Sie sich bitte an: support@banqr.io

Anlage 4 -- Vergütung

Preistabelle

Preise für API-Kontingent bzgl. Fraud Prevention 365

API-Calls in alle Regionen | Preis (0,86 EUR/Call)
‍
100 API Calls | 86,00 EUR

Zusätzliche Hinweise

  • Preise verstehen sich zzgl. der gesetzlichen Umsatzsteuer.
  • Die API-Pakete sind einmalig nutzbar und haben keine Ablaufzeit.

Zahlungsinformationen

Die Zahlung erfolgt vorab an BANQR und über ein im Portal unterstütztes Zahlungsmittel (z.B. Kreditkarte).

‍

Anlage 3: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Geltungsbereich

(1) Dieser Auftragsverarbeitungsvertrag (im Folgenden „Vertrag") regelt die Rechte und Pflichten der BANQR Digital Solutions GmbH, Thyssenstrasse 6-8, 32312 Lübbecke, vertreten durch den Geschäftsführer: Wolfgang Gehrlicher, eingetragen im Handelsregister B des Amtsgerichts Bad Oeynhausen unter HRB 19403, (im Folgenden: „Auftragnehmer") und ihres Kunden (im Folgenden: „Auftraggeber") im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. Im Sinne des Datenschutzes ist der Auftraggeber der "Verantwortliche", der Auftragnehmer der "Auftragsverarbeiter" (im Folgenden auch gemeinschaftlich „Parteien" genannt).

(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer oder Mitarbeiter des Auftragnehmers personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.

(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der Datenschutz-Grundverordnung (im Folgenden „DSGVO") in ihrer jeweils aktuellen Fassung zu verstehen.

(4) Soweit Erklärungen im Folgenden in „Textform" zu erfolgen haben, gilt § 126b BGB gemeint.

Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags zur Verarbeitung personenbezogener Daten wird im Hauptvertrag definiert. Der Auftragnehmer übernimmt entsprechend der Beauftragung im Hauptvertrag folgende Datenverarbeitungen:

a. Verifizierungsprozess zur Betrugsprävention

b. Erbringung von Supportdienstleistungen auf den IT-Systemen des Auftraggebers, falls gesondert beauftragt.

(2) Der Auftraggeber gewährleistet, dass die an den Auftragnehmer weitergegebenen und im Auftrag verarbeiteten Daten rechtmäßig erlangt wurden.

(3) Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von drei Monaten zum Monatsende gekündigt werden bzw. endet automatisch mit Beendigung des Hauptvertrages. Die Möglichkeit zur fristlosen Kündigung bleibt für beide Parteien hiervon unberührt.

(4) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein grob fahrlässiger oder vorsätzlicher schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Im Fall eines fahrlässigen Verstoßes durch den Auftragnehmer ist der Auftraggeber nur zur fristlosen und außerordentlichen Kündigung berechtigt, wenn er den Auftragnehmer vor der Kündigung dazu aufgefordert hat, den Verstoß innerhalb einer angemessenen Frist abzustellen und der Auftragnehmer dieser Aufforderung nicht fristgemäß nachgekommen ist.

Konkretisierung des Auftragsinhalts

(1) Die Art und der Zweck der verarbeiteten personenbezogenen Daten sowie die Kategorien der Betroffenen werden in Anlage 1 zu diesem Vertrag konkretisiert.

(2) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich entsprechend der Weisungen des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderen Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer des Auftraggebers diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen als die in Anlage 1 genannten Zwecke, insbesondere nicht für eigene Zwecke. Der Auftragnehmer erhält weiterhin an den im Rahmen der Verarbeitung verarbeiteten Daten oder auch an den Ergebnissen der Datenverarbeitung keine wie auch immer gearteten Eigentums- oder auch nur Nutzungsrechte. Auch eine Anonymisierung der Daten in Verbindung mit einer darauffolgenden eigenen Verarbeitung seitens des Auftragnehmers findet nicht statt.

(3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

(4) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind und er die Grundsätze ordnungsgemäßer Datenverarbeitung beachtet. Der Auftragnehmer sichert zu, dass er keinen Grund zur Annahme hat, dass eine für ihn geltende Rechtsvorschrift ihn daran hindert, die vom Auftraggeber erhaltenen Weisungen oder Verpflichtungen aus diesem Vertrag zu erfüllen.

(5) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber - soweit erforderlich - bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutz-Folgenabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

(6) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(7) Der Auftragnehmer leitet dem Auftraggeber Anfragen und geltend gemachte Rechte von Betroffenen unverzüglich weiter, ohne mit dem Betroffenen in Kontakt zu treten, außer der Auftragnehmer wurde ausdrücklich vom Auftraggeber zur Kontaktaufnahme angewiesen. Der Auftragnehmer stellt sicher, dass diese Pflicht dem Unterauftragnehmer in entsprechender Weise auferlegt wird.

(8) Sofern gesetzlich verpflichtet, benennt der Auftragnehmer einen fachkundigen und zuverlässigen Datenschutzbeauftragten. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Sofern kein Datenschutzbeauftragter ernannt wurde, hat der Auftragnehmer einen Ansprechpartner in Sachen Datenschutz zu benennen. Die Kontaktdaten des derzeitigen Datenschutzbeauftragten oder des für den Datenschutz zuständigen Ansprechpartners sind in Anlage 2 zu diesem Vertrag benannt.

Änderungen hinsichtlich der Bestellung oder der Kontaktmöglichkeiten des Datenschutzbeauftragten bzw. des für den Datenschutz zuständigen Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer verpflichtet sich, sämtliche entsprechend Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu entsprechen. Der Mindeststandard der in den TOM zu beschreibenden Maßnahmen ist in Anlage 3 beigefügt. Der Auftraggeber bestätigt, dass diese zum Zeitpunkt des Vertragsschlusses im Sinne der DSGVO angemessen sind. Der Auftragnehmer sichert zu, die in Anlage 3 beschriebenen TOM implementiert zu haben. Für die Erstellung und Implementierung der TOM ist alleine der Auftragnehmer zuständig.

(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau oder auch der anerkannte Stand der Technik nicht unterschritten wird. Erforderliche Änderungen, die der Aufrechterhaltung der Datensicherheit dienen, hat der Auftragnehmer unverzüglich umzusetzen.

(3) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(4) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen (z.B. Backups), soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

(5) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Hierzu wird der Auftragnehmer dem Auftraggeber hinreichende Garantien vorlegen, wie aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragte, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz). Zum Nachweis der hinreichenden Garantien können auch die Einhaltung genehmigter Verhaltensregeln oder genehmigter Zertifizierungsverfahren herangezogen werden. Der Nachweis ist dem Auftraggeber grundsätzlich alle 12 Monate aber spätestens alle 24 Monate auf Anforderung zu überlassen. Nachweise sind mindestens bis zum Ablauf von drei Kalenderjahren nach Beendigung der Auftragsverarbeitung aufzubewahren und dem Auftraggeber jederzeit auf Verlangen vorzulegen.

(6) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit und dem Datenschutz zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Der Auftragnehmer wird seine Mitarbeiter auf weitergehende Geheimnisschutzregeln verpflichten, sofern der Auftraggeber derartigen weitergehenden Pflichten z.B. dem Sozialgeheimnis etc. unterliegt. Der Auftraggeber muss den Auftragnehmer zumindest in Textform entsprechend hierzu anweisen. Die Pflicht zur Vertraulichkeit besteht auch nach der Beendigung des Vertrages fort.

(7) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen werden angemessen regelmäßig wiederholt. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen sensibilisiert, angeleitet und überwacht werden.

Berichtigung, Löschung und Sperrung von Daten

(1) Die im Auftrag verarbeiteten Daten wird der Auftragnehmer nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

(3) Der Auftraggeber stellt den Auftragnehmer von jeglicher Haftung -- auch seitens Dritter -- frei, sofern die Daten entsprechend der Aufforderung berichtigt, gelöscht oder gesperrt wurden. Die Regelungen zur Beendigung in § 11 dieses Vertrages bleiben unberührt.

Weisungen

(1) Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen zumindest in Textform dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich zumindest in Textform dokumentiert bestätigen.

(3) Der Auftragnehmer teilt in Anlage 2 mindestens eine Person mit, die zur Annahme von Weisungen ausschließlich befugt ist.

(4) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich zumindest in Textform dokumentiert mitzuteilen.

(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den zuständigen Beschäftigten beim Auftraggeber bestätigt oder geändert wird.

(6) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

Rechte und Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

(2) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(3) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Die mit der Kontrolle betrauten Personen sind vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

(4) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu den normalen Bürozeiten zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 24 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter § 5 Abs. 5 dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

(5) Der Auftraggeber ist berechtigt, Kopien dieses Vertrags an bestimmte Vertragspartner und Behörden weiterzugeben, um den Nachweis der Einhaltung gesetzlicher und/oder vertraglicher Pflichten zu erbringen, insbesondere Art. 28 Abs. 3 DSGVO. Vor Weitergabe entfernt der Auftraggeber durch Schwärzung etwaige vertrauliche Geschäftsinformationen aus der Kopie.

Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen.

(2) Eine Beauftragung von Unterauftragnehmern durch den Auftragnehmer darf auf Grundlage einer allgemeinen schriftlichen Genehmigung des Auftraggebers vorgenommen werden, die er hiermit erteilt. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder Ersetzung bestehende Unterauftragnehmer durch andere 30 Tage bevor diese Änderung stattfindet. Der Auftraggeber kann ohne Angabe von Gründen Einspruch gegen die Änderung erheben mit der Konsequenz, dass die Änderung nicht stattfindet.

(3) Sofern die Beauftragung von Unterauftragnehmern nach Maßgabe von Abs. 2 erlaubt ist, hat der Auftragnehmer sicherzustellen, dass die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden erst stattfindet, nachdem der Auftragnehmer mit dem Unterauftragnehmer einen schriftlichen Vertrag über die Unterbeauftragung abgeschlossen hat. Die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer müssen auch gegenüber dem Unterauftragnehmer gelten. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragnehmern durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer ist verpflichtet, dieses Recht des Auftraggebers vertraglich gegenüber dem Unterauftragnehmer zu regeln.

(4) Die Zuständigkeiten und Pflichten des Auftragnehmers und des Unterauftragnehmers sind eindeutig voneinander abzugrenzen.

(5) Der Auftragnehmer wählt den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der vom Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

(6) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Unterauftragnehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Unterauftragnehmer seine Verpflichtungen vollständig erfüllt hat, siehe Abs. 3 S. 2. Der Auftragnehmer hat dem Auftraggeber die Dokumentation nach Aufforderung vorzulegen.

(7) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

(8) Der Auftragnehmer hat die Einhaltung der Pflichten des Unterauftragnehmers regelmäßig alle 12 Monate, aber spätestens alle 24 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber nach Aufforderung vorzulegen. Der Auftragnehmer bewahrt die Dokumentation über durchgeführte Prüfungen mindestens bis zum Ablauf des dritten Kalenderjahres nach Beendigung der Auftragsverarbeitung auf und legt diese dem Auftraggeber auf Verlangen jederzeit vor. Eigene Kontrollrechte des Auftraggebers bleiben hiervon unberührt.

(9) Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

(10) Der Einsatz von weiteren Unterauftragnehmern durch den Unterauftragnehmer ist im Rahmen dieser Verarbeitung im Auftrag nicht zulässig.

(11) Beide Parteien sind sich einig, dass Nebenleistungen, wie beispielsweise Transport und Reinigung der Geschäftsräume sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice keine Auftragsverarbeitung im Sinne dieses Vertrages ist, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständigen Verantwortlichen sind. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(12) Zurzeit sind die in Anlage 4 mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragnehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber hiermit genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Unterauftragnehmer bleiben unberührt.

Mitteilungspflichten

(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat unverzüglich ab Kenntnis des Auftragnehmers vom relevanten Ereignis an den in Anlage 2 genannten Ansprechpartner im Datenschutz zu erfolgen.

Sie muss mindestens folgende Angaben enthalten:

a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung. Zudem bedarf es der Mitteilung von Verstößen des Unterauftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen gemäß Abs. 1.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

(4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen.

Beendigung des Auftrags

(1) Befinden sich bei Beendigung des Auftragsverhältnisses noch personenbezogene Daten oder Kopien derselben noch in der Verfügungsgewalt des Auftragnehmers, hat dieser nach Wahl des Auftraggebers die Daten entweder zu löschen bzw. vernichten oder an den Auftraggeber zu übergeben. Der Auftragnehmer kann von einer Löschung bzw. Vernichtung absehen, sofern gesetzliche Aufbewahrungspflichten bestehen, die ihn zur Speicherung der Daten verpflichten. In diesem Fall hat der Auftragnehmer den Auftraggeber unter Verweis auf die gesetzliche Aufbewahrungspflicht über die weitergehende Speicherung unverzüglich zu unterrichten und sicherzustellen, dass die Weiterverarbeitung der betreffenden Daten auf den Zweck der Wahrung der gesetzlichen Aufbewahrungspflicht beschränkt ist.

(2) Die Wahl nach Abs. 1 hat der Auftraggeber zu treffen und dem Auftragnehmer in Textform mitzuteilen. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung mit vertretbarem Aufwand nicht mehr möglich ist.

(3) Der Auftragnehmer ist verpflichtet, die unverzügliche Vernichtung bzw. Rückgabe auch bei Unterauftragnehmern herbeizuführen.

(4) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber nach dessen Aufforderung vorzulegen.

(5) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.

(6) Der Auftraggeber stellt den Auftragnehmer von jeglicher wie auch immer gearteter Haftung -- auch gegenüber Dritten -- in Bezug auf die gelöschten bzw. vernichteten Daten frei, sofern die durchgeführte Löschung bzw. Vernichtung der personenbezogenen Daten der Aufforderung des Auftraggebers entsprach.

Vergütung

(1) Für im Rahmen der Verarbeitung im Auftrag gesondert entstehende Aufwände kann der Auftragnehmer eine angemessene Vergütung verlangen.

(2) Eine Vergütung ist in allen Fällen ausgeschlossen, wenn der Mehraufwand dadurch entsteht, dass der Auftragnehmer gegen anwendbares Recht oder gegen Regelungen des hiesigen Vertrages verstoßen hat.

Sonstiges

(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(3) Für die Wirksamkeit von Nebenabreden ist die Schriftform und die ausdrückliche Bezugnahme auf diese Vereinbarung erforderlich.

(4) Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anlage 1 -- Angaben zur Datenverarbeitung (zu § 3 Abs. 1)

1. Art, Zweck, Ort und Betroffene der Datenverarbeitung

a) Art und Zweck der Verarbeitung

Der Umfang der Verarbeitung wird im Hauptvertrag definiert.

Die Verarbeitung im Auftrag umfasst u.a. die folgenden Datenverarbeitungen:

Durchführung des Verifizierungsprozesses

  • Erfassung der durch den Auftraggeber zu überprüfenden Daten (Name des Kontoinhabers, Bankleitzahl und Kontonummer bzw. IBAN).
  • Temporäre Speicherung der eingegebenen Daten zu Weiterleitung der Daten an die API-Schnittstelle der Deutschen Bank.
  • Auswertung der durch die Bank infolge der Anfrage bereitgestellten Daten zur Gültigkeit des Kontos sowie der kontobezogenen Daten bzw. letzte Transaktionsdaten und/oder Informationen zum Zahlungsstatus, falls keine Verbindung zu einer Drittbanken außerhalb der Deutschenbank-Gruppe hergestellt werden konnte.
  • Bereitstellung des Verifizierungsergebnisses in Echtzeit (Realtime) bzw. nahezu in Echtzeit (Neartime) an den Auftraggeber im Portal.

Bearbeitung von Support-Anfragen

  • Zugriff auf die IT-Systeme des Auftraggebers, in denen auch personenbezogene Daten gespeichert sind, sodass diese im Rahmen der Fernzugriffs bei Erbringung der Supportdienstleistungen eingesehen werden können.

Die Verarbeitung dient somit den folgenden Zwecken:

Durchführung des Verifizierungsprozesses zur

  • Sicherstellung der Gültigkeit von Bankkontodaten vor der Durchführung von Zahlungen oder Transaktionen.
  • Reduzierung von Fehlüberweisungen und Betrugsrisiken durch Echtzeit-Verifizierung von Kontoinformationen.

Bearbeitung von Support-Anfragen des Auftraggebers

b) Art der Daten

Es werden die folgenden Arten von personenbezogenen Daten verarbeitet:

  • Namen
  • Kontaktdaten
  • Kontodaten
  • Transaktionsdaten
  • Information zum Zahlungsstatus

c) Ort der Verarbeitung

Der Auftragnehmer erbringt die vereinbarte Leistung an einem Leistungsort innerhalb der EU bzw. des EWR.

2. Kategorien der betroffenen Personen

  • Mitarbeiter des Auftraggebers
  • Kunden des Auftraggebers
  • Dienstleister des Auftraggebers

Anlage 2 -- Kontaktdaten (zu § 4 Abs. 8 und § 7 Abs. 3)

1. Die für den Datenschutz zuständigen Ansprechpartner (zu § 4 Abs. 8)

Die Kontaktdaten des Ansprechpartners für den Datenschutz beim Auftragnehmer, sofern kein Datenschutzbeauftragter besteht:

  • Vor- und Nachname: Nadine Ebmeyer
  • E-Mail-Adresse: nadine.ebmeyer@banqr.io

Änderungen hinsichtlich der Benennung oder der Kontaktmöglichkeiten sind dem Auftraggeber unverzüglich mitzuteilen.

2. Entgegennahme von Weisungen (zu § 7 Abs. 3)

Annahmebefugte Personen beim Auftragnehmer:

  • Nadine Ebmeyer (siehe Ziffer 1).

Anlage 3 -- Übersicht der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (zu § 5 Abs. 1)

Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund, welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen wurden. Durch diese Übersicht soll der Nachweis der Beachtung der datenschutzrechtlichen Vorschriften durch Auftragnehmer geführt werden.

1. Pseudonymisierung von Daten (Art. 32 Abs. 1 lit. a) DSGVO)

Auftragnehmer stellt sicher, dass - soweit die technischen Abläufe dies zulassen - bei personenbezogenen Daten wesentliche Identifizierungsmerkmale durch einen Schlüssel ersetzt werden, mit dem bei Bedarf wieder einen Personenbezug hergestellt werden kann (Pseudonymisierung).

Verwendung von Tokenisierungstechnologien, um sensible Daten durch nicht rückführbare Platzhalter zu ersetzen.

2. Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a) DSGVO)

Auftragnehmer gewährleistet, dass personenbezogene Daten nur gesichert gespeichert werden, indem eine angemessene Verschlüsselung erfolgt.

  • AES-256-Verschlüsselung für die temporäre Speicherung der Daten während des Verifizierungsprozesses.
  • Strenge Zugriffsbeschränkungen auf Verschlüsselungsschlüssel.

3. Vertraulichkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

a) Zutrittskontrolle

Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden.

  • Die Server-Infrastruktur liegt in Microsoft Rechenzentren mit ISO 27001-zertifizierter Sicherheitsarchitektur.
  • Physischer Zugang ist nur autorisierten Personen in Microsofts Rechenzentren gestattet.

b) Zugangskontrolle

Auftragnehmer trifft Maßnahmen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können.

  • Strenge Authentifizierungsverfahren:
    • Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge.
    • Nutzung von OAuth2 und mTLS zur Authentifizierung und Zugriffsbeschränkung.
  • Passwort- und Zugriffssicherheitsrichtlinien:
    • Komplexe Passwortanforderungen und regelmäßige Passwortwechsel.
    • Sperrung von Konten nach mehrfachen Fehlversuchen.

c) Zugriffskontrolle

Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.

  • Rollen- und berechtigungsbasierte Zugriffskontrollen (RBAC):
    • Zugriff auf personenbezogene Daten wird nach dem Need-to-Know-Prinzip geregelt.
    • Mitarbeiter erhalten nur die minimal notwendigen Berechtigungen für ihre Aufgaben.
    • Regelmäßige Überprüfung und Anpassung von Berechtigungen.
  • Schreib- und Löschschutz:
    • Kritische Daten sind gegen unbefugte Änderungen oder Löschungen geschützt.
    • Versionierung und Backup-Systeme ermöglichen eine Wiederherstellung im Falle unautorisierter Änderungen.
  • Trennung von Identifikations- und Verifikationsdaten, um unbefugten Zugriff oder Missbrauch zu verhindern.
  • Echtzeit-Überwachung von Systemaktivitäten durch SIEM (Security Information and Event Management).

d) Weitergabekontrolle

Auftragnehmer verhindert, dass personenbezogene Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können, und dass festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im IT-System vorgesehen ist.

  • Sichere Datenübertragung:
    • Ende-zu-Ende-Verschlüsselung (TLS 1.2/1.3) bei der Datenübertragung über das Portal
    • Signierte und authentifizierte Kommunikationsprotokolle, um Datenintegrität und Herkunftsnachweis zu gewährleisten.
  • Protokollierung und Nachvollziehbarkeit:
    • Jede Übermittlung und Verarbeitung personenbezogener Daten wird protokolliert (Logging & Monitoring).
    • Echtzeit-Überwachung und Intrusion Detection Systems (IDS) zur Erkennung verdächtiger Aktivitäten.
    • SIEM-Systeme (Security Information and Event Management) zur Analyse und Nachverfolgung von Datenflüssen.

4. Integrität der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

a) Eingabekontrolle

Auftragnehmer stellt sicher, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

  • Protokollierung aller Datenverarbeitungsvorgänge:
    • Jede Eingabe, Änderung und Löschung personenbezogener Daten wird protokolliert.
    • Logs enthalten Zeitstempel, Benutzerkennung und durchgeführte Aktion.
  • Audit- und Monitoring-Systeme:
    • Echtzeitüberwachung aller relevanten Aktivitäten im IT-System.
    • Zugriffsprotokolle und Änderungsverläufe für personenbezogene Daten.
  • Revisionssichere Speicherung der Protokolle:
    • Logs werden verschlüsselt und manipulationssicher gespeichert.
    • Zugriff auf Logs ist nur autorisierten Personen gestattet.
  • Regelmäßige Überprüfung und Analyse der Protokolle:
    • Automatische Alarme bei unautorisierten Änderungen.
    • Manuelle Überprüfung durch Datenschutz- oder IT-Sicherheitsbeauftragte.

b) Auftragskontrolle

Auftragnehmer stellt sicher, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden.

  • Vertragliche Verpflichtung:
    • Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Basis des Hauptvertrags und der Weisungen des Auftraggebers.
    • Der Auftragnehmer ist vertraglich zur Einhaltung dieser Weisungen verpflichtet.
  • Weisungsmanagement:
    • Der Auftraggeber kann schriftliche oder elektronische Weisungen zur Datenverarbeitung erteilen.
    • Der Auftragnehmer überprüft Weisungen auf Rechtmäßigkeit und technische Durchführbarkeit und informiert den Auftraggeber bei Unklarheiten oder Problemen.
  • Technische und organisatorische Maßnahmen (TOMs):
    • Berechtigungskonzepte und Zugriffsbeschränkungen verhindern eine unautorisierte Verarbeitung.
    • Einsatz von Kontrollmechanismen (z. B. Monitoring, Protokollierung), um sicherzustellen, dass nur autorisierte Datenverarbeitungen stattfinden.
  • Protokollierung und Nachweisbarkeit:
    • Jede relevante Verarbeitung wird protokolliert, sodass überprüft werden kann, ob sie weisungsgemäß erfolgt ist.
    • Logs enthalten Datum, Uhrzeit, durchführende Person/System und Art der Verarbeitung.
  • Regelmäßige Schulungen und Sensibilisierung der Mitarbeiter:
    • Alle mit der Datenverarbeitung betrauten Mitarbeiter werden regelmäßig zu DSGVO-Anforderungen und spezifischen Weisungen des Auftraggebers geschult.

c) Zweckbindung und Trennungsgebot

Auftragnehmer stellt sicher, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, immer nur im Rahmen der jeweiligen Zweckbindung genutzt werden und getrennt verarbeitet werden können.

  • Strikte Zweckbindung der Datenverarbeitung:
    • Personenbezogene Daten werden jeweils nur für den festgelegten Zweck verarbeitet, z.B. Vertragserfüllung oder Marketing.
    • Keine zweckfremde Nutzung oder Weiterverarbeitung der Daten durch den Auftragnehmer.
  • Technische Trennung von Datenbeständen:
    • Logische und physische Trennung der Daten unterschiedlicher Auftraggeber.
    • Mandantenspezifische Datenbanken, um sicherzustellen, dass Kundendaten nicht vermischt werden.
  • Zugriffs- und Berechtigungskonzepte:
    • Rollenbasierte Zugriffskontrollen (RBAC) stellen sicher, dass Mitarbeiter nur Zugriff auf Daten erhalten, die für ihren jeweiligen Verarbeitungszweck erforderlich sind.
    • Strikte Protokollierung aller Zugriffe und Verarbeitungen, um eine zweckgebundene Verarbeitung nachweisbar zu machen.
  • Organisatorische Maßnahmen:
    • Schulung der Mitarbeiter zur Einhaltung des Trennungsgebots und der Zweckbindung.
    • Regelmäßige Überprüfung der Verarbeitungsvorgänge zur Sicherstellung der Einhaltung des Verwendungszwecks.

5. Verfügbarkeit von personenbezogenen Daten (Art. 32 Abs. lit. b) DSGVO)

Auftragnehmer stellt sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

  • Automatische tägliche Backups aller relevanten Daten.
  • Versionierte Speicherung, um frühere Datenstände wiederherstellen zu können.
  • Georedundante Speicherung in mehreren ISO 27001-zertifizierten Rechenzentren innerhalb der Microsoft Azure Cloud.

6. Belastbarkeit der Systeme und Dienste (Art. 32 Abs. lit. b) DSGVO)

Auftragnehmer gewährleistet, dass seine Systeme und Dienste so ausgelegt sind, dass sie eine angemessene Datenverarbeitung ermöglichen.

  • Skalierbare IT-Infrastruktur:
    • Nutzung von Microsoft Azure Cloud-Diensten mit automatischer Skalierung zur Anpassung an Lastspitzen.
    • Hochverfügbare Load-Balancing-Mechanismen, um Serverausfälle zu vermeiden.
  • Hohe Systemverfügbarkeit:
    • Systemarchitektur mit hoher Verfügbarkeit (99,9 % SLA).
    • Automatische Fehlererkennung und Selbstheilung von Systemen zur Minimierung von Ausfällen.
  • Leistungsüberwachung und Optimierung:
    • Echtzeit-Monitoring der Systemressourcen zur Identifikation und Behebung von Engpässen.
    • Regelmäßige Performance-Tests und Lasttests, um die Belastbarkeit der Systeme zu gewährleisten.

7. Wiederherstellung von Daten (Art. 32 Abs. lit. c) DSGVO)

Auftragnehmer stellt sicher, dass für den Fall eines Datenverlustes die verlorenen Daten wiederbeschafft werden können.

  • Detaillierte Wiederherstellungsprozesse (Disaster Recovery Plan)
    • Definierte Prozesse zur Datenwiederherstellung innerhalb kurzer Zeit.
    • Regelmäßige Tests der Wiederherstellungsmechanismen, um die Funktionsfähigkeit sicherzustellen.
  • Schutz vor nicht vorgesehener Datenlöschung oder -manipulation:
    • Zugriffskontrollen und Berechtigungsmanagement, um nicht vorgesehenes Löschen zu verhindern.
    • Protokollierung aller Änderungen und Löschungen, um Fehler oder Manipulationen nachvollziehen und korrigieren zu können.

8. Überprüfung, Bewertung und Evaluation (Art. 32 Abs. lit. d) DSGVO)

a) Überprüfung der Maßnahmen

Die getroffenen Maßnahmen müssen regelmäßig auf einen Anpassungsbedarf geprüft werden.

  • Regelmäßige Sicherheits- und Datenschutz-Audits:
    • Interne und externe Prüfungen der implementierten Schutzmaßnahmen.
    • Überprüfung der Wirksamkeit der Datensicherheitsmaßnahmen durch IT- und Datenschutzexperten.
  • Risikobewertung und Schwachstellenanalyse:
    • Regelmäßige Risikoanalysen zur Identifizierung potenzieller Bedrohungen und Schwachstellen.
    • Anpassung an gesetzliche und technologische Entwicklungen:
    • Überwachung neuer gesetzlicher Anforderungen (z. B. Gesetzesreformen).
    • Verfolgung neuer Sicherheitsstandards und Technologien, um das Schutzniveau kontinuierlich zu verbessern.

b) Bewertung und Evaluation der Maßnahmen

Das Ergebnis der Überprüfung (siehe oben) muss bewertet werden; über die bestehenden Maßnahmen hinaus sind etwaige Anpassungen zu bewerten und umzusetzen.

  • Bewertung der Überprüfungsergebnisse:
    • Analyse der Ergebnisse aus Sicherheitsaudits, Risikoanalysen und Datenschutzprüfungen.
    • Identifikation von Schwachstellen oder Verbesserungspotenzialen in bestehenden Sicherheitsmaßnahmen.
  • Priorisierung und Umsetzung von Maßnahmen:
    • Erstellung eines Maßnahmenplans mit Prioritäten basierend auf dem Risiko für personenbezogene Daten.
    • Umsetzung von notwendigen Sicherheitsverbesserungen unter Berücksichtigung des aktuellen Stands der Technik.
  • Laufende Anpassung an gesetzliche und technologische Entwicklungen:
    • Berücksichtigung neuer DSGVO-Anforderungen und regulatorischer Vorgaben.
    • Integration neuer IT-Sicherheitsstandards und Best Practices, um das Schutzniveau kontinuierlich zu verbessern.
  • Überwachung und Kontrolle der Anpassungen:
    • Nach Umsetzung der Maßnahmen erfolgt eine erneute Überprüfung, um deren Wirksamkeit sicherzustellen.
    • Dokumentation aller Anpassungen, um die Einhaltung der DSGVO und interner Sicherheitsrichtlinien nachweisen zu können.

9. Unterweisung der unterstellten Mitarbeiter (Art. 32 Abs. 4 DSGVO)

Durch Auftragnehmer ist sicherzustellen, dass alle Mitarbeiter, die mit der Datenverarbeitung befasst sind, über die bestehenden Verpflichtungen und die einzuhaltenden Maßnahmen informiert sind (Unterweisung).

  • Regelmäßige Schulungen und Sensibilisierung:
    • Pflichtschulungen für alle Mitarbeiter, die Zugriff auf personenbezogene Daten haben.
    • Schulung neuer Mitarbeiter vor erstmaligem Zugriff auf personenbezogene Daten.
    • Auffrischungsschulungen in regelmäßigen Abständen, um neue gesetzliche oder technische Anforderungen zu berücksichtigen.
  • Verpflichtung zur Vertraulichkeit:
    • Alle relevanten Mitarbeiter müssen eine schriftliche Verpflichtung zur Wahrung des Datengeheimnisses gemäß Art. 28 DSGVO unterzeichnen.
    • Dokumentierte Bestätigung der Kenntnisnahme und Einhaltung der internen Datenschutzrichtlinien.

Anlage 4 - Zustimmung zur Beauftragung von Unterauftragnehmern (zu § 9 Abs. 12)

Der Auftraggeber stimmt der Beauftragung folgender Unterauftragnehmer durch den Auftragnehmer zu:

Firma, RechtsformAnschriftBeschreibung von Art und Umfang der Verarbeitung personenbezogener Daten im Unterauftrag
Vercel Inc.Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, United StatesHosting - IP Adresse, Email, alles was an Daten in der App eingeben wird
Supabase Inc.970 Toa Payoh North, Suite 07-04, Singapore, 318992, SingaporeDatenbank - IP Adresse, Email, verschlüsseltes Passwort
Redis Ltd.303 2nd St, North Tower Ste 525, San Francisco, CA 94107, USADatenbank - IP Adresse, Email
Cloudflare, Inc.Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USACaptcha - IP Addresse
Stripe Payments Europe, LimitedStripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, IrelandZahlungsverarbeitung - IP Adresse, Email, Zahlungsdaten
Twilio Ireland Limited70 Sir John Rogerson's Quay, Dublin 2, D02 R296, IrelandEmail - Email Adresse
Functional Software, Inc. d/b/a SentryFunctional Software, Inc, 45 Fremont Street, 8th Floor, San Francisco, CA 94105.Error logging - IP Adresse
Google Cloud EMEA Limited70 Sir John Rogerson's Quay, Dublin 2, IrelandAuthentifizierung - IP Adresse, Email
Hostinger International Ltd.61 Lordou Vironos str., 6023 Larnaca, CyprusDNS - IP Addresse
Microsoft Germany GmbHWalter-Gropius-Strasse 5, 80807 Munich, GermanyCloud-Hosting, Datenverarbeitung und ERP-Integration über Microsoft Dynamics 365 Business Central und Microsoft Azure Deutschland. Bereitstellung von Microsoft Teams als Kommunikationsplattform für Support-Anfragen des Auftraggebers.
Deutsche Bank AGTaunusanlage 12, 60325 Frankfurt am Main, GermanyVerarbeitung von Zahlungstransaktionen und Bereitstellung von Kontoinformationen über Bank-APIs.

Allgemeine Geschäftsbedingungen für die Nutzung der Software „Cash365" von BANQR (AGB)

§ 1 Geltungsbereich

(1) Die vorliegenden AGB finden Anwendung auf die zwischen der BANQR Digital Solutions GmbH, Thyssenstrasse 6-8, 32312 Lübbecke, vertreten durch den Geschäftsführer: Wolfgang Gehrlicher, eingetragen im Handelsregister B des Amtsgerichts Bad Oeynhausen unter HRB 19403 (im Folgenden „BANQR") und Kunden (gemeinschaftlich im Folgenden auch „Parteien") über Microsoft Dynamics 365 Business Central geschlossenen Verträgen über die nachfolgenden Dienstleistungen.

(2) BANQR erbringt Dienstleistungen im Bereich von Software, insbesondere die Erstellung, der Vertrieb und der Betrieb von Software. Hierzu zählt auch die Software „Cash 365". Hierbei handelt es sich um eine Embedded Banking Lösung, die Finanzdienstleistungen nahtlos in die Microsoft 365-Welt integriert. Sie ermöglicht es dem Kunden direkt über seine bestehenden ERP- und Buchhaltungssysteme auf verschiedene Bankdienstleistungen zuzugreifen. Die Lösung bietet somit Echtzeit-Einblicke in Kontostände und Transaktionen direkt in der vertrauten ERP-Umgebung.

(3) Die Hauptfunktionen von Cash365 (DB SME Connector und/oder DB Enterprise Connector) sind:

  • Instant Payments: Das SEPA Instant-Payment-Modul ermöglicht sekundenschnelle, sichere Zahlungen ohne Verzögerungen.
  • Echtzeit-Balance: Durch moderne APIs erhält der Kunde sekundengenaue Kontoinformationen direkt im Cash365-Dashboard und ERP-System.
  • Umsätze in Echtzeit: Über die API-Integration können Kontobewegungen jederzeit oder automatisch abgeglichen werden, einschließlich Tagesend- und untertägige Kontoauszüge.
  • Automatisierte Prozesse: Automatische Zuordnung von Zahlungen zu Rechnungen, Erstellung von Berichten und Verwaltung von Zahlungsplänen minimieren manuelle Eingriffe und reduzieren Fehler.
  • Cash Analytics: Individuell anpassbare Dashboards bieten Echtzeit-Übersicht über Kontostände, Liquidität, Währungsexposure, Zahlungsflüsse und Risiken.

Zusätzliche Funktionen des DB Enterprise Connectors:

  • Internationale Kontoaggregation: Echtzeit-API-Aufrufe ermöglichen die Verwaltung von internationalen und nationalen Konten.
  • Bulk-Zahlungen / SEPA-Lastschriften: Unterstützung von Massenzahlungen und Massenlastschriften.
  • Virtuelle Kontenlösung: Verbindung zu virtuellen Konten über die API-Plattform der Deutschen Bank AG.
  • Echtzeit Treasury: Nahtlose Integration in Power BI, Excel und Power Automate über den BANQR Realtime-Treasury Connector.

(4) Die Nutzung von Cash356 ist in erster Linie auf die Kunden der Deutschen Bank AG sowie auf Kunden ihrer weiteren Angebote Postbank und Fyrst Bank gemünzt. Um die oben genannten Funktionen von Cash365 auch Kunden anderer Banken zugänglich zu machen, wird daher die Cash fin API benötigt. Hiermit treten die weiteren Funktionen hinzu:

  • Multi-Bank-API-Verbindung: Anbindung an über 9000 Banken im EU SEPA-Raum
  • Länderübergreifende Kontoaggregation: Echtzeit-API-Aufrufe ermöglichen die Verwaltung von länderübergreifenden Konten.

(5) Kunden von BANQR können nur natürliche, juristische Personen oder rechtsfähige Personengesellschaften sein, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handeln. BANQR schließt ausdrücklich keine Verbraucherverträge.

(6) Der Geltung der Allgemeinen Geschäftsbedingungen des Kunden wird ausdrücklich widersprochen.

§ 2 Vertragsgegenstand

(1) Vertragsgegenstand ist die zeitlich beschränkte Überlassung der Software „Cash 365" (im Folgenden „Software") gegen Entgelt verbunden mit der Einräumung von Nutzungsrechten hieran. BANQR stellt dem Kunden die Software mit in den in dem Anlage 1 (im Folgenden „Vertragsgegenstand") näher beschriebenen nutzungsabhängigen Komponenten und unter den dort ebenfalls genannten Nutzungsvoraussetzungen zur Verfügung.

(2) BANQR schuldet keine Einräumung von Speicherplatz; für diesen ist der Kunde allein verantwortlich.

§ 3 Bereitstellung und Installation der Software

(1) BANQR stellt die Software an den Kunden über den Microsoft AppSource Marketplace zum Download bereit. Dem Kunden werden die für den Download der Software erforderlichen Informationen zur Verfügung gestellt.

(2) Neben der Software erhält der Kunden das Handbuch aus Anlage 2 (im Folgenden „Handbuch"). In dem Handbuch ist eine Anleitung für die Installation der Software enthalten.

(3) Sofern nichts anderes zwischen den Parteien vereinbart wurde, schuldet BANQR keine Installation der Software auf den Systemen des Kunden; für diese ist der Kunde grundsätzlich allein verantwortlich.

(4) Gegen die Zahlung eines gesonderten Entgelts, unterstützt BANQR den Kunden bei der Installation der Software.

§ 4 Instandhaltung

(1) BANQR ist zur Aufrechterhaltung der vertraglich vereinbarten Beschaffenheit der Software während der Vertragslaufzeit (im Folgenden „Instandhaltung") verpflichtet. Die vertraglich geschuldete Beschaffenheit der Software bestimmt sich nach Maßgabe der Anlage 1. Zur Erfüllung der BANQR obliegenden Pflicht zur Instandhaltung wird BANQR die nach dem Stand der Technik erforderlichen Wartungs- und Instandhaltungsmaßnahmen durchführen.

(2) BANQR ist zu einer Änderung oder einer Anpassung der Software nur dann verpflichtet, wenn eine solche Änderung oder Anpassung zur Instandhaltung der Software nach dem Stand der Technik erforderlich ist. Im Übrigen ist BANQR zu einer Änderung, Anpassung und Weiterentwicklung der Software nur dann verpflichtet, wenn die Parteien dies gesondert vereinbaren. Ohne eine solche gesonderte Vereinbarung ist BANQR insbesondere nicht zu einer Weiterentwicklung der Software verpflichtet.

§ 5 Nutzungsrechte an der Software

(1) BANQR ist alleiniger und ausschließlicher Inhaber sämtlicher Rechte an der Software.

(2) BANQR räumt dem Kunden ein einfaches, nicht ausschließliches und nicht übertragbares Recht ein, die Software bestimmungsgemäß und ausschließlich für interne Geschäftsprozesse zu nutzen. Dieses Nutzungsrecht ist zeitlich auf die Dauer dieses Vertrags beschränkt und örtlich auf das Gebiet der Europäischen Union sowie weitere Staaten, in denen der Kunde rechtmäßig geschäftlich tätig ist, erweitert.

(3) Soweit dies für die vertragsgemäße Nutzung erforderlich ist, ist der Kunde berechtigt, die gelieferte Software zu vervielfältigen. Als für die vertragsgemäße Nutzung erforderliche Vervielfältigung ist insbesondere das Laden der Software in den Arbeitsspeicher anzusehen. Darüber hinaus ist der Kunde berechtigt, eine Vervielfältigung zu Sicherungszwecken (im Folgenden „Sicherungskopie") vorzunehmen. Der Kunde ist hierbei verpflichtet, diese Sicherungskopie als solche zu kennzeichnen sowie einen Urheberrechtsvermerk von BANQR anzubringen. Im Übrigen ist der Kunde zu einer Vervielfältigung nicht berechtigt, soweit gesetzlich nicht anderes bestimmt.

(4) Der Kunde ist nicht berechtigt, die Software oder die Sicherungskopie Dritten entgeltlich oder unentgeltlich zur Nutzung zur Verfügung zu stellen. Eine Weitervermietung der Software wird dem Kunden somit ausdrücklich nicht gestattet.

(5) Der Kunde ist nicht berechtigt, die Software zu verändern und zu bearbeiten, es sei denn, es handelt sich bei der Änderung bzw. Bearbeitung um eine für die vertragsgemäße Nutzung der Software erforderliche Beseitigung eines Mangels, mit welcher sich BANQR in Verzug befindet.

§ 6 Support

(1) Sofern es sich nicht um Fälle der Gewährleistung handelt, stellt BANQR dem Kunden gegen die Zahlung eines gesonderten Entgelts einen Support zur Verfügung. Für diesen Zweck hält BANQR eine Hotline vor, die der zügigen Klassifizierung und Bearbeitung der Anfrage dient. Der Umfang des Supports und eine nähere Beschreibung zu dessen Inhalt, insbesondere Verfügbarkeit, ist in der Anlage 3 (im Folgenden „Support") geregelt.

(2) Als Anlage 4 werden die Parteien einen Vertrag gemäß Art. 28 Abs. 3 DSGVO (im Folgenden „Auftragsverarbeitungsvertrag") abschließen, sofern dies für die vereinbarten Supportleistungen erforderlich ist.

§ 7 Vergütung

(1) Der Kunde ist verpflichtet, für die Überlassung der Software eine Vergütung zu zahlen. Die Vergütung ist entweder monatlich oder jährlich zu zahlen, je nachdem welche Lizenz der Kunde wählt.

(2) Soweit zwischen den Parteien weitere Sonderleistungen vereinbart wurden, wie zum Beispiel nach § 3 Abs. 4 oder § 6 Abs. 1 dieser AGB, gelten die in der Anlage 5 (im Folgenden „Vergütung") ausgewiesenen Preise.

(3) Alle Entgelte verstehen sich zzgl. der gesetzlichen Umsatzsteuer.

(4) Die Höhe der monatlich zu zahlenden Gesamtvergütung und die Zahlungsinformationen ergeben sich aus Anlage 5.

(5) Die Abrechnung der Gesamtvergütung erfolgt je nach Lizenz monatlich oder jährlich.

§ 8 Obhutspflicht

(1) Der Kunde ist verpflichtet, durch geeignete Maßnahmen Vorsorge zu treffen und dadurch sicherzustellen, dass unbefugte Dritte nicht auf die Software, die Sicherungskopie, das Handbuch sowie auf sonstige mitgelieferte Begleitmaterialien (im Folgenden gesammelt: „Dokumentation") zugreifen können.

(2) Der Kunde ist insbesondere dazu verpflichtet, alle vorhandenen Kopien der Software einschließlich der Sicherungskopie sowie alle dazugehörigen Dokumentationen an einem vor dem unberechtigten Zugriff Dritter geschützten Ort zu verwahren. Die Kosten für die Aufbewahrung trägt der Kunde.

§ 9 Gewährleistung

(1) Sollte der Kunde Mängel an der Software oder an der Dokumentation feststellen, so hat der Kunde diese BANQR unverzüglich schriftlich anzuzeigen. Ein Mangel liegt insbesondere auch dann vor, wenn die Software nicht die nach Anlage 1 geschuldeten Komponenten aufweist.

(2) BANQR ist verpflichtet, die angezeigten Mängel an der Software und an der Dokumentation innerhalb einer angemessenen Frist zu beheben. Die Kosten der Mängelbeseitigung trägt BANQR.

(3) Der Kunde hat BANQR den zum Zwecke der Mangelbeseitigung erforderlichen Zugriff auf die Software und auf die Dokumentation zu ermöglichen.

(4) Der Kunde ist nicht dazu berechtigt, eine Minderung der Vergütung dadurch geltend zu machen, dass er den Minderungsbetrag von der monatlich zu zahlenden Vergütung eigenständig abzieht. Der bereicherungsrechtliche Anspruch des Kunden, den aufgrund einer berechtigten Minderung zu viel gezahlten Teil der Vergütung zurückzufordern, bleibt hiervon unberührt.

(5) Im Falle des Fehlschlags der nach § 9 Abs. 2 geschuldeten Mangelbeseitigung ist der Kunde zur außerordentlichen Kündigung dieses Vertrags berechtigt. Ein Fehlschlag der Mangelbeseitigung liegt insbesondere dann vor, wenn die Mangelbeseitigung für BANQR unmöglich ist, wenn BANQR die Mängelbeseitigung verweigert oder wenn die Mangelbeseitigung durch den BANQR aus sonstigen Gründen für den Kunde unzumutbar ist.

§ 10 Haftung und Freistellung

(1) BANQR haftet unbeschränkt:

a) bei Arglist, Vorsatz oder grober Fahrlässigkeit;b) im Rahmen einer von ihm ausdrücklich übernommenen Garantie;c) für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit;d) für die Verletzung einer wesentlichen vertraglichen Pflicht, deren Erfüllung die ordnungsgemäße Durchführung dieses Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut und vertrauen darf („Kardinalpflicht"), jedoch begrenzt auf den bei Eintritt des Vertragsschlusses vernünftigerweise zu erwartenden Schaden;e) nach den Vorschriften des Produkthaftungsgesetzes.

(2) Im Übrigen ist eine Haftung von BANQR ausgeschlossen. Insbesondere haftet BANQR nicht für bereits bei Vertragsschluss vorhandene Mängel, soweit kein Fall des § 10 Abs. 1 gegeben ist.

(3) Die zum Abgleich herangezogenen Daten stammen nicht von BANQR, sondern werden dem Kunden von seiner Bank bereitgestellt, sodass keine Haftung für diese Daten übernommen wird, insbesondere nicht für die Richtigkeit, Vollständigkeit oder Aktualität der Daten.

(4) Die vorstehenden Haftungsregeln gelten entsprechend für das Verhalten von und Ansprüchen gegen Mitarbeiter, gesetzliche Vertreter und Erfüllungsgehilfen von BANQR.

(5) BANQR gewährleistet dem Kunde, dass die Software keine Rechte Dritter verletzt (im Folgenden „Schutzrechtsverletzung"). BANQR wird den Kunden von allen Ansprüchen Dritter wegen vom BANQR zu vertretenen Schutzrechtsverletzungen im Zusammenhang mit der vertragsgemäßen Nutzung der Software auf erstes Anfordern hin freistellen und auch die angemessenen Kosten einer Rechtsverteidigung für den Kunde übernehmen. Der Kunde wird BANQR unverzüglich über die geltend gemachten Ansprüche Dritter informieren; er ist nicht berechtigt, solche Ansprüche tatsächlich oder rechtlich entgegenzunehmen, es sei denn BANQR hat dem zuvor schriftlich zugestimmt. Der Freistellungsanspruch nach diesem § 10 Abs. 4 erlischt, wenn der Kunde BANQR nicht unverzüglich über die Geltendmachung von Ansprüchen durch Dritte informiert und sofern kein Fall einer unbeschränkten Haftung nach § 10 Abs. 1 vorliegt.

(6) Wird der Kunde wegen eines Mangels der Software nach § 9 Abs. 1 S. 2 dieses Vertrags in Anspruch genommen, gilt § 10 Abs. 4 entsprechend; sollte eine Freistellung im Außenverhältnis nicht möglich sein, gilt die Verpflichtung im Innenverhältnis.

§ 11 Vertragsdauer und Kündigung

(1) Dieser Vertrag tritt mit Abschluss des Bestellvorgangs in Kraft und hat eine unbestimmte Laufzeit.

(2) Die Parteien können den Vertrag bei monatlichen Abonnements mit einer Frist von einem Monat zum Monatsende kündigen. Bei jährlichen Abonnements ist eine Kündigung mit einer Frist von drei Monaten zum Ende der jeweiligen Laufzeit möglich. Bitte richten Sie Ihre Anfrage per E-Mail an: sales@banqr.io.

(3) Das Recht beider Parteien zur jederzeitigen außerordentlichen und fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor, wenn BANQR oder der Kunde vorsätzlich oder fahrlässig gegen eine wesentliche Pflicht aus diesem Vertrag verstößt und deswegen der kündigenden Partei das Festhalten am Vertrag nicht mehr zumutbar ist. BANQR ist hiernach insbesondere zur außerordentlichen und fristlosen Kündigung des Vertrags berechtigt, wenn der Kunde gegen die Bestimmungen des § 5 dieses Vertrags verstößt und seine Verletzungshandlungen nicht innerhalb einer angemessenen Frist abstellt, wenn BANQR diesen zuvor zur Unterlassung dieser Verletzungshandlungen abgemahnt hat.

(4) Die Kündigung dieses Vertrags bedarf zu seiner Wirksamkeit der Schriftform.

§ 12 Rückgabe und Löschung

(1) Nach Beendigung des Vertrags ist der Kunde verpflichtet, die Nutzung der Software einzustellen und die Software sowie sämtliche Programmkopien (einschließlich der Sicherungskopie) sowie alle überlassenen Dokumentationen und sonstige Unterlagen an BANQR zurückzugeben. Die Rückgabe erfolgt auf eigene Kosten des Kunden.

(2) BANQR steht es frei, auf die Rückgabe nach Maßgabe des § 12 Abs. 1 zu verzichten und stattdessen von dem Kunde die Löschung der Software sowie sonstiger Programmkopien und die Vernichtung der überlassenen Dokumentationen und sonstigen Unterlagen zu verlangen.

(3) Darüber hinaus ist der Kunde verpflichtet, sämtliche installierte Programmkopien und etwaige gespeicherte Dokumentationen vollständig und endgültig von all seinen Servern zu löschen.

(4) Jede Nutzung der Software nach Beendigung des Vertrags ist unzulässig.

§ 13 Vertraulichkeit

(1) „Vertrauliche Informationen" sind alle Informationen und Unterlagen der jeweils anderen Partei, die als vertraulich gekennzeichnet oder aus den Umständen heraus als vertraulich anzusehen sind, insbesondere Informationen über Produkte der jeweiligen Partei, einschließlich Object Codes, Dokumentationen und sonstige Unterlagen, betriebliche Abläufe, Geschäftsbeziehungen und Know-how.

(2) Die Parteien vereinbaren, über solche vertrauliche Informationen Stillschweigen zu wahren. Diese Verpflichtung besteht für einen Zeitraum von nach Beendigung des Vertrags fort.

(3) Von dieser Verpflichtung ausgenommen sind solche vertraulichen Informationen,

a) die dem Empfänger bei Abschluss des Vertrags nachweislich bereits bekannt waren oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt werden;b) die bei Abschluss des Vertrags öffentlich bekannt sind oder danach öffentlich bekannt gemacht werden, soweit dies nicht auf einer Verletzung dieses Vertrags beruht;c) die aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichtes oder einer Behörde offen gelegt werden müssen. Soweit zulässig und möglich wird der zur Offenlegung verpflichtete Empfänger die andere Partei vorab unterrichten und ihr Gelegenheit geben, gegen die Offenlegung vorzugehen.

(4) Die Parteien werden nur solchen Beratern Zugang zu vertraulichen Informationen gewähren, die dem Berufsgeheimnis unterliegen oder denen zuvor den Geheimhaltungsverpflichtungen dieses Vertrags entsprechende Verpflichtungen auferlegt worden sind. Des Weiteren werden die Parteien nur denjenigen Mitarbeitern die vertraulichen Informationen offen legen, die diese für die Durchführung dieses Vertrags kennen müssen, und diese Mitarbeiter auch für die Zeit nach ihrem Ausscheiden in arbeitsrechtlich zulässigem Umfang zur Geheimhaltung verpflichten.

§ 14 Änderungsvorbehalt

(1) BANQR behält sich vor, diese AGB jederzeit mit Wirksamkeit auch innerhalb der bestehenden Vertragsverhältnisse zu ändern, soweit

a) dies aus triftigen Gründen, insbesondere aufgrund einer geänderten Rechtslage oder höchstrichterlichen Rechtsprechung, technischer Änderungen oder Weiterentwicklungen, Regelungslücken in den AGB, Veränderung der Marktgegebenheiten oder anderen gleichwertigen Gründen erforderlich ist und den Kunden nicht unangemessen benachteiligt, undb) durch die Änderungen nicht die wesentlichen Geschäftseigenschaften des Vertrags, insbesondere die von BANQR geschuldeten entgeltlichen Leistungen, umgestaltet werden.

(2) Über derartige Änderungen wird BANQR den Kunde mindestens zwei (2) Monate vor dem geplanten Inkrafttreten der Änderungen in Kenntnis setzen. Der Kunde kann den Änderungen vor ihrem geplanten Inkrafttreten entweder zustimmen oder die Änderungen ablehnen. Seine Zustimmung gilt als erteilt, wenn der Kunde keine Ablehnung vor dem geplanten Inkrafttreten der Änderungen angezeigt hat. Auf diese Genehmigungswirkung wird BANQR den Kunden in seinem Angebot besonders hinweisen.

(3) Lehnt der Kunde die Änderungen ab, haben beide Parteien das Recht, die Geschäftsverbindung außerordentlich zu beenden. Auf dieses beidseitige außerordentliche Kündigungsrecht wird BANQR den Kunden im Rahmen der Änderungsmitteilung gesondert hinweisen.

§ 15 Schlussbestimmungen

(1) Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Lücke in den AGB.

(2) Anlagen, auf die in diesen AGB Bezug genommen wird, sind Vertragsbestandteil.

(3) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Sitz von BANQR. BANQR bleibt berechtigt, am allgemeinen Gerichtsstand des Kunden zu klagen.

(4) Auf diese AGB findet das Recht der Bundesrepublik Deutschland Anwendung unter Ausschluss seiner kollisionsrechtlichen Bestimmungen und des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenverkauf vom 11.4.1980 (UN-Kaufrecht).

Anlagenverzeichnis

  • Anlage 1 – Vertragsgegenstand
  • Anlage 2 – Handbuch (separat)
  • Anlage 3 – Support
  • Anlage 4 – Auftragsverarbeitungsvertrag (separat)
  • Anlage 5 – Vergütung

Anlage 1 – Vertragsgegenstand für Cash 365

1. Allgemeine Beschreibung der Software

Cash 365 ist eine Softwarelösung zur Integration von Echtzeit-Banking-Funktionen in Microsoft Dynamics 365 Business Central. Sie ermöglicht Unternehmen eine effiziente Verwaltung ihrer Finanzprozesse durch die direkte Anbindung an Bankensysteme.

2. Funktionen der Software

Die Software umfasst folgende Kernfunktionen:

  • Echtzeit-Kontenübersicht: Anzeige und Synchronisation von Kontoständen in Microsoft Business Central.
  • Transaktionsverarbeitung: Unterstützung von SEPA-Zahlungen, Lastschriften und Überweisungen.
  • Automatisierte Rechnungszahlung: Abgleich und Zuordnung von Zahlungseingängen zu Rechnungen.
  • Multi-Bank-Integration: Direkte Anbindung an mehrere Bankkonten über zertifizierte API-Schnittstellen.
  • Sicherheits- und Compliance-Funktionen: PSD2-konforme Authentifizierung, verschlüsselte Kommunikation und Zugriffskontrollen.

3. Nutzungsabhängige Komponenten

Die Nutzung der Software ist abhängig von folgenden Faktoren:

  • Anzahl der angebundenen Bankkonten
  • Umfang der durchgeführten Transaktionen

4. Nutzungsvoraussetzungen

Der Kunde muss folgende technischen und organisatorischen Voraussetzungen erfüllen:

  • Microsoft Dynamics 365 Business Central als ERP-System
  • Bankkonto bei einer unterstützten Bank mit API-Zugang
  • Microsoft Cloud-Dienste (Azure Deutschland) zur Nutzung der Software
  • Einrichtung von Benutzerrollen und Berechtigungen innerhalb Business Central

Anlage 3 – Support

Übersicht der Supportleistungen

BANQR bietet einen Basis-Supportplan, der bis zu 5 Supportstunden pro Monat zu einem Pauschalpreis von 350,00 EUR umfasst. Jede weitere Supportstunde wird mit 160,00 EUR pro Stunde berechnet.

Erreichbarkeit: Montag bis Freitag, von 09:00 bis 18:00 Uhr (MEZ)
E-Mail-Support: Antwortzeit innerhalb von 24 Stunden

Alle Supportleistungen werden innerhalb der oben genannten Servicezeiten erbracht.
Für Supportanfragen wenden Sie sich bitte an: support@banqr.io.

Anlage 5 – Vergütung

1. Preistabelle für Lizenz

ModulPreis monatlich pro UserPreis jährlich pro UserZuordnung der Funktionen
Cash Basic (Basisfunktion) 49 €499 €Reiner Lesezugriff, der Einsichtnahme in Kontostände und Transaktionen sowie Kontoübersichten ermöglicht
Cash SME (DB) Online Banking50 €500 €Instant Payments, Echtzeit-Balance, Umsätze in Echtzeit, Automatisierte Prozesse, Cash Analytics Dashboard, Verfügbar auch für Postbank/Fyrst
Cash Enterprise (DB)150 €1.500 €Enthält alle SME-Funktionen plus: Internationale Kontoaggregation, Bulk-Zahlungen / SEPA-Lastschriften, Virtuelle Kontenlösung, Echtzeit-Treasury, API-Zugang für Drittbanken
Cash fin API (länderübergreifend im SEPA-Raum)50 €500 €Multi-Bank-API-Verbindung, Länderübergreifende Kontoaggreagtion
Point of Sales5 €50 €QR-Zahlungsanforderungsbildschirm am Point of Sale (POS), Zahlungen empfangen ohne direkten Bankzugang, Kompatibel mit jeder Bankintegration

2. Preise für Support

LeistungsgegenstandPreisZeit
Basissupport  (monatlich 5 Stunden inklusive):350,00 € pro MonatMaximal 5 Stunden pro Monat
Jede weitere Stunde Support:160,00 €Nach Zeitaufwand

3. Preise für Sonderleistungen

Individuelle Anpassungen oder Sonderentwicklungen durch BANQR sind nicht Bestandteil des Vertrages und werden nur auf separater Projektbasis beauftragt und mit dem folgenden Vergütungssatz auf time and material-Basis abgerechnet:

160,00 € pro Stunde (netto).

Dieser Vergütungssatz gilt auch für Support-Leistungen durch BANQR.

4. Zahlungsinformationen

Zahlungen sind per Kreditkarte direkt über den Microsoft App-Source zu leisten.

In Ausnahmefällen können auch Zahlungen per Rechnung abgewickelt werden. Dies ist individuell mit BANQR zu vereinbaren. Hierzu ist eine E-Mail mit entsprechender Nachricht an sales@banqr.io zu richten.

‍

Anlage 4: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Geltungsbereich

(1) Dieser Auftragsverarbeitungsvertrag (im Folgenden „Vertrag") regelt die Rechte und Pflichten der BANQR Digital Solutions GmbH, Thyssenstrasse 6-8, 32312 Lübbecke, vertreten durch den Geschäftsführer: Wolfgang Gehrlicher, eingetragen im Handelsregister B des Amtsgerichts Bad Oeynhausen unter HRB 19403, (im Folgenden: „Auftragnehmer") und ihres Kunden (im Folgenden: „Auftraggeber") im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. Im Sinne des Datenschutzes ist der Auftraggeber der "Verantwortliche", der Auftragnehmer der "Auftragsverarbeiter" (im Folgenden auch gemeinschaftlich „Parteien" genannt).

(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer oder Mitarbeiter des Auftragnehmers personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.

(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der Datenschutz-Grundverordnung (im Folgenden „DSGVO") in ihrer jeweils aktuellen Fassung zu verstehen.

(4) Soweit Erklärungen im Folgenden in „Textform" zu erfolgen haben, gilt § 126b BGB gemeint.

Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags zur Verarbeitung personenbezogener Daten wird im Hauptvertrag definiert. Der Auftragnehmer übernimmt entsprechend der Beauftragung im Hauptvertrag folgende Datenverarbeitungen:

a. Verifizierungsprozess zur Betrugsprävention

b. Erbringung von Supportdienstleistungen auf den IT-Systemen des Auftraggebers, falls gesondert beauftragt.

(2) Der Auftraggeber gewährleistet, dass die an den Auftragnehmer weitergegebenen und im Auftrag verarbeiteten Daten rechtmäßig erlangt wurden.

(3) Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von drei Monaten zum Monatsende gekündigt werden bzw. endet automatisch mit Beendigung des Hauptvertrages. Die Möglichkeit zur fristlosen Kündigung bleibt für beide Parteien hiervon unberührt.

(4) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein grob fahrlässiger oder vorsätzlicher schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Im Fall eines fahrlässigen Verstoßes durch den Auftragnehmer ist der Auftraggeber nur zur fristlosen und außerordentlichen Kündigung berechtigt, wenn er den Auftragnehmer vor der Kündigung dazu aufgefordert hat, den Verstoß innerhalb einer angemessenen Frist abzustellen und der Auftragnehmer dieser Aufforderung nicht fristgemäß nachgekommen ist.

Konkretisierung des Auftragsinhalts

(1) Die Art und der Zweck der verarbeiteten personenbezogenen Daten sowie die Kategorien der Betroffenen werden in Anlage 1 zu diesem Vertrag konkretisiert.

(2) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich entsprechend der Weisungen des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderen Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer des Auftraggebers diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen als die in Anlage 1 genannten Zwecke, insbesondere nicht für eigene Zwecke. Der Auftragnehmer erhält weiterhin an den im Rahmen der Verarbeitung verarbeiteten Daten oder auch an den Ergebnissen der Datenverarbeitung keine wie auch immer gearteten Eigentums- oder auch nur Nutzungsrechte. Auch eine Anonymisierung der Daten in Verbindung mit einer darauffolgenden eigenen Verarbeitung seitens des Auftragnehmers findet nicht statt.

(3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

(4) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind und er die Grundsätze ordnungsgemäßer Datenverarbeitung beachtet. Der Auftragnehmer sichert zu, dass er keinen Grund zur Annahme hat, dass eine für ihn geltende Rechtsvorschrift ihn daran hindert, die vom Auftraggeber erhaltenen Weisungen oder Verpflichtungen aus diesem Vertrag zu erfüllen.

(5) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber - soweit erforderlich - bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutz-Folgenabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

(6) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(7) Der Auftragnehmer leitet dem Auftraggeber Anfragen und geltend gemachte Rechte von Betroffenen unverzüglich weiter, ohne mit dem Betroffenen in Kontakt zu treten, außer der Auftragnehmer wurde ausdrücklich vom Auftraggeber zur Kontaktaufnahme angewiesen. Der Auftragnehmer stellt sicher, dass diese Pflicht dem Unterauftragnehmer in entsprechender Weise auferlegt wird.

(8) Sofern gesetzlich verpflichtet, benennt der Auftragnehmer einen fachkundigen und zuverlässigen Datenschutzbeauftragten. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Sofern kein Datenschutzbeauftragter ernannt wurde, hat der Auftragnehmer einen Ansprechpartner in Sachen Datenschutz zu benennen. Die Kontaktdaten des derzeitigen Datenschutzbeauftragten oder des für den Datenschutz zuständigen Ansprechpartners sind in Anlage 2 zu diesem Vertrag benannt.

Änderungen hinsichtlich der Bestellung oder der Kontaktmöglichkeiten des Datenschutzbeauftragten bzw. des für den Datenschutz zuständigen Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer verpflichtet sich, sämtliche entsprechend Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu entsprechen. Der Mindeststandard der in den TOM zu beschreibenden Maßnahmen ist in Anlage 3 beigefügt. Der Auftraggeber bestätigt, dass diese zum Zeitpunkt des Vertragsschlusses im Sinne der DSGVO angemessen sind. Der Auftragnehmer sichert zu, die in Anlage 3 beschriebenen TOM implementiert zu haben. Für die Erstellung und Implementierung der TOM ist alleine der Auftragnehmer zuständig.

(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau oder auch der anerkannte Stand der Technik nicht unterschritten wird. Erforderliche Änderungen, die der Aufrechterhaltung der Datensicherheit dienen, hat der Auftragnehmer unverzüglich umzusetzen.

(3) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(4) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen (z.B. Backups), soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

(5) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Hierzu wird der Auftragnehmer dem Auftraggeber hinreichende Garantien vorlegen, wie aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragte, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz). Zum Nachweis der hinreichenden Garantien können auch die Einhaltung genehmigter Verhaltensregeln oder genehmigter Zertifizierungsverfahren herangezogen werden. Der Nachweis ist dem Auftraggeber grundsätzlich alle 12 Monate aber spätestens alle 24 Monate auf Anforderung zu überlassen. Nachweise sind mindestens bis zum Ablauf von drei Kalenderjahren nach Beendigung der Auftragsverarbeitung aufzubewahren und dem Auftraggeber jederzeit auf Verlangen vorzulegen.

(6) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit und dem Datenschutz zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Der Auftragnehmer wird seine Mitarbeiter auf weitergehende Geheimnisschutzregeln verpflichten, sofern der Auftraggeber derartigen weitergehenden Pflichten z.B. dem Sozialgeheimnis etc. unterliegt. Der Auftraggeber muss den Auftragnehmer zumindest in Textform entsprechend hierzu anweisen. Die Pflicht zur Vertraulichkeit besteht auch nach der Beendigung des Vertrages fort.

(7) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen werden angemessen regelmäßig wiederholt. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen sensibilisiert, angeleitet und überwacht werden.

Berichtigung, Löschung und Sperrung von Daten

(1) Die im Auftrag verarbeiteten Daten wird der Auftragnehmer nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

(3) Der Auftraggeber stellt den Auftragnehmer von jeglicher Haftung -- auch seitens Dritter -- frei, sofern die Daten entsprechend der Aufforderung berichtigt, gelöscht oder gesperrt wurden. Die Regelungen zur Beendigung in § 11 dieses Vertrages bleiben unberührt.

Weisungen

(1) Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen zumindest in Textform dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich zumindest in Textform dokumentiert bestätigen.

(3) Der Auftragnehmer teilt in Anlage 2 mindestens eine Person mit, die zur Annahme von Weisungen ausschließlich befugt ist.

(4) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich zumindest in Textform dokumentiert mitzuteilen.

(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den zuständigen Beschäftigten beim Auftraggeber bestätigt oder geändert wird.

(6) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

Rechte und Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

(2) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(3) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Die mit der Kontrolle betrauten Personen sind vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

(4) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu den normalen Bürozeiten zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 24 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter § 5 Abs. 5 dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

(5) Der Auftraggeber ist berechtigt, Kopien dieses Vertrags an bestimmte Vertragspartner und Behörden weiterzugeben, um den Nachweis der Einhaltung gesetzlicher und/oder vertraglicher Pflichten zu erbringen, insbesondere Art. 28 Abs. 3 DSGVO. Vor Weitergabe entfernt der Auftraggeber durch Schwärzung etwaige vertrauliche Geschäftsinformationen aus der Kopie.

Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen.

(2) Eine Beauftragung von Unterauftragnehmern durch den Auftragnehmer darf auf Grundlage einer allgemeinen schriftlichen Genehmigung des Auftraggebers vorgenommen werden, die er hiermit erteilt. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder Ersetzung bestehende Unterauftragnehmer durch andere 30 Tage bevor diese Änderung stattfindet. Der Auftraggeber kann ohne Angabe von Gründen Einspruch gegen die Änderung erheben mit der Konsequenz, dass die Änderung nicht stattfindet.

(3) Sofern die Beauftragung von Unterauftragnehmern nach Maßgabe von Abs. 2 erlaubt ist, hat der Auftragnehmer sicherzustellen, dass die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden erst stattfindet, nachdem der Auftragnehmer mit dem Unterauftragnehmer einen schriftlichen Vertrag über die Unterbeauftragung abgeschlossen hat. Die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer müssen auch gegenüber dem Unterauftragnehmer gelten. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragnehmern durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer ist verpflichtet, dieses Recht des Auftraggebers vertraglich gegenüber dem Unterauftragnehmer zu regeln.

(4) Die Zuständigkeiten und Pflichten des Auftragnehmers und des Unterauftragnehmers sind eindeutig voneinander abzugrenzen.

(5) Der Auftragnehmer wählt den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der vom Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

(6) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Unterauftragnehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Unterauftragnehmer seine Verpflichtungen vollständig erfüllt hat, siehe Abs. 3 S. 2. Der Auftragnehmer hat dem Auftraggeber die Dokumentation nach Aufforderung vorzulegen.

(7) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

(8) Der Auftragnehmer hat die Einhaltung der Pflichten des Unterauftragnehmers regelmäßig alle 12 Monate, aber spätestens alle 24 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber nach Aufforderung vorzulegen. Der Auftragnehmer bewahrt die Dokumentation über durchgeführte Prüfungen mindestens bis zum Ablauf des dritten Kalenderjahres nach Beendigung der Auftragsverarbeitung auf und legt diese dem Auftraggeber auf Verlangen jederzeit vor. Eigene Kontrollrechte des Auftraggebers bleiben hiervon unberührt.

(9) Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

(10) Der Einsatz von weiteren Unterauftragnehmern durch den Unterauftragnehmer ist im Rahmen dieser Verarbeitung im Auftrag nicht zulässig.

(11) Beide Parteien sind sich einig, dass Nebenleistungen, wie beispielsweise Transport und Reinigung der Geschäftsräume sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice keine Auftragsverarbeitung im Sinne dieses Vertrages ist, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständigen Verantwortlichen sind. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(12) Zurzeit sind die in Anlage 4 mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragnehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber hiermit genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Unterauftragnehmer bleiben unberührt.

Mitteilungspflichten

(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat unverzüglich ab Kenntnis des Auftragnehmers vom relevanten Ereignis an den in Anlage 2 genannten Ansprechpartner im Datenschutz zu erfolgen.

Sie muss mindestens folgende Angaben enthalten:

a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung. Zudem bedarf es der Mitteilung von Verstößen des Unterauftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen gemäß Abs. 1.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

(4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen.

Beendigung des Auftrags

(1) Befinden sich bei Beendigung des Auftragsverhältnisses noch personenbezogene Daten oder Kopien derselben noch in der Verfügungsgewalt des Auftragnehmers, hat dieser nach Wahl des Auftraggebers die Daten entweder zu löschen bzw. vernichten oder an den Auftraggeber zu übergeben. Der Auftragnehmer kann von einer Löschung bzw. Vernichtung absehen, sofern gesetzliche Aufbewahrungspflichten bestehen, die ihn zur Speicherung der Daten verpflichten. In diesem Fall hat der Auftragnehmer den Auftraggeber unter Verweis auf die gesetzliche Aufbewahrungspflicht über die weitergehende Speicherung unverzüglich zu unterrichten und sicherzustellen, dass die Weiterverarbeitung der betreffenden Daten auf den Zweck der Wahrung der gesetzlichen Aufbewahrungspflicht beschränkt ist.

(2) Die Wahl nach Abs. 1 hat der Auftraggeber zu treffen und dem Auftragnehmer in Textform mitzuteilen. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung mit vertretbarem Aufwand nicht mehr möglich ist.

(3) Der Auftragnehmer ist verpflichtet, die unverzügliche Vernichtung bzw. Rückgabe auch bei Unterauftragnehmern herbeizuführen.

(4) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber nach dessen Aufforderung vorzulegen.

(5) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.

(6) Der Auftraggeber stellt den Auftragnehmer von jeglicher wie auch immer gearteter Haftung -- auch gegenüber Dritten -- in Bezug auf die gelöschten bzw. vernichteten Daten frei, sofern die durchgeführte Löschung bzw. Vernichtung der personenbezogenen Daten der Aufforderung des Auftraggebers entsprach.

Vergütung

(1) Für im Rahmen der Verarbeitung im Auftrag gesondert entstehende Aufwände kann der Auftragnehmer eine angemessene Vergütung verlangen.

(2) Eine Vergütung ist in allen Fällen ausgeschlossen, wenn der Mehraufwand dadurch entsteht, dass der Auftragnehmer gegen anwendbares Recht oder gegen Regelungen des hiesigen Vertrages verstoßen hat.

Sonstiges

(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(3) Für die Wirksamkeit von Nebenabreden ist die Schriftform und die ausdrückliche Bezugnahme auf diese Vereinbarung erforderlich.

(4) Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anlage 1 -- Angaben zur Datenverarbeitung (zu § 3 Abs. 1)

1. Art, Zweck, Ort und Betroffene der Datenverarbeitung

a) Art und Zweck der Verarbeitung

Der Umfang der Verarbeitung wird im Hauptvertrag definiert.

Die Verarbeitung im Auftrag umfasst u.a. die folgenden Datenverarbeitungen:

Durchführung des Verifizierungsprozesses

  • Erfassung der durch den Auftraggeber zu überprüfenden Daten (Name des Kontoinhabers, Bankleitzahl und Kontonummer bzw. IBAN).
  • Temporäre Speicherung der eingegebenen Daten zu Weiterleitung der Daten an die API-Schnittstelle der Deutschen Bank.
  • Auswertung der durch die Bank infolge der Anfrage bereitgestellten Daten zur Gültigkeit des Kontos sowie der kontobezogenen Daten bzw. letzte Transaktionsdaten und/oder Informationen zum Zahlungsstatus, falls keine Verbindung zu einer Drittbanken außerhalb der Deutschenbank-Gruppe hergestellt werden konnte.
  • Bereitstellung des Verifizierungsergebnisses in Echtzeit (Realtime) bzw. nahezu in Echtzeit (Neartime) an den Auftraggeber im Portal.

Bearbeitung von Support-Anfragen

  • Zugriff auf die IT-Systeme des Auftraggebers, in denen auch personenbezogene Daten gespeichert sind, sodass diese im Rahmen der Fernzugriffs bei Erbringung der Supportdienstleistungen eingesehen werden können.

Die Verarbeitung dient somit den folgenden Zwecken:

Durchführung des Verifizierungsprozesses zur

  • Sicherstellung der Gültigkeit von Bankkontodaten vor der Durchführung von Zahlungen oder Transaktionen.
  • Reduzierung von Fehlüberweisungen und Betrugsrisiken durch Echtzeit-Verifizierung von Kontoinformationen.

Bearbeitung von Support-Anfragen des Auftraggebers

b) Art der Daten

Es werden die folgenden Arten von personenbezogenen Daten verarbeitet:

  • Namen
  • Kontaktdaten
  • Kontodaten
  • Transaktionsdaten
  • Information zum Zahlungsstatus

c) Ort der Verarbeitung

Der Auftragnehmer erbringt die vereinbarte Leistung an einem Leistungsort innerhalb der EU bzw. des EWR.

2. Kategorien der betroffenen Personen

  • Mitarbeiter des Auftraggebers
  • Kunden des Auftraggebers
  • Dienstleister des Auftraggebers

Anlage 2 -- Kontaktdaten (zu § 4 Abs. 8 und § 7 Abs. 3)

1. Die für den Datenschutz zuständigen Ansprechpartner (zu § 4 Abs. 8)

Die Kontaktdaten des Ansprechpartners für den Datenschutz beim Auftragnehmer, sofern kein Datenschutzbeauftragter besteht:

  • Vor- und Nachname: Nadine Ebmeyer
  • E-Mail-Adresse: nadine.ebmeyer@banqr.io

Änderungen hinsichtlich der Benennung oder der Kontaktmöglichkeiten sind dem Auftraggeber unverzüglich mitzuteilen.

2. Entgegennahme von Weisungen (zu § 7 Abs. 3)

Annahmebefugte Personen beim Auftragnehmer:

  • Nadine Ebmeyer (siehe Ziffer 1).

Anlage 3 -- Übersicht der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (zu § 5 Abs. 1)

Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund, welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen wurden. Durch diese Übersicht soll der Nachweis der Beachtung der datenschutzrechtlichen Vorschriften durch Auftragnehmer geführt werden.

1. Pseudonymisierung von Daten (Art. 32 Abs. 1 lit. a) DSGVO)

Auftragnehmer stellt sicher, dass - soweit die technischen Abläufe dies zulassen - bei personenbezogenen Daten wesentliche Identifizierungsmerkmale durch einen Schlüssel ersetzt werden, mit dem bei Bedarf wieder einen Personenbezug hergestellt werden kann (Pseudonymisierung).

Verwendung von Tokenisierungstechnologien, um sensible Daten durch nicht rückführbare Platzhalter zu ersetzen.

2. Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a) DSGVO)

Auftragnehmer gewährleistet, dass personenbezogene Daten nur gesichert gespeichert werden, indem eine angemessene Verschlüsselung erfolgt.

  • AES-256-Verschlüsselung für die temporäre Speicherung der Daten während des Verifizierungsprozesses.
  • Strenge Zugriffsbeschränkungen auf Verschlüsselungsschlüssel.

3. Vertraulichkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

a) Zutrittskontrolle

Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden.

  • Die Server-Infrastruktur liegt in Microsoft Rechenzentren mit ISO 27001-zertifizierter Sicherheitsarchitektur.
  • Physischer Zugang ist nur autorisierten Personen in Microsofts Rechenzentren gestattet.

b) Zugangskontrolle

Auftragnehmer trifft Maßnahmen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können.

  • Strenge Authentifizierungsverfahren:
    • Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge.
    • Nutzung von OAuth2 und mTLS zur Authentifizierung und Zugriffsbeschränkung.
  • Passwort- und Zugriffssicherheitsrichtlinien:
    • Komplexe Passwortanforderungen und regelmäßige Passwortwechsel.
    • Sperrung von Konten nach mehrfachen Fehlversuchen.

c) Zugriffskontrolle

Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.

  • Rollen- und berechtigungsbasierte Zugriffskontrollen (RBAC):
    • Zugriff auf personenbezogene Daten wird nach dem Need-to-Know-Prinzip geregelt.
    • Mitarbeiter erhalten nur die minimal notwendigen Berechtigungen für ihre Aufgaben.
    • Regelmäßige Überprüfung und Anpassung von Berechtigungen.
  • Schreib- und Löschschutz:
    • Kritische Daten sind gegen unbefugte Änderungen oder Löschungen geschützt.
    • Versionierung und Backup-Systeme ermöglichen eine Wiederherstellung im Falle unautorisierter Änderungen.
  • Trennung von Identifikations- und Verifikationsdaten, um unbefugten Zugriff oder Missbrauch zu verhindern.
  • Echtzeit-Überwachung von Systemaktivitäten durch SIEM (Security Information and Event Management).

d) Weitergabekontrolle

Auftragnehmer verhindert, dass personenbezogene Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können, und dass festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im IT-System vorgesehen ist.

  • Sichere Datenübertragung:
    • Ende-zu-Ende-Verschlüsselung (TLS 1.2/1.3) bei der Datenübertragung über das Portal
    • Signierte und authentifizierte Kommunikationsprotokolle, um Datenintegrität und Herkunftsnachweis zu gewährleisten.
  • Protokollierung und Nachvollziehbarkeit:
    • Jede Übermittlung und Verarbeitung personenbezogener Daten wird protokolliert (Logging & Monitoring).
    • Echtzeit-Überwachung und Intrusion Detection Systems (IDS) zur Erkennung verdächtiger Aktivitäten.
    • SIEM-Systeme (Security Information and Event Management) zur Analyse und Nachverfolgung von Datenflüssen.

4. Integrität der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

a) Eingabekontrolle

Auftragnehmer stellt sicher, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

  • Protokollierung aller Datenverarbeitungsvorgänge:
    • Jede Eingabe, Änderung und Löschung personenbezogener Daten wird protokolliert.
    • Logs enthalten Zeitstempel, Benutzerkennung und durchgeführte Aktion.
  • Audit- und Monitoring-Systeme:
    • Echtzeitüberwachung aller relevanten Aktivitäten im IT-System.
    • Zugriffsprotokolle und Änderungsverläufe für personenbezogene Daten.
  • Revisionssichere Speicherung der Protokolle:
    • Logs werden verschlüsselt und manipulationssicher gespeichert.
    • Zugriff auf Logs ist nur autorisierten Personen gestattet.
  • Regelmäßige Überprüfung und Analyse der Protokolle:
    • Automatische Alarme bei unautorisierten Änderungen.
    • Manuelle Überprüfung durch Datenschutz- oder IT-Sicherheitsbeauftragte.

b) Auftragskontrolle

Auftragnehmer stellt sicher, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden.

  • Vertragliche Verpflichtung:
    • Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Basis des Hauptvertrags und der Weisungen des Auftraggebers.
    • Der Auftragnehmer ist vertraglich zur Einhaltung dieser Weisungen verpflichtet.
  • Weisungsmanagement:
    • Der Auftraggeber kann schriftliche oder elektronische Weisungen zur Datenverarbeitung erteilen.
    • Der Auftragnehmer überprüft Weisungen auf Rechtmäßigkeit und technische Durchführbarkeit und informiert den Auftraggeber bei Unklarheiten oder Problemen.
  • Technische und organisatorische Maßnahmen (TOMs):
    • Berechtigungskonzepte und Zugriffsbeschränkungen verhindern eine unautorisierte Verarbeitung.
    • Einsatz von Kontrollmechanismen (z. B. Monitoring, Protokollierung), um sicherzustellen, dass nur autorisierte Datenverarbeitungen stattfinden.
  • Protokollierung und Nachweisbarkeit:
    • Jede relevante Verarbeitung wird protokolliert, sodass überprüft werden kann, ob sie weisungsgemäß erfolgt ist.
    • Logs enthalten Datum, Uhrzeit, durchführende Person/System und Art der Verarbeitung.
  • Regelmäßige Schulungen und Sensibilisierung der Mitarbeiter:
    • Alle mit der Datenverarbeitung betrauten Mitarbeiter werden regelmäßig zu DSGVO-Anforderungen und spezifischen Weisungen des Auftraggebers geschult.

c) Zweckbindung und Trennungsgebot

Auftragnehmer stellt sicher, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, immer nur im Rahmen der jeweiligen Zweckbindung genutzt werden und getrennt verarbeitet werden können.

  • Strikte Zweckbindung der Datenverarbeitung:
    • Personenbezogene Daten werden jeweils nur für den festgelegten Zweck verarbeitet, z.B. Vertragserfüllung oder Marketing.
    • Keine zweckfremde Nutzung oder Weiterverarbeitung der Daten durch den Auftragnehmer.
  • Technische Trennung von Datenbeständen:
    • Logische und physische Trennung der Daten unterschiedlicher Auftraggeber.
    • Mandantenspezifische Datenbanken, um sicherzustellen, dass Kundendaten nicht vermischt werden.
  • Zugriffs- und Berechtigungskonzepte:
    • Rollenbasierte Zugriffskontrollen (RBAC) stellen sicher, dass Mitarbeiter nur Zugriff auf Daten erhalten, die für ihren jeweiligen Verarbeitungszweck erforderlich sind.
    • Strikte Protokollierung aller Zugriffe und Verarbeitungen, um eine zweckgebundene Verarbeitung nachweisbar zu machen.
  • Organisatorische Maßnahmen:
    • Schulung der Mitarbeiter zur Einhaltung des Trennungsgebots und der Zweckbindung.
    • Regelmäßige Überprüfung der Verarbeitungsvorgänge zur Sicherstellung der Einhaltung des Verwendungszwecks.

5. Verfügbarkeit von personenbezogenen Daten (Art. 32 Abs. lit. b) DSGVO)

Auftragnehmer stellt sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

  • Automatische tägliche Backups aller relevanten Daten.
  • Versionierte Speicherung, um frühere Datenstände wiederherstellen zu können.
  • Georedundante Speicherung in mehreren ISO 27001-zertifizierten Rechenzentren innerhalb der Microsoft Azure Cloud.

6. Belastbarkeit der Systeme und Dienste (Art. 32 Abs. lit. b) DSGVO)

Auftragnehmer gewährleistet, dass seine Systeme und Dienste so ausgelegt sind, dass sie eine angemessene Datenverarbeitung ermöglichen.

  • Skalierbare IT-Infrastruktur:
    • Nutzung von Microsoft Azure Cloud-Diensten mit automatischer Skalierung zur Anpassung an Lastspitzen.
    • Hochverfügbare Load-Balancing-Mechanismen, um Serverausfälle zu vermeiden.
  • Hohe Systemverfügbarkeit:
    • Systemarchitektur mit hoher Verfügbarkeit (99,9 % SLA).
    • Automatische Fehlererkennung und Selbstheilung von Systemen zur Minimierung von Ausfällen.
  • Leistungsüberwachung und Optimierung:
    • Echtzeit-Monitoring der Systemressourcen zur Identifikation und Behebung von Engpässen.
    • Regelmäßige Performance-Tests und Lasttests, um die Belastbarkeit der Systeme zu gewährleisten.

7. Wiederherstellung von Daten (Art. 32 Abs. lit. c) DSGVO)

Auftragnehmer stellt sicher, dass für den Fall eines Datenverlustes die verlorenen Daten wiederbeschafft werden können.

  • Detaillierte Wiederherstellungsprozesse (Disaster Recovery Plan)
    • Definierte Prozesse zur Datenwiederherstellung innerhalb kurzer Zeit.
    • Regelmäßige Tests der Wiederherstellungsmechanismen, um die Funktionsfähigkeit sicherzustellen.
  • Schutz vor nicht vorgesehener Datenlöschung oder -manipulation:
    • Zugriffskontrollen und Berechtigungsmanagement, um nicht vorgesehenes Löschen zu verhindern.
    • Protokollierung aller Änderungen und Löschungen, um Fehler oder Manipulationen nachvollziehen und korrigieren zu können.

8. Überprüfung, Bewertung und Evaluation (Art. 32 Abs. lit. d) DSGVO)

a) Überprüfung der Maßnahmen

Die getroffenen Maßnahmen müssen regelmäßig auf einen Anpassungsbedarf geprüft werden.

  • Regelmäßige Sicherheits- und Datenschutz-Audits:
    • Interne und externe Prüfungen der implementierten Schutzmaßnahmen.
    • Überprüfung der Wirksamkeit der Datensicherheitsmaßnahmen durch IT- und Datenschutzexperten.
  • Risikobewertung und Schwachstellenanalyse:
    • Regelmäßige Risikoanalysen zur Identifizierung potenzieller Bedrohungen und Schwachstellen.
    • Anpassung an gesetzliche und technologische Entwicklungen:
    • Überwachung neuer gesetzlicher Anforderungen (z. B. Gesetzesreformen).
    • Verfolgung neuer Sicherheitsstandards und Technologien, um das Schutzniveau kontinuierlich zu verbessern.

b) Bewertung und Evaluation der Maßnahmen

Das Ergebnis der Überprüfung (siehe oben) muss bewertet werden; über die bestehenden Maßnahmen hinaus sind etwaige Anpassungen zu bewerten und umzusetzen.

  • Bewertung der Überprüfungsergebnisse:
    • Analyse der Ergebnisse aus Sicherheitsaudits, Risikoanalysen und Datenschutzprüfungen.
    • Identifikation von Schwachstellen oder Verbesserungspotenzialen in bestehenden Sicherheitsmaßnahmen.
  • Priorisierung und Umsetzung von Maßnahmen:
    • Erstellung eines Maßnahmenplans mit Prioritäten basierend auf dem Risiko für personenbezogene Daten.
    • Umsetzung von notwendigen Sicherheitsverbesserungen unter Berücksichtigung des aktuellen Stands der Technik.
  • Laufende Anpassung an gesetzliche und technologische Entwicklungen:
    • Berücksichtigung neuer DSGVO-Anforderungen und regulatorischer Vorgaben.
    • Integration neuer IT-Sicherheitsstandards und Best Practices, um das Schutzniveau kontinuierlich zu verbessern.
  • Überwachung und Kontrolle der Anpassungen:
    • Nach Umsetzung der Maßnahmen erfolgt eine erneute Überprüfung, um deren Wirksamkeit sicherzustellen.
    • Dokumentation aller Anpassungen, um die Einhaltung der DSGVO und interner Sicherheitsrichtlinien nachweisen zu können.

9. Unterweisung der unterstellten Mitarbeiter (Art. 32 Abs. 4 DSGVO)

Durch Auftragnehmer ist sicherzustellen, dass alle Mitarbeiter, die mit der Datenverarbeitung befasst sind, über die bestehenden Verpflichtungen und die einzuhaltenden Maßnahmen informiert sind (Unterweisung).

  • Regelmäßige Schulungen und Sensibilisierung:
    • Pflichtschulungen für alle Mitarbeiter, die Zugriff auf personenbezogene Daten haben.
    • Schulung neuer Mitarbeiter vor erstmaligem Zugriff auf personenbezogene Daten.
    • Auffrischungsschulungen in regelmäßigen Abständen, um neue gesetzliche oder technische Anforderungen zu berücksichtigen.
  • Verpflichtung zur Vertraulichkeit:
    • Alle relevanten Mitarbeiter müssen eine schriftliche Verpflichtung zur Wahrung des Datengeheimnisses gemäß Art. 28 DSGVO unterzeichnen.
    • Dokumentierte Bestätigung der Kenntnisnahme und Einhaltung der internen Datenschutzrichtlinien.

Anlage 4 - Zustimmung zur Beauftragung von Unterauftragnehmern (zu § 9 Abs. 12)

Der Auftraggeber stimmt der Beauftragung folgender Unterauftragnehmer durch den Auftragnehmer zu:

Firma, RechtsformAnschriftBeschreibung von Art und Umfang der Verarbeitung personenbezogener Daten im Unterauftrag
Vercel Inc.Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, United StatesHosting - IP Adresse, Email, alles was an Daten in der App eingeben wird
Supabase Inc.970 Toa Payoh North, Suite 07-04, Singapore, 318992, SingaporeDatenbank - IP Adresse, Email, verschlüsseltes Passwort
Redis Ltd.303 2nd St, North Tower Ste 525, San Francisco, CA 94107, USADatenbank - IP Adresse, Email
Cloudflare, Inc.Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USACaptcha - IP Addresse
Stripe Payments Europe, LimitedStripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, IrelandZahlungsverarbeitung - IP Adresse, Email, Zahlungsdaten
Twilio Ireland Limited70 Sir John Rogerson's Quay, Dublin 2, D02 R296, IrelandEmail - Email Adresse
Functional Software, Inc. d/b/a SentryFunctional Software, Inc, 45 Fremont Street, 8th Floor, San Francisco, CA 94105.Error logging - IP Adresse
Google Cloud EMEA Limited70 Sir John Rogerson's Quay, Dublin 2, IrelandAuthentifizierung - IP Adresse, Email
Hostinger International Ltd.61 Lordou Vironos str., 6023 Larnaca, CyprusDNS - IP Addresse
Microsoft Germany GmbHWalter-Gropius-Strasse 5, 80807 Munich, GermanyCloud-Hosting, Datenverarbeitung und ERP-Integration über Microsoft Dynamics 365 Business Central und Microsoft Azure Deutschland. Bereitstellung von Microsoft Teams als Kommunikationsplattform für Support-Anfragen des Auftraggebers.
Deutsche Bank AGTaunusanlage 12, 60325 Frankfurt am Main, GermanyVerarbeitung von Zahlungstransaktionen und Bereitstellung von Kontoinformationen über Bank-APIs.
BANQR Digital Solutions GmbH
Thyssenstrasse 6-8
32312 Lübbecke
Germany
info@banqr.io
HomeCash 365Fraud Prevention 365Contact
© 2025 BANQR Digital Solutions GmbH
Rechtliche Aspekte & ComplianceImpressum