Adverity Master Subscription Agreement & Data Processing Agreement

diagram DE (MSA)

DIESE RAHMENVEREINBARUNG (“MSA”) (in der Fassung vom 2024-05-09) REGELT DIE NUTZUNG DER APPLICATION SERVICES (WIE NACHSTEHEND DEFINIERT) DER ADVERITY GMBH („ADVERITY“) MIT DER FIRMENBUCHNUMMER 448481 g DURCH EINE NATÜRLICHE ODER JURISTISCHE PERSON („KUNDE“). MIT DER UNTERZEICHNUNG DES HANDELSVERTRAGES (WIE NACHSTEHEND DEFINIERT), WELCHER SICH AUF DIESE MSA BEZIEHT, ERKLÄRT SICH DER KUNDE MIT DEN BESTIMMUNGEN UND BEDINGUNGEN DIESER MSA EINVERSTANDEN.

Kunde und Adverity können hierin einzeln als „Partei“ oder gemeinsam als „Parteien“ bezeichnet werden. Die MSA tritt in Kraft mit dem Abschluss des Handelsvertrages.

Die Beschreibungen im Klartext in dieser MSA dienen nur zu Referenzzwecken und sollen den Geltungsbereich dieser MSA in keiner Weise definieren, begrenzen oder erweitern.

Inhaltsverzeichnis

Business Angelegenheiten

I. SaaS Beschreibung und Subscription
II. Die Rollen und Zuständigkeiten der Parteien
III. Gebühren und Zahlung
IV. Dauer und Beendigung

Juristische Angelegenheiten

V. Eigentumsrechte
VI. Garantien, Haftungsausschlüsse
VII. Entschädigung
VIII. Haftung
IX. Unterauftragnehmer
X. Gegenseitige Vertraulichkeit
XI. Sonstiges
XII. Definitionen

Business Angelegenheiten

Unsere MSA im Klartext

Juristisch ausgedrückt
Unsere MSA in voller Länge

I. SaaS Beschreiben und Subscription

Zu rück zum Anfang

Die Integrated Data Platform von Adverity ist eine SaaS-Lösung, die Datenintegrations- und Governance-Prozesse vereinfacht.

1. SaaS-Beschreibung

Die integrierte Datenplattform von Adverity ist eine SaaS (Software-as-a-Service)-Datenplattform für die Verbindung, Verwaltung und Nutzung von Daten in großem Umfang. Adverity automatisiert komplexe Datenintegrations- und Governance-Prozesse, bevor die Daten an das vom Kunden ausgewählte Ziel übertragen werden.

Adverity verarbeitet standardmäßig nur die folgenden personenbezogenen Daten: Anmeldedaten (Name, E-Mail, IP-Adresse und Zeitstempel) der Adverity-Nutzers. Die DPA von Adverity regelt die gegenseitigen Rechte und Pflichten in Bezug auf den Datenschutz.

Der Zugang zu SaaS wird über Subscriptions gewährt. Services und Features können während der Laufzeit im gegenseitigen Einvernehmen hinzugefügt werden.

2. SaaS Subscription

Adverity stellt dem Kunden den Zugang zur SaaS gemäß diesem Master Subscription Agreement ("MSA") und den im Handelsvertrag und im Data Processing Agreeemnt ("DPA")

Sofern im Handelsvertrag nicht anders angegeben:

a. Die SaaS von Adverity ist Subscription-basiert;

b. Zusätzliche Services können während der jeweiligen Subscription-Dauer im gegenseitigen Einvernehmen hinzugefügt werden;

c. Die hinzugefügten Services enden zum gleichen Zeitpunkt wie die bereits bestehenden Subscriptions.

II. Die Rollen und Zuständigkeiten der Parteien

Zu r ü ck zum Anfang

Adverity strebt eine 24/7 Verfügbarkeit mit Ausnahme geplanter Ausfallzeiten und unkontrollierbarer Ereignisse, und bietet während der Laufzeit der Subscription bei Bedarf Unterstützung an. Vom Kunden gemeldete Probleme werden innerhalb der im Handelsvertrag festgelegten Fristen behoben.

1. Verplichtungen von Adverity

a. Die Verpflichtungen von Adverity umfassen Folgendes:

i. Bereitstellung von technischem und Benutzer-Support, falls erwoben.

ii. Wirtschaftlich angemessene Anstrengungen zu unternehmen, um sicherzustellen, dass die SaaS rund um die Uhr verfügbar ist, mit Ausnahme geplanter Ausfallzeiten oder Nichtverfügbarkeit aufgrund von Umständen, die außerhalb der zumutbaren Kontrolle von Adverity liegen, wie z. B. höhere Gewalt, Regierungsakte, Überschwemmungen, Brände, Erdbeben, zivile Unruhen, Terrorakte, Pandemien oder weit verbreitete Krankheiten, wie sie von der Weltgesundheitsorganisation identifiziert wurden, Streiks oder andere Arbeitsprobleme, Ausfälle, Ausfallzeiten oder Verzögerungen durch einen Internet-Service-Provider, einen Hosting-Provider oder eine Plattform eines Dritten oder "Denial-of-Service-Angriffe".

b. Technical und Benutzerunterstützung:

i. Adverity bietet während der Laufzeit des Abonnements technischen und Benutzer-Support gemäß der Definition im Handelsvertrag. Vom Kunden gemeldete Probleme werden innerhalb der im Handelsvertrag festgelegten Wiederherstellungszeit behoben, sobald Adverity von dem Problem Kenntnis erlangt hat.

ii. Benutzer-Support umfasst keine Implementation-/Professional Services /Managed Services/ Premium Services, Programmierung, detaillierte oder spezielle Wartung, Bereitstellung von Erweiterungen oder Support für verschiedene Komponenten, die nicht Teil des SaaS sind.

Hier sind einige Regeln um sicherzustellen, dass der Kunde unsere Dienste in vollem Umfang nutzen kann:

Befolgen Sie die Vereinbarung und die geltenden Gesetze.
Überprüfen Sie die Rechtmäßigkeit der Daten vor der Weitergabe.
Beschränken Sie den Zugriff auf autorisierte Benutzer.
Vermeiden Sie unbefugten Zugriff.
Verkaufen Sie unsere Services nicht weiter.
Teilen Sie keine illegalen oder bösartigen Inhalte.
Vermeiden Sie es, unsere Services zu beeinträchtigen.
Unsere Services dürfen nicht kopiert, modifiziert oder rekonstruiert werden.

Falls erforderlich, kann Adverity auf eigene Kosten überprüfen, ob der Kunde diese Bedingungen einhält.

2. Verplichtungen des Kunden

a. Der Kunde ist verantwortlich für:

i. Einhaltung der Vereinbarung.

ii. Sicherstellung der Genauigkeit, Qualität und Rechtmäßigkeit der Kundendaten und der Art und Weise, wie sie beschafft und mit Adverity geteilt werden.

iii. Alle zumutbaren Anstrengungen zu unternehmen, um den unbefugten Zugriff auf und/oder die unbefugte Nutzung des SaaS zu verhindern, und Adverity unverzüglich über derartige Vorfälle zu unterrichten.

iv. Nutzung der SaaS in Übereinstimmung mit der Dokumentation und den geltenden Gesetzen und Vorschriften.

v. Es ist sicherzustellen, dass jede Registrierung und jedes Benutzerkonto ausschließlich von einem Nutzer verwendet wird; die gemeinsame Nutzung oder Übertragung von Konten ist verboten.

b. Der Kunde darf nicht:

i. Die SaaS anderen Personen als ihren Mitarbeitern oder Vertragspartnern, die vom Kunden zur Nutzung autorisiert wurden, zur Verfügung zu stellen.

ii. Die SaaS oder das Recht zu ihrer Nutzung verkaufen, weiterverkaufen, vermieten oder verleasen.

iii. Die SaaS modifizieren, zurückzuentwickeln oder zu verwenden, um Konkurrenzprodukte zu entwickeln.

iv. Die SaaS nutzen, um verletzendes, verleumderisches oder anderweitig ungesetzliches oder unerlaubtes Material zu speichern oder zu übertragen, oder um Material zu speichern oder zu übertragen, das die Rechte Dritter verletzt.

v. Verwendung des SaaS zur Speicherung oder Übertragung von bösartigem Code.

vi. Die Integrität oder Leistung des SaaS oder der darin enthaltenen Daten Dritter zu beeinträchtigen oder zu stören.

vii. Versuchen, sich unberechtigten Zugang zum SaaS zu verschaffen.

viii. Die SaaS über den schriftlich erlaubten Umfang hinaus zu nutzen.

c. Adverity ist berechtigt, die Einhaltung der Bestimmungen durch den Kunden auf eigene Kosten zu überprüfen. Wenn der Kunde gegen eine Bestimmung dieses Abschnitts verstößt, kann Adverity zusätzlich zu allen anderen Rechten, die Adverity im Rahmen dieser MSA oder nach dem Gesetz zustehen, den Zugang des Kunden zur SaaS aussetzen.

Der Kunde abonniert die SaaS für seinen eigenen Gebrauch. Die gemeinsame Nutzung von SaaS-generierten Daten mit Dritten über die zu diesem Zweck geschaffenen SaaS-Funktionen kann jedoch mit gegenseitiger schriftlicher Zustimmung gestattet werden.

3. Übertragung von SaaS

a. Der Kunde abonniert die SaaS für seine eigene Nutzung und darf Dritten (z. B. Kunden des Kunden, verbundene Unternehmen des Kunden usw.) weder entgeltlich noch unentgeltlich Zugang gewähren. Für solche Zwecke ist ein separater kommerzieller Vertrag oder eine Erweiterung des Abonnements erforderlich und kann bereitgestellt werden.

b. Diese MSA hindert den Kunden jedoch nicht daran, Daten und Informationen, die er von der SaaS erhalten hat, Dritten über die Datenbereitstellungsfunktionen oder die Dashboard-Sharing- und Exportfunktionen der SaaS zur Verfügung zu stellen, wenn dies von den Parteien schriftlich vereinbart wurde. Es können zusätzliche Gebühren anfallen.

III. Gebühren und Zahlung

Zu r ü ck zum Anfang

Der Kunde ist für die Zahlung der angegebenen Gebühren auf der Grundlage der erworbenen Services verantwortlich. Die Gebühren können sich jährlich erhöhen, und bei Queries, die das vereinbart Limit überschreiten, können höhere Gebühren anfallen.

1. Service-Gebühren

Der Kunde ist für die Zahlung der im Handelsvertrag festgelegten Gebühren verantwortlich. Sofern im Handelsvertrag nicht anders angegeben, basieren die Gebühren auf den erworbenen Diensten und nicht auf der tatsächlichen Nutzung. Die erworbenen Dienste können während der jeweiligen Subrscription-Dauer nicht reduziert werden.

Wenn für die erste Subscription-Dauer eine ermäßigte Subscription-Gebühr vereinbart wird, gilt danach der Listenpreis. Zusätzliche Dienste, die während der ersten Subrscription-Dauer separat erworben werden, werden gesondert in Rechnung gestellt und sind nicht Bestandteil des Listenpreises.

2. Preiserhöhung

Nach Ablauf der ersten 12 Monate, maximal einmal pro Kalenderjahr, kann Adverity die Gebühren nach eigenem Ermessen entweder um 7 % oder um die offizielle Inflationsrate (basierend auf dem von der STATISTIK AUSTRIA Bundesanstalt Statistik Österreich veröffentlichten Verbraucherpreisindex in Österreich vor Adverity`s Mitteilung über die Gebührenerhöhung) erhöhen, je nachdem, welcher Wert höher ist, um die kontinuierlichen Bemühungen von Adverity zur Erweiterung und Verbesserung seiner SaaS zu unterstützen. Adverity wird den Kunden 60 Tage im Voraus über eine Gebührenerhöhung informieren.

3. Query Limit

Die Anzahl der Queries, die pro Kalendermonat erlaubt sind, unterliegt dem Fair Use Limit von Adverity, das auf das 50-fache der monatlichen Subscription Gebühr, umgerechnet in Queries, berechnet wird (z.B. EUR/GBP/USD 3000 monatlicher Abonnementpreis = bis zu 150k Abfragen). Überschreitet der Kunde das besagte monatliche Fair-Use-Limit, wird Adverity die Subscription Gebühr des Kunden nicht sofort erhöhen oder den Zugang zu SaaS beschränken. Adverity wird die Anforderungen des Kunden regelmäßig evaluieren und die spezifischen Bedürfnisse des Kunden bewerten und behält sich das Recht vor, die Gebühren im Falle einer anhaltenden Übernutzung zu erhöhen.

Adverity erbringt seine Services aus der Ferne. Für den Fall, dass der Kunde die Berater von Adverity ersucht vor Ort zu sein, wird Kunde Adverity alle Reisekosten und Spesen erstatten.

4. Ausgaben

Der Kunde erstattet Adverity angemessene Reisekosten und andere Ausgaben, die im Zusammenhang mit den Professional Services, Managed Services oder Premium Services anfallen. Die Reisekosten sind mit dem Kunden im Voraus zu vereinbaren.

Adverity stellt dem Kunden alle Dienstleistungen in Rechnung, wobei die Zahlungsfrist im Handelsvertrag vereinbart wird. Bei verspäteten Zahlungen können Zinsen und Inkassokosten anfallen, und bei einem Zahlungsverzug von 30 Tagen kann es zur Aussetzung der Services kommen.

5. Rechnungsstellung und Zahlung

Adverity stellt dem Kunden alle in dem Handelsvertrag aufgeführten Services für die anfängliche und jede weitere Subscriptiondauer gemäß Abschnitt IV.2 in Rechnung. Die Zahlungsfrist wird im Handelsvertrag vereinbart. Der Kunde ist verantwortlich für die Bereitstellung vollständiger und genauer Rechnungs- und Kontaktinformationen für Adverity und die Benachrichtigung von Adverity über alle Änderungen dieser Informationen.

6. Überfällige Kosten

Wenn Rechnungsbeträge nicht bis zum Fälligkeitsdatum bei Adverity eingehen, können diese Beträge, ohne die Rechte oder Rechtsbehelfe von Adverity einzuschränken,,

a. zu Verzugszinsen in Höhe des für Unternehmergeschäfte gesetzlichen Zinssatzes führen;

b. Adverity steht eine verschuldens- und schadensunabhängige Pauschalentschädigung in der Höhe von 40 EUR/GBP/USD für den Ersatz von Betreibungskosten pro offener Forderung zu; und

c. Adverity kann für zukünftige Subscriptions und Handelsverträge andere Zahlungsfristen als die in Abschnitt III.5 genannten festsetzen.

7. Aussetzung und sofortige Rückzahlung

Wenn ein vom Kunden geschuldeter Betrag 30 Tage oder länger überfällig ist, kann Adverity, ohne die anderen Rechte und Rechtsbehelfe von Adverity einzuschränken, die unbezahlten Gebühren des Kunden samt Verzugszinsen in Rechnung stellen, sodass alle Zahlungsverpflichtungen sofort fällig und zahlbar werden und die Erbringung der Services für den Kunden aussetzen, bis diese Beträge vollständig bezahlt sind. Adverity wird den Kunden mindestens 7 Tage im Voraus darüber informieren, bevor die Services für den Kunden eingestellt werden.

8. Zahlungsstreitigkeiten

Adverity wird seine Rechte nach Abschnitt IV.6. oder IV.7. nicht ausüben, wenn der Kunde die zu zahlenden Gebühren vernünftig und gutgläubig bestreitet und bei der Beilegung der Streitigkeit gewissenhaft mitwirkt; jedoch ist der Kunde nicht berechtigt, seine eigenen Ansprüche gegen einen Anspruch von Adverity aus dieser MSA aufzurechnen (oder ein Zurückbehaltungsrecht geltend zu machen), es sei denn, die Gegenforderung des Kunden ist:

a. von Adverity unbestritten; oder

b. durch eine verbindliche Gerichtsentscheidung bestätigt, die nicht angefochten werden kann.

9. Kosten des Rechtsstreits

Im Falle eines Rechtsstreits im Zusammenhang mit überfälligen Gebühren hat die obsiegende Partei Anspruch auf angemessene Anwalts- und Gerichtskosten.

In den Gebühren von Adverity sind keine Steuern enthalten. Der Kunde ist für die Zahlung aller anfallenden Steuern verantwortlich.

10. Steuern

Sofern nicht anders angegeben, beinhalten die Gebühren von Adverity keine Steuern, Abgaben, Zölle oder ähnliche staatliche Abgaben jeglicher Art, einschließlich, aber nicht beschränkt auf Umsatzsteuer, Verkaufs-, Nutzungs- oder Quellensteuern, die von einer lokalen, staatlichen, föderalen oder ausländischen Gerichtsbarkeit zu beurteilen sind (zusammen „Steuern“). Der Kunde ist für die Zahlung aller Steuern verantwortlich, die mit den Einkäufen des Kunden im Rahmen dieser MSA verbunden sind. Ist Adverity gesetzlich zur Zahlung oder Einziehung von Steuern verpflichtet, für die der Kunde verantwortlich ist, wird der entsprechende Betrag dem Kunden zusätzlich in Rechnung gestellt und vom Kunden bezahlt, es sei denn, der Kunde stellt Adverity eine gültige, von der zuständigen Steuerbehörde genehmigte Steuerbefreiungsbescheinigung zur Verfügung. Adverity ist allein verantwortlich für Steuern, die auf der Grundlage des Unternehmenseinkommens, Vermögens und der Mitarbeiter von Adverity gegenüber Adverity steuerbar sind.

IV. Dauer und Beendigung

Zu r ü ck zum Anfang

Die Laufzeit der Vereinbarung richtet sich nach der im Handelsvertrag vereinbarten Subscription-Dauer.	1. Dauer der Vereinbarung Die Laufzeit der Vereinbarung richtet sich nach dem durch den Handelsvertrag gewährten Subscription. Der Handelsvertrag beginnt am Tag des Inkrafttretens und bleibt in Kraft, bis alle im Rahmen des Handelsvertrags gewährten Abonnements entweder abgelaufen sind oder beendet wurden ("Laufzeit").
Die Vereinbarung verlängert sich automatisch um den gleichen Zeitraum, es sei denn, eine der beiden Parteien kündigt mindestens 90 Tage vor Ablauf einer Subscription.	2. Dauer der Subscription Subscriptions für die SaaS beginnen an dem in dem jeweiligen Handelsvertrag angegebenen Subscription-Startdatum und dauern für die darin angegebene Subscriptiondauer. Sofern in dem Handelsvertrag nichts anderes bestimmt ist, verlängern sich alle Subscriptions automatisch im gleichen Ausmaß der ablaufenden Subscription-Dauer oder um ein Jahr (je nachdem, welcher Zeitraum länger ist), es sei denn, eine Partei teilt der anderen Partei mindestens 90 Tage vor Ablauf der jeweiligen Subscriptiondauer mit, dass eine Verlängerung nicht gewünscht ist.
Die Vereinbarung kann aus wichtigem Grund jederzeit mit einer Frist von 30 Tagen schriftlich gekündigt werden.	3. Beendigung aus wichtigem Grund Eine Partei kann diese MSA aus wichtigem Grund jederzeit beenden, insbesondere: a. 30 Tage nach einer schriftlichen Mitteilung an die andere Partei über eine wesentliche Vertragsverletzung, wenn diese Verletzung nach Ablauf dieser Frist nicht behoben wird oder b. wenn das Vermögen der anderen Partei Gegenstand eines Antrags auf Eröffnung eines Insolvenzverfahrens oder eines anderen ähnlichen Verfahrens wird.
	4. Rückerstattung und Zahlung bei Beendigung Bei einer Beendigung aus wichtigem Grund durch den Kunden erstattet Adverity dem Kunden alle vorausbezahlten Gebühren für den Rest der Laufzeit nach dem Wirksamwerden der Beendigung. Bei einer Beendigung aus wichtigem Grund durch Adverity hat der Kunde unbezahlte Gebühren für den Rest der Laufzeit aller Handelsverträge nach dem Wirksamwerden der Beendigung zu zahlen. In keinem Fall entbindet eine Beendigung des Vertragsverhältnisses den Kunden von seiner Verpflichtung, die an Adverity zu zahlenden Gebühren für den Zeitraum vor dem Wirksamwerden der Beendigung zu zahlen.
	5. Rückgabe von Kundendaten Die Kundendaten bleiben für einen Zeitraum von 30 Tagen nach Beendigung dieser MSA in der SaaS gespeichert. Nach Ablauf der 30-tägigen Frist löscht Adverity die Kundendaten aus der SaaS und vernichtet alle entsprechenden Dokumente unter seiner Kontrolle, es sei denn, Adverity ist gesetzlich verpflichtet, diese Kundendaten weiterhin zu speichern.
	6. Fortgeltende Bestimmung Die Abschnitte III (Gebühren und Zahlung), IV.4 (Rückerstattung und Zahlung bei Beendigung), IV.5 (Rückgabe von Kundendaten), IV.6 (Fortgeltende Bestimmungen), V (Eigentumsrechte), ), VI (Garantien, Haftungsausschlüsse), VII (Entschädigung), VIII (Haftung), X (Gegenseitige Vertraulichkeit) und XI (Sonstiges) bleiben auch nach Beendigung oder Auslaufen dieses MSA in Kraft.

Juristische Angelegenheiten

Unsere MSA im Klartext

Juristisch ausgedrückt
Unsere MSA in voller Länge

V. Eigentumsrechte

Zu r ü ck zum Anfang

Die SaaS und alle Verbesserungen an der SaaS sind Eigentum von Adverity.

1. Eigentumsrechte von Adverity

Adverity behält sich alle Rechte, Titel und Interessen an der SaaS vor, einschließlich aller damit verbundenen geistigen Eigentumsrechte.

Darüber hinaus besitzt Adverity alle Rechte, Titel und Anteile, einschließlich aller Rechte an geistigem Eigentum, an Verbesserungen der SaaS oder an neuen Programmen, Upgrades, Modifikationen oder Erweiterungen, die von Adverity in Verbindung mit der Bereitstellung der SaaS für den Kunden entwickelt wurden, selbst wenn die Verfeinerungen und Verbesserungen auf Wunsch oder Vorschlag des Kunden erfolgen.

Mit Ausnahme der hierin ausdrücklich eingeräumten eingeschränkten Rechte überträgt Adverity dem Kunden keine Eigentumsrechte oder Anteile an den Dienstleistungen. Alle Rechte, die dem Kunden in diesem Vertrag nicht ausdrücklich gewährt werden, sind Adverity vorbehalten.

Die Kundendaten und die aus den Kundendaten erstellten Berichte sind Eigentum des Kunden.

2. Eigentumsrechte des Kunden

Der Kunde ist Eigentümer der Kundendaten, einschließlich aller Berichte, Statistiken und anderer Daten, soweit diese ausschließlich aus den Kundendaten generiert wurden, sowie aller geistigen Eigentumsrechte daran. Ungeachtet des Vorstehenden hat Adverity das Recht, Kundendaten im Zusammenhang mit der Erbringung der Dienstleistungen für den Kunden zu sammeln und zu verwenden, einschließlich zur Verbesserung und Erweiterung der Dienstleistungen.

Pressemitteilungen bedürfen des gegenseitigen Einverständnisses, aber beide Parteien können sich auf ihren Websites als Kunden oder Lieferanten bezeichnen. Adverity kann die Marken des Kunden für die Erbringung der Services verwenden.

3. Werbung; Marken

Während der Dauer der Vereinbarung ist Adverity berechtigt, den Namen und das Logo des Kunden in Kundenlisten (einschließlich auf der Website und in Pressemitteilungen) gemäß den Standard-Logo und/oder Markenverwendungsrichtlinien des Kunden aufzunehmen. Darüber hinaus darf Adverity die Marken und Handelsnamen des Kunden ausschließlich in Verbindung mit der autorisierten Erbringung der Services verwenden. Mit Ausnahme der hierin festgelegten Bestimmungen darf keine Partei die Warenzeichen und Handelsnamen der anderen Partei ohne deren vorherige schriftliche Zustimmung verwenden.

VI. Garantien, Haftungsausschlüsse

Zu r ü ck zum Anfang

	1. Erklärungen Jede Partei erklärt, dass sie diese MSA gültig abgeschlossen hat und die rechtliche Befugnis dazu hat, dass der Unterzeichner des Handelsvertrages, der sich auf diese MSA bezieht, fähig ist die betreffende Organisation zu binden. Diese MSA stellt die rechtlich gültige und verbindliche Verpflichtung jeder Partei dar, die gemäß ihren Bedingungen durchsetzbar ist
Adverity garantiert, dass die Services so funktionieren wie vereinbart und dass die Services keinen bösartigen Code enthalten.	2. Adverity-Garantien Adverity garantiert, dass: a. die SaaS im Wesentlichen in Übereinstimmung mit der Dokumentation und den Bestimmungen des Handelsvertrages erbracht werden und b. Adverity keinen schädlichen Code an den Kunden übermittelt, vorausgesetzt, dass Adverity nicht gegen diesen Unterabschnitt (b.) verstößt, weil der Kunde eine Datei mit schädlichem Code in die SaaS hoch- und später diese Datei mit schädlichem Code herunterlädt. Bei einer Verletzung einer der vorgenannten Garantien ist die ausschließliche Abhilfe des Kunden in den Abschnitten IV.3, IV.4, und IV.5 vorgesehen.
Der Kunde garantiert, dass die Daten, die er Adverity zur Verfügung stellt, rechtmäßig sind und dass er mit dem SaaS nichts Illegales tun wird.	3. Kundengarantien Der Kunde erklärt und garantiert, dass: a. die Kundendaten keine Urheberrechte, Patente, Geschäftsgeheimnisse oder andere Eigentumsrechte Dritter verletzen und b. der Kunde die SaaS nicht in einer Weise nutzt, die gegen geltende Gesetze oder Vorschriften zum Schutz der Privatsphäre verstößt.
Die von der SaaS erstellten Berichte basieren auf den vom Kunden bereitgestellten Daten und dienen nur als Referenz für den Kunden. Wenn der Kunde auf der Grundlage der Berichte Geschäftsentscheidungen trifft, ist er weiterhin für seine eigenen Entscheidungen verantwortlich.	4. Haftungsausschluss a. Jegliche (Optimierungs-)Empfehlungen, Vorschläge oder Prognosen, die von der SaaS erstellt werden und auf den vom Kunden zur Verfügung gestellten Daten beruhen, sind nicht garantiert korrekt. Adverity gibt keine ausdrücklichen, stillschweigenden oder sonstigen Garantien oder Zusicherungen in Bezug auf die Richtigkeit, Vollständigkeit oder Leistung der bereitgestellten Informationen. Der Kunde erkennt an, dass Adverity zu keinem Zeitpunkt für Verluste aufgrund von Entscheidungen oder Transaktionen, die auf der Grundlage dieser Informationen getroffen wurden, haftbar gemacht werden kann. b. Sofern nicht ausdrücklich in dieser MSA vorgesehen, gibt Adverity keine ausdrücklichen oder stillschweigenden, gesetzlichen oder sonstigen Zusicherungen, Garantien, Bedingungen oder Erklärungen ab, einschließlich der Marktgängigkeit, Eignung oder Tauglichkeit für einen bestimmten Gebrauch oder Zweck, oder dass der Betrieb der SaaS ununterbrochen oder fehlerfrei sein wird. c. Der Kunde erkennt an, dass seine Käufe nicht von zukünftigen Merkmalen oder Funktionen abhängen und nicht von öffentlichen schriftlichen oder mündlichen Aussagen von Adverity über zukünftige Merkmale oder Funktionen beeinflusst werden.

VII. Entschädigung

Zu r ü ck zum Anfang

Adverity entschädigt den Kunden für die Verletzung oder widerrechtliche Aneignung des geistigen Eigentums eines Dritten durch die SaaS.

1. Entschädigung durch Adverity

Adverity wird den Kunden gegen alle Ansprüche, Forderungen, Klagen oder Verfahren verteidigen, die von einem Dritten erhoben oder gegen den Kunden eingeleitet werden und in denen behauptet wird, dass die Nutzung der SaaS, wie hierin zulässig, die geistigen Eigentumsrechte eines Dritten verletzt oder missbraucht (ein „Anspruch gegen den Kunden“), und den Kunden für alle Schäden, Anwaltskosten und sonstigen Kosten entschädigen, die dem Kunden im Rahmen einer gerichtlich genehmigten Einigung über einen Anspruch gegen den Kunden gezahlt hat; unter der Voraussetzung, dass der Kunde:

a. Adverity unverzüglich schriftlich über den Anspruch gegen den Kunden informiert;

b. Adverity die alleinige Kontrolle über die Verteidigung oder Beilegung des Anspruchs gegen den Kunden gibt (vorausgesetzt, dass Adverity keinen Anspruch gegen den Kunden beilegen kann, es sei denn, die Einigung befreit den Kunden uneingeschränkt von jeglicher Haftung) und

c. Adverity angemessene Unterstützung auf eigene Kosten leistet. Wenn Adverity Informationen über eine Verletzung, Veruntreuung oder andere Ansprüche erhält, kann Adverity nach Ermessen von Adverity und ohne Kosten für den Kunden

i. die SaaS so ändern, dass sie nicht mehr gegen die Garantien von Adverity gemäß Abschnitt VI. vorstehen;

ii. eine Subscription für die weitere Nutzung der betreffenden SaaS in Übereinstimmung mit dieser MSA erhalten; oder

iii. die Subscription des Kunden für solche SaaS mit einer Frist von 30 Tagen schriftlich kündigen und dem Kunden alle vorausbezahlten Gebühren für den Rest der Laufzeit der gekündigten Subscription erstatten.

Adverity ist nicht verpflichtet, den Kunden freizustellen, soweit sich ein Anspruch gegen den Kunden aus einem Verstoß des Kunden gegen die Bedingungen dieser MSA ergibt.

Der Kunde stellt Adverity von der Verletzung des geistigen Eigentums Dritter oder von Gesetzesverstößen frei, die sich aus der Nutzung der Kundendaten oder dem Missbrauch der SaaS ergeben.

2. Entschädigung durch den Kunden

Der Kunde wird Adverity gegen alle Ansprüche, Forderungen, Klagen oder Verfahren verteidigen, die von einem Dritten erhoben oder gegen Adverity eingeleitet werden und in denen behauptet wird, dass Kundendaten oder die Nutzung der SaaS durch den Kunden gegen diese MSA verstoßen, die geistigen Eigentumsrechte eines Dritten verletzt oder missbraucht oder gegen geltendes Recht verstößt (ein „Anspruch gegen Adverity“), und wird Adverity für alle Schäden, Anwaltskosten und sonstigen Kosten entschädigen, die Adverity endgültig als Folge oder für alle Beträge, die Adverity im Rahmen einer gerichtlich genehmigten Einigung über einen Anspruch gegen Adverity gezahlt hat; unter der Voraussetzung, dass Adverity:

a. dem Kunden unverzüglich schriftlich über den Anspruch gegen Adverity informiert;

b. dem Kunden die alleinige Kontrolle über die Verteidigung oder Beilegung des Anspruchs gegen Adverity gibt (vorausgesetzt, dass der Kunde keinen Anspruch gegen Adverity geltend machen kann, es sei denn, die Einigung befreit Adverity uneingeschränkt von jeglicher Haftung); und

c. dem Kunden angemessene Unterstützung auf Kosten des Kunden leistet.

3. Ausschließliches Rechtsmittel

Dieser Abschnitt VII. legt die alleinige Haftung der entschädigenden Partei gegenüber der anderen Partei für jede Art von Ansprüchen fest, die in diesem Abschnitt beschrieben sind.

VIII. Haftung

Zu r ü ck zum Anfang

Adverity beschränkt seine Haftung auf (1) den Gesamtbetrag der Gebühren, die Sie in den letzten 12 Monaten an uns gezahlt haben, oder (2) 50.000 EUR, je nachdem, welcher Betrag höher ist.

Adverity haftet nicht für indirekte Schäden oder den Verlust von Daten, die der Kunde hätte verhindern können.

1. Haftungsbeschränkung

a. Allgemeine Haftungsbeschränkung: Adverity und ihre Erfüllungsgehilfen haften nur für Sach- und Vermögensschäden, die durch einfache Fahrlässigkeit verursacht wurden. Die Haftung ist beschränkt auf die Verletzung wesentlicher Vertragspflichten, begrenzt auf den bei Vertragsschluss vorhersehbaren und vertragstypischen Schaden.

b. Begrenzung des Haftungsbetrags: Ungeachtet des Abschnitts VIII.1.a. ist die Gesamthaftung von Adverity in jedem Vertragsjahr im Rahmen dieser MSA auf die vom Kunden in den vorangegangenen 12 Monaten gezahlten Gebühren oder 50.000 EUR/GBP/USD begrenzt, je nachdem, welcher Betrag höher ist.

c. Indirekte Schäden: Adverity haftet nicht für indirekte Schäden, Folgeschäden oder entgangenen Gewinn.

2. Anwendung der Haftungsbeschränkungen

Die in Abschnitt VIII.1 enthaltenen Beschränkungen gelten nicht für:

a. vertragliche Garantien;

b. Schäden, die vorsätzlich oder grob fahrlässig verursacht wurden;

c. Schäden an Leib und Leben;

d. die Haftung einer der Vertragsparteien für Betrug, arglistige Täuschung oder jede andere Haftung, die nicht durch das Gesetz ausgeschlossen oder beschränkt werden kann.

3. Verlust von Daten

Adverity haftet nicht für den Verlust oder die Beschädigung von Daten oder Programmen in dem Maße, in dem ein solcher Verlust oder Schaden durch angemessene Präventivmaßnahmen des Kunden vermieden oder gemildert worden wäre.

4. Anwendung von unmittelbaren Ansprüchen

Die vorstehenden Haftungsbeschränkungen gelten auch für alle unmittelbaren Schadenersatzansprüche des Kunden gegen Arbeitnehmer oder Vertreter von Adverity.

Adverity sorgt für angemessenen Versicherungsschutz.

5. Versicherung

Adverity verpflichtet sich, einen angemessenen Versicherungsschutz für mögliche Haftungsansprüche aufrechtzuerhalten, die sich aus oder im Zusammenhang mit dieser MSA ergeben können.

IX. Unterauftragnehmer

Zu r ü ck zum Anfang

Adverity kann bei der Erbringung von Dienstleistungen für den Kunden Subunternehmer beauftragen, entweder mit Zustimmung des Kunden oder mit einer schriftlichen Vereinbarung zum Schutz der Kundendaten.

Adverity kann zur Erbringung der Services Unterauftragnehmer einsetzen, wenn:

a. der Kunde dem im Voraus zustimmt oder

b. Adverity eine schriftliche Vereinbarung mit dem Unterauftragnehmer abschließt, die diesen verpflichtet, Kunden und Kundendaten in dem Umfang zu schützen, wie es für Adverity nachstehend gefordert wird. Auf Verlangen wird Adverity diese Unterauftragnehmer dem Kunden offenlegen.

Adverity ist für alle Handlungen und Unterlassungen eines solchen Unterauftragnehmers in dem gleichen Umfang verantwortlich, wie wenn Adverity die Services erbracht hätte.

X. Gegenseitige Vertraulichkeit

Zu r ü ck zum Anfang

Dieser Abschnitt über die Vertraulichkeit enthält eine übliche Definition des Begriffs "vertraulichen Informationen", die auch typische Ausnahmen umfasst.

1. Definition von vertraulichen Informationen

a. "Vertrauliche Informationen" sind alle Informationen, die eine Partei ("offenlegende Partei") der anderen Partei ("empfangende Partei") offenlegt und die vernünftigerweise als vertraulich angesehen werden sollten. Zu den vertraulichen Informationen des Kunden gehören die Kundendaten; zu den vertraulichen Informationen von Adverity gehören die SaaS; und zu den vertraulichen Informationen jeder Partei gehören die Bedingungen dieses MSA und alle Handelsvereinbarungen.

b. Vertrauliche Informationen umfassen auch:

i. technische und geschäftliche Informationen jeglicher Art, unabhängig davon, ob diese Informationen zum Zeitpunkt ihrer Offenlegung als "vertrauliche Informationen" bezeichnet werden;

ii. alle SaaS- oder produktbezogenen Informationen der Adverity-Plattformen sowie die über die Plattformen übertragenen Daten.

c. Zu den vertraulichen Informationen gehören keine Informationen, die:

i. ist im Besitz der empfangenden Vertragspartei, bevor sie es von der offenlegenden Vertragspartei erhält;

ii. öffentlich bekannt ist oder wird, und zwar nicht als Folge eines Verstoßes gegen diese MSA;

iii. wird von der empfangenden Vertragspartei unabhängig entwickelt;

iv. von der empfangenden Partei offengelegt wird, um einer rechtlichen Forderung eines zuständigen Gerichts oder einer staatlichen Stelle oder einer zuständigen Regulierungsbehörde oder Wertpapierbörse nachzukommen; oder

v. wird aufgrund einer schriftlichen Genehmigung der offenlegenden Partei an einen Dritten weitergegeben.

Beide Parteien verpflichten sich, die vertraulichen Informationen der anderen Partei so zu schützen, als ob es ihre eigenen wären, und den Zugang auf eine "Need-to-know"-Basis zu beschränken, um den Zweck dieser Vereinbarung zu erreichen.

2. Schutz von vertraulichen Informationen

Die empfangende Partei:

a. ist verpflichtet, die Vertraulichkeit seiner eigenen vertraulichen Informationen mit der gleichen Sorgfalt zu wahren (in keinem Fall jedoch mit weniger als der angemessenen Sorgfalt);

b. wird die von der offenlegenden Partei offengelegten vertraulichen Informationen nicht offenlegen, nutzen, verwenden, ausbeuten oder in irgendeiner anderen Art und Weise verwenden, außer zur Erfüllung ihrer (vorvertraglichen) Verpflichtungen, die sich aus der Zusammenarbeit zwischen den Parteien ergeben;

c. den Zugang zu vertraulichen Informationen der offenlegenden Partei auf die Mitarbeiter, Auftragnehmer und Beauftragten der offenlegenden Partei und ihrer verbundenen Unternehmen zu beschränken, die diesen Zugang zu Zwecken benötigen, die mit diesem MSA vereinbar sind, und die mit der empfangenden Partei Verträge unterzeichnet haben, die nicht weniger strenge Schutzmaßnahmen enthalten als die hierin enthaltenen. Keine der Vertragsparteien darf die Bedingungen dieses MSA oder einer Handelsvereinbarung ohne vorherige schriftliche Zustimmung der anderen Vertragspartei an Dritte weitergeben, mit Ausnahme ihrer verbundenen Unternehmen und deren Rechtsberater und Wirtschaftsprüfer.

Die Verpflichtungen der Parteien nach Abschnitt X. bestehen auch nach Beendigung des Vertragsverhältnisses zwischen den Parteien uneingeschränkt fort. Hinsichtlich der Beendigung des Vertragsverhältnisses wird auf den nachfolgenden Abschnitt X.5 verwiesen.

Eine erzwungene Offenlegung ist ausdrücklich ausgeschlossen.

3. Erwungene Offenlegung

Die empfangende Partei darf vertrauliche Informationen der offenlegenden Partei offenlegen, wenn sie gesetzlich dazu gezwungen ist, vorausgesetzt, die empfangende Partei unterrichtet die offenlegende Partei vorher über eine solche gezwungene Offenlegung (soweit gesetzlich zulässig) und leistet ihr auf Kosten der offenlegenden Partei angemessene Unterstützung, wenn diese die Offenlegung anfechten will. Ist die empfangende Partei gesetzlich gezwungen, die vertraulichen Informationen der offenlegenden Partei im Rahmen eines zivilrechtlichen Verfahrens offenzulegen, an dem die offenlegende Partei beteiligt ist, und ficht die offenlegende Partei die Offenlegung nicht an, so erstattet die offenlegende Partei der empfangenden Partei die angemessenen Kosten für die Zusammenstellung und den sicheren Zugang zu diesen vertraulichen Informationen.

4. Unbeabsichtigte Offenlegung und Rechtsbehelfe

a. Legt die empfangende Partei vertrauliche Informationen unter Verstoß gegen die Bestimmungen dieses Abschnitts X. offen, so ist die offenlegende Partei unverzüglich nach der Offenlegung schriftlich davon in Kenntnis zu setzen.

b. Die Parteien stimmen ausdrücklich darin überein, dass aufgrund der Einzigartigkeit der vertraulichen Informationen der offenlegenden Partei eine Entschädigung in Geld nicht ausreicht, um die offenlegende Partei für einen Verstoß der empfangenden Partei gegen ihre in diesem Abschnitt X. dargelegten Verpflichtungen und Vereinbarungen zu entschädigen. Dementsprechend sind sich die Parteien einig und erkennen an, dass eine solche Verletzung oder eine drohende Verletzung der offenlegenden Partei einen nicht wieder gutzumachenden Schaden zufügt und dass die offenlegende Partei zusätzlich zu allen anderen Rechtsmitteln, die nach dem Gesetz, dem Billigkeitsrecht oder anderweitig zur Verfügung stehen, berechtigt ist, Unterlassungsansprüche gegen die drohende Verletzung dieses Abschnitts X. oder die Fortsetzung einer solchen Verletzung durch die empfangende Partei geltend zu machen.

c. Jede Partei sichert zu, dass sie das Recht hat, alle vertraulichen Informationen, die sie der anderen Partei offenlegt, weiterzugeben. Jede Partei wird die andere Partei von allen Ansprüchen Dritter freistellen und verteidigen, die sich aus der fahrlässigen oder unrechtmäßigen Offenlegung der vertraulichen Informationen eines Dritten durch die freistellende Partei ergeben.

Auf Verlangen der offenlegenden Partei gibt die empfangende Partei die vertraulichen Informationen entweder zurück oder vernichtet diese.

5. Antrag auf Rückgabe

Die offenlegende Partei kann jederzeit schriftlich die Rückgabe aller der empfangenden Partei offengelegten vertraulichen Informationen verlangen, zusammen mit einer schriftlichen Erklärung, dass sie bei dieser Rückgabe keine vertraulichen Informationen in ihrem Besitz oder unter ihrer Kontrolle behalten hat, weder direkt noch indirekt. Die empfangende Partei kommt einem solchen Ersuchen innerhalb von dreißig (30) Tagen nach Erhalt des Ersuchens nach. Lehnt die empfangende Partei ein solches Rückgabeverlangen ab, so sind die vertraulichen Informationen auf Verlangen der offenlegenden Partei zu vernichten. In diesem Fall legt die empfangende Partei der offenlegenden Partei eine schriftliche, eidesstattliche Erklärung vor, in der sie bestätigt, dass die betreffenden vertraulichen Informationen vernichtet worden sind.

6. Eigentumsrechte an vertraulichen Informationen

Abschnitt V. gilt sinngemäß.

Darüber hinaus wird die empfangende Partei der offenlegenden Partei auf Verlangen eine Liste der Mitarbeiter vorlegen, die Zugang zu vertraulichen Informationen haben.

7.Recht auf Kontrolle

Die empfangende Vertragspartei stellt der offenlegenden Vertragspartei auf Anfrage eine vollständige und aktualisierte Liste derjenigen ihrer Angestellten und professionellen Berater, Bevollmächtigten und Berater zur Verfügung, die die vertraulichen Informationen erhalten oder erhalten werden.

XI. Sonstiges

Zu r ü ck zum Anfang

Alle Mitteilungen erfolgen in schriftlicher Form (E-Mail genügt).

1. Mitteilung

Sofern in dieser MSA nichts anderes bestimmt ist, bedürfen alle Mitteilungen im Rahmen dieser Vereinbarung der Schriftform (E-Mail genügt).
Rechnungsbezogene Mitteilungen an Adverity sind an AR@adverity.com und rechtliche Mitteilungen, wie z.B. Kündigungsmitteilungen, an contracts@adverity.com zu richten. Alle anderen Mitteilungen an Adverity sind an den von Adverity benannten zuständigen Account Manager zu richten.

An den Kunden gerichtete Mitteilungen in Bezug auf die Rechnungsstellung sind an den vom Kunden benannten Ansprechpartner für die Rechnungsstellung zu richten, und an den Kunden gerichtete rechtliche Mitteilungen, wie z. B. Kündigungsmitteilungen oder entschädigungspflichtige Forderungen, sind an den Kunden zu richten. Alle anderen Mitteilungen an den Kunden sind an den vom Kunden benannten zuständigen Administrator zu richten.

2.Beziehungen der Parteien

Die Parteien sind unabhängige Vertragspartner. Dieses MSA begründet kein Partnerschafts-, Franchise-, Joint-Venture-, Agentur-, Treuhand- oder Arbeitsverhältnis zwischen den Parteien.

Anwendbares Recht ist österreichisches Recht mit Gerichtsstand in Wien, Österreich.

3. Vereinbarung des anwendbaren Rechts und der Gerichtsbarkeit

Für diese MSA gilt ausschließlich österreichisches Recht (ohne Rücksicht auf die Kollisionsnormen und das UN-Kaufrecht (CISG)). Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser MSA sind die Gerichte in Wien, Österreich, die sachlich und örtlich Zuständigkeit sind. Dies gilt nicht für Mahnverfahren und für Fälle von zwingenden gesetzlichen Gerichtsständen, die nicht durch Parteienvereinbarung abweichen dürfen.

Adverity hält sich an alle anwendbaren Ausfuhrkontroll- und Anti-Korruptionsgesetze.

4. Ausfuhrkontrolle

Die SaaS, andere technologische Vorteile und deren Derivate können den Gesetzen der Ausfuhrkontrolle unterliegen. Jede Partei erklärt, dass sie nicht auf einer Liste der von der US-Regierung oder der EU abgelehnten Parteien aufgeführt ist. Der Kunde darf den Nutzern nicht gestatten, auf die SaaS in einem Land mit Ausfuhrverbot in den USA oder der EU zuzugreifen oder diese zu nutzen oder gegen andere geltende Ausfuhrkontrollgesetze zu verstoßen.

5. Anti-Korruption

Adverity verpflichtet sich zur Einhaltung aller geltenden Gesetze, einschließlich der Anti-Korruptionsgesetze. Dem Kunden wurden im Zusammenhang mit diesem MSA keine illegalen Bestechungsgelder, Schmiergelder oder Geschenke angeboten.

6. Keine Drittbegünstigten

Es gibt keine Drittbegünstigten in diesem MSA.

7. Verzicht

Kein Versäumnis oder keine Verzögerung durch eine der Parteien bei der Ausübung eines Rechts aus dieser MSA stellt einen Verzicht auf dieses Recht dar.

8. Salvatorische Klausel

Sollten einzelne Bestimmungen dieser MSA unwirksam sein oder werden, bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien werden die unwirksame Bestimmung durch eine Ersatzbestimmung ersetzen, die von den Parteien nach ihrem ursprünglichen wirtschaftlichen Zweck vereinbart worden wäre. Dies gilt auch bei unbeabsichtigten Vertragslücken.

Der Kunde kann diesen Vertrag mit Zustimmung von Adverity an ein anderes Unternehmen übertragen. Dies ist aus Gründen des Datenschutzes wichtig.

9. Abtretung

Der Kunde kann seine Rechte und Pflichten mit schriftlicher Zustimmung von Adverity abtreten, welche nicht unbillig verweigert werden darf. Adverity ist berechtigt, diesen Vertrag in seiner Gesamtheit ohne Zustimmung an ein verbundenes Unternehmen oder im Rahmen einer Fusion, Übernahme, Umstrukturierung oder eines Verkaufs von Vermögenswerten, an dem kein direkter Konkurrent der anderen Partei beteiligt ist, abzutreten.

Diese MSA, der Handelsvertrag und die DPA umfassen die gesamte Vereinbarung zwischen uns.

10. Gesamte Vereinbarung

Diese MSA und die damit verbundenen Handelsverträge und DPA stellen die gesamte Vereinbarung zwischen dem Kunden und Adverity über die Nutzung der SaaS durch den Kunden dar und ersetzen alle früheren Vereinbarungen, Vorschläge oder Zusicherungen, schriftlich oder mündlich, zur Gänze. Die von diesen Bestimmungen abweichenden oder darüber hinausgehenden Bedingungen des Kunden ist ausgeschlossen. Dies gilt auch dann, wenn Adverity einen Handelsvertrag annimmt, der sich auf die Geschäftsbedingungen des Kunden bezieht und/oder die Geschäftsbedingungen des Kunden den Handelsverträgen beigefügt sind, auch wenn Adverity diesen Geschäftsbedingungen des Kunden nicht ausdrücklich widerspricht.

11. Ergänzung

Keine Änderung, Ergänzung oder Verzicht auf eine Bestimmung dieser MSA ist wirksam, es sei denn, sie erfolgt schriftlich. Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis.

12. Schriftliche Form

Erklärungen, die der Schriftform bedürfen, können als eingescannte, persönlich unterzeichnete Dokumente per Fax oder E-Mail-Anhang übermittelt oder mit einem System wie DocuSign oder ähnlichem digital unterzeichnet werden. Jede Partei kann anschließend ein persönlich unterzeichnetes Papierdokument anfordern

13. Rangordnung

Die Beschreibungen im Klartext in dieser MSA dienen nur zu Referenzzwecken und sollen den Geltungsbereich dieser Vereinbarung in keiner Weise definieren, begrenzen oder erweitern.

Im Falle eines Konflikts zwischen dem Handelsvertrag und dieser MSA haben die Bestimmungen des Handelsvertrages Vorrang, es sei denn, es ist gesetzlich etwas anderes bestimmt.

XII. Definitionen

Zu r ü ck zum Anfang

“Administrator”	bezeichnet eine natürliche Person, die vom Kunden mit der Verwaltung der SaaS im Namen des Kunden beauftragt wird, einschließlich der Gewährung des Zugangs zur SaaS sowie der Aktivierung von Merkmalen und Funktionen auf der Plattform, die zusätzliche Kosten verursachen können.
“Datum des Inkrafttretens”	ist das Datum, an dem der Handelsvertrag zwischen den Parteien geschlossen wird.
“Dokumentation”	bezeichnet Online-Hilfe, Schulungen, Anleitungen und erläuternde Materialien, die Kunden bei der Nutzung der SaaS unterstützen (welche von Zeit zu Zeit aktualisiert werden können), auf die über die Anmeldung bei den SaaS zugegriffen werden kann oder die anderweitig von Adverity bereitgestellt werden.
"Gebühren"	bezeichnet die im Handelsvertrag festgelegten Gebühren.
"Handelsvertrag”	bezeichnet die Dokumente zur Bestellung der SaaS, die zwischen dem Kunden und Adverity abgeschlossen werden, einschließlich Nachträge und Ergänzungen hierzu. Mit dem Abschluss eines Handelsvertrages auf Basis dieser MSA erklärt sich ein verbundenes Unternehmen des Kunden damit einverstanden, an die Bedingungen dieses Handelsvertrags gebunden zu sein, als wäre es ursprüngliche Partei des Handelsvertrags. Diese MSA stellt einen integralen Bestandteil des Handelsvertrages dar.
"Kundendaten”	bezeichnet alle elektronischen Daten oder Informationen, die der Kunde an die SaaS übermittelt.
“Kundensupport”	hat die in Abschnitt II festgelegte Bedeutung.
“Laufzeit”	bezeichnet die in Abschnitt IV.1 festgelegte Dauer.
“Listenpreis”	ist der im Handelsvertrag angeführte Listenpreis.
“Nutzer”	bezeichnet jede Person, die vom Kunden zur Nutzung der SaaS berechtigt ist.
“Nutzer-Account”	bezeichnet das Konto für die Plattform, das von jedem Benutzer für den Zugriff auf die SaaS erstellt wird. Das Nutzer-Konto ist streng auf die Nutzung durch einen Beutzer beschränkt.
“Platform”	bezeichnet eine bestimmte, von Adverity bereitgestellte URL unter der die SaaS betrieben wird.
“Query”	bedeutet eine Anforderung von Daten aus der Adverity Storage-Datenbank, welche mit Hilfe verschiedener Mittel wie zum Beispiel Dashboards, Data Explorer, Data Shares oder SQL-Schnittstelle durchgeführt wird. Jede Aktion, die zur Anzeige oder Änderung visualisierter Daten führt (z. B. das Hinzufügen oder Entfernen eines Feldes oder die Anwendung eines Filters), wird als Query betrachtet.
“SaaS”	bezeichnet die integrierte Datenplattform von Adverity, eine SaaS-Datenplattform für die Verbindung, Verwaltung und Nutzung von Daten in großem Umfang, die der Kunde auf der Grundlage eines Handelsvertrags bestellt und die Adverity online über ein passwortgeschütztes Kunden-Login zur Verfügung stellt.
“Schädlicher Code”	bezeichnet Viren, Würmer, Zeitbomben, Trojanische Pferde und andere schädliche oder bösartige Codes, Dateien, Skripte, Agenten oder Programme.
"Services”	bezeichnet die SaaS, den Onboarding Support, den Kundensupport, die Managed Services, Premium Services und die Professional Services zusammen.
“Subscription”	bezeichnet die Bereitstellung der SaaS durch Adverity an den Kunden über die Plattform.
"Subscription-Startdatum”	bezeichnet das Datum, an welchem Adverity dem Kunden die SaaS wie im anwendbaren Handelsvertrag beschrieben zur Verfügung stellt.
"Subscription-Enddatum”	bezeichnet das Datum, an welchem Adverity dem Kunden die SaaS wie im anwendbaren Handelsvertrag beschrieben entzieht.
"Subscriptiondauer”	bezeichnet die im Handelsvertrag festgelegte Subscriptiondauer.
"Verbundenes Unternehmen"	bedeutet ein verbundenes Unternehmen, das direkt oder indirekt über einen oder mehrere Mittelsmänner von einer anderen Person oder einem anderen Unternehmen kontrolliert wird oder unter gemeinsamer Kontrolle mit diesem steht. Der Begriff "Beherrschung" bedeutet den direkten oder indirekten Besitz der Befugnis, die Leitung und Politik eines Unternehmens zu lenken oder zu bestimmen, sei es durch den Besitz von Stimmrechtsaktien, durch einen Vertrag oder auf andere Weise.
“Vereinbarung”	bezeichnet den Handelsvertrag, diesen Rahmenvertrag und den Datenverarbeitungsvertrag (DPA), die zwischen den Parteien vereinbart wurden.
“Vertrauliche Informationen”	haben die in Abschnitt X festgelegte Bedeutung.

Document Information
Document Owner	VP Legal & Compliance
Version	V3.0
Date of Version	2024-05-09

Veraltet Rahmenvereinbarung

v2.0 (2020-06-01)
v2.1 (2021-04-26)
v2.2 (2021-06-22)
v2.3 (2021-10-08)
v2.4 (2022-09-02)
v2.5 (2023-01-23)
v2.6 (2023-09-11)

diagram DE (DPA)

DIESE DATENVERARBEIUNGSVEREINBARUNG („DPA“) (in der Fassung vom 2024-05-09) REGELT DIE DATENVERARBEITUNGSTÄTIGKEITEN ZWISCHEN DEM KUNDEN („DATENVERANTWORTLICHER“) UND DER ADVERITY GMBH („DATENVERARBEITER“) MIT DER FIRMENBUCHNUMMER 448481 g. MIT DER UNTERZEICHNUNG DES HANDELSVERTRAGES, WELCHER SICH AUF DIESE DPA BEZIEHT, ERKLÄRT SICH DER KUNDE MIT DEN BESTIMMUNGEN UND BEDINGUNGEN DIESER DPA EINVERSTANDEN.

Inahltsverzeichnis

Anweisungen des Datenverantwortlichen zur Datenverarbeitung

Plichten des Datenverbeiters

I. Hintergrund
II. Verarbeitung von personenbezogenen Daten
III. Unterauftragsverarbeiter
IV. Übermittlung in Drittländer
V. Sicherheit der Verarbeitung
VI. Audit-Rechte
VII. Entschädigung
VIII. Dauer
IX. Mitteilungen
X. Maßnahmen nach Beendigung der Verarbeitung personenbezogener Daten
XI. Definitionen
XII. Schlussbestimmungen

Anhang I - Technische und organisatorische Ma ßnahmen (TOMs)

Anweisungen des Datenverantwortlichen zur Datenverarbeitung

Zurück zum Anfang

Zwecke	Die Gewährung des Zugriffs und Nutzung des Software-as-Service (SaaS) und unterstützender Services, wie zwischen dem Datenverantwortlichen und dem Datenverarbeiter vereinbart.
Kategorien von standardmäßig zu verarbeitenden personenbezogenen Daten (Wenn der Datenverantwortliche beabsichtigt, andere Kategorien personenbezogener Daten mit der Software-as-a-Service (SaaS) des Datenverarbeitern zu verarbeiten, muss der Datenverantwortliche den Datenverarbeiter darüber informieren und eine Zusatzvereinbarung soll abgeschlossen werden.	Email Address IP Address Zeitstempel Name (auf freiwilliger Basis)
Besondere Kategorien von personenbezogenen Daten (Für den Fall, dass der Datenverantwortliche den Datenverarbeiter beauftragt besondere Kategorien personenbezogener Daten in seinem Auftrag zu verarbeiten, stellt der für die Verarbeitung Verantwortliche sicher, dass alle rechtlichen Anforderungen für die Verarbeitung solcher besonderen Kategorien personenbezogener Daten durch den Datenverarbeiter (insbesondere die in Art. 9 (2) GDPR) jederzeit erfüllt sind).	Der Datenverantwortliche beabsichtigt nicht und wird den Datenverarbeiter nicht anweisen, besondere Kategorien personenbezogener Daten zu verarbeiten.
Standardmäßig betroffene Personen (Beabsichtigt der Datenverantwortliche, personenbezogene Daten anderer betroffener Personen mit der SaaS des Datenverarbeiters zu verarbeiten, muss er den Datenverarbeiter davon in Kenntnis setzen, und es muss eine zusätzliche Vereinbarung geschlossen werden)	Nutzer der Software-as-Service (SaaS)
Verarbeitungsvorgänge	Erfassen, Speichern und Verarbeiten von Daten, um den Zugang zu und die Nutzung der SaaS des Datenverarbeiters zu ermöglichen.
Unterauftragsverarbeiter	Anwendbar, wenn Software-as-Service (SaaS) von Datenverarbeiter gehostet werden: Amazon Web Services Rechtsträger, welcher Verträge mit österreichischen Rechtsträgern abschließt ; oder Google Rechtsträger, welcher Verträge mit österreichischen Rechtsträgern abschließt ; oder Microsoft Ireland Operations Ltd, (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland). Zweck: Hosting-Infrastruktur für Server und Datenbanken. Für den Fall, dass der Datenverantwortliche personenbezogene Daten zusätzlicher betroffener Personen oder zusätzliche Kategorien personenbezogener Daten im Rahmen der Adverity SaaS verarbeitet, wird der folgende Unterauftragsverarbeiter von den Parteien einvernehmlich vereinbart: Snowflake Computing Netherlands B.V. (Gustav Mahlerlaan 300, 1082 ME Amsterdam, die Niederlande). Zweck: Cloud-basiertes Data Warehouse, das die Infrastruktur, die Speicherung und die Verarbeitungsumgebung für die Datenberichterstattung und -analyse bereitstellt. Anwendbar, wenn SaaS von Datenverantwortlichen gehostet wird: Für den Fall, dass der Datenverantwortliche personenbezogene Daten zusätzlicher betroffener Personen oder zusätzliche Kategorien personenbezogener Daten im Rahmen der Adverity Software-as-Service (SaaS) verarbeitet, wird der folgende Unterauftragsverarbeiter von den Parteien einvernehmlich vereinbart: Snowflake Computing Netherlands B.V. (Gustav Mahlerlaan 300, 1082 ME Amsterdam, die Niederlande). Zweck: Cloud-basiertes Data Warehouse, das die Infrastruktur, die Speicherung und die Verarbeitungsumgebung für die Datenberichterstattung und -analyse bereitstellt.
Standort der Verarbeitungsvorgänge	Anwendbar, wenn Software-as-Service (SaaS) von Datenverarbeiter gehostet werden:: Wenn der Datenverantwortliche seinen Sitz in der EU hat, werden die Daten auf Servern in der EU gehostet. Wenn der Datenverantwortliche seinen Sitz außerhalb der EU hat, können die Daten auf Servern innerhalb oder außerhalb der EU gehostet werden. Auf Anfrage des Datenverantwortlichen wird der spezifische Standort dem Datenverantwortlichen mitgeteilt. Anwendbar, wenn Software-as-Service (SaaS) von Datenverantwortlichen gehostet werden: Der Standort des Hostings wird vom Datenverantwortlichen bestimmt.

Plichten des Datenverbeiters

Unsere DPA im Klartext

Juristisch ausgedrückt
Unsere DPA in voller Länge

I. Hintergrund

Zurück zum Anfang

Wie in der Handelsvereinbarung vorgesehen vorgesehen, wird der Datenverarbeiter bestimmte personenbezogene Daten im Rahmen der Erbringung von Dienstleistungen für den Datenverantwortlichen verarbeiten.

Diese DPA regelt die Datenverarbeitungstätigkeiten des Datenverarbeiters.

1. Im Rahmen und zur Erfüllung der im Handelsvertrag festgelegten Dienstleistungen wird der Datenverarbeiter bestimmte personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeiten.

2. Zusätzlich zu dem, was in der Handelsvereinbarung geregelt ist, gelten die folgenden Bestimmungen für die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen, um die in den geltenden datenschutzrechtlichen Anforderungen zu erfüllen. Die betroffenen Personen, die Datenkategorien sowie der Umfang, die Art und der Zweck der Datenverarbeitung werden durch die Handelsvereinbarung und die "Anweisungen des Datenverantwortlichen zur Datenverarbeitung”dieser DPA festgelegt.

II. Verarbeitung von personenbezogenen Daten

Zurück zum Anfang

Der Datenverarbeiter und die mit ihm verbundenen Unternehmen erfüllen alle einschlägigen Anforderungen der geltenden Datenschutzgesetze und befolgen die Anweisungen des Datenverantwortlichen, einschließlich der Unterstützung des Datenvrantwortlichen bei der Erfüllung rechtlicher Verpflichtungen, der Unterlassung von Handlungen, die gegen die Datenschutzgesetze verstoßen könnten, und der unverzüglichen Benachrichtigung des Datenverantwortlichen über alle einschlägigen Mitteilungen oder Ersuchen der zuständigen Datenschutzbehörden.

Die Parteien werden die "Anweisungen des Datenverantwortlichen zur Datenverarbeitung” aktualisieren, um etwaigen Änderungen Rechnung zu tragen.

1. Der Datenverarbeiter und alle in seinem Auftrag handelnden Personen (z. B. Personal, Unterauftragsverarbeiter und Personen, die im Auftrag des Unterauftragsverarbeiters handeln) verpflichten sich, personenbezogene Daten nur nach schriftlicher Anweisung des für die Verarbeitung Verantwortlichen zu verarbeiten ("Anweisungen des Datenverantwortlichen zur Datenverarbeitung” oben). Der Datenverarbeiter darf personenbezogene Daten nur in dem Umfang verarbeiten, der erforderlich ist, um seinen Verpflichtungen aus dieser DSGVO oder den geltenden Datenschutzgesetzen nachzukommen.

2. Werden die Dienstleistungen während der Laufzeit des Handelsvertrags geändert und beinhalten diese geänderten Dienstleistungen eine neue oder geänderte Verarbeitung personenbezogener Daten oder werden die Anweisungen des für die Verarbeitung Verantwortlichen anderweitig geändert oder aktualisiert, weist der für die Verarbeitung Verantwortliche den Datenverarbeiter an, Folgendes die "Anweisungen des Datenverantwortlichen zur Datenverarbeitung” zu aktualisieren, und zwar vor oder spätestens in Verbindung mit dem Beginn einer solchen Verarbeitung oder Änderung.

3. Der Datenverarbeiter muss alle geltenden Datenschutzgesetze und die geltenden Empfehlungen der zuständigen Datenschutzbehörden oder anderer zuständiger Behörden einhalten und sich über alle Änderungen dieser Gesetze oder Empfehlungen auf dem Laufenden halten und diese einhalten. Der Datenverarbeiter nimmt alle erforderlichen Änderungen und Ergänzungen an dieser DPA vor, die gemäß den geltenden Datenschutzvorschriften erforderlich sind.

4. Der Datenverarbeiter unterstützt den Datenverantwortlichen bei der Erfüllung seiner rechtlichen Verpflichtungen gemäß den geltenden Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf:

die Verpflichtung des für die Verarbeitung Verantwortlichen, die Rechte der betroffenen Personen zu beachten und in
Gewährleistung der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf die Sicherheit der Verarbeitung (Art. 32 DSGVO),
die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten (Art. 33, 34 GDPR) und
die Datenschutz-Folgenabschätzung und die vorherige Konsultation (Art. 35, 36 DSGVO), und
die Verpflichtung zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person auf Information über die Verarbeitung ihrer personenbezogenen Daten.

Der Datenverarbeiter darf keine Handlungen vornehmen oder unterlassen, durch die der für die Verarbeitung Verantwortliche gegen die geltenden Datenschutzvorschriften verstoßen würde.

5. Der Datenverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich über eine Anfrage, Beschwerde, Nachricht oder sonstige Mitteilung, die er von einer zuständigen Behörde oder einem sonstigen Dritten in Bezug auf die Verarbeitung personenbezogener Daten im Sinne dieser DSGVO erhält. Der Datenverarbeiter darf in keiner Weise im Namen oder als Vertreter des für die Verarbeitung Verantwortlichen handeln und darf ohne vorherige Anweisung des für die Verarbeitung Verantwortlichen weder personenbezogene Daten noch andere Informationen über die Verarbeitung personenbezogener Daten an Dritte weitergeben oder auf andere Weise offenlegen, es sei denn, der Datenverarbeiter ist gesetzlich dazu verpflichtet. Der Datenverarbeiter unterstützt den für die Verarbeitung Verantwortlichen in angemessener Weise, um ihm die Beantwortung folgender Fragen zu ermöglichen. Ersuchen, Beschwerden, Nachrichten oder andere Mitteilungen gemäß den anwendbaren Datenschutzgesetzen zu beantworten. Insbesondere darf der Datenverarbeiter im Falle einer Verletzung des Datenschutzes im Sinne von Abschnitt XI. keine Eingaben, Meldungen, Mitteilungen, Ankündigungen oder Pressemitteilungen veröffentlichen. Falls der Datenverarbeiter gemäß den geltenden Gesetzen und Vorschriften verpflichtet ist, personenbezogene Daten, die er im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, offenzulegen, ist er verpflichtet, den für die Verarbeitung Verantwortlichen unverzüglich darüber zu informieren, sofern dies nicht gesetzlich verboten ist.

III. Unterauftragsverarbeiter

Zurück zum Anfang

Der Datenverantwortliche ermächtigt den Auftragsverarbeiter, Unterauftragsverarbeiter zu beauftragen, die unter den Anweisungen des Datenverantwortlichen tätig werden. Beabsichtigt der Datenverarbeiter, Änderungen an der aktuellen Liste gemäß Abschnitt vorzunehmenI, wird der Datenverabeiter denDatenverantwortlichen vorab informieren, und derDatenverantwortliche kann innerhalb von 8 Wochen Einspruch erheben.

1. Der Datenverantwortliche ermächtigt den Datenverarbeiter zur Beauftragung von Unterauftragsverarbeiter. Alle von dem für die Verarbeitung Verantwortlichen zugelassenen Unterauftragsverarbeiter handeln unter der Autorität und vorbehaltlich direkter Anweisungen des für die Verarbeitung Verantwortlichen. Eine Liste der derzeitigen Unterauftragsverarbeiter findet sich in den "Anweisungen des Datenverantwortlichen zur Datenverarbeitung” zu den dort genannten Zwecken. Der Datenverarbeiter hat den für die Verarbeitung Verantwortlichen vorab schriftlich über Änderungen zu unterrichten, insbesondere vor der Beauftragung anderer Unterauftragsverarbeiter. In diesem Fall hat der Datenverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich und mindestens acht Wochen vor der Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter schriftlich über die Identität dieses Unterauftragsverarbeiters sowie den Zweck seiner Beauftragung zu informieren.

2. Der Datenverantwortliche kann solchen Änderungen nach eigenem Ermessen innerhalb von 8 Wochen nach der Mitteilung des Datenverarbeiters aus wichtigem Grund widersprechen.

3. Der Datenverarbeiter hat allen Unterauftragsverarbeitern, die personenbezogene Daten im Rahmen dieser DSGVO verarbeiten (einschließlich u. a. seiner Beauftragten, Vermittler und Unterauftragnehmer), durch eine schriftliche Vereinbarung, auch in elektronischer Form, dieselben Verpflichtungen aufzuerlegen, die für den Datenverarbeiter gelten, insbesondere die in Abschnitt III.1 (insbesondere das Verfahren der Benachrichtigung des für die Verarbeitung Verantwortlichen und das Recht des für die Verarbeitung Verantwortlichen, den Unterauftragsverarbeitern direkte Anweisungen zu erteilen) und Abschnitt III.2 dieser DSGVO festgelegten Verpflichtungen.

IV. Übermittlung in Drittländer

Zurück zum Anfang

Der Datenverarbeiter muss die vorherige schriftliche Zustimmung des Datenverantwortlichen einholen, bevor er personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt. Außerdem wird er die Einhaltung der GDPR-Standards sicherstellen und die Standardvertragsklauseln der Europäischen Kommission für einen angemessenen Schutz einbeziehen.

1. Der Ort/die Orte der beabsichtigten oder tatsächlichen Verarbeitung personenbezogener Daten ist/sind in den "Anweisungen des Datenverantwortlichen zur Datenverarbeitung” Der Datenverarbeiter darf personenbezogene Daten ohne die vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen (die nach dessen Ermessen verweigert oder erteilt werden kann) nicht außerhalb des Europäischen Wirtschaftsraums übermitteln oder anderweitig direkt oder indirekt offenlegen und sicherstellen, dass das durch die DSGVO garantierte und in dieser DSGVO dargelegte Schutzniveau für die betroffenen Personen nicht untergraben wird. Sofern die Parteien nichts anderes vereinbaren, wird ein angemessener Schutz im Empfängerland durch eine Vereinbarung sichergestellt, die die Standardvertragsklauseln der Europäischen Kommission enthält.

2. Befindet sich der für die Verarbeitung Verantwortliche in einem Land, das nicht Mitglied der EU/des EWR ist, und liegen keine Angemessenheitsbeschlüsse vor, so gelten für die Übermittlung personenbezogener Daten zwischen dem Datenverarbeiter und dem für die Verarbeitung Verantwortlichen die Standardvertragsklauseln (Modul 4: Auftragsverarbeiter-zu-Auftragsverarbeiter), die durch Verweis in diese DSGVO aufgenommen wurden und dem Kunden auf Anfrage mitgeteilt werden können.

V. Sicherheit ver Verarbeitung

Zurück zum Anfang

Der Datenverarbeiter gewährleistet die Sicherheit der personenbezogenen Daten durch bestimmte technische und organisatorische Maßnahmen (siehe Anhang 1). Darüber hinaus meldet der Datenverarbeiter dem Datenverantwortlichen unverzüglich alle Sicherheitsvorfälle, beschränkt den Zugang auf befugtes Personal, das zur Vertraulichkeit verpflichtet ist und benennt eine Kontaktperson für Datenschutzangelegenheiten.

1. Der Datenverarbeiter garantiert die Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen nach dem aktuellen Stand der Technik, um ein angemessenes Sicherheitsniveau für personenbezogene Daten zu gewährleisten, und überprüft und verbessert kontinuierlich die Wirksamkeit seiner Sicherheitsmaßnahmen (siehe Anhang 1). Der Datenverarbeiter schützt die personenbezogenen Daten vor Zerstörung, Veränderung, unrechtmäßiger Verbreitung, unrechtmäßigem Verlust, unrechtmäßiger Veränderung oder unrechtmäßigem Zugriff. Die personenbezogenen Daten sind auch gegen alle anderen Formen der unrechtmäßigen Verarbeitung zu schützen. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten und unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen umfassen die vom Datenverarbeiter zu treffenden technischen und organisatorischen Maßnahmen je nach Bedarf Folgendes:

a. die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;

b. die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die personenbezogene Daten verarbeiten, zu gewährleisten;

c. die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und

d. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

2. Der Datenverarbeiter meldet dem Datenverantwortlichen unverzüglich jeden versehentlichen oder unbefugten Zugang oder vermeintlichen Zugang zu personenbezogenen Daten oder andere tatsächliche oder vermeintliche, drohende oder potenzielle Sicherheitsvorfälle ("Verletzung des Schutzes personenbezogener Daten"), nachdem er von solchen Vorfällen Kenntnis erlangt hat. Die Benachrichtigung erfolgt in schriftlicher Form und muss mindestens:

a. die Art der Verletzung des Schutzes personenbezogener Daten beschreiben, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle mitteilen, bei der weitere Informationen eingeholt werden können;

c. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten beschreiben;

d. Beschreibung der Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen beabsichtigt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung möglicher nachteiliger Auswirkungen; und

e. alle sonstigen dem Datenverarbeiter zur Verfügung stehenden Informationen enthalten, die der für die Verarbeitung Verantwortliche den Datenschutzbehörden und/oder den betroffenen Personen mitteilen muss.

3. Der Datenverarbeiter wird den Datenverantwortlichen in angemessener Weise bei der Untersuchung der Verletzung des Schutzes personenbezogener Daten und bei der Benachrichtigung der Datenschutzbehörden und/oder der betroffenen Personen unterstützen, wie dies in den geltenden Datenschutzvorschriften vorgesehen ist.

4. Der Datenverarbeiter ergreift auf eigene Kosten unverzüglich die erforderlichen Maßnahmen, um aufgrund einer Datenchutzverletzung verlorene, zerstörte oder beschädigte personenbezogene Daten wiederherzustellen und/oder zu rekonstruieren.

5. Der Datenverarbeiter verpflichtet sich die im Rahmen dieser DPA verarbeiteten personenbezogenen Daten ohne vorherige schriftliche Genehmigung des für die Verarbeitung Verantwortlichen weder offenlegen noch auf andere Weise Dritten zugänglich machen. Zur Klarstellung: Wenn der Datenverarbeiter aufgrund geltender Gesetze und Vorschriften verpflichtet ist, personenbezogene Daten, die er im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, offenzulegen, gilt Abschnitt II.5 Anwendung.

6. Der Datenverarbeiter muss sicherstellen, dass der Zugriff auf personenbezogene Daten im Rahmen dieser DPA auf diejenigen seiner Mitarbeiter beschränkt ist, die den Zugriff auf die personenbezogenen Daten unmittelbar benötigen, um die Verpflichtungen des Datenverarbeiters im Rahmen dieser DPA und der Handelsvereinbarung zu erfüllen. Der Datenverarbeiter stellt sicher, dass dieses Personal (unabhängig davon, ob es sich um Angestellte oder andere vom Datenverarbeiter beauftragte Personen handelt):

a. über die erforderlichen Kenntnisse der anwendbaren Datenschutzgesetze verfügt und in diesen geschult ist, um die vertraglich vereinbarten Dienstleistungen zu erbringen, und

b. im gleichen Maße wie der Datenverarbeiter gemäß dieser DSGVO zur Vertraulichkeit der personenbezogenen Daten verpflichtet ist.

7. Der Datenverarbeiter stellt sicher, dass diese Vertraulichkeitsverpflichtung über die Beendigung von Arbeitsverträgen, Verträgen mit Unterauftragsverarbeitern, Dienstleistungsverträgen oder die Beendigung dieser DPA hinausgeht. Diese Vertraulichkeitsverpflichtung bleibt auch nach Ablauf oder Beendigung der DPA in Kraft.

8. Der Datenverarbeiter benennt folgende Person als Ansprechpartner für Datenschutzfragen: Herr Michael Pilz (dpo@adverity.com).

VI. Auditrechte

Zurück zum Anfang

Der Datenverarbeiter räumt dem für die Verarbeitung Verantwortlichen (oder einem externen Prüfer nach Wahl des für die Verarbeitung Verantwortlichen) das Recht ein, Datenschutz- und Sicherheitsprüfungen durchzuführen, um die Einhaltung dieser DSGVO und der einschlägigen Datenschutzgesetze zu gewährleisten, und stellt alle erforderlichen Informationen und Unterstützung zur Verfügung, um die Einhaltung nachzuweisen.

1. Der Datenverarbeiter gestattet dem Datenverantwortlichen oder einem von ihm beauftragten externen Prüfer, Prüfungen, Untersuchungen und Inspektionen zum Datenschutz und/oder zur Datensicherheit („Prüfung“) durchzuführen, um sicherzustellen, dass der Datenverarbeiter oder die Unterauftragsverarbeiter in der Lage sind, die Verpflichtungen aus dieser DPA und den geltenden Datenschutzgesetzen einzuhalten, und dass der Datenverarbeiter oder die Unterauftragsverarbeiter die erforderlichen Maßnahmen ergriffen haben, um diese Einhaltung sicherzustellen.

2. Der Datenverarbeiter stellt alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA und der geltenden Datenschutzgesetze erforderlich sind, und unterstützt den Datenverantwortlichen bei der Durchführung von Prüfungen.

VII. Entschädigung

Zurück zum Anfang

Der Datenverarbeiter ist dafür verantwortlich, den für die Verarbeitung Verantwortlichen von Ansprüchen Dritter freizustellen, die sich aus Verstößen ergeben, die durch vorsätzliche oder grob fahrlässige Handlungen des Datenverarbeiters im Rahmen dieser DPA verursacht wurden bis zu bis zur Höhe der von dem für die Verarbeitung Verantwortlichen in den letzten 12 Monaten vor dem Vorfall gezahlten Gebühren, außer bei Vorsatz, Körperverletzung oder Tod.

Der Datenverarbeiter hat die verantwortliche Stelle auf erstes Anfordern schad- und klaglos zu halten, soweit Dritte (insbesondere betroffene Personen) Ansprüche gegen die verantwortliche Stelle wegen Verletzung ihrer Rechte oder des Datenschutzrechts geltend machen, die auf einer vorsätzlichen oder grob fahrlässigen Verletzung dieser DSGVO durch den Datenverarbeiter beruhen. Die Verpflichtung zur Entschädigung ist - außer in Fällen von Vorsatz oder bei Verletzung von Leben und Körper - auf den Betrag der von der verantwortlichen Stelle in den letzten 12 Monaten vor der Rechtsverletzung gezahlten Gebühren begrenzt.

VIII. Dauer

Zurück zum Anfang

Diese DPA gilt so lange, wie der Datenverarbeiter personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

1. Diese DPA bleibt so lange in Kraft, wie der Datenverarbeiter personenbezogene Daten für den Datenverantwortlichen verarbeitet.

2. Der Datenverantwortliche kann den Vertrag fristlos kündigen, wenn der Datenverarbeiter oder einer seiner Unterauftragsverarbeiter gegen seine Verpflichtungen aus dieser DPA verstößt.

IX. Mitteilungen

Zurück zum Anfang

Stellt der Datenverarbeiter fest, dass eine Anweisung zur Datenverarbeitungdes Datenverantwortlichen gegen geltendes Datenschutzrecht oder gegen wesentliche Bestimmungen dieser DSGVO (einschließlich technischer und organisatorischer Maßnahmen) verstößt, wird er den Datenverantwortlichen zusätzlich zu den anderen hierin vorgesehenen Mitteilungspflichten unverzüglich darüber informieren.

X. Maßnahmen nach Beendigung der Verarbeitung personenbezogener Daten

Zurück zum Anfang

Personenbezogene Daten werden nach der Vertragserfüllung gelöscht oder zurückgegeben, es sei denn, die Speicherung ist gesetzlich vorgeschrieben.

Der für die Verarbeitung Verantwortliche kann auf Anfrage schriftlich über die getroffenen Maßnahmen informiert werden.

1. Nach Ablauf oder Beendigung dieser DPA löscht oder gibt der Datenverarbeiter alle personenbezogenen Daten (einschließlich aller Kopien davon) auf Anweisung des Datenverantwortlichen an den Datenverantwortlichen zurück und stellt sicher, dass alle Unterauftragsverarbeiter dies auch tun, sofern das geltende Recht nichts anderes vorschreibt. Bei der Rückgabe der personenbezogenen Daten gewährt der Datenverarbeiter dem Datenverantwortlichen alle erforderliche Unterstützung.

2. Auf Verlangen des Datenverantwortlichen hat der Datenverarbeiter die von ihm oder seinen Unterauftragsverarbeitern getroffenen Maßnahmen zur Löschung oder Rückgabe der personenbezogenen Daten nach Abschluss der Verarbeitung schriftlich mitzuteilen.

XI. Definitionen

Zurück zum Anfang

Zur Verdeutlichung werden die Definitionen der relevanten Begriffe aus der Datenschutz-Grundverordnung verwendet.

Alle in dieser DPA verwendeten Begriffe sind in Übereinstimmung mit der Datenschutz-Grundverordnung der EU ((EU) 2016/679 “DSGVO“) zu verstehen, sofern nicht ausdrücklich etwas anderes vereinbart wurde. Die folgenden Begriffe und Ausdrücke in dieser DPA haben die nachfolgend dargestellte Bedeutung:

"Angemessenheitsbeschluss” ist eine förmliche Entscheidung der EU-Kommission, mit der anerkannt wird, dass ein anderes Land, ein anderes Gebiet, ein anderer Sektor oder eine andere internationale Organisation ein gleichwertiges Schutzniveau für personenbezogene Daten bietet wie die EU.

"Datenverantwortlicher” bezeichnet die juristische Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten im Rahmen dieser DPA bestimmt;

"Datenverarbeitungsvereinbarung" (oder "DPA") bezieht sich auf diesen Vertrag, der die Datenverarbeitungsvorgänge zwischen dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter regelt.

"Datenverarbeiter” bezeichnet eine physische oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Namen des Datenverantwortlichen im Rahmen dieser DPA verarbeitet;

"EU/EWR" bedeutet Europäische Union und/oder Europäischer Wirtschaftsraum.

"Geltende Datenschutzgesetze” bezeichnet alle nationalen oder internationalen verbindlichen Datenschutzgesetze oder -verordnungen (einschließlich, aber nicht beschränkt auf die DSGVO und das Österreichische Datenschutzgesetz („DSG“)), einschließlich aller Anforderungen, Richtlinien und Empfehlungen der zuständigen Datenschutzbehörden, die während der Laufzeit dieser DPA jederzeit anwendbar sind, gegebenenfalls auf den Datenverantwortlichen oder den Datenverarbeiter;

"Personenbezogene Daten” bezeichnet alle Informationen über eine identifizierte oder identifizierbare lebende natürliche Person („betroffene Person“) im Sinne von Artikel 4 Absatz 1 DSGVO;

"Software-as-a-Service" (oder "SaaS") hat die in Abschnitt I. des Handelsvertrages von Adverity definierte Bedeutung.

"Standardvertragsklausel” bezeichnen Standardvertragsklauseln im Rahmen der DSGVO für Datenübermittlungen von Datenverantwortlichen oder Datenverarbeiter in der EU/im EWR (oder die anderweitig der DSGVO unterliegen) an Datenverantwortliche oder Datenverarbeiter mit Sitz außerhalb der EU/des EWR (die nicht der DSGVO unterliegen).

"Unterauftragsverarbeiter” bezeichnet jede juristische oder natürliche Person, einschließlich aller Vertreter und Vermittler, die personenbezogene Daten im Namen des Datenverarbeiters gemäß Artikel 28 Absatz 2 und 4 DSGVO und Abschnitt 4.1 verarbeitet;

"Verarbeitung” bezeichnet jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Personendatenbeständen durchgeführt werden, unabhängig davon, ob sie automatisiert gemäß Artikel 4 Absatz 2 DSGVO erfolgen oder nicht.

"Verletzung des Schutzes personenbezogener Daten" bedeutet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

XII. Schlussbestimmungen

Zurück zum Anfang

Im Falle eines Konflikts mit zusätzlichen Vereinbarungen ist diese DSGVO für die Verarbeitung personenbezogener Daten maßgebend, und unterliegt und unterliegt österreichischem Recht, wobei für Streitigkeiten der Gerichtsstand am Sitz des Datenverarbeiters gilt; unwirksame Bestimmungen werden ersetzt.

1. Wenn der Datenverantwortliche und der Datenverarbeiter im Widerspruch zu dieser DPA zusätzliche Vereinbarungen getroffen haben, haben die Bestimmungen dieser DPA über die Verarbeitung personenbezogener Daten Vorrang, es sei denn, die Vereinbarung ist zum Zweck der Ergänzung/Änderung einer oder mehreren Bestimmungen dieser DPA getroffen worden.

2. Auf diese DPA findet das Recht der Republik Österreich unter Ausschluss der Kollisionsnormen des Internationalen Privatrechts und des UN-Kaufrechtsübereinkommens Anwendung. Bei allen Streitigkeiten aus einem Vertrag – auch bei Streitigkeiten über sein Bestehen oder Nichtbestehen – sind die Gerichte mit Gerichtsstand am Sitz des Datenverarbeiters ausschließlich zuständig.

3. Sollte eine Bestimmung oder Teile einer Bestimmung in dieser DPA nach geltendem Recht unwirksam sein oder werden, so berührt dies die Wirksamkeit und Gültigkeit der übrigen Bestimmungen nicht. Die Vertragsparteien werden sie durch eine Bestimmung ersetzen, die inhaltlich der unwirksamen Bestimmung am nächsten kommt.

Anhang 1 – Technische und organisatorische Maßnahmen ("TOMs")

Zurück zum Anfang

Der Datenverarbeiter bestätigt, dass die implementierten technischen und organisatorischen Maßnahmen ein angemessenes Schutzniveau für die personenbezogenen Daten des Verantwortlichen in Anbetracht der mit der Verarbeitung verbundenen Risiken bieten.

Allgemeine Beschreibung der Maßnahmen

Beschreibung der durchgeführten Maßnahmen

Physischer Zugang und Umgebungskontrolle

Geeignete physische Sicherheits- und Umgebungskontrollen sind vorhanden und so konzipiert, dass sie den physischen Zugang zu Systemen und Servern schützen, kontrollieren und beschränken.

Verwendete Hosting-Anbieter erfüllen die Anforderungen:

Informationssicherheitsstandards wie z.B. ISO 27018 und ISO 27001 und können Zertifikate zum Nachweis vorlegen
AICPA SOC 2-Standard und kann Berichte zum Nachweis erstellen

Logische Zugangskontrolle (Systeme)

Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen

Datenbank-Sicherheitskontrollen beschränken den Zugriff
Zugriffsrechte werden auf der Grundlage von Rollen und Wissensbedarf gewährt
Passwortpolitik auf der Grundlage etablierter Informationssicherheitsstandards wie BSI und NIST.
Automatische Sperrung des Zugangs (z.B. Passwort, Timeout)
Protokoll der fehlgeschlagenen Anmeldeversuche

Zugangskontrolle (Daten)

Sicherstellung, dass die zur Nutzung eines Datenverarbeitungssystems berechtigten Personen nur auf die Daten zugreifen können, auf die sie ein Zugriffsrecht haben, und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

Zugriffsrechte werden auf der Grundlage von Rollen und Wissensbedarf gewährt
Genehmigungsverfahren für Zugangsrechte
Regelmäßige Überprüfung der Zugangsrechte
Unterzeichnete Vertraulichkeitsverpflichtungen
Optional nur auf VPN-Zugang (Virtual Privacy Networks) beschränkt

Kontrolle der Übertragung

Sicherstellung, dass personenbezogene Daten während der elektronischen Übermittlung oder des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass es möglich ist, zu überprüfen und festzulegen, welche Stellen die personenbezogenen Daten erhalten sollen

Verschlüsselte Übertragung auf der Grundlage einer sicheren Verwaltung der Verschlüsselungsschlüssel und Mindestanforderungen an den Verschlüsselungsalgorithmus (z. B. AES 256)
Log-Dateien

Eingabekontrolle

Sicherstellung, dass es möglich ist, zu überprüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden

Zugriffsrechte werden auf der Grundlage von Rollen und Wissensbedarf gewährt
Genehmigungsverfahren für Zugangsrechte
Regelmäßige Überprüfung der Zugangsrechte
Log-Dateien

Auftragskontrolle

Sicherstellung, dass die personenbezogenen Daten ausschließlich gemäß den Anweisungen verarbeitet werden

Sorgfältige Auswahl von (Unter-)Verarbeitern und anderen Dienstleistern
Dokumentation der Auswahlverfahren (Datenschutz- und Sicherheitsrichtlinien, Prüfberichte, Zertifizierungen)
Überprüfung der Hintergründe von Dienstleistern, anschließende Überwachung
Standardisierte Strategien und Verfahren (einschließlich einer klaren Trennung der Zuständigkeiten)
Dokumentation der vom für die Datenverarbeitung Verantwortlichen erhaltenen Anweisungen
Unterzeichnete Vertraulichkeitsverpflichtungen

Verfügbarkeitskontrolle

Sicherstellung, dass personenbezogene Daten vor versehentlicher Zerstörung und Verlust geschützt werden

Verwendete Hosting-Anbieter einhalten:

Informationssicherheitsstandards wie ISO 27018 und ISO 270001 und können Zertifikate zum Nachweis vorlegen
AICPA SOC 2-Standard und kann Berichte zum Nachweis erstellen

Zusätzlich verwaltet vom Datenverarbeiter:

Backup-Verfahren auf der Grundlage von Business Impact Analysis
Plan zur Wiederherstellung im Katastrophenfall
Routinemäßige Tests des Notfallwiederherstellungsplans

Trennungskontrolle

Sicherstellung, dass für unterschiedliche Zwecke erhobene Daten getrennt verarbeitet werden können

Getrennte Bearbeitungsmöglichkeiten in den Anwendungsdiensten
Trennung zwischen Produktiv- und Testdaten
Detaillierte Verwaltung der Zugangsrechte

Document Information
Document Owner	VP Legal & Compliance
Version	V6.0
Date of Version	2024-05-09

Veraltet Datenverarbeitungsvereinbarung

v2.0 (2020-06-01)
v2.1 (2020-12-11)
v3.0 (2021-04-26)
v4.0 (2021-10-08)
v4.1 (2022-02-18)
v4.2 (2022-04-07)
v4.3 (2022-09-02)
v5.0 (2023-01-23)
v5.1 (2023-04-21)
v5.2 (2023-10-16)

Rahmenvereinbarung (“MSA”) & Datenverarbeitungsvereinbarung (“DPA”)

RAHMENVEREINBARUNG

Inhaltsverzeichnis

Business Angelegenheiten

Juristische Angelegenheiten

Business Angelegenheiten

I. SaaS Beschreiben und Subscription

II. Die Rollen und Zuständigkeiten der Parteien

III. Gebühren und Zahlung

IV. Dauer und Beendigung

Juristische Angelegenheiten

V. Eigentumsrechte

VI. Garantien, Haftungsausschlüsse

VII. Entschädigung

VIII. Haftung

IX. Unterauftragnehmer

X. Gegenseitige Vertraulichkeit

XI. Sonstiges

XII. Definitionen

Veraltet Rahmenvereinbarung

DATENVERARBEITUNGSVEREINBARUNG

Inahltsverzeichnis

Anweisungen des Datenverantwortlichen zur DatenverarbeitungPlichten des Datenverbeiters

Anhang I - Technische und organisatorische Maßnahmen (TOMs)

Anweisungen des Datenverantwortlichen zur Datenverarbeitung

Plichten des Datenverbeiters

I. Hintergrund

II. Verarbeitung von personenbezogenen Daten

III. Unterauftragsverarbeiter

IV. Übermittlung in Drittländer

V. Sicherheit ver Verarbeitung

VI. Auditrechte

VII. Entschädigung

VIII. Dauer

IX. Mitteilungen

X. Maßnahmen nach Beendigung der Verarbeitung personenbezogener Daten

XI. Definitionen

XII. Schlussbestimmungen

Anhang 1 – Technische und organisatorische Maßnahmen ("TOMs")

Veraltet Datenverarbeitungsvereinbarung

Anweisungen des Datenverantwortlichen zur Datenverarbeitung

Plichten des Datenverbeiters

Anhang I - Technische und organisatorische Ma ßnahmen (TOMs)