AGB

Stand: 01. Oktober 2025

Sie können die aktuellen AGB für jederzeit, auch nach Vertragsschluss, aufrufen, ausdrucken oder hier herunterladen.

I. Geltungsbereich

1. Die vorliegenden Allgemeinen Geschäftsbedingungen (nachfolgend „Propstack AGB“) gelten für alle Geschäftsbeziehungen zwischen dem Kunden und der Propstack GmbH (nachfolgend Propstack). Etwaige Geschäftsbedingungen des Kunden finden keine Anwendung. Dies gilt auch, wenn Propstack auf derartige Bestimmungen des Kunden ausdrücklich hingewiesen wurde.
2. Sämtliche Leistungen werden von der Propstack, wie in dem jeweiligen Angebotsformular vereinbart, auf der Grundlage dieser Propstack AGB erbracht. Diese Propstack AGB gelten als Rahmenvereinbarung auch für künftige Geschäftsbeziehungen mit dem Kunden, ohne dass hierfür ein erneuter Hinweis im Einzelfall erforderlich ist.

 

II. Besondere Nutzungsbedingungen

1. Die nachfolgenden Besonderen Nutzungsbedingungen sind Bestandteil dieser Propstack AGB. Abhängig davon, welches Produkt bzw. welche Leistungen beauftragt wurden, gelten die durch den jeweiligen Link hinter dem Produktnamen zu erreichenden Besonderen Nutzungsbedingungen zusätzlich zu diesen Propstack AGB.
2. Besondere Nutzungsbedingungen:

 

Besondere Nutzungsbedingungen FLOWFACT Cloud und die hAPPy^® Produkte

Hauptvertag (für die Produkte: Service- und Aktualitätsbündnis (SAB) FLOWFACT CRM / Mietvertrag FLOWFACT CRM / FLOWFACT Cloud (Performer/Universal) CRM)

Zusatzvertrag Synchronisationsdienste (für die Produkte: FLOWFACT Mobile Sync Service und Exchange Sync Service)

Nutzung des FLOWFACT Multilisting Services (MLS) und FLOWFACT Immoframe

Hauptvertrag Bereitstellung von Wohnmarktanalysen

Besondere Nutzungsbedingungen FLOWFACT

III. Vertragsbestandteil

1. Vertragsbestandteile für jede vom Kunden beauftragte Leistung sind in der nachstehenden Rangfolge:
• das vom Kunden unterzeichnete Angebot von Propstack;
• die gemäß Ziff. II.2 dieser Propstack AGB jeweils für das beauftragte Produkt gültigen Besonderen Nutzungsbedingungen;
• die gemäß Ziff. XI „Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag“ dieser Allgemeinen Geschäftsbedingungen geltenden Bedingungen für die Auftragsverarbeitung von Daten;
• diese Allgemeinen Geschäftsbedingungen;
2. Sollte es Widersprüche zwischen Bestimmungen dieser Propstack AGB und den in Ziff. III.1 genannten Dokumenten geben, gilt die in Ziff. III.1 genannte Reihenfolge

 

IV. Vertragsschluss, Liefertermin

1. Sofern Propstack dem Kunden ein verbindliches Angebot durch Zusendung eines Angebotsformulars macht, kann der Kunde dieses Angebot nur innerhalb einer Frist von 20 Werktagen ab Zusendung des Angebotes durch Rücksendung einer unterzeichneten Angebotsbestätigung annehmen. Maßgeblich ist der Zugang bei Propstack. Geht Propstack die unterzeichnete Angebotsbestätigung erst nach Ablauf von zwanzig (20) Tagen ab Zusendung des Angebotes an den Kunden zu, gilt die verspätete Annahme als neues Angebot und bedarf der Annahme durch Propstack.
2. Auf offensichtliche Irrtümer (z.B. Schreib- und Rechenfehler) und Unvollständigkeiten im Angebot hat der Kunde zum Zwecke der Korrektur bzw. Vervollständigung vor Annahme hinzuweisen; ansonsten gilt der Vertrag als nicht geschlossen.
3. Liefertermine von Propstack sind nur verbindlich, wenn dies im Einzelfall schriftlich ausdrücklich vereinbart wurde.

V. Vergütung und Zahlungsbedingungen

1. Der im Angebot angegebene Preis ist bindend. Wenn der Preis im Angebot nicht angegeben und auch nicht anderweitig vereinbart wurde, gelten die in der zum Zeitpunkt der Annahme des Angebots gültigen Preisliste von Propstack ausgewiesenen Preise als vereinbart.
2. Soweit nicht ausdrücklich im Angebot anders angegeben, verstehen sich die vereinbarten Preise als Nettopreise zuzüglich Umsatzsteuer in der jeweiligen gesetzlichen Höhe.
3. Die Vergütung ist monatlich im Voraus zu zahlen. Bei Vertragsbeginn während des laufenden Monats ist die Vergütung für den Rest des Kalendermonats anteilig zu zahlen, beginnend mit dem Tag der betriebsfähigen Bereitstellung der jeweiligen Leistung durch Propstack. Für den Zeitpunkt der Zahlung ist die Gutschrift auf dem Konto von Propstack maßgeblich. Ist eine Vergütung für Teile eines Kalendermonats zu berechnen, so wird dieser für jeden Tag mit 1/30 des monatlichen Preises berechnet. Sonstige Vergütungen sind nach Erbringung der jeweiligen Leistung zu zahlen.
4. Sofern kein Lastschrifteinzugsverfahren vereinbart ist, muss der Rechnungsbetrag spätestens am zehnten Tag nach Zugang der Rechnung auf dem in der Rechnung angegebenen Konto von Propstack gutgeschrieben sein.
5. Die Versendung einer Lieferung erfolgt erst nach Gutschrift der vom Kunden zu zahlenden Vergütung auf dem Konto von Propstack oder gegen Zahlung per Nachnahme.
6. Für jede nicht eingelöste bzw. zurückgereichte Lastschrift hat der Kunde in dem Umfang, wie er das kostenauslösende Ereignis zu vertreten hat, Propstack diese entstandenen Kosten in Höhe einer Pauschale von EUR 15,00 – vorbehaltlich des Nachweises entstandener höherer Kosten – zu erstatten. Diese wird mit der jeweiligen oder der nachfolgenden Abbuchung eingezogen.
7. Dem Kunden steht ein Aufrechnungs- oder Zurückbehaltungsrecht nur wegen rechtskräftig festgestellter oder unbestrittener Gegenforderungen zu.
8. Änderungen seiner Anschrift, seines Namens, seiner Rechtsform und/oder seiner Bankverbindung hat der Kunde Propstack unverzüglich mitzuteilen.
9. Der Anbieter ist jederzeit berechtigt, die bestehende Vertragsgebühr an diejenige anzupassen, die er bei Abschluss neuer Verträge verlangt. Die neue Vertragsgebühr ist erstmalig im auf die Erhöhung folgenden Monat fällig. Beträgt die Preisanpassung mehr als zehn Prozent, kann der Anwender das Vertragsverhältnis innerhalb einer Frist von einem Monat nach Zugang der Mitteilung der Beitragsanpassung kündigen. Zugangsdatum ist das Datum des Schreibens plus drei Werktage. Die Kündigung gilt dann automatisch zum Ende des Kalenderjahres.

 

VI. Verzug

1. Während eines Zahlungsverzugs des Kunden ist Propstack berechtigt, die Leistung ganz oder teilweise zu verweigern, z.B. bei Online-Produkten den Online-Zugang zur Anwendung zu sperren. Der Kunde bleibt in diesem Fall verpflichtet, die Vergütung zu zahlen. Die Geltendmachung weiterer Ansprüche wegen Zahlungsverzuges bleibt Propstack unbenommen.
2. FLOWFACT kommt erst dann in Verzug, wenn sie auf eine vom Kunden gesetzte angemessene Nachfrist hin nicht leistet. Propstack schuldet keine Fälligkeitszinsen gemäß § 353 Satz 1 HGB.

 

VII. Gewährleistung und Haftung

1. Etwaige Mängel sind vom Anwender in für die Propstack nachvollziehbarerweise z.B. durch Screenshots, zu dokumentieren sowie schriftlich und unverzüglich nach dem Auftreten mitzuteilen.
2. Die Propstack behebt die ihr nach Maßgabe dieses Vertrages angezeigten Mängel in angemessener Zeit.
3. Ändert der Anwender die Vertragssoftware selbst oder lässt Änderungen durch Dritte vornehmen, so entfallen sämtliche Ansprüche wegen Sach- oder Rechtsmängel. Dies gilt dann nicht, wenn der Anwender nachweist, dass die aufgetretenen Mängel nicht auf die Änderungen zurückzuführen sind und die Änderungen die Fehleranalyse und Beseitigung durch die Propstack nicht beeinträchtigen.
4. Die Kündigung wegen Nichtgewährung des vertragsgemäßen Gebrauchs der Software ist ausgeschlossen, wenn der Propstack nicht ausreichende Gelegenheit zur Mängelbeseitigung gegeben wurde und diese fehlgeschlagen ist.
5. Die Propstack GmbH haftet nicht für Mängel, die bereits bei Vertragsschluss vorhanden waren und die sie nicht verschuldet hat, insbesondere haftet sie auch nicht für Mängel an den Programmen Microsoft Office und Microsoft SQL-Server und daraus resultierenden Schäden.
6. Für Schäden, die die Propstack oder einer ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursachen, haftet die Propstack unbegrenzt.
7. Für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die von der Propstack, einem ihrer gesetzlichen Vertreter oder Erfüllungsgehilfen fahrlässig oder vorsätzlich verschuldet wurden, haftet die Propstack unbegrenzt.
8. Im Falle der Verletzung wesentlicher Vertragspflichten ist die Haftung der Propstack auf den vertragstypisch vorhersehbaren Schaden begrenzt.
9. Es besteht keinerlei Haftung für entgangenen Gewinn.
10. Ein Verschulden des Anwenders, z.B. unzureichende Erbringung von Mitwirkungsleistungen, Organisationsfehler oder das Löschen von Daten sind diesem anzurechnen. Datenverluste durch Fehlbedienung, Manipulation oder Löschen können nicht rekonstruiert werden und sind von der Haftung ausgenommen.
11. Jede weitere Haftung auf Schadenersatz ist ausgeschlossen, insbesondere jede Haftung, die kein Verschulden voraussetzt.

 

VIII. Höhere Gewalt

1. Propstack ist von der Verpflichtung zur Leistung und jeglicher Haftung befreit, wenn und soweit die Nichterfüllung von Leistungen auf das Eintreten von Umständen höherer Gewalt nach Vertragsabschluss zurückzuführen ist. Propstack wird den Kunden hiervon unverzüglich in Kenntnis setzen.
2. Kann Propstack infolge höherer Gewalt für mehr als zwei aufeinanderfolgende Monate keine Leistungen erbringen, hat der Kunde ein Recht zur außerordentlichen Kündigung.
3. Als Umstände höherer Gewalt gelten zum Beispiel Krieg, Streiks, Unruhen, Enteignungen, kardinale Rechtsänderungen, Sturm, Überschwemmungen, sonstige Naturkatastrophen, Wassereinbrüche, Stromausfälle und Unterbrechungen oder Zerstörung datenführender Leitungen sowie sonstige von Propstack nicht zu vertretende Umstände.

 

IX. Vertragslaufzeiten und Außerordentliche Kündigungen

1. Die (Mindest-) Vertragslaufzeit und die ordentlichen Kündigungsrechte und -fristen für das jeweilige Produkt ergeben sich aus den in Ziff. II.2 dieser Propstack AGB geltenden Besonderen Nutzungsbedingungen. Soweit nicht anders vereinbart, wird der Vertrag für eine Mindestlaufzeit von vierundzwanzig (24) Monaten geschlossen. Er verlängert sich automatisch um weitere zwölf (12) Monate, sofern er nicht von einer der Parteien mit einer Frist von drei Monaten zu dem jeweiligen Laufzeitende gekündigt wird. Maßgeblich ist das Datum des Poststempels. Sollte der Anwender mit mehr als zwei Monatsbeiträgen in Zahlungsverzug sein, behält sich der Anbieter das außerordentliche Recht vor, den Vertrag fristlos zu kündigen.

2. Das Recht zur außerordentlichen Kündigung des Vertragsverhältnisses zwischen Propstack und dem Kunden aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt insbesondere vor,

• wenn eine Partei, ihre Verrichtungs- oder Erfüllungsgehilfen schwerwiegend oder wiederholt gegen Pflichten aus dem Vertragsverhältnis verstößt;
• der Anwender mit mehr als zwei Monatsbeiträgen oder einer Summe, die solchen zwei monatlich zu leistenden Zahlungen entspricht oder, bei einer nur einmaligen Vergütung, bei Zahlungsverzug mit der vollständigen Vergütung. In diesem Fall behält sich der Anbieter das außerordentliche Recht vor, den Vertrag fristlos zu kündigen.
• wenn über das Vermögen einer Partei ein Insolvenzverfahren eröffnet oder mangels Masse abgelehnt wird oder ein außergerichtliches Vergleichsverfahren stattfindet; oder
• wenn Ansprüche der anderen Partei gepfändet werden und die Pfändung nicht binnen zwei Wochen aufgehoben wird.

3. Vor der außerordentlichen Kündigung ist die vertragsbrüchige Partei abzumahnen und ihr ist Gelegenheit zu geben, innerhalb von dreißig (30) Kalendertagen nach Erhalt der Abmahnung die den wichtigen Grund begründenden Missstände zu beheben. Einer Abmahnung bedarf es nicht, wenn

• die vertragsbrüchige Vertragspartei die Leistung ernsthaft und endgültig verweigert, oder
• besondere Umstände vorliegen, die unter Abwägung der beiderseitigen Interessen die sofortige Kündigung rechtfertigen.

4. Jede Kündigung bedarf der Schriftform.
5. Weitere außerordentliche Kündigungsgründe können sich aus den jeweils einschlägigen Besonderen Nutzungsbedingungen ergeben (siehe Ziff. II.2)

 

X.   Mitwirkung, Stornierung

1. Sofern zur Erfüllung des Vertrages durch Propstack die Mitwirkung des Kunden erforderlich ist, hat der Kunde die entsprechenden Handlungen rechtzeitig zu bewirken. Dies gilt insbesondere für die Übermittlung von Anwenderdaten sowie für die Erledigung kundenseitig durchzuführender Terminabstimmung und Vorarbeiten.
2. Bei nicht rechtzeitiger Mitwirkung des Kunden oder im Falle der Verweigerung der vertragsgemäß vereinbarten Leistungen kann Propstack nach fruchtlosem Ablauf einer angemessenen Nachfrist die weitere Vertragserfüllung ablehnen und den anteiligen Preis für die bis dahin erbrachten Leistungen verlangen. Ist die Verzögerung durch den Kunden schuldhaft erfolgt, kann Propstack darüber hinaus Schadensersatz wegen Nichterfüllung verlangen. Propstack kann ohne Nachweis eines konkreten Schadens als pauschalisierten Schadensersatz den Preis für die bereits erbrachten Leistungen zuzüglich 20% des Preises für die nicht abgenommenen Leistungen verlangen.
3. Stornierungen von Terminen zur Durchführung beauftragter Leistungen müssen schriftlich, bis spätestens zwanzig (20) Werktage vor dem geplanten Termin erfolgen, damit die Terminverschiebung kostenfrei erfolgen kann. Erfolgt die Stornierung des Termins nicht binnen der genannten Frist, kann Propstack zwischen dem zwanzigsten und dem zehnten Werktag 50% und nach dem zehnten Werktag vor dem geplanten Termin 100% des für die Leistung vereinbarten Preises pauschal abrechnen.
4. Im Falle von Dienstleistungen, deren Durchführung beim Kunden geplant und terminiert sind, hat der Kunde im Falle einer selbst verantworteten Terminverschiebung (zusätzlich zu etwaig im Zusammenhang mit der Stornierung entstandenen Kosten) der Propstack tatsächlich entstandenen, nicht erstattungsfähigen Aufwendungen (z.B. Aufwendungen für Reisetätigkeiten) zu ersetzen.
5. Dem Kunden bleibt die Erbringung des Nachweises vorbehalten, dass die pauschalen Kosten nicht oder in wesentlich geringerer Höhe entstanden sind. Propstack behält sich die Geltendmachung höherer Kosten ausdrücklich vor.
6. Gerät der Kunde mit dem Abruf oder der Annahme der Leistung, mit der Lieferung von Informationen, die zur Durchführung der Leistung erforderlich sind oder mit einer sonstigen Mitwirkungshandlung in Verzug, geht mit Eintritt des Verzuges die Gefahr der zufälligen Verschlechterung und des zufälligen Untergangs auf den Kunden über.

 

XI. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

1.Vertragsgegenstand

1.1 Zwischen den Parteien besteht ein Nutzungsverhältnis eines oder mehrerer von Propstack angebotener Dienste („Dienste“) nach Maßgabe der Propstack AGB, und ggf. den Besonderen Nutzungsbedingungen nach Ziffer II.2 der Propstack AGB.

1.2 Im Rahmen der Erbringung der Dienste ist es erforderlich, dass der Auftragnehmer Zugriff auf personenbezogene Daten erhält, für die der Auftraggeber als Verantwortlicher fungiert („Auftraggeber-Daten“). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien bei der Durchführung des Hauptvertrages.

2. Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung

2.1 Der Auftragnehmer erhebt, verarbeitet und nutzt die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers Art. 28 ff. DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Verantwortlicher.

2.2 Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten im Rahmen der Auftragsverarbeitung erfolgt zum Zweck der Durchführung des Hauptvertrages. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

2.3 Bei den zu verarbeitenden Auftraggeber-Daten handelt es sich um Immobiliendaten (insb. Anschrift/Lage, Größe und Fläche, Verkaufspreis, Mietpreis, Raumanzahl, Stockwerke, Garten, technische Ausstattung, Einrichtung, Fortschritt eines Bauvorhabens, Bilder von Immobilien), sowie personenbezogene Daten von Immobilieneigentümern, Immobilieninteressenten, Immobilienkäufern, Maklern und Mitarbeitern von Maklerbüros (insb. Name, Anschrift, E-Mail-Adresse, Telefonnummer, Stellung im Maklerbüro).

2.4 Die Auftraggeber-Daten werden von Propstack verarbeitet, um dem Auftraggeber die Nutzung der Dienste zu ermöglichen. Die Immobiliendaten werden verarbeitet, um Immobilienbestände zu verwalten, Immobilien zu vermitteln sowie den Vermittlungsprozess zu dokumentieren, Wohnmarktanalysen durchzuführen und Bauplanung zu organisieren und zu dokumentieren. Personenbezogene Daten der in Ziffer 2.3 genannten Personengruppen werden für die Kommunikation mit Käufern und Verkäufern von Immobilien, für die Organisation und Durchführung von Besichtigungen und anderen Maßnahmen im Rahmen der Immobilienvermittlung, die Organisation von Vertriebsaktivitäten, die Bauplatzverwaltung und für die Nutzerverwaltung verarbeitet.

2.5 Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder so zu aggregieren, dass eine Identifizierung des Nutzers oder einzelner natürlicher Personen nicht mehr möglich ist, und sie in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung des Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.

2.6 Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Es ist dem Auftragnehmer gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieser Ziff. XI „Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag“ auch außerhalb des EWR zu verarbeiten oder durch Unterauftragsverarbeiter nach Maßgabe von Ziffer 7 verarbeiten zu lassen, wenn die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

3. Weisungsbefugnisse des Auftraggebers

3.1 Der Auftragnehmer verwendet die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen der Verträge Ausdruck finden.

3.2 Einzelweisungen, die von den Festlegungen der Verträge abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers. Sofern ein Änderungsverfahren im vom Kunden unterzeichneten Angebot der Propstack oder den Besonderen Nutzungsbedingungen nach Ziffer II.2 dieser Propstack AGB festgelegt wurde, gelten diese Weisungen nach Maßgabe dieses Änderungsverfahrens durchzuführen.

3.3 Soweit der Hauptvertrag kein Änderungsverfahren vorsieht, bedürfen zugestimmte Einzelweisungen nach Ziffer III.2 dieses Vertrages für ihre Wirksamkeit grundsätzlich der Schrift- oder Textform. Bei Bedarf kann der Auftraggeber Weisungen auch mündlich oder telefonisch erteilen; diese sind vom Auftraggeber unverzüglich in Schrift- oder Textform zu bestätigen.

4. Rechte und Pflichten des Auftraggebers

4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von Auftraggeber-Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

4.2 Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen bzw. die hierzu erforderlichen Mitwirkungsleistungen zu erbringen. Er ist ferner verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

4.3 Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen, insbesondere durch unverzügliche Zurverfügungstellung sämtlicher Informationen und Dokumente über getroffene technisch-organisatorische Maßnahmen i.S.d. Art. 32 DSGVO.

5. Anforderungen an Personal

5.1Der Auftragnehmer wird alle Personen, die Auftraggeber-Daten verarbeiten, zur Vertraulichkeit verpflichten.

5.2 Der Auftragnehmer stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten; es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

6. Sicherheit der Verarbeitung

6.1 Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. Hierzu zählen insbesondere die folgenden Maßnahmen:

6.1.1 Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

• Einsatz kryptographischer Verfahren wie getunnelte Datenverbindungen (VPN) mit 256 Bit AES Verschlüsselung
• Zugriffsprotokolle mit SSL-Verschlüsselung
• Komprimierung der Daten bei Nutzung des Fernwartungszugangs
• Verschlüsselung von Datensätzen sowie unserer Backup Medien
• Verschlüsselung des Mailversands

6.1.2 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zugangskontrolle: Alarmanlage, Lichtschranken/Bewegungsmelder, Schlüsselregelung, Absicherung von Gebäudeschächten, Chipkarten -/Transponder-Schließsystemen, manuelles Schließsystem, Videoüberwachung der Zugänge, Sicherheitsschlösser, Personenkontrolle beim Eingang, Protokollierung der Besucher, sorgfältige Auswahl von Wachpersonal, sorgfältige Auswahl von Reinigungspersonal
• Benutzerkontrolle: Zuordnung von Benutzerrechten, Passwortvergabe, Authentifikation mit Benutzername/Passwort, Sperren von externen Schnittstellen (USB etc.), Schlüsselregelung (Schlüsselausgabe etc.), Protokollierung der Besucher, sorgfältige Auswahl von Wachpersonal, Erstellen von Benutzerprofilen, Authentifikation mit biometrischen Verfahren, Zuordnung von Benutzerprofilen zu IT-Systemen, Einsatz von VPN-Technologien, Sicherheitsschlösser, Personenkontrolle am Empfang, sorgfältige Auswahl von Reinigungspersonal, Verschlüsselung von mobilen Datenträgern, Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten), Einsatz einer Software-Firewall, Einsatz von Intrusion-Detection-Systemen, Einsatz von Anti-Viren-Software, Einsatz einer Hardware-Firewall
• Zugriffs- und Datenträgerkontrolle: Erstellung eines Berechtigungskonzepts, Anzahl der Administratoren auf das „Notwendigste“ reduziert, Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten, physische Löschung von Datenträgern vor Wiederverwendung, Einsatz von Aktenvernichtern bzw. Dienstleistern, Verschlüsselung von Datenträgern, Verwaltung der Rechte durch Systemadministrator, Passwortrichtlinie inkl. Passwortlänge und Passwortwechsel, Sichere Aufbewahrung von Datenträgern, ordnungsgemäße Vernichtung von Datenträgern (etwa DIN 66399), Protokollierung der Vernichtung
• Trennbarkeit: physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträger, Erstellung eines Berechtigungskonzepts, Logische Mandantentrennung (softwareseitig), Versehen der Datensätze mit Zweckattributen/Datenfeldern, Festlegung von Datenbankrechten, Trennung von Produktiv- und Testsystemen.

6.1.3    Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Übertragungs- und Transportkontrolle: Einrichtung von Standleitungen bzw. VPN-Tunneln, beim physischen Transport sorgfältige Auswahl von Transportpersonal und -Fahrzeugen, beim physischen Transport Transportbehälter/-verpackungen
• Eingabe- und Speicherkontrolle: Protokollierung der Eingabe, Änderung und Löschung von Daten, Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen), Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts, Erstellung einer Übersicht aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können

6.1.4    Verfügbar- und Belastbarkeit (Abs. 32 Abs. 1 lit. b DSGVO)

• Verfügbarkeit: unterbrechungsfreie Stromversorgung (USV), Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen, Feuer- und Rauchmelderanlagen, Testen von Datenwiederherstellung, Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort, in Hochwassergebieten Serverräume über der Wassergrenze, Klimaanlage in Serverräumen, Schutzsteckdosenleisten in Serverräumen, Feuerlöschgeräte in Serverräumen, Backup- & Recoverykonzept, Notfallplan
• Belastbarkeit der Systeme: regelmäßige Überprüfung der Betriebsbereitschaft aller Funktionen der Systeme, automatisierte Meldung von Fehlfunktionen, Virenschutz, Durchführung einer Risiko- und Schwachpunktanalyse, Benennung eines Sicherheitsbeauftragten, regelmäßige Wartung der Systeme, Routinemaßnahmen zur Absicherung der Systeme bei Fehlmeldungen, Firewalls, ständige Aktualisierung der genutzten Software, funktionale Trennung der IT-Abteilung und anderen Abteilungen

6.1.5    physischen oder technischen Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 lit. c DSGVO)

• Erstellung von Sicherheitskopien in regelmäßigen Abständen, Speicherung der Sicherheitskopien an einem sicheren Ort außerhalb der IT-Abteilungen, Prüfung der Wiederherstellungsfähigkeit der Sicherheitskopien in regelmäßigen Abständen, Datenwiederherstellungsprozeduren, Datenspiegelungen, Aufstellen von Servern in separierten und gesichertem Serverraum und einem Rechenzentrum, Gewährleistung der Aktualität der Sicherungskopien, Rhythmus der Sicherung und des Mediums (täglich D2D auf Backupserver, täglich auf Band), Festgelegte Aufbewahrungszeit der Sicherungskopien

6.1.6    Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d, 25 Abs. 1 DSGVO)

• Auftragskontrolle: Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit), vorherige Prüfung der Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen, schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag) i.S.d. Art. 28 Abs. 3 DSGVO, schriftliche Verpflichtungen der Mitarbeiter des Auftragnehmers zur Vertraulichkeit, Auftragnehmer hat Datenschutzbeauftragten bestellt, Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, Wirksame Kontrollrechte gegenüber den Auftragnehmer vereinbart, laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten, Vertragsstrafen bei Verstößen
• Datenschutzmanagement: Interne Datenverarbeitungsrichtlinien, -verfahren, Leitlinien, Arbeitsanweisungen, Verfahrensbeschreibungen und -regelungen für die Programmierung, Überprüfen und Veröffentlichung von Daten, Vorliegen eines Datensicherheitskonzepts, Überprüfung der System und Programme nach Industriestandards, Regelmäßige Schulungen der Mitarbeiter, Vier-Augen-Prinzip, Vorhandenes Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der ergriffenen technischen und organisatorischen Maßnahmen (etwa Penetrationstests), Bestehen eines Verzeichnisses von Verarbeitungstätigkeiten, regelmäßige Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen
• Datenschutzfreundliche Voreinstellungen: Berücksichtigung des Grundsatzes der Datenminimierung, Aktualisierung der Datenverarbeitung nach dem Stand der Technik

6.2 Da die technischen und organisatorischen Maßnahmen sowohl dem technischen Fortschritt und der technologischen Weiterentwicklung, als auch gesetzlichen Änderungen unterliegen, ist es dem Auftragnehmer und seinen Unterauftragnehmern gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Ziffer 6.1 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren.

7. Inanspruchnahme weiterer Auftragsverarbeiter

7.1 Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter durch den Auftragnehmer. Die gegenwärtig vom Auftragnehmer eingesetzten weiteren Auftragsverarbeiter teilt der Auftragnehmer dem Auftraggeber auf Anfrage mit.

7.2 Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren. Der Auftraggeber ist berechtigt, gegen jede beabsichtigte Änderung Einspruch zu erheben. Soweit der Auftraggeber innerhalb von 14 Tagen nach Zugang der Benachrichtigung keinen Einspruch einlegt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist dem Auftragnehmer die beabsichtigte Änderung untersagt; ist dem Auftragnehmer die weitere Diensterbringung aus diesem Grund aus wirtschaftlichen oder operativen Gründen nicht mehr möglich oder zumutbar, ist er berechtigt, den Hauptvertrag zu kündigen.

7.3 Der Auftragnehmer wird jedem weiteren Auftragsverarbeiter vertraglich Datenschutzpflichten auferlegen, die im Einklang stehen mit den gesetzlichen Anforderungen und die das Schutzniveau der Festlegungen in dieser Anlage nicht unterschreiten.

8. Rechte der betroffenen Personen

Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren mit technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

9. Sonstige Unterstützungspflichten des Auftragnehmers

9.1 Der Auftragnehmer meldet dem Auftraggeber, nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.

9.2 Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage im Rahmen des Zumutbaren unterstützen, diese Pflichten einzuhalten.

9.3 Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

10. Datenlöschung und -zurückgabe

10.1 Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrages, alle Auftraggeber-Daten entweder vollständig und unwiderruflich löschen oder an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.

10.2 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, dürfen durch den Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.

11. Nachweise und Überprüfungen

11.1 Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit diesem Anhang und den Weisungen des Auftraggebers in Einklang steht. Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser Anlage in geeigneter Weise dokumentieren und dem Auftraggeber entsprechende Nachweise auf dessen Anfrage vorlegen.

11.2 Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung der Regelungen dieser Anlage, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen selbst oder durch einen von ihm beauftragten Prüfer zu überprüfen; einschließlich durch Inspektionen. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei; unter anderem durch die Gewährung der notwendigen Zugangs- und Zugriffsrechte und die Bereitstellung aller notwendigen Informationen.

11.3 Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.

11.4 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen anstatt durch eine Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen.

11.5 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen.

 

XII. Geheimhaltung

1. Die Parteien verpflichten sich, alle ihnen vor oder bei der Vertragsdurchführung von der jeweils anderen Partei zugehenden oder bekannt werdenden vertraulichen Informationen (insbesondere Software, Unterlagen und sonstige Informationen), die rechtlich geschützt sind oder Geschäfts- oder Betriebsgeheimnisse enthalten oder als vertraulich bezeichnet sind, auch über das Vertragsende hinaus vertraulich zu behandeln, es sei denn, sie sind ohne Verstoß gegen die Geheimhaltungspflicht öffentlich bekannt. Ebenso gilt die Vertraulichkeitsverpflichtung nicht für Informationen, die auf Grund zwingender gesetzlicher Bestimmungen, rechtskräftiger gerichtlicher Entscheidung oder behördlicher Anordnung bekannt gegeben werden müssen. Die Parteien verwahren und sichern diese vertraulichen Informationen so, dass ein Zugang durch Dritte ausgeschlossen ist.
2. Der Kunde macht die vertraulichen Informationen nur den Mitarbeitern und sonstigen Dritten zugänglich, die den Zugang zur Ausübung ihrer Dienstaufgaben benötigen. Der Kunde ist verpflichtet, diese Personen über die Geheimhaltungsbedürftigkeit der vertraulichen Informationen zu belehren.

 

XIII. Geltendes Recht, Gerichtsstand, Übertragung auf Dritte

1. Für diese Propstack AGB und alle Rechtsbeziehungen zwischen Propstack und dem Kunden gilt ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
2. Ist der Kunde Kaufmann im Sinne des Handelsgesetzbuchs, ist ausschließlicher Gerichtsstand für alle sich aus oder im Zusammenhang mit dem Vertragsverhältnis ergebenden Streitigkeiten Köln.
3. Soweit in diesem Vertrag nichts anderes vereinbart wurde, dürfen die Parteien Rechte und Pflichten aus diesem Vertrag nur nach vorheriger schriftlicher Zustimmung durch die andere Partei an einen Dritten übertragen. Propstack ist zur Übertragung an mit ihr i.S.v. § 15 AktG verbundene Unternehmen berechtigt.

 

XIV. Salvatorische Klausel

1. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise nichtig oder unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, anstelle der nichtigen oder unwirksamen Bestimmung eine dieser Bestimmung rechtlich und wirtschaftlich am nächsten kommende gültige und wirksame Regelung zu treffen, die sie vernünftigerweise vereinbart hätten, wenn sie beim Abschluss dieses Vertrages die Nichtigkeit oder Unwirksamkeit der betreffenden Regelung bedacht hätten.
2. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise auslegungs- oder ergänzungsbedürftig sein, so hat die Auslegung oder Ergänzung in der Weise zu erfolgen, dass dem Geist, Inhalt und Zweck dieses Vertrages bestmöglich gerecht wird. Es sollen dabei diejenigen Regelungen gelten, die die Parteien vernünftigerweise vereinbart hätten, wenn sie beim Abschluss dieses Vertrages die Auslegungs- oder Ergänzungsbedürftigkeit der betreffenden Regelung bedacht hätten.
3. Sollte dieser Vertrag eine Regelungslücke aufweisen, so gilt Ziff. XIV.2 entsprechend.

 

XV. Änderungen

Propstack behält sich vor, diese Propstack AGB und die besonderen Nutzungsbedingungen (siehe Ziffer II.2) jederzeit und ohne Angabe von Gründen zu ändern. Propstack wird dem Kunden die geänderten Propstack AGB und/oder besonderen Nutzungsbedingungen spätestens vier Wochen vor ihrem Inkrafttreten zusenden. Widerspricht der Kunde der Geltung der geänderten Propstack AGB und/oder Besonderen Nutzungsbedingungen nicht innerhalb von vier Wochen nach Zusendung in schriftlicher Form, so gelten die geänderten Bedingungen als vom Kunden angenommen.

XVI. Kontakt

Propstack GmbH

Invalidenstraße 65

10557 Berlin

Telefon +49 (0) 30 439 7096 10
Handelsregister: Amtsgericht Köln, HRB 83141
Geschäftsführung: Kevin Heldt, Nicolas Cheron
www.flowfact.de
post@propstack.de