Meisterplan Software as a Service Terms and Conditions

The availability shall be determined by a monitoring instance of the Supplier. The availability of the Application itself as well as that of the application services (such as reporting) shall be monitored. 
Based on this monitoring procedure, data on availability shall be automatically generated, which the Supplier makes available to the Customer at https://status.meisterplan.com 

(4) Response times 

The Supplier shall ensure, within the Primary Processing Time only, that fault rectification work shall begin within a period agreed below, based on the respective fault class defined below, following receipt of a report of a technical fault from the Customer by e-mail or support ticket (”Response Time”). 

In the case of faults reported outside the Primary Processing Time, the Response Time shall start on the next business day within the primary processing time. 

Fault class    Response Time 
Fault class 1 4 hours 
Fault class 2 2 business days 
Fault class 3 5 business days 

The fault classes are defined as follows: 

Class 1: Defect that prevents operation 
A defect that prevents operation shall exist if use of the Application is impossible; a workaround is not available. 

Class 2: Defect that hinders operation 
A defect that hinders operation shall exist if use of the application is significantly restricted and no workaround is available. 

Class 3: Minor defect 
A minor defect shall exist if use of the application is possible without restriction or with minor restrictions. 

(5) Breach of availability and remedy 

If, during the Primary Processing Time, the Supplier does not meet the availability targets set out under Clause 4 (1), the Customer shall be entitled to demand payment of a contractual remedy (referred to hereinafter as “Service Level Credit“) as follows: 

• if the availability during the Primary Processing Time is not achieved: 0.5% of the monthly fee (pro rata) per failure, by 0.1% or part thereof, to achieve the agreed availability, albeit up to a maximum of 100% of the monthly fee; 

• if the longest uninterrupted downtime is overrun during the Primary Processing Time: 5% of the monthly fee (pro rata) per overrun, albeit up to a maximum of 100% of the monthly fee; 

• if Supplier does not meet the Response Time targets for a Fault Class 1 issue during Primary Processing Time: 5% of the monthly fee (pro rata) per overrun, albeit up to a maximum of 100% of the monthly fee. 

This will not apply if the Supplier is not responsible for the failure to achieve the availability/for the overrun of the downtime/reaction time. The value of the total Service Level Credits owed to Customer will, at Supplier’s discretion, either be paid out to the Customer or offset against current invoices from the Supplier. 

The Service Level Credits shall be credited against any claims for damages by the Customer. Apart from claiming Service Level Credits, the Customer may require the Supplier to continue to fulfil the Agreement. 

5 Other services of the Supplier, online user manual 

(1) The Supplier shall provide the Customer with new versions of the Application developed during the Agreement term (in particular updates, upgrades or releases). The new versions may also contain extended functionalities. 
The Customer shall not have the right to require new versions to be produced or to demand the inclusion of specific additional functionalities in the Application. 

(2) The Supplier shall provide the Customer with an online user manual for the Application. 

(3) Functionality Expansion Meisterplan AI: “Meisterplan AI” refers to all features or functions provided by the Supplier that are marked as AI and use artificial intelligence, machine learning, or similar technologies. To use Meisterplan AI, it must first be activated within the Customer’s Meisterplan Application. With Meisterplan AI, recommendations, text generation, and analyses can be generated or made available. 

a) By activating Meisterplan AI, the Meisterplan data available in the Customer’s Meisterplan instance (including, but not limited to, project field data and change log data) and user actions (“User Input”) are used by Meisterplan AI, and the Customer receives the resulting output (“AI Output”). When using Meisterplan AI, the Customer retains sole ownership of the User Input and AI Output. The Customer bears sole responsibility and liability for their User Input and AI Output, including compliance with applicable laws and the terms of use herein. The Customer guarantees that the User Input and AI Output will not (i) violate applicable law; (ii) contravene the Meisterplan AI terms of use or this Agreement; or (iii) infringe upon the Supplier’s or third-party rights.

b) The Supplier does not use the Customer’s User Input and/or AI Output to train machine learning models and does not permit third parties to do so. Data processed by Meisterplan AI remains within the same secure data processing context as all other Meisterplan data.

c) The Customer may use Meisterplan AI only within the scope of the Agreement’s purpose. The Customer may not use Meisterplan AI or AI Output to (i) develop foundational models or other large-scale models that compete with Meisterplan or Meisterplan AI, (ii) mislead any person into believing that the output of the service was generated solely by humans, (iii) make automated decisions that could adversely affect individual rights without appropriate human oversight, or in any way that (iv) infringes upon the Supplier’s or third-party rights, or (v) violates technical documentation, usage policies, or parameters. If violations by the Customer lead to the classification of Meisterplan AI as a high-risk AI system under the EU AI Act, the responsibility lies solely with the C No claims against the Supplier may arise from this, and liability is excluded.

d) Notwithstanding any other agreements between the Customer and the Supplier, the Supplier is entitled to collect and use data from the Customer in Meisterplan and data about the Customer’s interaction with or use of Meisterplan AI, including the size of User Input and/or AI Output tokens, to (i) improve and further develop Meisterplan AI and (ii) provide the Customer with Meisterplan AI functionality.

e) THE SUPPLIER MAKES NO WARRANTIES OR GUARANTEES REGARDING THE RESULTS THAT CAN BE ACHIEVED THROUGH THE USE OF MEISTERPLAN AI, OR THE ACCURACY OR SUITABILITY OF INFORMATION (INCLUDING BUT NOT LIMITED TO DESIGNS, WORKFLOWS/PROCESSES, OR OTHER DATA) OBTAINED VIA MEISTERPLAN AI. THE CUSTOMER UNDERSTANDS AND AGREES THAT RELIANCE ON SUCH INFORMATION OBTAINED THROUGH MEISTERPLAN AI IS AT THE CUSTOMER’S OWN RISK. THE SUPPLIER EXPRESSLY ADVISES THE FOLLOWING: DO NOT RELY ON FACTUAL ASSERTIONS FROM AI OUTPUT WITHOUT INDEPENDENT VERIFICATION OF THE FACTS. DO NOT RELY ON AI OUTPUT WITHOUT INDEPENDENTLY VERIFYING ITS FUNCTIONALITY AND SUITABILITY FOR YOUR NEEDS. SUCH INFORMATION, SUGGESTIONS, OR RESULTS OBTAINED THROUGH MEISTERPLAN AI SHALL NOT GIVE RISE TO ANY LIABILITY OR WARRANTY ON THE PART OF THE SUPPLIER UNLESS EXPRESSLY AGREED TO IN WRITING BY THE SUPPLIER. THE LIABILITY PROVISIONS OF THIS AGREEMENT REMAIN UNAFFECTED.

f) Unless explicitly agreed otherwise in writing with the Customer, the Supplier reserves the right to further develop, modify, or deactivate Meisterplan AI for significant reasons. This may affect the functionality of Meisterplan AI and Meisterplan as well as pricing and editions.

g) Notwithstanding any other agreements between the Customer and the Supplier, downtime of Meisterplan AI resulting from a third-party service outage shall not be included in the calculation of the availability guarantee under these Agreement.

h) With regard to the use of Meisterplan AI, the Customer is additionally referred to the applicable Privacy Policy provisions of the Supplier.

6 Rights of use, rights of the Supplier in the event that rights of use are exceeded 

(1) The Customer shall receive a simple, non-exclusive right of use for the Application, which may not be the subject of a subsidiary license and shall be non-transferable, shall be limited in time to the term of the Agreement in accordance with these Terms of Service. 

The Customer may only use the Application for its own commercial activities involving its own staff or agents, including staff or agents from affiliated companies. 

(2) The Customer may only use the Application according to the number of resources stated in Clause 1 (4) of this Service Contract. 

(3) The Customer shall have access to one (1) environment. No additional environments will be provided for testing or quality assurance purposes. These may be ordered as required for an additional charge. 

(4) The Customer shall have no rights other than those explicitly granted to it above. In particular, the Customer shall not be entitled to use the Application beyond what is agreed or to allow its use by third parties, or to make the Application accessible to third parties. 

(5) If the Customer does not comply with the obligations under Clause 6 (1) to (4) of this Service Contract, the Supplier may block the Customer’s access to the Application or the Application Data, if this demonstrably prevents continuation of the noncompliance. 

If, despite a written warning by the Supplier, the Customer continues the noncompliance described under Clause 6 (1) to (4) of this Service Contract, or is responsible for their continuation or repetition, the Supplier may terminate the Agreement for cause without notice. 

7 Fee and payment 

(1) The Customer shall pay the Supplier the fee for use shown in the Agreement, plus any required value added tax at the statutory rate, for the services to be provided, namely granting use of the Application. 

(2) The fee is due for payment in advance of service at the times set out in the Agreement. 

(3) The Supplier shall be entitled to reasonably increase the agreed upon prices for the contractual services in order to meet staffing costs, energy costs and other cost increases. The Supplier shall notify the Customer of a price increase in advance, in writing or via email; at least 4 weeks prior to a contract renewal. The price increase will not apply retroactively but only to the subsequent renewal period. 

The prices may not be increased within 12 months of the effective date of conclusion of the Agreement. 

(4) If entering into a paid Agreement (thus the exception of trial versions), the Customer hereby grants to the Supplier the right to use the Customer’s company logo in marketing materials such as the Supplier’s website solely to identify the Customer as a Meisterplan customer. This permission may be revoked informally by sending an e-mail to mail@meisterplan.com. The Supplier shall not use the Customer’s logo without prior written permission in any other manner. 

(5) The Customer’s rights of retention and refusal to perform are excluded unless the Supplier does not dispute the underlying counterclaims or such counterclaims have been legally established. 

8 Customer’s duties of cooperation 

(1) The Customer shall fulfill all duties and obligations that are required in order to process the Agreement.
The Customer undertakes in particular:

1. not to disclose the use and login credentials assigned to it or the users, to prevent them from being accessed by third parties and not to pass them to unauthorized users;
2. to protect the user IDs, passwords and the like through appropriate and customary means; the Customer shall notify the Supplier promptly in the event of any suspicion that the access data and/or passwords may have become known to unauthorized third parties;
3. to adhere to the restrictions/obligations in relation to the rights of use set out in Clause 6 of this Service Contract; and in particular:
   • not to retrieve or allow retrieval of any information or data without authorization, or to interfere with or allow interference with programs operated by the Supplier, or to infiltrate or promote infiltration into the Supplier’s data networks without authorization;
   • to indemnify the Supplier in the event of claims by third parties that result from the unlawful use of the Application by the Customer, or that arise out of disputes under data protection law, copyright law or other legal disputes brought about by the Customer, which are associated with the use of the Application;
   • to require authorized users to also adhere to the provisions of the Agreement and of these Terms of Service that apply to them;
   • to inform the authorized users of the processing of their personal data by the Supplier in accordance with Art. 13 and 14 GDPR.
4. to check data and information for viruses before sending them to the Supplier and to install state-of-the-art antivirus software;
5. where possible, create their own backup copies of their data and information to enable reconstruction in the event of loss;
6. to promptly declare to the Supplier any defects in the contractual services, in particular defects in the services described in Clause 1 of this Service Contract;

9 Data security, data protection 

(1) The Parties shall observe the data protection provisions applicable to them, in particular those that are valid in Germany, including Regulation (EU) 2016/679 (General Data Protection Regulation). 

(2) If the Customer gathers, processes or uses personal data, it shall be answerable for the fact that it is entitled to do so under the applicable legal provisions, in particular those under data protection law, and shall indemnify the Supplier for claims by third parties in the event of a breach of such provisions. 

(3) Where the Supplier processes data as a processor pursuant to Article 28 of the GDPR, the special provisions of the Data Processing Agreement (Part II of these Agreement) shall apply. Such subcontractors are listed in a separate document. 

(4) In the context of performing this Agreement, a distinction is to be made between the following categories of data, some of which may include personal data. These data are processed by the Supplier based on the performance of the contract and pre-contractual inquiries pursuant to Article 6(1)(1)(b) GDPR, and on the basis of legitimate interests pursuant to Article 6(1)(1)(f) GDPR. Information on general data subject rights and retention periods can be found in the Supplier’s privacy notice, available at https://meisterplan.com/trust-center/privacy-and-data-protection/ . A detailed overview of retention periods in connection with the use of subcontractors can be accessed at https://meisterplan.com/trust-center/subcontractors/ . 

Personal Data processed by the Supplier: 

1. Data of the Customer’s contact persons (e.g., name, address, telephone number, fax number, email address) and payment data (e.g., bank details, invoices, payment history), as well as contractual data (e.g., subject matter of the Agreement, term, customer category) for the purpose of contract execution, in particular for license billing. Purpose of processing is the performance of the Agreement with the Customer.
2. Data on the usage behavior of the Customer’s users, collected through server logs, which may include information such as IP address, timestamps, or web requests. Purpose of processing is the error detection and correction, threat prevention, and ensuring the technical operation of the Application.
3. (Statistical) data regarding the use of the Application. These data do not include any content entered by users within the Application. The data may contain user-triggered actions, timestamps, information about the web browser used, the internal ID of the respective database, a session ID, a non-reversible user identifier, or a cookie ID generated on the website. Purpose of processing is the continuous provision of the service, adaptation to evolving user needs, improvement of the user experience within the application, and optimization of the Supplier’s internal processes.
4. Application data, i.e., data entered by the Customer during use of the Application. These data are processed on behalf of the Customer in accordance with Article 28 GDPR under the Data Processing Agreement (Part II of these terms).

(5) The obligations pursuant to Section 9 shall continue to apply as long as personal data remain within the Supplier’s sphere of control, including beyond the termination of the Agreement. 

10 Claims in the event of defective performance 

In the event of defective performance, the Customer shall be entitled to the claims according to Clause 4 of this Service Contract (Service levels). The no-fault liability for defects already existing at the time of contract conclusion pursuant to § 536a (1) BGB is excluded. In all other respects the statutory provisions for material and legal defects shall apply. 

11 Confidentiality 

(1) The Parties mutually agree to treat all knowledge of business secrets and other confidential information of the respective other party acquired within the scope of the contractual relationship as confidential for an unlimited period of time and to use such information exclusively for the purposes of implementing the Agreement. 

(2) Confidential information refers to information that a reasonable third party would deem worthy of protection or that is explicitly designated as confidential; this may also include information disclosed orally or visually. Confidential information may only be used or exploited for the purpose of fulfilling the obligations under the Agreement. The obligation of confidentiality does not apply to information that was lawfully known to the parties prior to the Agreement or becomes known outside of the Agreement without violating a confidentiality obligation. 

(3) Upon request by the disclosing party, the receiving party must promptly destroy or return the confidential information of the disclosing party, including any copies and reproductions thereof, unless applicable law requires its retention. In such cases, the confidential information will remain subject to the provisions of § 11. 

12 Liability 

(1) In all cases of contractual and non-contractual liability, the Supplier shall provide compensation for damages or reimbursement of wasted expenditures only to the extent specified below: 

1. a) The Supplier is liable without limitation for damages caused by intent, gross negligence, compensation for the infringement of third-party intellectual property rights, and any culpable injury to life, body, or health, as well as in all cases where German law mandates unlimited liability (e.g., unlimited liability under the Product Liability Act – Produkthaftungsgesetz).
2. b) Unless otherwise agreed, in all other cases not covered by § 12 (1) a), the Supplier’s annual liability is limited as follows:

(i) per individual damage event to the greater of (i) one hundred percent (100%) of the annual remuneration under the agreement or (ii) EUR 50,000 (fifty thousand euros); 

(ii) for all damage events under the Agreement collectively per contract year to the greater of (i) one hundred fifty percent (150%) of the annual remuneration under the Agreement or (ii) EUR 150,000 (one hundred fifty thousand euros). 

(2) For negligent breaches of data protection regulations, the Supplier is liable up to EUR 500,000 per contract year. This liability cap for data protection violations is a separate cap and independent from the caps mentioned above. 

(3) The liability limitations pursuant to § 12 (1) b) i and 12 (1) b) ii apply provided that the aforementioned caps must in no case be lower than the amount actually reimbursed by an insurance policy and/or subcontractors of the Supplier. Under no circumstances shall the Supplier be liable to the Customer for lost profits, loss of reputation, or loss of goodwill. 

(4) All claims for damages or reimbursement of wasted expenditures against the Supplier, whether contractual or non-contractual, are subject to a limitation period of one year. The limitation period begins at the time specified in § 199 (1) BGB. It shall expire no later than five years after the claim arises. The provisions of sentences 1 to 3 of this paragraph do not apply to liability for intent, gross negligence, damages to life, body, or health, or under the Product Liability Act – Produkthaftungsgesetz. The differing limitation period for claims due to material and legal defects under this Agreement remains unaffected by this paragraph 

13 Proprietary rights of third parties 

(1) The Supplier hereby guarantees that the Application is free from industrial property rights and copyrights of third parties. 

If a third party asserts justified claims against the Customer owing to the infringement of proprietary rights by the Supplier’s Application, the Supplier shall be liable towards the Customer as follows: 

1. The Supplier shall, at its own discretion and at its own expense, either obtain a right of use for the Application or the relevant part of the Application, or change the Application in such a way that the proprietary right is not infringed, or exchange the Application. If it is not possible for the Supplier to do so under reasonable conditions, then the Customer may avail itself of the statutory rights to withdraw from the Agreement or demand a reduction. 
2. In the event of a legitimate claim being made against the Customer by a third party, the Supplier shall release the Customer from the costs that have arisen through the raising of these third-party claims (including reasonable lawyers’ fees, which shall be limited, where applicable, in accordance with the Rechtsanwaltsvergütungsgesetz (German Law on the Remuneration of Attorneys). 
3. The Supplier’s obligation to pay damages is based on Clause 12 of this Service Contract. 

The Customer undertakes to notify the Supplier promptly, in writing or by e-mail, of the claims being asserted by third parties; the Supplier reserves the right to take all defensive measures and to conduct settlement negotiations. If the Customer discontinues use of the Application in order to reduce the damage for other important reasons, it shall be obliged to point out to the third party that the discontinuation of use does not constitute acknowledgement of an infringement of a proprietary right. 

(2) Claims against the Supplier in accordance with Clause 13 (1) of this Service Contract shall be excluded if 

1. the Customer is responsible for the infringement of the proprietary right, 
2. the assertion of an infringement comes about through unauthorized modification of the Application by Customer or is associated with such a modification not attributable to the Supplier, 
3. the Application is not used in accordance with the provisions of the Agreement and of these Terms of Service or in accordance with the Application documentation. 
4. the alleged infringement could have been prevented through the Customer’s use of an update, upgrade or patch released by the Supplier, 
5. the alleged infringement results from the use of the Application with a product from a third-party supplier that has not been made available by the Supplier. 

(3) Further claims of the Customer against the Supplier and its vicarious agents owing to claims resulting from the infringement of proprietary rights of third parties are excluded. 

14 Entering into the Agreement, start of the Agreement, term, termination 

(1) The Customer makes an order by clicking the button “Order Now” on the Meisterplan Webshop or through other forms of communication. 

The Agreement is executed and the contractual relationship shall commence with the acceptance of the Customer`s order by order confirmation of the Supplier. 

(2) The Agreement shall have the minimum term as agreed in the Agreement and may not be the subject of ordinary termination prior to that point. 
The Agreement shall be extended by further periods of the originally agreed term unless terminated by one of the Parties at the end of the minimum term or the extension period in question. The Parties may agree in writing upon a different notice period for termination of the Agreement. 

(3) This shall not affect the right of the Parties to terminate the Agreement for cause. 

15 Duties during and after the end of the Agreement 

When the contractual relationship ends, all the Customer’s rights to use the Application shall lapse. The Supplier shall delete the Customer’s Application Data no later than 30 days after the end of the Agreement. 

16 Force majeure, delays in performance of the service 

The Supplier shall not be liable for delays in performance of the service due to force majeure, which shall include events that make it significantly more difficult or impossible for the Supplier to perform the services under the Agreement, including in particular strike, lockout, official orders, failure of, or problems associated with, communication networks and gateways of other operators, inasmuch as the Supplier was not responsible for such events. 

Such events shall entitle the Supplier to postpone or interrupt the services for the duration of the hindrance. 

17 Exclusion of Services in Case of Sanctions 

(1) Sanctions. Customers who are listed on a sanctions list of the European Union or the Federal Republic of Germany, or who are domiciled in a country subject to general sanctions by the European Union or the Federal Republic of Germany, are excluded from the Supplier’s services. 

(2) International Sanctions. The Supplier reserves the right to exclude Customers from its services who, either themselves or whose country of residence, are listed on sanctions lists of other states. This applies particularly if a contractual relationship with such Customers could result in potential legal or financial consequences for the Supplier. 

(3) If a contractual relationship has nonetheless been established, or sanctions affecting the Customer arise during an existing contractual relationship, the Supplier has the right to terminate the Agreement extraordinarily. 

(4) In the event of exclusion or extraordinary termination due to sanctions as described above, the Supplier is not liable for damages or losses. 

18 Final provisions, place of jurisdiction, governing law 

(1) All agreements, ancillary agreements and assurances, as well as subsequent amendments and supplements to the Agreement and/or these Terms of Service require a corresponding agreement between the Parties. 

(2) If a provision of the Agreement and/or of these Terms of Service is or becomes ineffective or is incomplete, this shall not affect the remainder of the Agreement; the remaining provisions shall remain effective. 

In such a case, and in the case of loopholes that the Parties have not foreseen, the Parties shall agree on a provision that best fulfills the intent and purpose of the Agreement and these Terms of Service and that reflects those of the invalid provision as closely as possible. 

(3) The Agreement and these Terms of Service shall be governed by the law of the Federal Republic of Germany, to the exclusion of the UN Convention on Contracts for the International Sale of Goods (CISG). 

(4) If the prerequisites for a choice of forum agreement pursuant to §§ 38, 40 ZPO are met, the exclusive place of jurisdiction for all disputes concerning the validity of the Agreement and arising from the contractual relationship shall be Tübingen, Federal Republic of Germany. 

Part II – Data Processing Agreement 

1 Scope of application 

(1) The parties agree that the Supplier shall act as a processor for the Customer when providing the services, insofar as the Supplier processes Application Data for the Customer (cf. the definition of Application Data in Clause 2 (2) of the Service Contract (Part I of these Terms of Service). 

(2) It is noted that the Supplier can process personal data of the Customer which are not the subject of this Data Processing Agreement, since the Supplier acts as a Controller in this respect. This concerns, for example, data for billing and license management, or automatically collected statistical data. For details, reference is made to the provisions in Clause 9 (3) of the Service Contract (Part I of these Terms of Service). It is ensured that this data is kept separate from the Application Data provided for processing. In addition, reference is made to the Supplier’s data protection information. 

2 Subject of the Data Processing Agreement 

The Supplier will process personal data for the Customer within the meaning of Art. 4, Cl. 2 and Art. 28 of the General Data Protection Regulation (GDPR) for purposes of this Data Processing Agreement. 

3 Duration of the Data Processing Agreement 

(1) The term of this Data Processing Agreement corresponds to the duration of the Agreement. 

(2) The Customer may terminate the Agreement at any time without notice if the Supplier commits a serious breach of this Data Processing Agreement, the Supplier cannot or does not want to carry out instructions from the Customer, or the Supplier refuses to honor the contracting rights of the Customer stipulated within this Data Processing Agreement. 

4 Type and purpose of processing, type of personal data, and categories of affected persons 

(1) The subject of this Data Processing Agreement is personal Application Data which the customer enters into the Application in order to manage it there. 

(2) The type of processed personal Application Data is basically determined by the Customer. Meisterplan offers the entry of first name, last name, e-mail address, role, start and end of employment, postal code and city (no personal address), skills and project planning. The Customer is obliged not to enter any special categories of personal data within the meaning of Article 9 GDPR in the Application. 

(3) Typically, the data subjects are internal employees, external employees, and suppliers of the Customer. The Customer determines the categories of data subjects at the time of data entry. In principle, data of all categories of data subjects can be processed. 

5 Rights and obligations as well as authority of the Customer 

(1) The Customer alone is responsible for the assessment of the permissibility of data processing in accordance with Art. 6, Para. 1 of the GDPR as well as for the protection of the rights of the data subjects in accordance with Art. 12 to 22 of GDPR. Nevertheless, the Supplier is obliged to promptly forward all such requests to the Customer if they are clearly directed to the Customer alone. Changes to the type of data that is processed and changes to procedure must be coordinated jointly by the Customer and the Supplier, and they must be defined in writing or in an electronic format. 

(2) The Customer usually issues all orders, partial orders, and instructions in writing or in an electronic format. Verbal instructions must be confirmed promptly in writing or in an electronic format. 

(3) The Customer may request proof that the Supplier’s technical and organizational measures comply with the obligations set out in this Data Processing Agreement before the start of processing under this Data Processing Agreement and thereafter at regular intervals within reason. 

(4) The Customer informs the Supplier promptly if it finds any errors or irregularities during the validation of any data processing results. 

6 Obligations of the Supplier 

(1) The Supplier will process the personal Application Data provided for processing only in accordance with the agreements and instructions of the Customer, unless it is required to process this data in a different way under a European Union or member state law to which the Supplier is subject as a data processor (e.g., as required by investigations by law enforcement or state protection authorities); in such a case, the Supplier will inform the Customer of these legal requirements prior to processing, unless the law prohibits such communication because of an important public interest (Art. 28, Para. 3, Cl. 2 (a) of the GDPR). 

(2) The Supplier will not use the personal Application Data provided for processing under this Agreement for any other purpose, and in particular for its own purposes. Copies or duplicates of this Application Data may not be produced without the knowledge of the Customer. 

(3) The Supplier guarantees that the Application Data that is processed for the Customer will be kept strictly separate from other data. 

(4) In respecting the rights of data subjects in accordance with Art. 12 to 22 of the GDPR on behalf of the Customer, and when preparing the lists of processing measures as well as when the Customer performs required data protection follow-up assessments, the Supplier must cooperate to the extent necessary to support the Customer as much as reasonably possible (Art. 28, Para. 3, Cl. 2(e) and (f) of the GDPR). 

(5) The Supplier must inform the Customer without delay if, in its opinion, an instruction issued by the Customer violates statutory provisions (Art. 28, Para. 3, Cl. 3 of the GDPR). The Supplier may suspend the execution of the relevant instruction until it has been confirmed or changed by the Customer after verification of the Supplier’s objections. 

(6) The Supplier will amend, cancel or restrict the processing of personal Application Data resulting from the Data Processing Agreement if the Customer so requests by issuing an instruction and the legitimate interests of the Supplier are not violated by this instruction. 

(7) The Supplier may only disclose personal Application Data that are subject to this Data Processing Agreement to third parties or data subjects after prior instruction or approval by the Customer. 

(8) The Supplier agrees that the Customer is entitled (on the basis of an advance appointment) to monitor compliance with the provisions on data protection and data security as well as the contractual agreements to the appropriate extent and as required by third parties commissioned by the Customer, in particular by obtaining Information and access to the Supplier’s stored Application Data and the data processing programs as well as on the basis of inspections (Art. 28, Para. 3, Cl. 2(h) of the GDPR). 

(9) The Supplier warrants that it will assist, as necessary, in observing these controls. 

(10) The Supplier undertakes to maintain confidentiality when processing the Customer’s personal data processing of Application Data under this Data Processing Agreement. This provision will remain in force after the end of the Agreement. 

(11) The Supplier warrants that it will inform its employees that will carry out data processing of the relevant data protection provisions before commencing their work on processing data under this Data Processing Agreement, and that it will commit them to maintaining confidentiality of the data during their employment as well as after the termination of their employment relationship (Art. 28, Para. 3, Cl. 2 (b) and Art. 29 of the GDPR). 

(12) The Supplier will monitor compliance with the data protection regulations at its company. 

(13) The currently appointed Data Protection Officer can be viewed at https://www.meisterplan.com/privacy-and-data-protection/. 

7 Reporting obligations of the Supplier in case of processing delays and personal data breaches 

(1) The Supplier will promptly notify the Customer of any disruptions, violations of the data protection provisions or the stipulations specified in this Data Processing Agreement that are committed by the Supplier or persons who are employed by it, as well as of suspected data breaches or irregularities in how personal Application Data has been processed. 

(2) This also applies in particular to any notification and reporting obligations of the Customer in accordance with Art. 33 and Art. 34 of the GDPR. The Supplier undertakes to provide the Customer with appropriate support to carry out its duties under Art. 33 and 34 of the GDPR (Art. 28, Para. 3, Cl. 2 (f) of the GDPR). 

(3) The Supplier may only send notifications as defined in Art. 33 or 34 of the GDPR on behalf of the Customer in accordance with prior instructions. 

8 Subcontracting relationships with subprocessors (Art. 28. Para. 3, Cl. 2(d) of the GDPR) 

(1) The Supplier may only hire subprocessors to process Application Data at the express permission of the Customer (Art. 28, Para. 2 of the GDPR). The Supplier must ensure that it carefully selects its subprocessor while ensuring that the subprocessor has taken appropriate technical and organizational measures within the meaning of Art. 32 of the GDPR. 

(2) Depending on the location from which the Customer registers, the Supplier decides on the data center location. Application Data of customers whose IP address indicates an EU location will be hosted at a location within the EU or EEA. For all other locations, the Supplier reserves the right to freely determine the location of the data center, including the right to process the data in the USA or other third countries. 
The hiring of subprocessors, or additional processing of the Customer’s personal data, is only allowed in third countries if the special requirements of Art. 44 et seq. of the GDPR are met. 

(3) The Supplier shall ensure that the agreed upon regulations between the Customer and the Supplier also apply to subprocessors to the extent that a level of protection corresponding to the GDPR is guaranteed. The parties make it clear that this does not imply any obligation on the part of the Supplier to impose the provisions of this Data Processing Agreement on the subprocessor in the same wording. If several subprocessors are used, this shall also apply to the responsibilities between these subprocessors. 

(4) The agreement with the subprocessor must be made in writing, though it may be made in an electronic format (Art. 28, Para. 4 and Para. 9 of the GDPR). 

(5) Data may only be forwarded to the subprocessor if the subprocessor has fulfilled the obligations stipulated in Art. 29 and Art. 32, Para. 4 of the GDPR with regard to its employees. 

(6) The Supplier will be liable to the Customer for ensuring that its subprocessor complies with the data protection obligations that are contractually imposed by the Supplier in accordance with relevant sections of the Data Processing Agreement. 

(7) The current list of the Supplier’s subprocessors is available at https://meisterplan.com/subprocessors/. The Customer agrees to their employment. 

(8) In accordance with Art. 28. Para. 2, Cl. 2 GDPR, the Supplier may hire additional subprocessors. In this case, the Supplier shall inform the customer by e-mail 30 days before data is shared with the subprocessor The Customer is entitled to object to the aforementioned engagement on substantive grounds within 30 days of receiving the individual notification. If no timely objection is made, the Supplier will subsequently update the list available at https://meisterplan.com/subprocessors. It is also clarified that the Customer will only be notified when subprocessors are engaged who will have access to the Customer’s personal data. 

(9) In case the Customer reasonably objects to the appointment of another sub-processor within 30 days upon receipt this information, the parties will come together in good faith to discuss an appropriate solution. If such solution can not be reached within a minimum period of 90 days from the date of the Customer’s objection, the Customer shall have the right to terminate the Agreement and request a pro-rated refund of prepaid unused fees. 

9 Technical and organizational measures in accordance with Art. 32 of the GDPR (Art. 28, Para. 3, Cl. 2(c) of the GDPR) 

(1) An adequate level of protection is provided to counteract the risks to the rights and freedoms of persons whose data is processed during the course of processing of data under this Data Processing Agreement. For this purpose, the protection objectives of Art. 32, Para. 1 of the GDPR, including confidentiality, integrity, and ensuring the availability of the systems and services and their resilience with regard to the type, scope, circumstances, and purpose of the processing are taken into account when choosing appropriate technical and organizational corrective measures that permanently reduce risk. 

(2) Appendix 1 (“Technical and Organizational Measures”) lists the Supplier’s technical and organizational measures. 

(3) The measures that are taken by the Supplier may be subjected to further technical and organizational refinement in the course of the performance of the Data Processing Agreement, but they must not fall short of the agreed standards. 

(4) The Supplier and the Customer must agree upon any significant changes in documented form (in writing or electronically), insofar as these changes affect the provision of the service. Such coordination must be maintained for the duration of this Data Processing Agreement. 

10 Obligations of the Supplier after the completion of processing of data under this Data Processing Agreement (Art. 28, Para. 3, Cl. 2(g) of the GDPR) 

(1) After completion of processing of Application Data under this Data Processing Agreement, the Supplier must delete all Application Data that the Customer transferred for processing. 

(2) This is achieved by configuring the automatic deletion of the Application Data upon the expiration of thirty (30) days after the termination of the contractual relationship. For details, reference is made to the provisions of Clause 14 of the Service Contract (Part I of these Terms of Service). 

11 Liability 

Please refer to Art. 82 of the GDPR. 

Appendix 1: Technical and Organizational Measures 

The following technical and organizational measures are carried out by the Supplier in the Meisterplan division. 

Access control 

1. Every user access to data processing equipment and systems is only possible via user authentication using a password or through a Single-Sign-On (SSO) solution. 
2. Password Policy as per Active Directory Policy. 
3. Access to the central Customer Relationship Management System is linked to the employee’s user account via SSO technology. 
4. Levels of user access are managed and created by assigning user privileges. 
5. Computer screens are locked after 5 minutes of inactivity as per the user policy. 
6. VPN access granted to selected employees working from outside the company network. 
7. Chip card locking system and security locks. 
8. Allocation, collection, and blocking of chip cards are all centrally controlled. 
9. Access control at the reception desk. 
10. Each building level is separately secured by chip card access. 
11. Guest cards. 
12. The vehicle and pedestrian entrances to the underground garage are kept under video surveillance. 
13. The pedestrian entrance to the Supplier’s underground garage is secured with an alarm system. 
14. Server rooms may only be accessed by IT department employees and company executives, and the entrances to these areas are specially secured. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. Two-factor authentication is used for password management software and the AWS hosting provider. 
2. Only secure passwords are allowed for applications, and these are managed using password management software. 
3. Administrative access to the AWS console is logged. 

For the security guidelines of the AWS Computing Center, see: : https://aws.amazon.com/compliance/data-center/controls/ 

Data storage media control 

1. Employees who work in public places use screen protectors on their laptops. 
2. Clean desk policy. 
3. The hard drives of notebooks/laptops are encrypted. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. At Meisterplan no data storage media are sent to third parties or received from third parties. All data is exchanged using a file-sharing platform that utilizes an access rights and deletion concept and is accessible using a secure connection. 
2. The use of USB sticks to process customer data is not allowed at Meisterplan. 

Storage control 

1. Every user access to data processing equipment and systems is only possible via user authentication using a password or through a SSO solution. 
2. Access to the central Customer Relationship Management System is linked to the employee’s user account via SSO technology. 
3. In the central Customer Relationship Management System access to the system and data changes are logged. 
4. The changes to user authorizations in the central Customer Relationship Management System are manually logged in the administration interface. 
5. Levels of user access are managed and created by assigning user privileges. 
6. Workstation computer screens are locked after 5 minutes of inactivity as per the user policy. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. Test data is stored separately from production data. Specifically, this means that the Meisterplan Continuous Integration Cluster is kept separate from the Production Cluster. 
2. Meisterplan Application Data backups are only transported/stored in an encrypted state. The backups are stored in the respective region (USA/Germany). 
3. Application Data may only be used with the consent of the Customer for error reproduction or consulting purposes. Data copies will be permanently deleted after the task that required use of this data has been completed. 
4. When data is transferred, it is always encrypted. 

User control 

1. Every user access to data processing equipment and systems is only possible via user authentication using a password or through a SSO solution. 
2. Access to the central Customer Relationship Management System is linked to the employee’s user account via SSO technology. 
3. In the central Customer Relationship Management System access to the system and data changes are logged. 
4. The changes to user authorizations in the central Customer Relationship Management System are manually logged in the administration interface. 
5. Levels of user access are managed and created by assigning user privileges. 
6. Workstation computer screens are locked after 5 minutes of inactivity as per the user policy. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. Access permissions to internal Meisterplan applications (JIRA, Stash, etc.) are regularly revised and reissued. 
2. Only selected, long-standing, and specially trained and trusted employees of the Supplier have access to the Meisterplan AWS Production Infrastructure. A selection procedure is used to choose these employees. 
3. Administrative access to the Meisterplan AWS infrastructure is logged. 
4. Changes to how Meisterplan applications are deployed are logged via code versioning. 

Access controls 

1. Tool-assisted password management is utilized in all areas. 
2. All in-house applications that are accessible through a browser over the Internet have TLS protected connections. 
3. Protection against unauthorized access via the use of virus protection and firewall. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. The user permissions of the employees depend on the respective area of responsibility of each employee. (They are issued according to the “need-to-know” principle). 
2. SSO is offered for Meisterplan customers. 
3. Meisterplan’s built-in authentication service ensures that Customer data can only be accessed by customers and not by others. 

Transfer controls 

1. Data is only transferred over an encrypted connection. 
2. VPN access. 

Input controls 

1. Access to the system and data changes at the user level are logged in the central Customer Relationship Management System. 

Transport controls 

1. There is no transport of physical data storage media containing unencrypted third-party data neither within itdesign nor to subcontractors of itdesign. 
2. Data storage media in notebooks is encrypted and secured with a password. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. At Meisterplan no data storage media are sent to third parties or received from third parties. All data is exchanged using a file-sharing platform that utilizes an access rights and deletion concept and is accessible using a secure connection. 
2. The use of USB sticks to process customer data is not allowed at Meisterplan. 
3. All access to the Application data via http or SSH is encrypted. 

Data recovery 

1. Backup and recovery concept. 
2. Backup operation control. 
3. Utilization of a RAID system/disk mirroring. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. Automated recovery of cloud computing resources in case of failure. 

Reliability 

1. Acoustic alarm in case of UPS/server malfunction. 
2. Automatic notification in case of system failure. 
3. Backup power supply of all production servers. 
4. Annual training of employees on data protection guidelines. 
5. All employees sign the declaration on data secrecy (§5 of the German Federal Data Protection Act (BDSG)). From 05/25/2018 onwards, employees obligate themselves to confidentiality based on Article 5 (1) et seq. and Article 32 (4) of the General Data Protection Regulation (GDPR). 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. High infrastructure redundancy (of computing, storage, and network resources) is provided through AWS. This ensures the very high availability of Meisterplan systems. 
2. The system and infrastructure are monitored through the recording of various metrics, evaluation of logs, performance of health checks on the systems, and use of an alerting system. 
3. An on-call technical support staff of 4 people (on rotation) is established and highly available. 
4. The high quality of the application is ensured by conducting tests at all levels (unit tests, integration tests, e2e tests, UI tests, and manual tests with test plans). The company employs trained QA staff. 
5. Incident management process with an improvement process. 
6. Security is built into the Meisterplan development process. External verification is provided by a specialized pen test service provider. 

Data integrity 

1. Backup and recovery concept. 
2. Backup operation control. 
3. Monitoring of production systems. 

Control of subprocessors 

1. Cleaning service providers are carefully selected. 
2. Employees who process the data of affected individuals are informed about the data processing agreements that have been concluded with the Client. 
3. The employees that carry out processing of data under this Agreement are allowed to consult the data processing agreements, including the agreed technical organizational measures. 
4. The approved technical organizational measures are monitored through recurring internal data protection audits. 
5. Data processing agreements have been concluded with all subprocessors that are involved in processing of data under this Agreement. 

Availability control 

1. There is a fire extinguisher in the server room. 
2. Devices for monitoring temperature and humidity have been installed in the server room. 
3. The server room is climate controlled. 
4. UPS system. 
5. The entire building is equipped with fire and smoke detection systems. 
6. Backups are kept in a secure, off-site location. 
7. Utilization of a RAID system/disk mirroring. 

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer: 

1. The system and infrastructure are monitored through the recording of various metrics, evaluation of logs, performing health checks on the systems, and use of an alerting system. 
2. An on-call technical support staff of 4 people (on rotation) is established and highly available. 
3. Reporting on availability statistics is available. 
4. For the security guidelines of the AWS Computing Center, see: https://aws.amazon.com/compliance/data-center/controls/ 

Separation of equipment 

1. Test, development, and production systems are technically separated from each other. 
2. Access authorizations to customer and employment data are controlled via user rights as well as via logical separation (labels in the data records) in the central Customer Relationship Management System. 

Processing in compliance with instructions 

In accordance with Art. 32 Para. 4 GDPR, it is to be ensured that employees and external service providers who have access to personal data process it only in accordance with the instructions of the person responsible. Therefore, the following measures are taken: 

1. Obligation of employees to maintain data secrecy 
2. Implementation of internal security guidelines 
3. Training 

Data Protection Management 

The following additional procedures for regular review, assessment and evaluation shall be used pursuant to Art. 32, Para. 1(d) GDPR; Art. 25, Para. 1 GDPR: 

1.  Data protection management according to the PDCA Method 
2. Incident response management 
3. Data protection-friendly default settings pursuant to Art. 25, Para. 2 GDPR 

Meisterplan Software as a Service Bedingungen

Meisterplan Software as a Service Bedingungen (nachfolgend „Bedingungen” genannt) zu einer Vereinbarung (nachfolgend „Vereinbarung“ genannt), die über den Meisterplan-Webshop oder auf eine andere Weise zwischen itdesign GmbH, Friedrichstr. 12, 72072 Tübingen (nachfolgend „Anbieter” genannt) und Ihnen bzw. der Firma/Organisation, die Sie vertreten (nachfolgend „Kunde” genannt) zustande kommt. Anbieter und Kunde werden nachfolgend zusammen „Parteien“ genannt.  

Diese Bedingungen setzen sich zusammen aus  

• den nachfolgenden Regelungen für die Erbringung der Services durch den Anbieter (Teil I) (nachfolgend „Servicevertrag“ genannt) sowie  

• der Vereinbarung über die Auftragsverarbeitung zwischen den Parteien (Teil
• II) (nachfolgend „Auftragsverarbeitungsvertrag“ genannt).  

Teil I – Servicevertrag 

§ 1 Gegenstand der Vereinbarung, Definitionen 

(1) Mit der Vereinbarung vereinbaren die Parteien, dass der Anbieter dem Kunden die Nutzungsmöglichkeit für die Softwareanwendung „Meisterplan“ (im Folgenden „Anwendung“ genannt) zum Zugriff gegen Entgelt zur Verfügung stellt.  

(2) Gegenstand der Vereinbarung ist die Bereitstellung der vom Anbieter aktuell zur Verfügung gestellten Version der Anwendung zur Nutzung ihrer Funktionalitäten, die technische Ermöglichung der Nutzung der Anwendung und die Einräumung bzw. Vermittlung von Nutzungsrechten an der Anwendung gegen Zahlung des in der Vereinbarung festgelegten Entgelts für den in der Vereinbarung oder in einer separaten Vereinbarung festgelegten Zeitraum.  

(3) Eine Funktionsbeschreibung der Anwendung kann unter https://meisterplan.com/de/wp-content/uploads/pdfs/meisterplan-product-description.pdf abgerufen werden.  

Die vom Anbieter zur Nutzung der Anwendung freigegebene Softwareumgebung, insbesondere Browser, sind in den Systemvoraussetzungen der Anwendung festgelegt und unter https://meisterplan.com/de/wp-content/uploads/pdfs/meisterplan-system-requirements.pdf abrufbar.  

(4) Ressource: Eine „Ressource“ ist im Folgenden eine natürliche Person oder materielle Ressource, die mit der Anwendung verwaltet werden kann. Jede Ressource kann sich zudem als Nutzer der Anwendung anmelden. Nutzt der Kunde „Platzhalter“, „Proxy-Ressourcen“ oder Rollen, so muss für jede dadurch dargestellte Person oder materielle Ressource eine Ressource lizenziert werden.  

Umgebung: Eine „Umgebung“ ist eine logische Einheit, auf der die Anwendung betrieben wird. Dies kann ein physischer oder ein virtueller Server sein, auf den mithilfe eines Browsers zugegriffen werden kann.  

(5) Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Kunden werden, selbst bei Kenntnis, nicht Vertragsbestandteil, es sei denn, ihrer Geltung wird ausdrücklich schriftlich vom Anbieter zugestimmt. Die Bedingungen des Anbieters gelten auch dann ausschließlich, wenn der Anbieter in Kenntnis entgegenstehender oder von diesen Bedingungen abweichender Regelungen des Kunden die Leistung vorbehaltlos ausführt. Gegenbestätigungen des Kunden unter Hinweis auf seine AGB wird hiermit ausdrücklich widersprochen. 

(6) Die Nutzungsmöglichkeit der Softwareanwendung, mithin diese Vereinbarung, richtet sich ausschließlich an Unternehmer im Sinne von § 14 BGB, juristische Personen des öffentlichen Rechts sowie öffentlich-rechtliche Sondervermögen. Ein Vertragsabschluss mit Verbrauchern im Sinne von § 13 BGB wird ausdrücklich ausgeschlossen.  

Der Anbieter behält sich vor, geeignete Nachweise über die vorstehend vorausgesetzten Eigenschaften vom Kunden zu verlangen. 

§ 2 Bereitstellung der Anwendung, Sicherung der Anwendungsdaten 

(1) Der Anbieter hält auf einer zentralen Datenverarbeitungsanlage oder mehreren Datenverarbeitungsanlagen (auch bei Mehrzahl im Folgenden „Server“ genannt) die Anwendung in der jeweils aktuellen Version nach Maßgabe der folgenden Regelungen bereit.  

(2) Die Anwendung und die vom Kunden in selbige Anwendung eingegebenen Daten (im Folgenden „Anwendungsdaten“ genannt) werden auf dem Server regelmäßig, sofern nicht anders zwischen den Parteien vereinbart mindestens kalendertäglich gesichert. Das durch diese Datensicherung entstehende Backup wird auf dem Server abgelegt. Die so abgelegte Datensicherung wird dreißig (30) Kalendertage geführt und am darauffolgenden Arbeitstag durch automatische Prozesse überschrieben.  

(3) Übergabepunkt für die Anwendung und die Anwendungsdaten ist der Routerausgang des vom Anbieter genutzten Rechenzentrums (im Folgenden „Übergabepunkt“ genannt).  

(4) Wenn Sie ein Wettbewerber sind, ist es Ihnen ausdrücklich untersagt, die Anwendung zu nutzen oder darauf zuzugreifen. Unter einem Wettbewerber verstehen wir eine Einzelperson oder eine Einheit, die in einem Geschäftsfeld tätig ist, das Produkte oder Dienstleistungen anbietet, die denen von Meisterplan ähnlich sind, einschließlich Mitarbeitern, freien Mitarbeitern oder sonstigen Vertretern oder Beauftragten. Dieses Verbot erstreckt sich auch auf die Anmeldung für kostenlose Testversionen. Darüber hinaus dürfen Sie die Anwendung nicht nutzen, um ihre Verfügbarkeit, Performance oder sonstige Funktionalität zu überwachen oder für jegliche anderen Benchmarking- oder Wettbewerbszwecke zu verwenden. In solchen Fällen ist der Anbieter berechtigt, die Vereinbarung, mithin die Nutzungsmöglichkeit der Anwendung, außerordentlich zu kündigen. 

§ 3 Software-Testversionen 

Der Kunde hat die Möglichkeit, die Anwendung kostenlos zu testen. Die kostenlose Software-Testversion der Anwendung wird dem Kunden ausschließlich für Testzwecke für einen begrenzten Zeitraum durch den Lizenzgeber überlassen. Eine Testversion dient nicht dem Einsatz im laufenden Geschäftsbetrieb. Der Kunde hat davon abzusehen, im Rahmen des Zugangs zur Testversion personenbezogene Daten zu übermitteln, sondern nur solche Daten, die öffentlich für jedermann einsehbar sind und/oder keine personenbezogenen Daten darstellen.  

30 Tage nach Ende der Testphase werden die Anwendungsdaten automatisch gelöscht. 

§ 4 Service Levels 

In diesem Paragraphen werden die generellen Service Levels für die Nutzung der Anwendung festgelegt.  

(1) Technische Verfügbarkeit der Anwendung  

a) Der Anbieter stellt dem Kunden die Anwendung während der Systemlaufzeit bereit, dies aber unter Ausschluss der vereinbarten Zeiten geplanter Nichtverfügbarkeit nach nachfolgendem § 4 (2). 

Die „Systemlaufzeit” beläuft sich auf 24 Stunden am Tag und 365 Tage im Jahr.  

b) Die Zeiten der verfügbaren Nutzung vereinbaren die Parteien wie folgt: Innerhalb der Systemlaufzeit wird eine Hauptnutzungszeit definiert, während derer der Anbieter die monatliche Verfügbarkeit der Anwendung von Montag bis Freitag von 09.00 – 17.00 ME(S)Z zu 99% sicherge Innerhalb dieser Zeit wird die längste ununterbrochene Ausfallzeit 4 Stunden nicht überschreiten. 

Alle Zeiten außerhalb der Hauptnutzungszeit gelten als Nebennutzungszeit, in der die Verfügbarkeit nicht gewährleistet wird. Darunter fallen Samstage, Sonntage sowie der 1. Januar und 25. Dezember.  

c) Zur verfügbaren Nutzung zählen auch die Zeiträume, während denen 

• Störungen vorliegen, die ihre Ursache im lokalen IT-System des Kunden oder in einer Störung der Anbindung des Kunden an den Übergabepunkt haben oder  

• sonstige Ereignisse eintreten, die nicht vom Anbieter oder einer seiner Erfüllungsgehilfen zu vertreten sind, z. B. durch höhere Gewalt, Missbrauch oder Bedienfehler welche der Kunden zu vertreten hat.  

(2) Geplante Nichtverfügbarkeit  

Der Anbieter ist in Zeiten außerhalb der Hauptnutzungszeit berechtigt, die Anwendung und/oder Server zu warten, zu pflegen sowie sonstige Arbeiten vorzunehmen. Geplante Nichtverfügbarkeiten wird der Anbieter dem Kunden 7 Tage im Voraus unter https://status.meisterplan.com ankündigen.  

(3) Messung der tatsächlichen Verfügbarkeit  

Die tatsächliche Verfügbarkeit in Prozent berechnet sich für die Hauptnutzungszeit wie folgt:  

Die Verfügbarkeit wird durch eine vom Anbieter geführte Überwachungsinstanz festgehalten. Dabei werden die Verfügbarkeit der Anwendung an sich sowie der Anwendungs-Dienste (wie etwa Reporting) überwacht. 

Auf der Grundlage dieser Überwachungsinstanz werden maschinell Daten über die Verfügbarkeit erzeugt, die der Anbieter dem Kunden unter https://status.meisterplan.com zur Verfügung stellt.  

(4) Reaktionszeiten  

Der Anbieter trägt nur innerhalb der Hauptnutzungszeit dafür Sorge, dass innerhalb einer von der jeweiligen, nachfolgend definierten Störungsklasse abhängigen, nachfolgend vereinbarten Zeit ab Zugang einer Meldung einer technischen Störung des Kunden per E-Mail oder Support-Ticket mit den Störungsbehebungsarbeiten begonnen wird („Reaktionszeit”).  

Bei außerhalb der Hauptnutzungszeit gemeldeten Störungen beginnt die Reaktionszeit mit dem nächsten Werktag innerhalb der Hauptnutzungszeit.  

Störungsklasse Reaktionszeit  
Störungsklasse 1 4 Stunden  
Störungsklasse 2 2 Werktage  
Störungsklasse 3 5 Werktage  

Die Störungsklassen werden dabei wie folgt definiert: 

Klasse 1: Betriebsverhindernder Mangel: Ein betriebsverhindernder Mangel liegt vor, wenn die Nutzung der Anwendung unmöglich ist; eine Umgehungslösung existiert nicht.  

Klasse 2: Betriebsbehindernder Mangel: Ein betriebsbehindernder Mangel liegt vor, wenn die Nutzung der Anwendung eingeschränkt ist, ohne dass eine Umgehungslösung zur Verfügung steht.  

Klasse 3: Leichter Mangel: Ein leichter Mangel liegt vor, wenn die Nutzung der Anwendung ohne oder mit unwesentlichen Einschränkungen möglich ist.  

(5) Verstoß gegen die Verfügbarkeiten und Abhilfe  

Verstößt der Anbieter gegen die unter § 4 (1) festgelegten Verfügbarkeiten während der Hauptnutzungszeit, ist der Kunde berechtigt, eine Vertragsstrafe (im Folgenden „Service Level Credit“ genannt) in folgendem Umfang zu verlangen:  

• Bei einer Unterschreitung der Verfügbarkeit in der Hauptnutzungszeit: 0,5% der monatlichen Vergütung (pro rata) pro angefangenen 0,1% Unterschreitung der vereinbarten Verfügbarkeit, maximal jedoch 100% der monatlichen Vergütung;  

• Bei einer Überschreitung der längsten ununterbrochenen Ausfallzeit in der Hauptnutzungszeit: 5% der monatlichen Vergütung (pro rata) pro Überschreitungsfall, maximal jedoch 100% der monatlichen Vergütung;  

• Bei einer Überschreitung der Reaktionszeit in der Hauptnutzungszeit bei Vorliegen eines Mangels der Störungsklasse 1: 5% der monatlichen Vergütung (pro rata) pro Überschreitungsfall, maximal jedoch 100% der monatlichen Vergütung.  

Dies gilt nicht, soweit der Anbieter die Unterschreitung der Verfügbarkeit/Überschreitung der Ausfallzeit/Reaktionszeit nicht zu vertreten hat.  

Der Wert der insgesamt verwirkten Service Level Credits wird nach Ermessen des Anbieters an den Kunden ausbezahlt oder mit laufenden Rechnungen des Anbieters verrechnet.  

Die Service Level Credits werden auf etwaige Schadensersatzansprüche des Kunden angerechnet. Der Kunde kann unabhängig von der Geltendmachung von Service Level Credits die Weitererfüllung der Vereinbarung durch den Anbieter verlangen. 

§ 5 Sonstige Leistungen des Anbieters, Online-Handbuch 

(1) Der Anbieter wird dem Kunden während der Laufzeit der Vereinbarung entwickelte Neufassungen der Anwendung zur Verfügung stellen. Die neuen Fassungen können auch Funktionserweiterungen beinhalten.  

Ein Anspruch des Kunden zur Erstellung von neuen Fassungen oder auf die Aufnahme bestimmter zusätzlicher Funktionalitäten in die Anwendung besteht nicht.  

(2) Der Anbieter stellt dem Kunden über die Anwendung ein Online-Handbuch zur Verfügung. 

(3) Funktionserweiterung Meisterplan AI: “Meisterplan AI” meint alle vom Anbieter zur Verfügung gestellten und als AI gekennzeichneten Merkmale oder Funktionen, die künstliche Intelligenz, maschinelles Lernen oder ähnliche Technologien nutzen. Um Meisterplan AI nutzen zu können, muss Meisterplan AI in der Meisterplan Anwendung des Kunden zuerst aktiviert werden. Mithilfe von Meisterplan AI können sodann Empfehlungen, Textgenerierungen und Analysen generiert bzw. bereitgestellt werden. 

a) Durch die Aktivierung von Meisterplan AI werden die vom Kunden in Meisterplan vorhandenen Meisterplan-Daten (einschließlich, aber nicht beschränkt auf Projektfelddaten und Änderungsprotokolldaten) sowie Benutzeraktionen (“User-Input”) von Meisterplan AI verwendet und der Kunde erhält die darauf basierenden Ausgabe (“AI-Output”). Bei der Nutzung von Meisterplan AI ist der Kunde alleiniger Rechteinhaber am User Input und AI-Output. Der Kunde trägt die alleinige Verantwortung und Haftung für seinen User Input und AI-Output, einschließlich der Einhaltung der geltenden Gesetze und der vorliegenden Nutzungsbedingungen. Der Kunde garantiert, dass der User Input und AI-Output nicht (i) gegen geltendes Recht verstoßen; (ii) gegen die Meisterplan AI Nutzungsbedingungen oder die Vereinbarung verstoßen; oder (iii) die Rechte des Anbieters oder die Rechte Dritter verletzen. 

b) Der Anbieter verwendet den User Input und/oder AI-Output des Kunden nicht, um Datenmodelle für maschinelles Lernen zu trainieren und erlaubt dies auch Dritten nicht. Die von Meisterplan AI verarbeiteten Daten bleiben im gleichen gesicherten Datenverarbeitungskontext wie alle anderen Meisterplan-Daten auch. 

c) Der Kunde darf Meisterplan AI nur im Rahmen des Vertragszeckes nutzen. Der Kunde darf Meisterplan AI oder AI-Output nicht dazu verwenden, um (i) Grundlagenmodelle oder andere groß angelegte Modelle zu entwickeln, die mit Meisterplan oder Meisterplan AI konkurrieren, (ii) eine Person in die Irre zu führen, dass die Ausgabe des Dienstes ausschließlich von Menschen generiert wurde, (iii) um automatisierte Entscheidungen zu treffen, die sich nachteilig auf die Rechte des Einzelnen auswirken können, ohne angemessene menschliche Aufsicht, des Weiteren nicht in einer Weise (iv) die die Rechte des Anbieters oder die Rechte Dritter verletzt oder (v) die gegen technische Dokumentation, Nutzungsrichtlinien oder Parameter verstößt. Führen etwaige Verstöße des Kunden zu der Annahme, dass Meisterplan AI als Hochrisiko-KI im Sinne des EU AI Act zu klassifizieren wäre, liegt dies ausschließlich im Verantwortungsbereich des Kunden. Etwaige Ansprüche gegen den Anbieter können daraus nicht abgeleitet werden und sind ausgeschlossen.  

d) Ungeachtet etwaiger anderslautender Bestimmungen zwischen dem Kunden und dem Anbieter ist der Anbieter berechtigt, Daten des Kunden in Meisterplan und Daten über die Interaktion des Kunden mit oder der Nutzung von Meisterplan AI, einschließlich der Größe des User Input- und/oder AI-Output-Tokens, zu erheben und zu verwenden, um: (i) Meisterplan AI zu verbessern und weiterzuentwickeln und (ii) dem Kunden die Meisterplan AI-Funktionen überhaupt zur Verfügung stellen zu können. 

e) DER ANBIETER ÜBERNIMMT KEINE HAFTUNG ODER GARANTIE FÜR DIE ERGEBNISSE, DIE DURCH DIE NUTZUNG VON MEISTERPLAN AI ERZIELT WERDEN KÖNNEN, ODER FÜR DIE RICHTIGKEIT ODER EIGNUNG VON INFORMATIONEN (EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DESIGNS, WORKFLOWS/PROZESSE ODER ANDERE DATEN), DIE ÜBER MEISTERPLAN AI ERHALTEN WERDEN. DER KUNDE VERSTEHT UND ERKLÄRT SICH DAMIT EINVERSTANDEN, DASS SOLCHE INFORMATIONEN, DIE DIESERDURCH DIE NUTZUNG VON MEISTERPLAN AI ERHÄLT, AUF DAS EIGENE RISIKO DES KUNDEN ERFOLGT. DER ANBIETER WEIST ASUDRÜCKLICH AUF FOLGENDES HIN: VERLASSEN SIE SICH NICHT AUF FAKTENBEHAUPTUNGEN DES AI-OUTPUTS OHNE UNABHÄNGIGE FAKTENPRÜFUNG. VERLASSEN SIE SICH NICHT AUF AI-OUTPUT, OHNE DIE FUNKTIONALITÄT UND EIGNUNG FÜR IHRE BEDÜRFNISSE UNABHÄNGIG ZU ÜBERPRÜFEN. SOLCHE INFORMATIONEN, VORSCHLÄGE ODER ERGEBNISSE, DIE SIE ÜBER MEISTERPLAN AI ERHALTEN, BEGRÜNDEN IN KEINEN FALLE EINE HAFTUNG ODER GARANTIE DES ANBIETERS, ES SEI DENN, DIESE WIRD VOM ANBIETER AUSDRÜCKLICH SCHRIFTLICH EINGERÄUMT. IM ÜBRIGEN BLEIBEN DIE UNTENSTEHENDEN HAFTUNGSREGELUNGEN DIESER VEREINBARUNG HIERVON UNBERÜHRT. 

f) Sofern mit dem Kunden nicht ausdrücklich schriftlich etwas anderes vereinbart, behält sich der Anbieter vor, Meisterplan AI weiterzuentwickeln, zu ändern oder aus gewichtigen Gründen auch zu deaktivieren. Entsprechendes kann Auswirkung auf die Funktionalität von Meisterplan AI und Meisterplan sowie die Preise und Edition haben. 

g) Ungeachtet etwaiger anderslautender Bestimmungen zwischen dem Kunden und dem Anbieter werden Ausfallzeiten von Meisterplan AI, die aus einem Ausfall eines Drittanbieterdienstes resultieren, nicht in die Berechnungen der Verfügbarkeitsgarantie nach diesen Bedingungen einbezogen. 

h) Bezüglich der Nutzung von Meisterplan AI wird der Kunde zusätzlich auf die einschlägigen Datenschutzbestimmungen (https://meisterplan.com/de/trust-center/datenschutz/) des Anbieters hingewiesen. 

§ 6 Nutzungsrechte, Rechte des Anbieters bei Überschreitung der Nutzungsbefugnisse 

(1) Der Kunde erhält an der Anwendung ein einfaches, nicht ausschließliches, nicht unterlizenzierbares und nicht übertragbares, auf die Laufzeit der Vereinbarung befristetes Nutzungsrecht nach Maßgabe dieser Bedingungen.  

Der Kunde darf die Anwendung nur für seine eigenen geschäftlichen Tätigkeiten durch eigenes Personal, Personal verbundener Gesellschaften, freie Mitarbeiter oder Handelsvertreter nutzen.  

(2) Der Kunde darf die Anwendung nur durch die in der Vereinbarung vereinbarte Anzahl von Ressourcen im Sinne des § 1 (4) nutzen.  

(3) Der Kunde erhält Zugang zu einer (1) Umgebung. Es werden keine zusätzlichen Umgebungen für Test- oder Qualitätssicherungszwecke bereitgestellt. Diese können bei Bedarf gegen getrennte Bezahlung hinzugebucht werden.  

(4) Rechte, die vorstehend nicht ausdrücklich dem Kunden eingeräumt werden, stehen dem Kunden nicht zu. Der Kunde ist insbesondere nicht berechtigt, die Anwendung über die vereinbarte Nutzung hinaus zu nutzen oder von Dritten nutzen zu lassen oder die Anwendung Dritten zugänglich zu machen.  

(5) Verletzt der Kunde die Verpflichtungen aus dem vorbenannten § 6 (1) bis (4) dieses Servicevertrags aus von ihm zu vertretenden Gründen, kann der Anbieter den Zugriff des Kunden auf die Anwendung oder die Anwendungsdaten sperren, wenn die Verletzung hierdurch nachweislich abgestellt werden kann.  

Verletzt der Kunde trotz entsprechender schriftlicher Abmahnung des Anbieters weiterhin oder wiederholt die Verpflichtungen aus dem vorbenannten § 6 (1) bis (4) dieses Servicevertrags und hat er dies zu vertreten, so kann der Anbieter die Vereinbarung ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen. 

§ 7 Vergütung und Zahlung 

(1) Für die zu erbringenden Leistungen der Nutzungsgewährung bezüglich der Anwendung bezahlt der Kunde an den Anbieter die sich aus der Vereinbarung ergebende Nutzungsvergütung zu den vereinbarten Zeitpunkten, zuzüglich jeweiliger gesetzlicher Mehrwertsteuer.  

(2) Die Vergütung ist zu den in der Vereinbarung vereinbarten Zeitpunkten jeweils im Voraus zur Zahlung fällig.  

(3) Der Anbieter ist berechtigt, die vereinbarten Preise für die vertraglichen Leistungen zum Ausgleich von Kostensteigerungen, insbesondere von Personalkosten, Energiekosten und sonstigen Kostensteigerungen angemessen zu erhöhen. Der Anbieter wird dem Kunden eine Preiserhöhung vorab schriftlich oder per E-Mail mindestens 4 Wochen vor einer Vertragsverlängerung mitteilen. Die Preiserhöhung gilt nicht rückwirkend, sondern nur für den folgenden Verlängerungszeitraum. Eine Erhöhung der Preise innerhalb von 12 Monaten nach Abschluss der Vereinbarung ist ausgeschlossen.  

(4) Im Fall einer vergütungspflichtigen Vereinbarung (also ausgenommen Test-Versionen) gewährt der Kunde dem Anbieter hiermit das Recht, das Firmenlogo des Kunden in Marketing-Materialien wie beispielsweise der Website des Anbieters zu verwenden, um den Kunden als einen Meisterplan-Kunden zu identifizieren. Dieser Nutzungsgenehmigung kann formlos per E-Mail an mail@meisterplan.com widersprochen werden. Davon abgesehen darf der Anbieter das Logo des Kunden nicht ohne vorherige schriftliche Erlaubnis verwenden.  

(5) Zurückbehaltungs- und Leistungsverweigerungsrechte des Kunden sind ausgeschlossen, es sei denn, der Anbieter bestreitet die zugrunde liegenden Gegenansprüche nicht oder diese sind rechtskräftig festgestellt. 

§ 8 Mitwirkungspflichten des Kunden 

(1) Der Kunde wird alle Pflichten und Obliegenheiten erfüllen, die zur Abwicklung der Vereinbarung erforderlich sind.
Der Kunde verpflichtet sich insbesondere,

1. die ihm bzw. den Nutzern zugeordneten Zugangsberechtigungen geheim zu halten, vor dem Zugriff durch Dritte zu schützen und nicht an unberechtigte Nutzer weiterzugeben.
2. die Nutzerkennung, Kennwörter und ähnliches durch geeignete und übliche Maßnahmen zu schützen; der Kunde wird den Anbieter unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder Kennwörter nicht berechtigten Personen bekannt geworden sein könnten.
3. die Beschränkungen/Verpflichtungen im Hinblick auf die Nutzungsrechte nach § 6 dieses Servicevertrags einzuhalten, insbesondere
   • keine Informationen oder Daten unbefugt abzurufen oder abrufen zu lassen oder in Programme, die von dem Anbieter betrieben werden einzugreifen oder eingreifen zu lassen oder in Datennetze des Anbieters unbefugt einzudringen oder ein solches Eindringen zu fördern;
   • den Anbieter von Ansprüchen Dritter freizustellen, die auf einer rechtswidrigen Verwendung der Anwendung durch den Kunden beruhen oder die sich aus vom Kunden verursachten datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der Anwendung verbunden sind;
   • die berechtigten Nutzer zu verpflichten, ihrerseits die für sie geltenden Bestimmungen der Vereinbarung und dieser Bedingungen einzuhalten;
   • die berechtigten Nutzer nach Maßgabe der Art. 13 und 14 DSGVO über die Verarbeitung ihrer personenbezogenen Daten durch den Anbieter zu informieren.
4. vor der Versendung von Daten und Informationen an den Anbieter diese auf Viren zu prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einzusetzen;
5. sofern möglich, eigene Sicherungskopien seiner Daten und Informationen erstellen, um bei Verlust die Rekonstruktion derselben zu ermöglichen;
6. Mängel an Vertragsleistungen, insbesondere Mängel an den Leistungen nach § 1 dieses Servicevertrags, dem Anbieter unverzüglich anzuzeigen.

§ 9 Datensicherheit, Datenschutz 

(1) Die Parteien werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen datenschutzrechtlichen Bestimmungen beachten, wozu auch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) zählt.  

(2) Erhebt, verarbeitet oder nutzt der Kunde personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes den Anbieter von Ansprüchen Dritter frei. ^ 

(3) Sofern der Anbieter Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO verarbeitet, gelten die Sonderregelungen des Auftragsverarbeitungsvertrages (Teil II dieser Bedingungen). Solche Subunternehmer werden in einer separaten Liste aufgeführt. 

(4) Im Rahmen der Durchführung dieser Vereinbarung ist zwischen den nachfolgenden Kategorien von Daten zu unterscheiden, die z.T. personenbezogene Daten beinhalten können. Diese Daten werden vom Anbieter auf Basis der Vertragserfüllung und vorvertragliche Anfragen nach Art. 6 Abs. 1 S. 1 Buchst. b) DSGVO und auf Basis berechtigter Interessen nach Art. 6 Abs. 1 S. 1 Buchst. f) DSGVO verarbeitet. Hinweise auf die allgemeinen Betroffenenrechte und Löschfristen ergeben sich aus den Datenschutzhinweisen des Anbieters, die unter https://meisterplan.com/de/trust-center/datenschutz/ eingesehen werden können. Eine detaillierte Übersicht zu den Löschfristen im Zusammenhang mit dem Einsatz von Unterauftragnehmern können unter https://meisterplan.com/de/trust-center/unterauftragnehmer/ eingesehen werden. 

Vom Anbieter verarbeitete personenbezogene Daten: 

1. Daten der Ansprechpartner beim Kunden (Kontaktperson, Adresse, Telefonnummer, Fax, E-Mail-Adresse) und Zahlungsdaten (z.B. z.B. Bankverbindungen, Rechnungen, Zahlungshistorie) sowie Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie) zur Vertragsdurchführung, insbesondere im Rahmen der Lizenzabrechnung. Zweck der Verarbeitung ist die Durchführung der Vereinbarung mit dem Kunden. 
2. Daten über das Nutzungsverhalten der Nutzer des Kunden im Rahmen von Server-Protokollen, die Information wie beispielsweise IP-Adresse, Zeitstempel oder Web-Anfrage enthalten können. Zweck ist zum einen die Suche und Behebung von Fehlern, die Abwehr von Gefahren und die Aufrechterhaltung des technischen Betriebs der Anwendung.  
3. Daten (statistische) zur Nutzung der Anwendung. Diese Daten enthalten keinerlei Inhalte, die Nutzer in der Anwendung eingegeben haben. Die Daten können die vom Nutzer ausgelöste Aktion, einen Zeitstempel, Informationen zum verwendeten Webbrowser, die interne ID der jeweiligen Datenbank, eine ID der Session, eine nicht-invertierbare Nutzerkennung, oder auch die ID eines auf der Website erzeugten Cookies enthalten. Zweck der Verarbeitung ist die dauerhafte Bereitstellung des Angebots, die Anpassung an sich entwickelnde Bedürfnisse der Nutzer, die Verbesserung der Nutzerfahrung in der Anwendung und die Optimierung der internen Prozesse des Anbieters. 
4. Anwendungsdaten, also diejenigen Daten, die der Kunde im Rahmen der Nutzung der Anwendung eingibt. Die Verarbeitung dieser Daten erfolgt im Auftrag des Kunden nach Maßgabe des Art. 28 DSGVO unter dem Auftragsverarbeitungsvertrag (Teil II dieser Bedingungen). 

(5) Die Verpflichtungen nach § 9 bestehen, solange personenbezogene Daten im Einflussbereich des Anbieters liegen, auch über die Beendigung der Vereinbarung hinaus. 

§ 10 Ansprüche bei Schlechtleistung 

Im Fall der Schlechtleistung stehen dem Kunden die Ansprüche nach § 4 dieses Servicevertrages (Service Levels) zu. Die verschuldensunabhängige Haftung für bereits bei Vertragsabschluss vorhandene Mängel gemäß § 536 a Abs. 1 BGB ist ausgeschlossen. Im Übrigen gelten für Sach- und Rechtsmängel die gesetzlichen Bestimmungen. 

§ 11 Vertraulichkeit 

1. Die Parteien verpflichten sich wechselseitig zeitlich unbegrenzt, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und sonstigen vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und ausschließlich für die Zwecke der Durchführung der Vereinbarung zu verwenden.  
2. Vertrauliche Informationen sind Informationen, die ein verständiger Dritter als schützenswert ansehen würde oder die als vertraulich gekennzeichnet sind; dies können auch solche Informationen sein, die mündlichen oder visuell bekannt werden. Vertrauliche Informationen dürfen ausschließlich zum Zweck der Erfüllung der Verpflichtungen aus dem Vertrag eingesetzt bzw. verwertet werden. Die Verpflichtung zur Vertraulichkeit gilt nicht für Informationen, die den Parteien bereits rechtmäßig bekannt sind oder außerhalb des Vertrages ohne Verstoß gegen eine Vertraulichkeitsverpflichtung bekannt werden. 
3. Auf Verlangen der offenlegenden Partei hat die empfangende Partei die Vertraulichen Informationen der offenlegenden Partei, einschließlich Kopien und Vervielfältigungen davon, unverzüglich zu vernichten oder zurückzugeben, es sei denn, das anwendbare Recht schreibt deren Aufbewahrung vor. In diesem Fall unterliegen die vertraulichen Informationen weiterhin den Bestimmungen von § 11.  

§ 12 Haftung 

(1) In allen Fällen vertraglicher und außervertraglicher Haftung leistet der Anbieter Schadenersatz oder Ersatz vergeblicher Aufwendungen nur in dem nachfolgend bestimmten Umfang: 

1. a) Der Anbieter haftet unbeschränkt für Schäden, die durch Vorsatz, grobe Fahrlässigkeit, im Rahmen einer Entschädigung für die Verletzung von Rechten an geistigem Eigentum Dritter und jede schuldhafte Verletzung von Leben, Körper oder Gesundheit sowie in allen Fällen, in denen das deutsche Gesetz zwingend eine unbeschränkte Haftung vorsieht (z.B. unbeschränkte Haftung nach dem Produkthaftungsgesetz).
2. b) Sofern nicht anders vereinbart, ist in allen anderen Fällen, die nicht unter 12 (1) a) fallen, die jährliche Haftung des Anbieters wie folgt begrenzt:

(i) pro Einzelschadensfall auf den höheren Betrag von (i) einhundert Prozent (100 %) der jährlichen Vergütung gemäß der Vereinbarung oder (ii) EUR 50.000 (in Worten: fünfzigtausend Euro); 

(ii) für alle Schadensfälle unter der Vereinbarung insgesamt pro Vertragsjahr auf den höheren Betrag von (i) einhundertfünfzig Prozent (150 %) der jährlichen Vergütung gemäß der Vereinbarung oder (ii) EUR 150.000 (in Worten: einhundertfünfzigtausend Euro). 

(2) Für fahrlässige Verstöße gegen Datenschutzbestimmungen haftet der Anbieter bis zu EUR 500.000 pro Vertragsjahr. Diese Haftungsobergrenze für Datenschutzverstöße ist eine eigenständige Obergrenze und getrennt von den oben genannten Obergrenzen. 

(3) Die Haftungsbeschränkungen gemäß § 12 (1) b) i und 12 (1) b) ii gelten, vorausgesetzt, dass die vorgenannten Beschränkungen in keinem Fall niedriger sein dürfen als der tatsächlich von einer Versicherung und/oder Unterauftragnehmern des Anbieters erstattete Betrag. In keinem Fall haftet der Anbieter gegenüber dem Kunden für entgangenen Gewinn, Verlust von Ansehen und Verlust von Goodwill. 

(4) Für alle Ansprüche auf Schadensersatz oder Ersatz vergeblicher Aufwendungen gegen den Anbieter bei vertraglicher und außervertraglicher Haftung gilt eine Verjährungsfrist von einem Jahr. Die Verjährungsfrist beginnt mit dem in § 199 Abs. 1 BGB bestimmten Zeitpunkt. Sie tritt spätestens mit Ablauf von 5 Jahren ab Entstehung des Anspruchs ein. Die Regelungen der Sätze 1 bis 3 dieses Absatzes gelten nicht für die Haftung bei Vorsatz oder grober Fahrlässigkeit oder bei Schäden an Leben, Körper oder Gesundheit oder nach dem Produkthaftungsgesetz. Die abweichende Verjährungsfrist für Ansprüche wegen Sach- und Rechtsmängeln dieses Servicevertrages bleibt von den Regelungen dieses Absatzes unberührt. 

§ 13 Schutzrechte Dritter 

(1) Der Anbieter steht dafür ein, dass die Anwendung frei von gewerblichen Schutzrechten und Urheberrechten Dritter ist.  

Sofern ein Dritter wegen der Verletzung von Schutzrechten durch die Anwendung des Anbieters gegen den Kunden berechtigte Ansprüche erhebt, haftet der Anbieter gegenüber dem Kunden wie folgt: 

1. Der Anbieter wird nach seiner Wahl und auf seine Kosten für die Anwendung oder den betreffenden Teil der Anwendung entweder ein Nutzungsrecht erwirken oder die Anwendung so ändern, dass das Schutzrecht nicht verletzt wird oder die Anwendung austauschen. Ist dies dem Anbieter nicht zu angemessenen Bedingungen möglich, stehen dem Kunden die gesetzlichen Rücktritts- oder Minderungsrechte zu.  
2. Im Falle der rechtmäßigen Inanspruchnahme des Kunden durch einen Dritten stellt der Anbieter den Kunden von den Kosten, die durch die Geltendmachung dieser Ansprüche Dritter entstanden sind (darin eingeschlossen angemessene Rechtsanwaltskosten, beschränkt -sofern anwendbar- nach dem Rechtsanwaltsvergütungsgesetz), frei.  
3. Die Pflicht des Anbieters zur Leistung von Schadenersatz richtet sich nach §12 dieses Servicevertrags.  

Der Kunde verpflichtet sich, den Anbieter über die von Dritten geltend gemachten Ansprüche unverzüglich schriftlich oder per E-Mail zu verständigen; dem Anbieter sind alle Abwehrmaßnahmen und Vergleichsverhandlungen vorbehalten. Stellt der Kunde die Nutzung der Anwendung aus Schadensminderungs- oder sonstigen wichtigen Gründen ein, ist er verpflichtet, den Dritten darauf hinzuweisen, dass mit der Nutzungseinstellung kein Anerkenntnis einer Schutzrechtsverletzung verbunden ist.  

(2) Ansprüche gegen den Anbieter nach § 13 (1) dieses Servicevertrags sind ausgeschlossen, wenn  

1. der Kunde die Schutzrechtsverletzung zu vertreten hat,  
2. die Behauptung einer Verletzung aus der nicht vom Anbieter zu vertretenen unbefugten Modifikation der Anwendung entsteht oder mit einer solchen in Verbindung steht,  
3. die Anwendung nicht gemäß den Regelungen der Vereinbarung und dieser Bedingungen oder in Übereinstimmung mit der Dokumentation der Anwendung genutzt wird,  
4. die angebliche Verletzung durch die Nutzung durch den Kunden eines von dem Anbieter herausgegebenen Updates, Upgrades oder Patch hätte verhindert werden können,  
5. die angebliche Verletzung aus der Nutzung der Anwendung mit einem nicht vom Anbieter zur Verfügung gestellten Produkt eines Drittanbieters resultiert.  

(3) Weitergehende Ansprüche des Kunden gegen den Anbieter und dessen Erfüllungsgehilfen wegen Ansprüchen aus der Verletzung von Schutzrechten Dritter sind ausgeschlossen. 

§ 14 Abschluss der Vereinbarung, Start der Vereinbarung, Zeitraum, Kündigung 

(1) Der Kunde gibt durch Klicken des Buttons „Kostenpflichtig Bestellen“ im Meisterplan-Webshop oder über andere Kommunikationswege eine Bestellung auf.  

Die Vereinbarung wird abgeschlossen und das Vertragsverhältnis beginnt mit der Annahme der Bestellung des Kunden durch Auftragsbestätigung des Anbieters.  

(2) Die Vereinbarung hat eine Mindestlaufzeit wie in der Vereinbarung festgelegt und ist bis zu diesem Zeitpunkt nicht ordentlich kündbar.  

Die Vereinbarung verlängert sich jeweils um weitere Zeiträume der ursprünglich festgelegten Laufzeit, wenn sie nicht zum Ende der Mindestlaufzeit oder des jeweiligen Verlängerungszeitraumes von einer der Parteien gekündigt wird. Eine davon abweichende Kündigungsfrist kann von den Parteien schriftlich vereinbart werden.  

(3) Das Recht zur Kündigung aus wichtigem Grund bleibt für die Parteien unberührt.

§ 15 Pflichten bei und nach Beendigung der Vereinbarung 

Mit Beendigung des Vertragsverhältnisses erlöschen alle Rechte des Kunden zur Nutzung der Anwendung. Der Anbieter wird die Anwendungsdaten des Kunden 30 Tage nach Beendigung des Vertragsverhältnisses löschen. 

§ 16 Höhere Gewalt, Leistungsverzögerungen 

Leistungsverzögerungen aufgrund höherer Gewalt, hierzu zählen auch Ereignisse, die dem Anbieter die Leistungen nach der Vereinbarung wesentlich erschweren oder unmöglich machen, wie insbesondere Streik, Aussperrung, behördliche Anordnungen, der Ausfall von oder Störungen im Bereich von Kommunikationsnetzen und Gateways anderer Betreiber, soweit der Anbieter diese Ereignisse nicht verschuldet hat, hat der Anbieter nicht zu vertreten.  

Der Anbieter ist berechtigt, die Leistungen um die Dauer der Behinderung hinauszuschieben oder zu unterbrechen. 

§ 17 Leistungsausschluss bei Sanktionen

(1) Sanktionen. Kunden, die auf einer Sanktionsliste der Europäischen Union oder der Bundesrepublik Deutschland aufgeführt sind, oder in einem Land ansässig sind, für das Sanktionen der Europäischen Union oder der Bundesrepublik Deutschland allgemein gelten, werden von den Leistungen des Anbieters ausgeschlossen. 

(2) Internationale Sanktionen. Der Anbieter behält sich das Recht vor, Kunden ebenfalls von seinen Leistungen auszuschließen, die entweder selbst oder deren ansässiges Land auf Sanktionslisten anderer Staaten aufgeführt sind. Dies gilt insbesondere dann, wenn eine Vertragsbeziehung mit solchen Kunden potenzielle rechtliche oder finanzielle Konsequenzen für den Anbieter nach sich ziehen könnten. 

(3) Sollte dennoch eine Vertragsbeziehung zustande gekommen sein oder Sanktionen während einer Vertragsbeziehung den Kunden betreffen, hat der Anbieter das Recht zur außerordentlichen Kündigung. 

(4) Im Falle eines Ausschlusses oder einer außerordentlichen Kündigung aufgrund von Sanktionen im vorstehenden Sinne, ist eine Haftung des Anbieters für Schäden oder Verluste ausgeschlossen.

§ 18 Schlussbestimmungen, Gerichtsstand, anwendbares Recht 

(1) Alle Vereinbarungen, Nebenabreden und Zusicherungen sowie nachträgliche Änderungen und Ergänzungen der Vereinbarung und/oder dieser Bedingungen bedürfen einer entsprechenden Einigung zwischen den Parteien.  

(2) Sollte eine Bestimmung der Vereinbarung und/oder dieser Bedingungen unwirksam sein oder werden oder sollten diese unvollständig sein, wird die Vereinbarung im Übrigen nicht berührt; es bleiben die übrigen Bestimmungen in Kraft.  

Die Parteien werden sich in einem solchen Falle und im Falle von Lücken, die die Parteien nicht vorhergesehen haben, auf eine Regelung einigen, die dem Sinn und Zweck der Vereinbarung und dieser Bedingungen am besten entspricht und die der unwirksamen Bestimmung am nächsten kommt.  

(3) Die Vereinbarung und diese Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.  

(4) Liegen die Voraussetzungen für eine Gerichtsstandsvereinbarung nach §§ 38, 40 ZPO vor, ist der Gerichtsstand für alle Streitigkeiten über die Gültigkeit des Vertrages und aus dem Vertragsverhältnis ausschließlich Tübingen, Bundesrepublik Deutschland. 

Teil II – Auftragsverarbeitungsvertrag 

§ 1 Anwendungsbereich 

(1) Die Parteien vereinbaren, dass der Anbieter bei Erbringung der Services als Auftragsverarbeiter für den Kunden tätig wird, soweit der Anbieter für den Kunden Anwendungsdaten verarbeitet (vgl. dazu die Definition der Anwendungsdaten in § 2 (2) des Servicevertrages (Teil I dieser Bedingungen).  

(2) Es wird darauf hingewiesen, dass der Anbieter personenbezogene Daten des Kunden verarbeiten kann, die nicht Gegenstand des Auftragsverhältnisses sind, da der Anbieter insoweit als Verantwortlicher agiert. Dies betrifft beispielsweise Daten zur Abrechnung und Lizenzverwaltung oder automatisch erhobene statistische Daten. Wegen der Einzelheiten wird auf die Regelungen des § 9 (3) des Servicevertrages (Teil I dieser Bedingungen) verwiesen. Es ist sichergestellt, dass diese Daten getrennt von den zur Verarbeitung überlassenen Anwendungsdaten gehalten werden. Ergänzend wird auf die Datenschutzhinweise des Anbieters verwiesen. 

§ 2 Gegenstand des Auftrags 

Der Anbieter verarbeitet auf Grundlage dieses Auftragsverarbeitungsvertrages personenbezogene Daten für den Kunden im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO. 

§ 3 Dauer des Auftrags 

(1) Die Laufzeit dieses Auftrags entspricht der Laufzeit der Vereinbarung.  

(2) Der Kunde kann die Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Anbieters gegen diesen Auftragsverarbeitungsvertrag vorliegt, der Anbieter eine Weisung des Kunden nicht ausführen kann oder will oder der Anbieter Kontrollrechte des Kunden vertragswidrig verweigert. 

§ 4 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen 

(1) Gegenstand des Auftragsverhältnisses sind personenbezogene Anwendungsdaten, die der Kunde in die Anwendung eingibt, um sie dort verwalten zu können.  

(2) Die Art der verarbeiteten personenbezogenen Daten bestimmt grundsätzlich der Kunde. Meisterplan bietet im Standard die Erfassung von Vorname, Nachname, E-Mail-Adresse, Rolle, Beschäftigungsbeginn- und Ende, PLZ und Stadt (keine persönliche Anschrift), Fähigkeiten (Skills) sowie die Verplanung auf Projekte. Der Kunde verpflichtet sich, keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO in die Anwendung einzugeben.  

(3) Typischerweise sind Betroffene Personen interne Mitarbeiter, externe Mitarbeiter und Zulieferer des Kunden. Der Kunde bestimmt über die Dateneingabe die Kategorien betroffener Personen; es können grundsätzlich Daten aller Kategorien betroffener Personen verarbeitet werden. 

§ 5 Rechte und Pflichten sowie Weisungsbefugnisse des Kunden 

(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Kunde verantwortlich. Gleichwohl ist der Anbieter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Kunden gerichtet sind, unverzüglich an diesen weiterzuleiten. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen dem Kunden und dem Anbieter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.  

(2) Der Kunde erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.  

(3) Der Kunde ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der bei dem Anbieter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.  

(4) Der Kunde informiert den Anbieter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 

§ 6 Pflichten des Anbieters 

(1) Der Anbieter verarbeitet die zur Verarbeitung überlassenen personenbezogenen Anwendungsdaten des Kunden ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden, sofern der Anbieter nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Anbieter als Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Anbieter dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).  

(2) Der Anbieter verwendet die zur Verarbeitung überlassenen personenbezogenen Anwendungsdaten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate dieser Anwendungsdaten werden ohne Wissen des Kunden nicht erstellt.  

(3) Der Anbieter sichert zu, dass die für den Kunden verarbeiteten Anwendungsdaten von sonstigen Datenbeständen strikt getrennt werden.  

(4) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Kunden, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Kunden hat der Anbieter im notwendigen Umfang mitzuwirken und den Kunden soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO).  

(5) Der Anbieter wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden erteilte Weisung nach Ansicht des Anbieters gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Anbieter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Kunden nach Überprüfung bestätigt oder geändert wird. 

(6) Der Anbieter hat personenbezogene Anwendungsdaten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Kunde dies mittels einer Weisung verlangt und berechtigte Interessen des Anbieters dem nicht entgegenstehen.  

(7) Auskünfte über personenbezogene Anwendungsdaten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Anbieter nur nach vorheriger Weisung oder Zustimmung durch den Kunden erteilen.  

(8) Der Anbieter erklärt sich damit einverstanden, dass der Kunde – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Kunden beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Anwendungsdaten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).  

(9) Der Anbieter sichert zu, dass der Anbieter, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.  

(10) Der Anbieter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Anwendungsdaten des Kunden die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung der Vereinbarung fort.  

(11) Der Anbieter sichert zu, dass der Anbieter die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).  

(12) Der Anbieter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.  

(13) Der jeweils aktuell bestellte Beauftragte für den Datenschutz ist einsehbar unter https://meisterplan.com/de/datenschutz/ 

§ 7 Mitteilungspflichten des Anbieters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten 

(1) Der Anbieter teilt dem Kunden unverzüglich Störungen, Verstöße des Anbieters oder der bei ihr beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Anwendungsdaten mit.  

(2) Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Kunden nach Art. 33 und Art. 34 DSGVO. Der Anbieter sichert zu, den Kunden erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO).  

(3) Meldungen nach Art. 33 oder 34 DSGVO für den Kunden darf der Anbieter nur nach vorheriger Weisung durchführen. 

§ 8 Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO) 

(1) Die Beauftragung von Subunternehmern zur Verarbeitung von Anwendungsdaten des Kunden ist dem Anbieter nur mit Genehmigung des Kunden gestattet (Art. 28 Abs. 2 DSGVO). Der Anbieter hat dafür Sorge zu tragen, dass der Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig ausgewählt wird.  

(2) Je nachdem, von welchem Standort aus der Kunde die Registrierung vornimmt, entscheidet der Anbieter über den Rechenzentrumsstandort. Anwendungsdaten der Kunden, deren IP-Adresse auf einen EU-Standort schließen lässt, werden an einem Standort innerhalb der EU bzw. des EWR gehostet. Für alle anderen Standorte behält sich der Anbieter vor, über den Rechenzentrumsstandort frei zu bestimmen, einschließlich des Rechts zu einer Verarbeitung in den USA oder sonstigen Drittstaaten.  

Eine Beauftragung von Subunternehmern oder sonstige Verarbeitung personenbezogener Daten des Kunden in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.  

(3) Der Anbieter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen dem Kunden und dem Anbieter insoweit auch gegenüber Subunternehmern gelten, dass ein der DSGVO entsprechendes Schutzniveau gewährleistet ist. Die Parteien stellen klar, dass daraus keine Verpflichtung des Anbieters folgt, die Regelungen dieses Auftragsverarbeitungsvertrags wortgleich auch dem Subunternehmer aufzuerlegen. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern.  

(4) Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).  

(5) Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.  

(6) Der Anbieter haftet gegenüber dem Kunden dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Anbieter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.  

(7) Die jeweils aktuelle Liste der Subunternehmer des Anbieters ist unter https://meisterplan.com/de/subunternehmer/ abrufbar. Mit deren Beauftragung erklärt sich der Kunde einverstanden.  

(8) Der Anbieter kann gemäß Art. 28 Abs. 2 Satz 2 DSGVO weitere Subunternehmer hinzuziehen. In diesem Fall informiert der Anbieter den Kunden 30 Tage bevor Daten mit dem neuen Subunternehmer geteilt werden. Der Kunde ist berechtigt, der vorgenannten Hinzuziehung aus sachlichem Grund innerhalb 30 Tagen ab der individuellen Benachrichtigung zu widersprechen. Erfolgt kein fristgemäßer Widerspruch erweitert der Anbieter anschließend die unter https://meisterplan.com/de/subunternehmer/ abrufbare Liste. Insoweit wird auch klargestellt, dass der Kunde nur dann informiert wird, wenn Subunternehmer hinzugezogen werden, die Zugriff auf die personenbezogenen Daten des Kunden erhalten. 

(9) Sollte der Kunde innerhalb von 30 Tagen nach Erhalt der Information im vorstehenden Sinne berechtigte Einwände gegen die Einsetzung eines neuen Unterauftragnehmers vorbringen, werden die Parteien nach Treu und Glauben zusammenkommen, um eine angemessene Lösung zu erörtern. Wenn eine solche Lösung nicht innerhalb einer Mindestfrist von 90 Tagen nach dem Tag des Widerspruchs des Kunden erreicht werden kann, so ist der Kunde berechtigt, die Vereinbarung zu kündigen und eine anteilige Rückerstattung der Nutzungsvergütung zu verlangen.

§ 9 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c DSGVO) 

(1) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.  

(2) Im Anhang 1 („Technische und organisatorische Maßnahmen“) sind die diesbezüglichen technischen und organisatorischen Maßnahmen des Anbieters aufgeführt.  

(3) Die Maßnahmen des Anbieters können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.  

(4) Wesentliche Änderungen muss der Anbieter mit dem Kunden in dokumentierter Form (schriftlich, elektronisch) abstimmen, soweit sie eine Auswirkung auf die Erbringung des Service haben. Solche Abstimmungen sind für die Dauer dieses Auftragsverarbeitungsvertrages aufzubewahren. 

§ 10 Verpflichtungen des Anbieters nach Beendigung des Auftrags (Art. 28 Abs. 3 Satz 2 lit. g DSGVO) 

(1) Nach Abschluss der vertraglichen Arbeiten hat der Anbieter sämtliche vom Kunden zur Verarbeitung überlassenen Anwendungsdaten zu löschen.  

(2) Dies wird erreicht über die automatische Löschung der Anwendungsdaten nach Ablauf einer Frist von dreißig (30) Tagen nach Beendigung des Vertragsverhältnisses. Wegen der Einzelheiten wird auf die Regelungen des § 14 des Servicevertrages (Teil I dieser Bedingungen) verwiesen. 

§ 11 Haftung 

Auf Art. 82 DSGVO wird verwiesen. 

Anlage 1: Technische und organisatorische Maßnahmen  

Folgende technisch-organisatorische Maßnahmen werden von dem Anbieter im Bereich Meisterplan realisiert.  

Zugangskontrolle  

Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte.  

1. Jeder Anwender-Zugang zu Datenverarbeitungsanlagen und Systemen ist nur über eine Benutzerkennung mit Passwort oder über eine SSO-Lösung möglich.  
2. Kennwortrichtlinie laut Active-Directory Richtlinie.  
3. Zugang zum zentralen Kundenmanagement-System ist über Single-Sign-On (SSO) an das Benutzerkonto des Mitarbeiters gekoppelt.  
4. Art des Zugriffs wird über abgestufte Benutzerberechtigungen erstellt und verwaltet.  
5. Bildschirmsperrung nach 5 Minuten Inaktivität, per Benutzerrichtlinie.  
6. VPN-Zugang an ausgewählte Mitarbeiter von extern zum Firmennetzwerk.  
7. Chipkarten-Schließsystem und Sicherheitsschlösser.  
8. Kontrollierte Vergabe, Einzug und Sperrung der Chipkarten.  
9. Eingangskontrolle am Empfang.  
10. Jede Gebäudeebene ist getrennt durch Chipkartenzugang gesichert.  
11. Besucherausweise für personalisierten, temporären Zugang zum Gebäude.  
12. Kameraüberwachung Einfahrt und Eingang Tiefgarage.  
13. Alarmanlage Tiefgarageneingang des Anbieters.  
14. Serverräume sind nur für Mitarbeiter der Abteilung IT und für die Geschäftsführung zugänglich und gesondert gesichert.  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. 2-Faktor Authentifizierung bei Passwortmanagement-Software und bei Hosting-Provider Amazon Web Services (AWS).  
2. Es werden nur sichere Passwörter zu Applikationen erlaubt, welche in einer Passwortmanagement-Software verwaltet werden.  Administrative Zugriffe auf die AWS-Konsole werden geloggt. 

Für Sicherheitsrichtlinien des Rechenzentrums bei AWS siehe https://aws.amazon.com/de/compliance/data-center/controls/   

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.  

1. Sichtschutzfolien für Notebooks von Mitarbeitern, welche an öffentlichen Plätzen arbeiten.  
2. Clean-Desk Policy.  
3. Festplatten von Notebooks / Laptops sind verschlüsselt.  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. Bei Meisterplan werden keine Datenträger an Dritte verschickt oder von Dritten empfangen. Der Austausch von Daten findet ausschließlich mittels Filesharing-Plattform mit Rechte- und Löschkonzept und gesicherter Verbindung statt.  
2. Der Einsatz von USB-Sticks, um Kundendaten zu verarbeiten, ist bei Meisterplan nicht erlaubt.  

Speicherkontrolle  

Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.  

1. Jeder Anwender-Zugang zu Datenverarbeitungsanlagen und Systemen ist nur über eine Benutzerkennung mit Passwort oder über eine SSO-Lösung möglich.  
2. Zugang zum zentralen Kundenmanagement-System ist über SSO an das Benutzerkonto des Mitarbeiters gekoppelt.  
3. Im zentralen Kundenmanagement-System werden die Zugriffe auf das System und Datenänderungen protokolliert.  
4. Die Änderungen an Benutzerberechtigungen zentralen Kundenmanagement-System in der Administrationsoberfläche werden manuell protokolliert.  
5. Die Art des Zugriffs wird über abgestufte Benutzerberechtigungen erstellt und verwaltet.  
6. Bildschirmsperrung nach 5 Minuten Inaktivität am Arbeitsplatzrechner per Benutzerrichtlinie.  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. Die Test-Daten sind getrennt von den Produktiv-Daten. Im Detail heißt das, dass das Meisterplan Continuous Integration Cluster getrennt ist vom Produktiv-Cluster.  
2. Die Backups von Meisterplan Anwendungsdaten werden ausschließlich verschlüsselt transportiert/gespeichert. Die Backups werden in der jeweiligen Region (USA / Deutschland) gespeichert.  
3. Anwendungsdaten dürfen nur nach Einwilligung des Kunden zur Fehler-Reproduktion oder Beratungszwecke verwendet werden. Nach Zweckerfüllung werden Datenkopien unwiderruflich gelöscht.  
4. Der Datentransfer wird ausschließlich verschlüsselt vorgenommen.  

Benutzerkontrolle  

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.  

1. Jeder Anwender-Zugang zu Datenverarbeitungsanlagen und Systemen ist nur über eine Benutzerkennung mit Passwort oder über eine SSO-Lösung möglich.  
2. Zugang zum zentralen Kundenmanagement-System ist über SSO an das Benutzerkonto des Mitarbeiters gekoppelt.  
3. Im zentralen Kundenmanagement-System werden die Zugriffe auf das System und Datenänderungen protokolliert.  
4. Die Änderungen an Benutzerberechtigungen im zentralen Kundenmanagement-System in der Administrationsoberfläche werden manuell protokolliert.  
5. Die Art des Zugriffs wird über abgestufte Benutzerberechtigungen erstellt und verwaltet.  
6. Bildschirmsperrung nach 5 Minuten Inaktivität am Arbeitsplatzrechner per Benutzerrichtlinie.  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. Regelmäßige Revision der Zugriffsberechtigungen auf interne Meisterplan-Anwendungen (JIRA, Stash etc.).  
2. Auf die Meisterplan AWS Produktiv-Infrastruktur haben nur ausgewählte, langjährige, speziell ausgebildete und vertrauenswürdige Mitarbeiter des Anbieters Zugriff. Es existiert ein Prozess zum Auswahlverfahren.  
3. Administrationszugriffe auf die Meisterplan AWS-Dienste werden protokolliert.  
4. Änderungen am Deployment der Meisterplan-Anwendungen werden über Code-Versionierung protokolliert.  

Zugriffskontrolle  

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.  

1. Toolgestütztes Passwortmanagement in allen Bereichen.  
2. Alle firmeninternen Anwendungen, die durch einen Browser außerhalb des internen Netzwerkes aus dem Internet erreichbar sind, haben TLS geschützte Verbindungen.  
3. Schutz vor unberechtigtem Zugriff durch Einsatz von Virenschutz und Firewall.  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch: 

1. Die Benutzerrechte der Mitarbeiter richten sich nach dem jeweiligen Aufgabenbereich des Mitarbeiters („need-to-know”-Prinizip).  
2. SSO für Meisterplan-Kunden wird angeboten.  
3. Der integrierte Authentifizierungsservice von Meisterplan stellt sicher, dass auf Kundendaten nur durch den Kunden und nicht durch andere Personen zugegriffen werden kann.  

Übertragungskontrolle  

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.  

1. Datentransfer nur über verschlüsselte Verbindung  
2. Einsatz von VPN  

Eingabekontrolle  

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.  

1. Im zentralen Kundenmanagement-System werden die Zugriffe auf das System und Datenänderungen auf Benutzerebene protokolliert.  

Transportkontrolle  

Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.  

1. Es erfolgt kein Transport von physischen Datenträgern mit unverschlüsselten Daten Dritter innerhalb von itdesign oder zu Auftragnehmern von itdesign.  
2. Datenträger in Notebooks sind verschlüsselt und mit einem Passwort gesichert.  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. Bei Meisterplan werden keine Datenträger an Dritte verschickt oder von Dritten empfangen. Der Austausch von Daten findet ausschließlich mittels Filesharing-Plattform mit Rechte- und Löschkonzept und gesicherter Verbindung statt.  
2. Der Einsatz von USB-Sticks um Kundendaten zu verarbeiten ist bei Meisterplan nicht erlaubt.  
3. Der Zugriff auf Anwendungsdaten über Web-Protokolle oder SSH erfolgt ausschließlich verschlüsselt.  

Wiederherstellbarkeit  

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.  

1. Backup- und Recoverykonzept  
2. Kontrolle des Backupvorgangs  
3. Verwendung eines RAID-Systems/Festplattenspiegelung  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. Automatisierte Wiederherstellung von Cloud Computing-Ressourcen bei Ausfall.  

Zuverlässigkeit  

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.  

1. Akustische Warnmeldung bei Fehlfunktion USV / Server  
2. Automatische Benachrichtigung bei Systemausfall  
3. Redundante Stromversorgung aller produktiven Server  
4. Jährliche Unterweisung der Mitarbeiter zu Datenschutz-Richtlinien  
5. Alle Mitarbeiter unterzeichnen eine Erklärung auf das Datengeheimnis (§5 BDSG). Ab 25.05.2018 verpflichten sich die Mitarbeiter zur Vertraulichkeit auf Grundlage Art. 5 Abs. 1 f., Art. 32 Abs. 4 Datenschutz-Grundverordnung (DSGVO).  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. Hohe Redundanz der Infrastruktur (Computing, Storage, Network) durch AWS. Dadurch wird eine sehr hohe Verfügbarkeit der Meisterplan-Systeme gewährleistet.  
2. Monitoring der Systeme und Infrastruktur erfolgt durch Erfassung diverser Metriken, Auswertung von Logs, Health Checks der Systeme, Alerting-System.  
3. Eingerichtete und dokumentierte, hoch verfügbare Rufbereitschaft von 4 Personen (rotierend).  
4. Hohe Qualität der Anwendung wird sichergestellt durch Tests auf allen Ebenen (Unit-Tests, Integrations-Tests, e2e-Tests, UI-Tests, manuelle Tests mit Testplänen). Geschultes Personal in der QS.  
5. Incident-Management-Process mit Verbesserungsprozess.  
6. Sicherheit ist im Meisterplan-Entwicklungsprozess verankert. Externe Überprüfung erfolgt durch spezialisierten Pen-Test-Dienstleister.  

Datenintegrität  

Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.  

1. Backupkonzept – und Recoverykonzept  
2. Kontrolle des Backupvorgangs  
3. Monitoring der produktiven Systeme  

Auftragskontrolle  

Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.  

1. Reinigungsdienstleister werden sorgfältig ausgewählt.  
2. Mitarbeiter, die im Auftrag eines Verantwortlichen Daten verarbeiten sind über die mit dem Auftraggeber geschlossenen AV-Verträge informiert.  
3. Die AV-Verträge sind einschließlich der vereinbarten technisch-organisatorischen Maßnahmen für die mit der Verarbeitung betroffenen Mitarbeiter verfügbar.  
4. Die vereinbarten technisch-organisatorischen Maßnahmen werden in wiederkehrenden internen Datenschutzaudits überwacht.  
5. Mit allen Subunternehmern, die im Rahmen der Auftragsverarbeitung eingesetzt werden, existieren AV-Verträge.  

Verfügbarkeitskontrolle  

Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.  

1. Feuerlöschgerät im Serverraum  
2. Geräte zur Überwachung von Temperatur und Feuchtigkeit in den Serverräumen  
3. Der Serverraum ist klimatisiert.  
4. USV-Anlage  
5. Das komplette Gebäude ist mit Feuer- und Rauchmeldeanlagen ausgestattet.  
6. Aufbewahrung der Datensicherungen an einem sicheren, ausgelagerten Ort.  
7. Verwendung eines RAID-Systems / Festplattenspiegelung.  

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:  

1. Monitoring der Systeme und Infrastruktur durch Erfassung diverser Metriken, Auswertung von Logs, Health Checks der Systeme, Alerting-System.  
2. Eingerichtete und dokumentierte, hoch verfügbare Rufbereitschaft von 4 Personen (rotierend).  
3. Reporting über Verfügbarkeitsstatistiken liegen vor.  
4. Für Sicherheitsrichtlinien des Rechenzentrums bei AWS siehe https://aws.amazon.com/de/compliance/data-center/controls/   

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.  

1. Test-, Entwicklungs- und Produktivsysteme sind technisch voneinander getrennt.  
2. Die Zugriffsberechtigungen auf Kunden- und Beschäftigungsdaten werden über Benutzerrechte sowie über logische Trennung (Kennzeichnungen in den Datensätzen) im zentralen Kundenmanagement-System gesteuert.  

Weisungsgemäße Verarbeitung 

Es ist nach und Art. 32 Abs. 4 DSGVO dafür Sorge zu tragen, dass Mitarbeiter und externe Dienstleister, die Zugang zu personenbezogenen Daten haben, diese nur entsprechend den Weisungen des Verantwortlichen verarbeiten. Hierzu werden nachfolgende Maßnahmen ergriffen: 

1. Verpflichtung der Mitarbeiter auf das Datengeheimnis 
2. Umsetzung von eigenen Sicherheitsrichtlinien 
3. Schulungen 

Datenschutzmanagement 

Folgende zusätzliche Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung werden nach Artikel 32 Absatz 1 Buchstabe d DSGVO; Artikel 25 Absatz 1 DSGVO eingesetzt 

1. Datenschutz-Management nach der PDCA-Methode 
2. Incident-Response-Management 
3. Datenschutzfreundliche Voreinstellungen nach Artikel 25 Absatz 2 DSGVO