Meisterplan terms of service

Meisterplan Software as a Service Terms and Conditions

Last Updated: November 7, 2023
Available in English and German (Deutsch)

Contents

Meisterplan Software as a Service Terms and Conditions (hereinafter referred to as “Terms of Service”) to an agreement entered into via the Meisterplan Webshop or in any other way (hereinafter referred to as “Agreement”) between itdesign GmbH, Friedrichstrasse 12, 72072 Tübingen, Germany (hereinafter referred to as the “Supplier”) and you or the company/organization that you represent (hereinafter referred to as the “Customer”), hereinafter collectively referred to as the “Parties”.

These Terms of Service are composed of

  • the following terms and conditions for the provision of the Services by the Supplier (Part I) (hereinafter referred to as the “Service Contract”) and
  • the Agreement on Data Processing between the Parties (Part II) (hereinafter referred to as the “Data Processing Agreement”).

Overview in Plain English

We have summarized the most important service-relevant points for you in plain English. This summary is not complete nor legally binding.

Part 1 of the Software as a Service Terms and Conditions: Service Contract

  • What is this contract about? Use of the Meisterplan software for a fee, plus the free trial period.
  • Back-Ups are created daily and stored for 30 days.
  • 99% availability is guaranteed during peak usage hours (Mon-Fri, 9:00am – 5:00pm). Availability is actually much higher, an overview can be found at https://status.meisterplan.com.
  • Planned maintenance only takes place outside of regular working hours and is communicated ahead of time on https://status.meisterplan.com.
  • Price increases are excluded within the first 12 months.
  • Company logos are an important element of trust in marketing. Upon entering into a contract, you allow us to use your company logo on marketing materials. You prefer not to? Please send us an email at mail@meisterplan.com.
  • Data privacy is important to us. We process personal data based on our legitimate interest to provide Meisterplan and are in compliance with the GDPR. We may use subcontractors for this purpose – a regularly updated list is available here: https://meisterplan.com/subcontractors/. We process personal data entered into Meisterplan on your behalf, in which case Part 2 of the Terms of Service (“Data Processing Agreement”) applies.
  • In the event of poor performance, we are liable according to applicable legislation. You may also claim Service Level Credits.
  • Confidentiality is a mutual agreement between both parties.
  • The contract term (either month or year) begins with a confirmation of your order and is automatically extended if you do not cancel before the end of the term.
  • The deletion of your MP data is completed automatically 30 days after the end of the contract.

Part 2 Software as a Service Terms and Conditions: Data Processing Agreement

  • This part of the contract regulates personal data entered by you and other users into your Meisterplan system.
  • You determine which data we process by entering this data into your Meisterplan system.
  • Our data protection officer is available to help you. His contact details are located at https://meisterplan.com/privacy-and-data-protection/.
  • Subprocessors process personal data in encrypted form and to a limited, clearly defined extent. They are listed at https://meisterplan.com/subprocessors/. Additional subprocessors may be contracted at any time and are selected according to strict guidelines. Before a new subprocessor processes your personal application data, we will inform you via email with enough time to allow you to object to the outsourcing due to significant data privacy reasons.
  • Our technical and organizational measures (see Appendix 1) describe our physical and process-related security precautions. They are there to protect your data and may be modified at any time.
  • The deletion of your MP data is completed automatically 30 days after the end of the contract.
  • Liability is governed by the law (Art. 82 GDPR).

Part I – Service Contract

1 Subject of the Agreement, definitions

(1) Under the Agreement, the Parties agree that the Supplier is to give the Customer the right, subject to a fee, to use the software application “Meisterplan” (referred to hereinafter as the “Application“).

(2) The subject of the Agreement is the provision by the Supplier to the Customer, subject to payment of the fee for the term agreed in the Agreement or in a separate agreement, of the current version of the Application made available by the Supplier for the use of its functionalities, the technical facility to use the Application and the grant or transfer of rights of use to the Application.

(3) A functional description of the Application is available for download at https://meisterplan.com/wp-content/uploads/meisterplan-product-description.pdf

The software environment approved by the Supplier for use of the Application, in particular the browser, is specified in the Application system requirements and is available for download at https://meisterplan.com/wp-content/uploads/meisterplan-system-requirements.pdf

(4) Resource: A “Resource” means, hereinafter, an individual person or material resource that you plan for using the Application. Each resource may also log in as a user of the Application. If the customer uses “placeholder”, “proxy-resources” or roles, one resource must be licensed for every represented person or material resource.

Environment: An “Environment” is a logical unit on which the Application is operated. This may be a physical or virtual server; which can be accessed with the aid of a browser.

2 Provision of the Application, securing the Application Data

(1) The Supplier shall keep the latest version of the Application on a central data processing system or several data processing systems (referred to hereinafter as “Server“, even if there are several of them), in accordance with the following provisions.

(2) The Application and the data entered by the Customer into the Application (hereinafter the “Application Data”) shall be backed up regularly on the Server, at least once daily, unless agreed otherwise between the Parties. The security backup generated shall be filed on the Server. The backup thus filed shall be held for thirty (30) days before being automatically overwritten on the following working day.

(3) The point of delivery of the Application and the Application Data shall be the router output of the data processing center used by the Supplier (referred to hereinafter as the “Delivery Point“).

(4) If you are a Competitor, defined as an individual or an entity engaged in a business that provides products or services substantially similar to Meisterplan’s offerings, including agents, employees, or representatives, you are expressly forbidden from accessing or using the Application. This prohibition extends to signing up for free trials. Additionally, you may not access the Application for purposes of monitoring its availability, performance, or functionality, or for any other benchmarking or competitive purposes. Violation of this clause may result in immediate termination of your access to the Application and may subject you to legal action.

3 Application trial versions

The Customer has the opportunity to test the Application free of charge. The free trial version of the Application shall be provided to the Customer solely for trial purposes for a limited period. A trial version is not permitted to be used for normal business operations.

The Application Data shall be deleted automatically 30 days after the end of the trial phase.

4 Service levels

This paragraph sets the general service levels for the use of the Application.

(1) Technical availability of the Application

a) The Supplier shall make the Application available to the Customer during the following System Runtime, with the exception of the agreed scheduled outage periods pursuant to Clause 4 (2) below.

The “System Runtime” shall be 24 hours a day and 365 days a year.

b) The parties agree to the periods of available use (which means availability exists) as follows: Within the System Runtime, a Primary Processing Time is defined during which the Supplier ensures monthly availability of the Application from Monday to Friday from 09.00 – 17.00 CE(S)T to 99%. During this time, the longest uninterrupted downtime will not exceed 4 hours.

All times outside the Primary Processing Time are considered as Secondary Processing Time during which availability is not ensured. Primary Processing Time excludes Saturdays, Sundays, January 1 and December 25.

c) The Application will be deemed to be available during periods of time in which

  • The Application cannot be accessed (or other faults exist) due to problems with the local IT system of the Customer, or in a fault in the Customer’s connection to the Server, or
  • other events occur, which are not caused by the Supplier or its agents, e.g., due to force majeure, abuse or operator error.

(2) Scheduled outages

Supplier may schedule outage periods in order to service and maintain the Application and/or Server, and to perform other tasks. The Supplier will announce scheduled outages to the Customer no less than 7 days in advance at https://status.meisterplan.com.
Even if the Customer is able to use the application during the scheduled outage period, it shall not be legally entitled to do so. If, during use of the Application during scheduled outage periods, there is a reduction in performance or suspension of performance, the Customer may not make a claim for liability for defects or for damages.

(3) Measuring actual availability

The actual availability percentage for Primary Processing Time is calculated as follows:

Actual availability percentage for Primary Processing Time

The availability shall be determined by a monitoring instance of the Supplier. The availability of the Application itself as well as that of the application services (such as reporting) shall be monitored.
Based on this monitoring procedure, data on availability shall be automatically generated, which the Supplier makes available to the Customer at https://status.meisterplan.com

(4) Response times

The Supplier shall ensure, within the Primary Processing Time only, that fault rectification work shall begin within a period agreed below, based on the respective fault class defined below, following receipt of a report of a technical fault from the Customer by e-mail or support ticket (“Response Time”).

In the case of faults reported outside the Primary Processing Time, the Response Time shall start on the next business day within the primary processing time.

Fault class    Response Time
Fault class 1 4 hours
Fault class 2 2 business days
Fault class 3 5 business days

The fault classes are defined as follows:

Class 1: Defect that prevents operation
A defect that prevents operation shall exist if use of the Application is impossible; a workaround is not available.

Class 2: Defect that hinders operation
A defect that hinders operation shall exist if use of the application is significantly restricted and no workaround is available.

Class 3: Minor defect
A minor defect shall exist if use of the application is possible without restriction or with minor restrictions.

(5) Breach of availability and remedy

If, during the Primary Processing Time, the Supplier does not meet the availability targets set out under Clause 4 (1), the Customer shall be entitled to demand payment of a contractual remedy (referred to hereinafter as “Service Level Credit“) as follows:

  • if the availability during the Primary Processing Time is not achieved: 0.5% of the monthly fee (pro rata) per failure, by 0.1% or part thereof, to achieve the agreed availability, albeit up to a maximum of 100% of the monthly fee;
  • if the longest uninterrupted downtime is overrun during the Primary Processing Time: 5% of the monthly fee (pro rata) per overrun, albeit up to a maximum of 100% of the monthly fee;
  • if Supplier does not meet the Response Time targets for a Fault Class 1 issue during Primary Processing Time: 5% of the monthly fee (pro rata) per overrun, albeit up to a maximum of 100% of the monthly fee.

This will not apply if the Supplier is not responsible for the failure to achieve the availability/for the overrun of the downtime/reaction time. The value of the total Service Level Credits owed to Customer will be paid out to the Customer or offset against current invoices from the Supplier.

The Service Level Credits shall be credited against any claims for damages by the Customer. Apart from claiming Service Level Credits, the Customer may require the Supplier to continue to fulfil the Agreement.

5 Other services of the Supplier, online user manual

(1) The Supplier shall provide the Customer with new versions of the Application developed during the Agreement term (in particular updates, upgrades or releases). The new versions may also contain extended functionalities.
The Customer shall not have the right to require new versions to be produced or to demand the inclusion of specific additional functionalities in the Application.

(2) The Supplier shall provide the Customer with an online user manual for the Application.

6 Rights of use, rights of the Supplier in the event that rights of use are exceeded

(1) The Customer shall receive a simple, non-exclusive right of use for the Application, which may not be the subject of a subsidiary license and shall be non-transferable, shall be limited in time to the term of the Agreement in accordance with these Terms of Service.

The Customer may only use the Application for its own commercial activities involving its own staff or agents, including staff or agents from affiliated companies.

(2) The Customer may only use the Application according to the number of resources stated in Clause 1 (4) of this Service Contract.

(3) The Customer shall have access to one (1) environment. No additional environments will be provided for testing or quality assurance purposes. These may be ordered as required for an additional charge.

(4) The Customer shall have no rights other than those explicitly granted to it above. In particular, the Customer shall not be entitled to use the Application beyond what is agreed or to allow its use by third parties, or to make the Application accessible to third parties.

(5) If the Customer does not comply with the obligations under Clause 6 (1) to (4) of this Service Contract, the Supplier may block the Customer’s access to the Application or the Application Data, if this demonstrably prevents continuation of the noncompliance.

If, despite a written warning by the Supplier, the Customer continues the noncompliance described under Clause 6 (1) to (4) of this Service Contract, or is responsible for their continuation or repetition, the Supplier may terminate the Agreement for cause without notice.

7 Fee and payment

(1) The Customer shall pay the Supplier the fee for use shown in the Agreement, plus any required value added tax at the statutory rate, for the services to be provided, namely granting use of the Application.

(2) The fee is due for payment in advance of service, at the times set out in the Agreement.

(3) The Supplier shall be entitled to reasonably increase the agreed upon prices for the contractual services in order to meet staffing costs and other cost increases. The Supplier shall notify the Customer of a price increase in writing or via email; the price increase shall not apply to the period for which the Customer has already made payments.

The prices may not be increased within 12 months of the effective date of conclusion of the Agreement.

(4) If entering into a paid Agreement (thus the exception of trial versions), the Customer hereby grants to the Supplier the right to use the Customer’s company logo in marketing materials such as the Supplier’s website solely to identify the Customer as a Meisterplan customer. This permission may be revoked informally by sending an e-mail to mail@meisterplan.com. The Supplier shall not use the Customer’s logo without prior written permission in any other manner.

8 Customer’s duties of cooperation

(1) The Customer shall fulfill all duties and obligations that are required in order to process the Agreement.
The Customer undertakes in particular:

  1. not to disclose the use and login credentials assigned to it or the users, to prevent them from being accessed by third parties and not to pass them to unauthorized users;
  2. to protect the user IDs, passwords and the like through appropriate and customary means; the Customer shall notify the Supplier promptly in the event of any suspicion that the access data and/or passwords may have become known to unauthorized third parties;
  3. to adhere to the restrictions/obligations in relation to the rights of use set out in Clause 6 of this Service Contract; and in particular:
    • not to retrieve or allow retrieval of any information or data without authorization, or to interfere with or allow interference with programs operated by the Supplier, or to infiltrate or promote infiltration into the Supplier’s data networks without authorization;
    • to indemnify the Supplier in the event of claims by third parties that result from the unlawful use of the Application by the Customer, or that arise out of disputes under data protection law, copyright law or other legal disputes brought about by the Customer, which are associated with the use of the Application;
    • to require authorized users to also adhere to the provisions of the Agreement and of these Terms of Service that apply to them;
    • to inform the authorized users of the processing of their personal data by the Supplier in accordance with Art. 13 and 14 GDPR.
  4. to check data and information for viruses before sending them to the Supplier and to install state-of-the-art antivirus software;
  5. to promptly declare to the Supplier any defects in the contractual services, in particular defects in the services described in Clause 1 of this Service Contract;

9 Data security, data protection

(1) The Parties shall observe the data protection provisions applicable to them, in particular those that are valid in Germany, including Regulation (EU) 2016/679 (General Data Protection Regulation).

(2) If the Customer gathers, processes or uses personal data, it shall be answerable for the fact that it is entitled to do so under the applicable legal provisions, in particular those under data protection law, and shall indemnify the Supplier for claims by third parties in the event of a breach of such provisions.

(3) Within the framework of the implementation of this Agreement, a distinction shall be made between the following categories of data, some of which may contain personal data:

  1. The Supplier processes personal data of the Customer’s contact persons (contact person, address, telephone number, fax, e-mail address) for the performance of the contract, in particular within the scope of the billing. This data is processed on the basis of legitimate interests pursuant to Art. 6 Para. 1 Letter f) GDPR. The purpose of the processing is to implement the Agreement with the Customer. Information on the rights of the data subject and deadlines for deletion can be found in theSupplier’s data protection information, which can be viewed at https://meisterplan.com/trust-center/privacy-and-data-protection/.
  2. The Supplier processes data on the usage behavior of the Customer’s users within the framework of server protocols which may contain information such as IP address, time stamp or web inquiry. This data is processed on the basis of legitimate interests pursuant to Art. 6 Para. 1 Letter f) GDPR. The purpose is, on the one hand, to search for and rectify errors, to avert threats to security, and to maintain the technical operation of the application.  Information on the rights of the data subject and deadlines for deletion can be found in the Supplier’s data protection information, which can be viewed at https://meisterplan.com/trust-center/privacy-and-data-protection/.
  3. The Supplier processes statistical data for the use of the Application. This data does not include any content that users have entered in the Application. The data may include actions triggered by the user, a time stamp, information on the web browser used, the internal ID of the respective database, an ID of the session, a non-invertible user ID, or the ID of a cookie generated on the website. These data are processed on the basis of legitimate interests in accordance with Art. 6 Para. 1 letter f) GDPR. The purpose of the processing is the continued provision of the service, the adaptation to the developing needs of the users, the improvement of the user experience in the application, and the optimization of the internal processes of the Supplier. Information on the rights of the data subject and deadlines for deletion can be found in the Supplier’s data protection information, which can be viewed at https://meisterplan.com/trust-center/privacy-and-data-protection/.
  4. The Supplier ultimately processes Application Data, i.e. the data entered by the Customer during use of the Application. This data is processed on behalf of the Customer in accordance with Art. 28 GDPR under the Data Processing Agreement (Part II of these Terms of Service).

(4) The obligations set out in Clause 9 (1) to (3) of this Service Contract shall apply for as long as the personal data remain within the Supplier’s range of influence, including beyond the end of this Agreement.

(5) The Supplier is entitled to use subcontractors in order to provide its services. A continuously updated list of the subcontractors used by the Supplier to process personal data on its behalf, can be viewed at https://meisterplan.com/trust-center/subcontractors/. Insofar as the Supplier entrusts subcontractors with the processing of the Customer’s personal data, of which the Supplier processes as a processor pursuant to Art. 28 GDPR, the special provisions of the Data Processing Agreement (Part II of these Terms of Service) shall apply. Such subcontractors will be included in a separate list.

(6) The Customer shall be responsible for the content that has been uploaded during use of the Application, and shall regularly prepare its own backups, in order to permit reconstruction of the content in the event of loss of the data and information.

(7) If and insofar as the Supplier provides the Customer with the requisite technical facilities to do so, the latter shall regularly download backups for the Application Data stored on the Server.

10 Claims in the event of defective performance

In the event of defective performance, the Customer shall be entitled to the claims according to Clause 4 of this Service Contract (Service levels). In all other respects the statutory provisions shall apply.

11 Confidentiality

(1) The Parties mutually agree to treat all knowledge of business secrets and other confidential information of the respective other party acquired within the scope of the contractual relationship as confidential, and to use such information exclusively for the purposes of implementing the Agreement.

(2) This obligation shall remain in force even after termination of this Agreement.

12 Liability

The liability of the Supplier is governed by law.

13 Proprietary rights of third parties

(1) The Supplier hereby guarantees that the Application is free from industrial property rights and copyrights of third parties.

If a third party asserts justified claims against the Customer owing to the infringement of proprietary rights by the Supplier’s Application, the Supplier shall be liable towards the Customer as follows:

  1. The Supplier shall, at its own discretion and at its own expense, either obtain a right of use for the Application or the relevant part of the Application, or change the Application in such a way that the proprietary right is not infringed, or exchange the Application. If it is not possible for the Supplier to do so under reasonable conditions, then the Customer may avail itself of the statutory rights to withdraw from the Agreement or demand a reduction.
  2. In the event of a legitimate claim being made against the Customer by a third party, the Supplier shall release the Customer from the costs that have arisen through the raising of these third-party claims (including reasonable lawyers’ fees, which shall be limited, where applicable, in accordance with the Rechtsanwaltsvergütungsgesetz (German Law on the Remuneration of Attorneys).
  3. The Supplier’s obligation to pay damages is based on Clause 12 of this Service Contract.

The Customer undertakes to notify the Supplier promptly, in writing or by e-mail, of the claims being asserted by third parties; the Supplier reserves the right to take all defensive measures and to conduct settlement negotiations. If the Customer discontinues use of the Application in order to reduce the damage for other important reasons, it shall be obliged to point out to the third party that the discontinuation of use does not constitute acknowledgement of an infringement of a proprietary right.

(2) Claims against the Supplier in accordance with Clause 13 (1) of this Service Contract shall be excluded if

  1. the Customer is responsible for the infringement of the proprietary right,
  2. the assertion of an infringement comes about through unauthorized modification of the Application by Customer or is associated with such a modification,
  3. the Application is not used in accordance with the provisions of the Agreement and of these Terms of Service or in accordance with the Application documentation.
  4. the alleged infringement could have been prevented through the use of an update, upgrade or patch released by the Supplier,
  5. the alleged infringement results from the use of the Application with a product from a third-party supplier that has not been made available by the Supplier.

(3) Further claims of the Customer against the Supplier and its vicarious agents owing to claims resulting from the infringement of proprietary rights of third parties are excluded.

14 Entering into the Agreement, start of the Agreement, term, termination

(1) The Customer makes an order by clicking the button “Order Now” on the Meisterplan Webshop or through other forms of communication.

The Agreement is executed and the contractual relationship shall commence with the acceptance of the Customer`s order by order confirmation of the Supplier.

(2) The Agreement shall have the minimum term as agreed in the Agreement and may not be the subject of ordinary termination prior to that point.
The Agreement shall be extended by further periods of the originally agreed term unless terminated by one of the Parties at the end of the minimum term or the extension period in question. The Parties may agree in writing upon a different notice period for termination of the Agreement.

(3) This shall not affect the right of the Parties to terminate the Agreement for cause.

15 Duties during and after the end of the Agreement

When the contractual relationship ends, all the Customer’s rights to use the Application shall lapse. The Supplier shall delete the Customer’s Application Data no later than 30 days after the end of the Agreement.

16 Force majeure, delays in performance of the service

The Supplier shall not be liable for delays in performance of the service due to force majeure, which shall include events that make it significantly more difficult or impossible for the Supplier to perform the services under the Agreement, including in particular strike, lockout, official orders, failure of, or problems associated with, communication networks and gateways of other operators, inasmuch as the Supplier was not responsible for such events.

Such events shall entitle the Supplier to postpone or interrupt the services for the duration of the hindrance.

17 Final provisions, place of jurisdiction, governing law

(1) All agreements, ancillary agreements and assurances, as well as subsequent amendments and supplements to the Agreement and/or these Terms of Service require a corresponding agreement between the Parties.

(2) If a provision of the Agreement and/or of these Terms of Service is or becomes ineffective or is incomplete, this shall not affect the remainder of the Agreement; the remaining provisions shall remain effective.

In such a case, and in the case of loopholes that the Parties have not foreseen, the Parties shall agree on a provision that best fulfills the intent and purpose of the Agreement and these Terms of Service and that reflects those of the invalid provision as closely as possible.

(3) The Agreement and these Terms of Service shall be governed by the law of the Federal Republic of Germany, to the exclusion of the UN Convention on Contracts for the International Sale of Goods (CISG).

(4) The place of performance and exclusive place of jurisdiction for all disputes arising out of or in connection with the Agreement and/or these Terms of Service shall be Tübingen, Federal Republic of Germany.

Part II – Data Processing Agreement

1 Scope of application

(1) The parties agree that the Supplier shall act as a processor for the Customer when providing the services, insofar as the Supplier processes Application Data for the Customer (cf. the definition of Application Data in Clause 2 (2) of the Service Contract (Part I of these Terms of Service).

(2) It is noted that the Supplier can process personal data of the Customer which are not the subject of this Data Processing Agreement, since the Supplier acts as a Controller in this respect. This concerns, for example, data for billing and license management, or automatically collected statistical data. For details, reference is made to the provisions in Clause 9 (3) of the Service Contract (Part I of these Terms of Service). It is ensured that this data is kept separate from the Application Data provided for processing. In addition, reference is made to the Supplier’s data protection information.

2 Subject of the Data Processing Agreement

The Supplier will process personal data for the Customer within the meaning of Art. 4, Cl. 2 and Art. 28 of the General Data Protection Regulation (GDPR) for purposes of this Data Processing Agreement.

3 Duration of the Data Processing Agreement

(1) The term of this Data Processing Agreement corresponds to the duration of the Agreement.

(2) The Customer may terminate the Agreement at any time without notice if the Supplier commits a serious breach of this Data Processing Agreement, the Supplier cannot or does not want to carry out instructions from the Customer, or the Supplier refuses to honor the contracting rights of the Customer stipulated within this Data Processing Agreement.

4 Type and purpose of processing, type of personal data, and categories of affected persons

(1) The subject of this Data Processing Agreement is personal Application Data which the customer enters into the Application in order to manage it there.

(2) The type of processed personal Application Data is basically determined by the Customer. Meisterplan offers the entry of first name, last name, e-mail address, role, start and end of employment, postal code and city (no personal address), skills and project planning. The Customer is obliged not to enter any special categories of personal data in the Application.

(3) Typically, the data subjects are internal employees, external employees, and suppliers of the Customer. The Customer determines the categories of data subjects at the time of data entry. In principle, data of all categories of data subjects can be processed.

5 Rights and obligations as well as authority of the Customer

(1) The Customer alone is responsible for the assessment of the permissibility of data processing in accordance with Art. 6, Para. 1 of the GDPR as well as for the protection of the rights of the data subjects in accordance with Art. 12 to 22 of GDPR. Nevertheless, the Supplier is obliged to promptly forward all such requests to the Customer if they are clearly directed to the Customer alone. Changes to the type of data that is processed and changes to procedure must be coordinated jointly by the Customer and the Supplier, and they must be defined in writing or in an electronic format.

(2) The Customer usually issues all orders, partial orders, and instructions in writing or in an electronic format. Verbal instructions must be confirmed promptly in writing or in an electronic format.

(3) The Customer may request proof that the Supplier’s technical and organizational measures comply with the obligations set out in this Data Processing Agreement before the start of processing under this Data Processing Agreement and thereafter at regular intervals within reason.

(4) The Customer informs the Supplier promptly if it finds any errors or irregularities during the validation of any data processing results.

6 Obligations of the Supplier

(1) The Supplier will process the personal Application Data provided for processing only in accordance with the agreements and instructions of the Customer, unless it is required to process this data in a different way under a European Union or member state law to which the Supplier is subject as a data processor (e.g., as required by investigations by law enforcement or state protection authorities); in such a case, the Supplier will inform the Customer of these legal requirements prior to processing, unless the law prohibits such communication because of an important public interest (Art. 28, Para. 3, Cl. 2 (a) of the GDPR).

(2) The Supplier will not use the personal Application Data provided for processing under this Agreement for any other purpose, and in particular for its own purposes. Copies or duplicates of this Application Data may not be produced without the knowledge of the Customer.

(3) The Supplier guarantees that the Application Data that is processed for the Customer will be kept strictly separate from other data.

(4) In respecting the rights of data subjects in accordance with Art. 12 to 22 of the GDPR on behalf of the Customer, and when preparing the lists of processing measures as well as when the Customer performs required data protection follow-up assessments, the Supplier must cooperate to the extent necessary to support the Customer as much as reasonably possible (Art. 28, Para. 3, Cl. 2(e) and (f) of the GDPR).

(5) The Supplier must inform the Customer without delay if, in its opinion, an instruction issued by the Customer violates statutory provisions (Art. 28, Para. 3, Cl. 3 of the GDPR). The Supplier may suspend the execution of the relevant instruction until it has been confirmed or changed by the Customer after verification of the Supplier’s objections.

(6) The Supplier will amend, cancel or restrict the processing of personal Application Data resulting from the Data Processing Agreement if the Customer so requests by issuing an instruction and the legitimate interests of the Supplier are not violated by this instruction.

(7) The Supplier may only disclose personal Application Data that are subject to this Data Processing Agreement to third parties or data subjects after prior instruction or approval by the Customer.

(8) The Supplier agrees that the Customer is entitled (on the basis of an advance appointment) to monitor compliance with the provisions on data protection and data security as well as the contractual agreements to the appropriate extent and as required by third parties commissioned by the Customer, in particular by obtaining Information and access to the Supplier’s stored Application Data and the data processing programs as well as on the basis of inspections (Art. 28, Para. 3, Cl. 2(h) of the GDPR).

(9) The Supplier warrants that it will assist, as necessary, in observing these controls.

(10) The Supplier undertakes to maintain confidentiality when processing the Customer’s personal data processing of Application Data under this Data Processing Agreement. This provision will remain in force after the end of the Agreement.

(11) The Supplier warrants that it will inform its employees that will carry out data processing of the relevant data protection provisions before commencing their work on processing data under this Data Processing Agreement, and that it will commit them to maintaining confidentiality of the data during their employment as well as after the termination of their employment relationship (Art. 28, Para. 3, Cl. 2 (b) and Art. 29 of the GDPR).

(12) The Supplier will monitor compliance with the data protection regulations at its company.

(13) The currently appointed Data Protection Officer can be viewed at https://meisterplan.com/trust-center/privacy-and-data-protection/.

7 Reporting obligations of the Supplier in case of processing delays and personal data breaches

(1) The Supplier will promptly notify the Customer of any disruptions, violations of the data protection provisions or the stipulations specified in this Data Processing Agreement that are committed by the Supplier or persons who are employed by it, as well as of suspected data breaches or irregularities in how personal Application Data has been processed.

(2) This also applies in particular to any notification and reporting obligations of the Customer in accordance with Art. 33 and Art. 34 of the GDPR. The Supplier undertakes to provide the Customer with appropriate support to carry out its duties under Art. 33 and 34 of the GDPR (Art. 28, Para. 3, Cl. 2 (f) of the GDPR).

(3) The Supplier may only send notifications as defined in Art. 33 or 34 of the GDPR on behalf of the Customer in accordance with prior instructions.

8 Subcontracting relationships with subprocessors (Art. 28. Para. 3, Cl. 2(d) of the GDPR)

(1) The Supplier may only hire subprocessors to process Application Data at the express permission of the Customer (Art. 28, Para. 2 of the GDPR). The Supplier must ensure that it carefully selects its subprocessor while ensuring that the subprocessor has taken appropriate technical and organizational measures within the meaning of Art. 32 of the GDPR.

(2) Depending on the location from which the Customer registers, the Supplier decides on the data center location. Application Data of customers whose IP address indicates an EU location will be hosted at a location within the EU or EEA. For all other locations, the Supplier reserves the right to freely determine the location of the data center, including the right to process the data in the USA or other third countries.
The hiring of subprocessors, or additional processing of the Customer’s personal data, is only allowed in third countries if the special requirements of Art. 44 et seq. of the GDPR are met.

(3) The Supplier shall ensure that the agreed upon regulations between the Customer and the Supplier also apply to subprocessors to the extent that a level of protection corresponding to the GDPR is guaranteed. The parties make it clear that this does not imply any obligation on the part of the Supplier to impose the provisions of this Data Processing Agreement on the subprocessor in the same wording. If several subprocessors are used, this shall also apply to the responsibilities between these subprocessors.

(4) The agreement with the subprocessor must be made in writing, though it may be made in an electronic format (Art. 28, Para. 4 and Para. 9 of the GDPR).

(5) Data may only be forwarded to the subprocessor if the subprocessor has fulfilled the obligations stipulated in Art. 29 and Art. 32, Para. 4 of the GDPR with regard to its employees.

(6) The Supplier will be liable to the Customer for ensuring that its subprocessor complies with the data protection obligations that are contractually imposed by the Supplier in accordance with relevant sections of the Data Processing Agreement.

(7) The current list of the Supplier’s subprocessors is available at https://meisterplan.com/trust-center/subprocessors/. The Customer agrees to their employment.

(8) In accordance with Art. 28. Para. 2, Cl. 2 GDPR, the Supplier may hire additional subprocessors. In this case, the Supplier shall inform the customer by e-mail 30 days before data is shared with the subprocessor. After this period the new list of subprocessors will be made available at https://meisterplan.com/subprocessors. In this respect, it should be made clear that the Customer will be informed only if subprocessors are hired who have access to the Customer’s personal data.

(9) If the Customer reasonably objects to the appointment of another sub-processor within 30 days upon receipt this information, the parties will come together in good faith to discuss an appropriate solution. If such solution can not be reached, the Customer may terminate the Agreement and shall receive a pro-rated refund of prepaid unused fees.

9 Technical and organizational measures in accordance with Art. 32 of the GDPR (Art. 28, Para. 3, Cl. 2(c) of the GDPR)

(1) An adequate level of protection is provided to counteract the risks to the rights and freedoms of persons whose data is processed during the course of processing of data under this Data Processing Agreement. For this purpose, the protection objectives of Art. 32, Para. 1 of the GDPR, including confidentiality, integrity, and ensuring the availability of the systems and services and their resilience with regard to the type, scope, circumstances, and purpose of the processing are taken into account when choosing appropriate technical and organizational corrective measures that permanently reduce risk.

(2) Appendix 1 (“Technical and Organizational Measures”) lists the Supplier’s technical and organizational measures.

(3) The measures that are taken by the Supplier may be subjected to further technical and organizational refinement in the course of the performance of the Data Processing Agreement, but they must not fall short of the agreed standards.

(4) The Supplier and the Customer must agree upon any significant changes in documented form (in writing or electronically), insofar as these changes affect the provision of the service. Such coordination must be maintained for the duration of this Data Processing Agreement.

10 Obligations of the Supplier after the completion of processing of data under this Data Processing Agreement (Art. 28, Para. 3, Cl. 2(g) of the GDPR)

(1) After completion of processing of Application Data under this Data Processing Agreement, the Supplier must delete all Application Data that the Customer transferred for processing.

(2) This is achieved by configuring the automatic deletion of the Application Data upon the expiration of thirty (30) days after the termination of the contractual relationship. For details, reference is made to the provisions of Clause 14 of the Service Contract (Part I of these Terms of Service).

11 Liability

Please refer to Art. 82 of the GDPR.

Appendix 1: Technical and Organizational Measures

The following technical and organizational measures are carried out by the Supplier in the Meisterplan division.

Access control

  1. Every user access to data processing equipment and systems is only possible via user authentication using a password or through a Single-Sign-On (SSO) solution.
  2. Password Policy as per Active Directory Policy.
  3. Access to the central Customer Relationship Management System is linked to the employee’s user account via SSO technology.
  4. Levels of user access are managed and created by assigning user privileges.
  5. Computer screens are locked after 5 minutes of inactivity as per the user policy.
  6. VPN access granted to selected employees working from outside the company network.
  7. Chip card locking system and security locks.
  8. Allocation, collection, and blocking of chip cards are all centrally controlled.
  9. Access control at the reception desk.
  10. Each building level is separately secured by chip card access.
  11. Guest cards.
  12. The vehicle and pedestrian entrances to the underground garage are kept under video surveillance.
  13. The pedestrian entrance to the Supplier’s underground garage is secured with an alarm system.
  14. Server rooms may only be accessed by IT department employees and company executives, and the entrances to these areas are specially secured.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. Two-factor authentication is used for password management software and the AWS hosting provider.
  2. Only secure passwords are allowed for applications, and these are managed using password management software.
  3. Administrative access to the AWS console is logged.
  4. For the security guidelines of the AWS Computing Center, see: : https://aws.amazon.com/compliance/data-center/controls/

Data storage media control

  1. Employees who work in public places use screen protectors on their laptops.
  2. Clean desk policy.
  3. The hard drives of notebooks/laptops are encrypted.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. At Meisterplan no data storage media are sent to third parties or received from third parties. All data is exchanged using a file-sharing platform that utilizes an access rights and deletion concept and is accessible using a secure connection.
  2. The use of USB sticks to process customer data is not allowed at Meisterplan.

Storage control

  1. Every user access to data processing equipment and systems is only possible via user authentication using a password or through a SSO solution.
  2. Access to the central Customer Relationship Management System is linked to the employee’s user account via SSO technology.
  3. In the central Customer Relationship Management System access to the system and data changes are logged.
  4. The changes to user authorizations in the central Customer Relationship Management System are manually logged in the administration interface.
  5. Levels of user access are managed and created by assigning user privileges.
  6. Workstation computer screens are locked after 5 minutes of inactivity as per the user policy.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. Test data is stored separately from production data. Specifically, this means that the Meisterplan Continuous Integration Cluster is kept separate from the Production Cluster.
  2. Meisterplan Application Data backups are only transported/stored in an encrypted state. The backups are stored in the respective region (USA/Germany).
  3. Application Data may only be used with the consent of the Customer for error reproduction or consulting purposes. Data copies will be permanently deleted after the task that required use of this data has been completed.
  4. When data is transferred, it is always encrypted.

User control

  1. Every user access to data processing equipment and systems is only possible via user authentication using a password or through a SSO solution.
  2. Access to the central Customer Relationship Management System is linked to the employee’s user account via SSO technology.
  3. In the central Customer Relationship Management System access to the system and data changes are logged.
  4. The changes to user authorizations in the central Customer Relationship Management System are manually logged in the administration interface.
  5. Levels of user access are managed and created by assigning user privileges.
  6. Workstation computer screens are locked after 5 minutes of inactivity as per the user policy.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. Access permissions to internal Meisterplan applications (JIRA, Stash, etc.) are regularly revised and reissued.
  2. Only selected, long-standing, and specially trained and trusted employees of the Supplier have access to the Meisterplan AWS Production Infrastructure. A selection procedure is used to choose these employees.
  3. Administrative access to the Meisterplan AWS infrastructure is logged.
  4. Changes to how Meisterplan applications are deployed are logged via code versioning.

Access controls

  1. Tool-assisted password management is utilized in all areas.
  2. All in-house applications that are accessible through a browser over the Internet have TLS protected connections.
  1. Protection against unauthorized access via the use of virus protection and firewall.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. The user permissions of the employees depend on the respective area of responsibility of each employee. (They are issued according to the “need-to-know” principle).
  2. SSO is offered for Meisterplan customers.
  3. Meisterplan’s built-in authentication service ensures that Customer data can only be accessed by customers and not by others.

Transfer controls

  1. Data is only transferred over an encrypted connection.
  2. VPN access.

Input controls

  1. Access to the system and data changes at the user level are logged in the central Customer Relationship Management System.

Transport controls

  1. There is no transport of physical data storage media containing unencrypted third-party data neither within itdesign nor to subcontractors of itdesign.
  2. Data storage media in notebooks is encrypted and secured with a password.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. At Meisterplan no data storage media are sent to third parties or received from third parties. All data is exchanged using a file-sharing platform that utilizes an access rights and deletion concept and is accessible using a secure connection.
  2. The use of USB sticks to process customer data is not allowed at Meisterplan.
  3. All access to the Application data via http or SSH is encrypted.

Data recovery

  1. Backup and recovery concept.
  2. Backup operation control.
  3. Utilization of a RAID system/disk mirroring.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. Automated recovery of cloud computing resources in case of failure.

Reliability

  1. Acoustic alarm in case of UPS/server malfunction.
  2. Automatic notification in case of system failure.
  3. Backup power supply of all production servers.
  4. Annual training of employees on data protection guidelines.
  1. All employees sign the declaration on data secrecy (§5 of the German Federal Data Protection Act (BDSG)). From 05/25/2018 onwards, employees obligate themselves to confidentiality based on Article 5 (1) et seq. and Article 32 (4) of the General Data Protection Regulation (GDPR).

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. High infrastructure redundancy (of computing, storage, and network resources) is provided through AWS. This ensures the very high availability of Meisterplan systems.
  2. The system and infrastructure are monitored through the recording of various metrics, evaluation of logs, performance of health checks on the systems, and use of an alerting system.
  3. An on-call technical support staff of 4 people (on rotation) is established and highly available.
  4. The high quality of the application is ensured by conducting tests at all levels (unit tests, integration tests, e2e tests, UI tests, and manual tests with test plans). The company employs trained QA staff.
  5. Incident management process with an improvement process.
  6. Security is built into the Meisterplan development process. External verification is provided by a specialized pen test service provider.

Data integrity

  1. Backup and recovery concept.
  2. Backup operation control.
  3. Monitoring of production systems.

Control of subprocessors

  1. Cleaning service providers are carefully selected.
  2. Employees who process the data of affected individuals are informed about the data processing agreements that have been concluded with the Client.
  3. The employees that carry out processing of data under this Agreement are allowed to consult the data processing agreements, including the agreed technical organizational measures.
  4. The approved technical organizational measures are monitored through recurring internal data protection audits.
  5. Data processing agreements have been concluded with all subprocessors that are involved in processing of data under this Agreement.

Availability control

  1. There is a fire extinguisher in the server room.
  2. Devices for monitoring temperature and humidity have been installed in the server room.
  3. The server room is climate controlled.
  4. UPS system.
  5. The entire building is equipped with fire and smoke detection systems.
  6. Backups are kept in a secure, off-site location.
  7. Utilization of a RAID system/disk mirroring.

In addition to the above mentioned measures, the Meisterplan division also carries out the following measures for the Customer:

  1. The system and infrastructure are monitored through the recording of various metrics, evaluation of logs, performing health checks on the systems, and use of an alerting system.
  2. An on-call technical support staff of 4 people (on rotation) is established and highly available.
  3. Reporting on availability statistics is available.
  4. For the security guidelines of the AWS Computing Center, see: https://aws.amazon.com/compliance/data-center/controls/
  5. Separation of equipment
  6. Test, development, and production systems are technically separated from each other.
  7. Access authorizations to customer and employment data are controlled via user rights as well as via logical separation (labels in the data records) in the central Customer Relationship Management System.

Separation of equipment

  1. Test, development, and production systems are technically separated from each other.
  2. Access authorizations to customer and employment data are controlled via user rights as well as via logical separation (labels in the data records) in the central Customer Relationship Management System.

Processing in compliance with instructions

In accordance with Art. 32 Para. 4 GDPR, it is to be ensured that employees and external service providers who have access to personal data process it only in accordance with the instructions of the person responsible. Therefore, the following measures are taken:

  1. Obligation of employees to maintain data secrecy
  2. Implementation of internal security guidelines
  3. Training

Data Protection Management

The following additional procedures for regular review, assessment and evaluation shall be used pursuant to Art. 32, Para. 1(d) GDPR; Art. 25, Para. 1 GDPR:

  1. Data protection management according to the PDCA Method
  2. Incident response management
  3. Data protection-friendly default settings pursuant to Art. 25, Para. 2 GDPR

Meisterplan Software as a Service Bedingungen

Contents

Meisterplan Software as a Service Bedingungen (nachfolgend „Bedingungen” genannt) zu einer Vereinbarung (nachfolgend „Vereinbarung“ genannt), die über den Meisterplan-Webshop oder auf eine andere Weise zwischen itdesign GmbH, Friedrichstr. 12, 72072 Tübingen (nachfolgend „Anbieter” genannt) und Ihnen bzw. der Firma/Organisation, die Sie vertreten (nachfolgend „Kunde” genannt) zustande kommt. Anbieter und Kunde werden nachfolgend zusammen „Parteien“ genannt.

Diese Bedingungen setzen sich zusammen aus

  • den nachfolgenden Regelungen für die Erbringung der Services durch den Anbieter (Teil I) (nachfolgend „Servicevertrag“ genannt) sowie
  • der Vereinbarung über die Auftragsverarbeitung zwischen den Parteien (Teil II) (nachfolgend „Auftragsverarbeitungsvertrag“ genannt).

Übersicht in normaler Sprache

Für Ihren schnellen Überblick haben wir die wichtigsten servicerelevanten Punkte für Sie in normaler Sprache zusammengefasst. Diese Zusammenfassung ist nicht vollständig und nicht rechtlich bindend.

Teil 1 der Software as a Service Bedingungen: Servicevertrag

  • Worum geht’s in diesem Vertrag? Um die Nutzung der Software Meisterplan gegen Lizenzgebühr und um die kostenfreie Testphase.
  • Back-Ups werden täglich erstellt und 30 Tage gespeichert.
  • 99% Verfügbarkeit sind während der Hauptnutzungszeit (Mo-Fr, 9:00 -17:00 Uhr) garantiert. Faktisch ist die Verfügbarkeit deutlich höher, einen Überblick finden Sie jederzeit unter https://status.meisterplan.com.
  • Geplante Wartungen finden nur außerhalb der regulären Arbeitszeiten statt und werden unter https://status.meisterplan.com angekündigt.
  • Preiserhöhungen sind innerhalb der ersten 12 Monate ausgeschlossen, danach maximal 5% p.a. nach Vorabinformation.
  • Firmenlogos sind ein wichtiges Vertrauenselement im Marketing. Mit Vertragsabschluss erlauben Sie uns, mit Ihrem Firmenlogo auf Marketing-Materialien zu werben. Sie möchten das nicht? Schreiben Sie uns eine E-Mail an mail@meisterplan.com.
  • Datenschutz ist uns wichtig. Wir verarbeiten zur Bereitstellung von Meisterplan personenbezogene Daten aus berechtigtem Interesse und halten uns dabei an die DSGVO. Wir dürfen dafür Unterauftragnehmer einsetzen - eine laufend aktualisierte Liste finden Sie hier: https://meisterplan.com/de/unterauftragnehmer/. Ihre in Meisterplan eingegebenen personenbezogenen Daten verarbeiten wir in Ihrem Auftrag, hier gilt Teil 2 der Bedingungen („Auftragsverarbeitungsvertrag”).
  • Bei Schlechtleistung haften wir nach dem Gesetz. Außerdem können Sie Service Level Credits einfordern.
  • Vertraulichkeit ist für uns und Sie eine wechselseitige Verpflichtung.
  • Die Laufzeit (Monat oder Jahr) beginnt mit unserer Bestätigung Ihrer Bestellung und wird automatisch verlängert, wenn Sie nicht vor Ende der Laufzeit kündigen.
  • Die Löschung Ihrer Meisterplan-Daten nehmen wir automatisch 30 Tage nach Vertragsende vor.

Teil 2 der Software as a Service Bedingungen: Auftragsverarbeitungsvertrag

  • Personenbezogene Daten, die Sie und weitere Nutzer in Ihre Meisterplan-Umgebung eingeben, sind in diesem Vertragsteil geregelt.
  • Welche Daten wir verarbeiten, bestimmen Sie mit Ihrer Eingabe der Daten in Ihre Meisterplan-Umgebung.
  • Unser Datenschutzbeauftragter hilft gerne weiter. Die Kontaktdaten finden Sie unter https://meisterplan.com/de/datenschutz/
  • Subunternehmer verarbeiten personenbezogene Daten verschlüsselt und in klar begrenztem Umfang. Eine Liste finden Sie unter https://meisterplan.com/de/subunternehmer/. Wir können jederzeit weitere Subunternehmer beauftragen, die wir nach strengen Richtlinien auswählen. Wenn ein neuer Subunternehmer Ihre personenbezogenen Anwendungsdaten verarbeitet, informieren wir Sie rechtzeitig per E-Mail, damit Sie der Auslagerung aus wichtigen datenschutzrechtlichen Gründen widersprechen können.
  • Unsere technisch-organisatorische Maßnahmen (siehe Anhang 1) beschreiben unsere physischen und prozessualen Sicherheitsvorkehrungen. Sie sind dazu da, Ihre Daten zu schützen. Wir können diese jederzeit anpassen.
  • Die Löschung Ihrer Meisterplan-Daten nehmen wir automatisch 30 Tage nach Vertragsende vor.
  • Die Haftung richtet sich nach dem Gesetz (Art. 82 DSGVO).

Teil I – Servicevertrag

§ 1 Gegenstand der Vereinbarung, Definitionen

(1) Mit der Vereinbarung vereinbaren die Parteien, dass der Anbieter dem Kunden die Nutzungsmöglichkeit für die Softwareanwendung „Meisterplan“ (im Folgenden „Anwendung“ genannt) zum Zugriff gegen Entgelt zur Verfügung stellt.

(2) Gegenstand der Vereinbarung ist die Bereitstellung der vom Anbieter aktuell zur Verfügung gestellten Version der Anwendung zur Nutzung ihrer Funktionalitäten, die technische Ermöglichung der Nutzung der Anwendung und die Einräumung bzw. Vermittlung von Nutzungsrechten an der Anwendung gegen Zahlung des in der Vereinbarung festgelegten Entgelts für den in der Vereinbarung oder in einer separaten Vereinbarung festgelegten Zeitraum.

(3) Eine Funktionsbeschreibung der Anwendung kann unter https://meisterplan.com/de/wp-content/uploads/pdfs/Meisterplan-Product-Description.pdf
abgerufen werden.

Die vom Anbieter zur Nutzung der Anwendung freigegebene Softwareumgebung, insbesondere Browser, sind in den Systemvoraussetzungen der Anwendung festgelegt und unter https://meisterplan.com/de/wp-content/uploads/pdfs/Meisterplan-System-Requirements.pdf  abrufbar.

(4) Ressource: Eine „Ressource“ ist im Folgenden eine natürliche Person oder materielle Ressource, die mit der Anwendung verwaltet werden kann. Jede Ressource kann sich zudem als Nutzer der Anwendung anmelden. Nutzt der Kunde „Platzhalter“, „Proxy-Ressourcen“ oder Rollen, so muss für jede dadurch dargestellte Person oder materielle Ressource eine Ressource lizenziert werden.

Umgebung: Eine „Umgebung“ ist eine logische Einheit, auf der die Anwendung betrieben wird. Dies kann ein physischer oder ein virtueller Server sein, auf den mithilfe eines Browsers zugegriffen werden kann.

§ 2 Bereitstellung der Anwendung, Sicherung der Anwendungsdaten

(1) Der Anbieter hält auf einer zentralen Datenverarbeitungsanlage oder mehreren Datenverarbeitungsanlagen (auch bei Mehrzahl im Folgenden „Server“ genannt) die Anwendung in der jeweils aktuellen Version nach Maßgabe der folgenden Regelungen bereit.

(2) Die Anwendung und die vom Kunden in selbige Anwendung eingegebenen Daten (im Folgenden „Anwendungsdaten“ genannt) werden auf dem Server regelmäßig, sofern nicht anders zwischen den Parteien vereinbart mindestens kalendertäglich gesichert. Das durch diese Datensicherung entstehende Backup wird auf dem Server abgelegt. Die so abgelegte Datensicherung wird dreißig (30) Kalendertage geführt und am darauffolgenden Arbeitstag durch automatische Prozesse überschrieben.

(3) Übergabepunkt für die Anwendung und die Anwendungsdaten ist der Routerausgang des vom Anbieter genutzten Rechenzentrums (im Folgenden „Übergabepunkt“ genannt).

(4) Wenn Sie ein Wettbewerber sind ist es Ihnen ausdrücklich untersagt, die Anwendung zu nutzen oder darauf zuzugreifen. Unter einem Wettbewerber verstehen wir eine Einzelperson oder eine Einheit, die in einem Geschäftsfeld tätig ist, das Produkte oder Dienstleistungen anbietet, die denen von Meisterplan ähnlich sind, einschließlich Mitarbeitern, freien Mitarbeitern oder sonstigen Vertretern oder Beauftragten, Dieses Verbot erstreckt sich auch auf die Anmeldung für kostenlose Testversionen. Darüber hinaus dürfen Sie die Anwendung nicht nutzen, um ihre Verfügbarkeit, Performance oder sonstige Funktionalität zu überwachen oder für jegliche anderen Benchmarking- oder Wettbewerbszwecke zu verwenden.

§ 3 Software-Testversionen

Der Kunde hat die Möglichkeit, die Anwendung kostenlos zu testen. Die kostenlose Software-Testversion der Anwendung wird dem Kunden ausschließlich für Testzwecke für einen begrenzten Zeitraum durch den Lizenzgeber überlassen. Eine Testversion dient nicht dem Einsatz im laufenden Geschäftsbetrieb.

30 Tage nach Ende der Testphase werden die Anwendungsdaten automatisch gelöscht.

§ 4 Service Levels

In diesem Paragraphen werden die generellen Service Levels für die Nutzung der Anwendung festgelegt.

(1) Technische Verfügbarkeit der Anwendung
a) Der Anbieter stellt dem Kunden die Anwendung während der Systemlaufzeit bereit, dies aber unter Ausschluss der vereinbarten Zeiten geplanter Nichtverfügbarkeit nach nachfolgendem § 4 (2).

Die “Systemlaufzeit” beläuft sich auf 24 Stunden am Tag und 365 Tage im Jahr.

b) Die Zeiten der verfügbaren Nutzung (das heißt die Verfügbarkeit ist gegeben) vereinbaren die Parteien wie folgt: Innerhalb der Systemlaufzeit wird eine Hauptnutzungszeit definiert, während derer der Anbieter die monatliche Verfügbarkeit der Anwendung von Montag bis Freitag von 09.00 – 17.00 ME(S)Z zu 99% sichergestellt. Innerhalb dieser Zeit wird die längste ununterbrochene Ausfallzeit 4 Stunden nicht überschreiten.

Alle Zeiten außerhalb der Hauptnutzungszeit gelten als Nebennutzungszeit, in der die Verfügbarkeit nicht gewährleistet wird. Darunter fallen Samstage, Sonntage sowie der 1. Januar und 25. Dezember.

c) Zur verfügbaren Nutzung zählen auch die Zeiträume, während denen

  • Störungen vorliegen, die ihre Ursache im lokalen IT-System des Kunden oder in einer Störung der Anbindung des Kunden an den Übergabepunkt haben oder
  • sonstige Ereignisse eintreten, die nicht vom Anbieter oder einer seiner Erfüllungsgehilfen verursacht wurden, z. B. durch höhere Gewalt, Missbrauch oder Bedienfehler.

(2) Geplante Nichtverfügbarkeit

Der Anbieter ist in Zeiten außerhalb der Hauptnutzungszeit berechtigt, die Anwendung und/oder Server zu warten, zu pflegen sowie sonstige Arbeiten vorzunehmen. Geplante Nichtverfügbarkeiten wird der Anbieter dem Kunden 7 Tage im Voraus unter https://status.meisterplan.com ankündigen.

Wenn und soweit der Kunde in Zeiten der geplanten Nichtverfügbarkeit die Anwendung nutzen kann, so besteht hierauf kein Rechtsanspruch. Kommt es bei einer Nutzung der Anwendung in Zeiten der geplanten Nichtverfügbarkeit zu einer Leistungsreduzierung oder Leistungseinstellung, besteht für den Kunden kein Anspruch auf Mangelhaftung oder Schadenersatz.

(3) Messung der tatsächlichen Verfügbarkeit

Die tatsächliche Verfügbarkeit in Prozent berechnet sich für die Hauptnutzungszeit wie folgt:

Die Verfügbarkeit wird durch eine vom Anbieter geführte Überwachungsinstanz festgehalten. Dabei werden die Verfügbarkeit der Anwendung an sich sowie der Anwendungs-Dienste (wie etwa Reporting) überwacht.

Auf der Grundlage dieser Überwachungsinstanz werden maschinell Daten über die Verfügbarkeit erzeugt, die der Anbieter dem Kunden unter https://status.meisterplan.com zur Verfügung stellt.

(4) Reaktionszeiten

Der Anbieter trägt nur innerhalb der Hauptnutzungszeit dafür Sorge, dass innerhalb einer von der jeweiligen, nachfolgend definierten Störungsklasse abhängigen, nachfolgend vereinbarten Zeit ab Zugang einer Meldung einer technischen Störung des Kunden per E-Mail oder Support-Ticket mit den Störungsbehebungsarbeiten begonnen wird (“Reaktionszeit”).

Bei außerhalb der Hauptnutzungszeit gemeldeten Störungen beginnt die Reaktionszeit mit dem nächsten Werktag innerhalb der Hauptnutzungszeit.

Störungsklasse  Reaktionszeit
Störungsklasse 1 4 Stunden
Störungsklasse 2 2 Werktage
Störungsklasse 3 5 Werktage

Die Störungsklassen werden dabei wie folgt definiert:

Klasse 1: Betriebsverhindernder Mangel: Ein betriebsverhindernder Mangel liegt vor, wenn die Nutzung der Anwendung unmöglich ist; eine Umgehungslösung existiert nicht.

Klasse 2: Betriebsbehindernder Mangel: Ein betriebsbehindernder Mangel liegt vor, wenn die Nutzung der Anwendung eingeschränkt ist, ohne dass eine Umgehungslösung zur Verfügung steht.

Klasse 3: Leichter Mangel: Ein leichter Mangel liegt vor, wenn die Nutzung der Anwendung ohne oder mit unwesentlichen Einschränkungen möglich ist.

(5) Verstoß gegen die Verfügbarkeiten und Abhilfe

Verstößt der Anbieter gegen die unter § 4 (1) festgelegten Verfügbarkeiten während der Hauptnutzungszeit, ist der Kunde berechtigt, eine Vertragsstrafe (im Folgenden „Service Level Credit“ genannt) in folgendem Umfang zu verlangen:

  •  Bei einer Unterschreitung der Verfügbarkeit in der Hauptnutzungszeit: 0,5% der monatlichen Vergütung (pro rata) pro angefangenen 0,1% Unterschreitung der vereinbarten Verfügbarkeit, maximal jedoch 100% der monatlichen Vergütung;
  • Bei einer Überschreitung der längsten ununterbrochenen Ausfallzeit in der Hauptnutzungszeit: 5% der monatlichen Vergütung (pro rata) pro Überschreitungsfall, maximal jedoch 100% der monatlichen Vergütung;
  • Bei einer Überschreitung der Reaktionszeit in der Hauptnutzungszeit bei Vorliegen eines Mangels der Störungsklasse 1: 5% der monatlichen Vergütung (pro rata) pro Überschreitungsfall, maximal jedoch 100% der monatlichen Vergütung.

Dies gilt nicht, soweit der Anbieter die Unterschreitung der Verfügbarkeit/Überschreitung der Ausfallzeit/Reaktionszeit nicht zu vertreten hat.

Der Wert der insgesamt verwirkten Service Level Credits wird an den Kunden ausbezahlt oder mit laufenden Rechnungen des Anbieters verrechnet.

Die Service Level Credits werden auf etwaige Schadensersatzansprüche des Kunden angerechnet. Der Kunde kann unabhängig von der Geltendmachung von Service Level Credits die Weitererfüllung der Vereinbarung durch den Anbieter verlangen.

§ 5 Sonstige Leistungen des Anbieters, Online-Handbuch

(1) Der Anbieter wird dem Kunden während der Laufzeit der Vereinbarung entwickelte Neufassungen der Anwendung zur Verfügung stellen. Die neuen Fassungen können auch Funktionserweiterungen beinhalten.

Ein Anspruch des Kunden zur Erstellung von neuen Fassungen oder auf die Aufnahme bestimmter zusätzlicher Funktionalitäten in die Anwendung besteht nicht.

(2) Der Anbieter stellt dem Kunden über die Anwendung ein Online-Handbuch zur Verfügung.

§ 6 Nutzungsrechte, Rechte des Anbieters bei Überschreitung der Nutzungsbefugnisse

(1) Der Kunde erhält an der Anwendung ein einfaches, nicht ausschließliches, nicht unterlizenzierbares und nicht übertragbares, auf die Laufzeit der Vereinbarung befristetes Nutzungsrecht nach Maßgabe dieser Bedingungen.

Der Kunde darf die Anwendung nur für seine eigenen geschäftlichen Tätigkeiten durch eigenes Personal, Personal verbundener Gesellschaften, freie Mitarbeiter oder Handelsvertreter nutzen.

(2) Der Kunde darf die Anwendung nur durch die in der Vereinbarung vereinbarte Anzahl von Ressourcen im Sinne des § 1 (4) nutzen.

(3) Der Kunde erhält Zugang zu einer (1) Umgebung. Es werden keine zusätzlichen Umgebungen für Test- oder Qualitätssicherungszwecke bereitgestellt. Diese können bei Bedarf gegen getrennte Bezahlung hinzugebucht werden.

(4) Rechte, die vorstehend nicht ausdrücklich dem Kunden eingeräumt werden, stehen dem Kunden nicht zu. Der Kunde ist insbesondere nicht berechtigt, die Anwendung über die vereinbarte Nutzung hinaus zu nutzen oder von Dritten nutzen zu lassen oder die Anwendung Dritten zugänglich zu machen.

(5) Verletzt der Kunde die Verpflichtungen aus dem vorbenannten § 6 (1) bis (4) dieses Servicevertrags aus von ihm zu vertretenden Gründen, kann der Anbieter den Zugriff des Kunden auf die Anwendung oder die Anwendungsdaten sperren, wenn die Verletzung hierdurch nachweislich abgestellt werden kann.

Verletzt der Kunde trotz entsprechender schriftlicher Abmahnung des Anbieters weiterhin oder wiederholt die Verpflichtungen aus dem vorbenannten § 6 (1) bis (4) dieses Servicevertrags und hat er dies zu vertreten, so kann der Anbieter die Vereinbarung ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen.

§ 7 Vergütung und Zahlung

(1) Für die zu erbringenden Leistungen der Nutzungsgewährung bezüglich der Anwendung bezahlt der Kunde an den Anbieter die sich aus der Vereinbarung ergebende Nutzungsvergütung zu den vereinbarten Zeitpunkten, zuzüglich jeweiliger gesetzlicher Mehrwertsteuer.

(2) Die Vergütung ist zu den in der Vereinbarung vereinbarten Zeitpunkten jeweils im Voraus zur Zahlung fällig.

(3) Der Anbieter ist berechtigt, die vereinbarten Preise für die vertraglichen Leistungen zum Ausgleich von Personalkosten und sonstigen Kostensteigerungen angemessen zu erhöhen. Der Anbieter wird dem Kunden eine Preiserhöhung schriftlich oder per E-Mail mitteilen; die Preiserhöhung gilt nicht für den Zeitraum, für den der Kunde bereits Zahlungen geleistet hat.

Beträgt die Preiserhöhung mehr als 5% p.a. der bisherigen Vergütung, ist der Kunde berechtigt, die Vereinbarung mit einer Frist von 4 Wochen nach Zugang der Mitteilung der Preiserhöhung zu dem Zeitpunkt, zu dem die Preiserhöhung wirksam würde, zu kündigen. Macht der Kunde von diesem Kündigungsrecht Gebrauch, so wird bis zum Wirksamwerden der Kündigung nur die nicht erhöhte Vergütung berechnet.

Eine Erhöhung der Preise innerhalb von 12 Monaten nach Abschluss der Vereinbarung ist ausgeschlossen.

(4) Im Fall einer vergütungspflichtigen Vereinbarung (also ausgenommen Test-Versionen) gewährt der Kunde dem Anbieter hiermit das Recht, das Firmenlogo des Kunden in Marketing-Materialien wie beispielsweise der Website des Anbieters zu verwenden, um den Kunden als einen Meisterplan-Kunden zu identifizieren. Dieser Nutzungsgenehmigung kann formlos per E-Mail an mail@meisterplan.com widersprochen werden. Davon abgesehen darf der Anbieter das Logo des Kunden nicht ohne vorherige schriftliche Erlaubnis verwenden.

§ 8 Mitwirkungspflichten des Kunden

(1) Der Kunde wird alle Pflichten und Obliegenheiten erfüllen, die zur Abwicklung der Vereinbarung erforderlich sind.

Der Kunde verpflichtet sich insbesondere,

1. die ihm bzw. den Nutzern zugeordneten Zugangsberechtigungen geheim zu halten, vor dem Zugriff durch Dritte zu schützen und nicht an unberechtigte Nutzer weiterzugeben.

2. die Nutzerkennung, Kennwörter und ähnliches durch geeignete und übliche Maßnahmen zu schützen; der Kunde wird den Anbieter unverzüglich unterrichten, wenn der Verdacht besteht, dass die Zugangsdaten und/oder Kennwörter nicht berechtigten Personen bekannt geworden sein könnten.

3. die Beschränkungen/Verpflichtungen im Hinblick auf die Nutzungsrechte nach § 6 dieses Servicevertrags einzuhalten, insbesondere

  • keine Informationen oder Daten unbefugt abzurufen oder abrufen zu lassen oder in Programme, die von dem Anbieter betrieben werden einzugreifen oder eingreifen zu lassen oder in Datennetze des Anbieters unbefugt einzudringen oder ein solches Eindringen zu fördern;
  • den Anbieter von Ansprüchen Dritter freizustellen, die auf einer rechtswidrigen Verwendung der Anwendung durch den Kunden beruhen oder die sich aus vom Kunden verursachten datenschutzrechtlichen, urheberrechtlichen oder sonstigen rechtlichen Streitigkeiten ergeben, die mit der Nutzung der Anwendung verbunden sind;
  • die berechtigten Nutzer zu verpflichten, ihrerseits die für sie geltenden Bestimmungen der Vereinbarung und dieser Bedingungen einzuhalten;
  • die berechtigten Nutzer nach Maßgabe der Art. 13 und 14 DSGVO über die Verarbeitung ihrer personenbezogenen Daten durch den Anbieter zu informieren.

4. vor der Versendung von Daten und Informationen an den Anbieter diese auf Viren zu prüfen und dem Stand der Technik entsprechende Virenschutzprogramme einzusetzen;

5. Mängel an Vertragsleistungen, insbesondere Mängel an den Leistungen nach § 1 dieses Servicevertrags, dem Anbieter unverzüglich anzuzeigen.

§ 9 Datensicherheit, Datenschutz

(1) Die Parteien werden die jeweils anwendbaren, insbesondere die in Deutschland gültigen datenschutzrechtlichen Bestimmungen beachten, wozu auch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) zählt.

(2) Erhebt, verarbeitet oder nutzt der Kunde personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes den Anbieter von Ansprüchen Dritter frei.

(3) Im Rahmen der Durchführung dieser Vereinbarung ist zwischen folgenden Kategorien von Daten zu unterscheiden, die z.T. personenbezogene Daten beinhalten können:

  1. Der Anbieter verarbeitet personenbezogene Daten der Ansprechpartner beim Kunden (Kontaktperson, Adresse, Telefonnummer, Fax, E-Mail-Adresse), zur Vertragsdurchführung, insbesondere im Rahmen der Lizenzabrechnung. Diese Daten werden auf Basis berechtigter Interessen nach Art. 6 Abs. 1 Buchst. f) DSGVO verarbeitet. Zweck der Verarbeitung ist die Durchführung der Vereinbarung mit dem Kunden. Hinweise auf die Betroffenenrechte und Löschfristen ergeben sich aus den Datenschutzhinweisen des Anbieters, die unter https://meisterplan.com/de/trust-center/datenschutz/ eingesehen werden können.
  2. Der Anbieter verarbeitet Daten über das Nutzungsverhalten der Nutzer des Kunden im Rahmen von Server-Protokollen, die Information wie beispielsweise IP-Adresse, Zeitstempel oder Web-Anfrage enthalten können. Diese Daten werden auf Basis berechtigter Interessen nach Art. 6 Abs. 1 Buchst. f) DSGVO verarbeitet. Zweck ist zum einen die Suche und Behebung von Fehlern, die Abwehr von Gefahren und die Aufrechterhaltung des technischen Betriebs der Anwendung. Hinweise auf die Betroffenenrechte und Löschfristen ergeben sich aus den Datenschutzhinweisen des Anbieters, die unter https://meisterplan.com/de/trust-center/datenschutz/ eingesehen werden können.
  3. Der Anbieter verarbeitet statistische Daten zur Nutzung der Anwendung. Diese Daten enthalten keinerlei Inhalte, die Nutzer in der Anwendung eingegeben haben. Die Daten können die vom Nutzer ausgelöste Aktion, einen Zeitstempel, Informationen zum verwendeten Webbrowser, die interne ID der jeweiligen Datenbank, eine ID der Session, eine nicht-invertierbare Nutzerkennung, oder auch die ID eines auf der Website erzeugten Cookies enthalten. Diese Daten werden auf Basis berechtigter Interessen nach Art. 6 Abs. 1 Buchst. f) DSGVO verarbeitet. Zweck der Verarbeitung ist die dauerhafte Bereitstellung des Angebots, die Anpassung an sich entwickelnde Bedürfnisse der Nutzer, die Verbesserung der Nutzerfahrung in der Anwendung und die Optimierung der internen Prozesse des Anbieters. Hinweise auf die Betroffenenrechte und Löschfristen ergeben sich aus den Datenschutzhinweisen des Anbieters, die unter https://meisterplan.com/de/trust-center/datenschutz/ eingesehen werden können.
  4. Der Anbieter verarbeitet schließlich Anwendungsdaten, also diejenigen Daten, die der Kunde im Rahmen der Nutzung der Anwendung eingibt. Die Verarbeitung dieser Daten erfolgt im Auftrag des Kunden nach Maßgabe des Art. 28 DSGVO unter dem Auftragsverarbeitungsvertrag (Teil II dieser Bedingungen).

(4) Die Verpflichtungen nach § 9 (1) bis (3) bestehen, solange personenbezogene Daten im Einflussbereich des Anbieters liegen, auch über die Beendigung der Vereinbarung hinaus.

(5) Der Anbieter ist berechtigt, zur Erbringung seiner Leistungen Unterauftragnehmer einzusetzen. Eine fortlaufend aktualisierte Liste der jeweils vom Anbieter eingesetzten Unterauftragnehmer, die für ihn personenbezogene Daten verarbeiten, ist unter https://meisterplan.com/de/trust-center/unterauftragnehmer/ einsehbar. Soweit der Anbieter Unterauftragnehmer mit der Verarbeitung personenbezogener Daten des Kunden betraut, die der Anbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO verarbeitet, gelten die Sonderregelungen des Auftragsverarbeitungsvertrages (Teil II dieser Bedingungen). Solche Subunternehmer werden in einer separaten Liste aufgeführt.

(6) Der Kunde ist für die Inhalte, die im Rahmen der Nutzung der Anwendung eingegeben werden, verantwortlich und wird regelmäßig eigene Sicherungskopien erstellen, um bei Verlust von Daten und Informationen die Rekonstruktion derselben zu ermöglichen.

(7) Der Kunde wird, sofern und soweit ihm die technische Möglichkeit hierzu seitens des Anbieters eröffnet wird, regelmäßig die auf dem Server gespeicherten Anwendungsdaten durch Downloads sichern.

§ 10 Ansprüche bei Schlechtleistung

Im Fall der Schlechtleistung stehen dem Kunden die Ansprüche nach § 4 dieses Servicevertrages (Service Levels) zu. Im Übrigen gelten die gesetzlichen
Bestimmungen.

§ 11 Vertraulichkeit

(1) Die Parteien verpflichten sich wechselseitig, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und sonstigen vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und ausschließlich für die Zwecke der Durchführung der Vereinbarung zu verwenden.

(2) Diese Verpflichtung bleibt auch nach Beendigung der Vereinbarung bestehen.

§ 12 Haftung

Die Haftung des Anbieters richtet sich nach dem Gesetz.

§ 13 Schutzrechte Dritter

(1) Der Anbieter steht dafür ein, dass die Anwendung frei von gewerblichen Schutzrechten und Urheberrechten Dritter ist.

Sofern ein Dritter wegen der Verletzung von Schutzrechten durch die Anwendung des Anbieters gegen den Kunden berechtigte Ansprüche erhebt, haftet der Anbieter gegenüber dem Kunden wie folgt:

  1. Der Anbieter wird nach seiner Wahl und auf seine Kosten für die Anwendung oder den betreffenden Teil der Anwendung entweder ein Nutzungsrecht erwirken oder die Anwendung so ändern, dass das Schutzrecht nicht verletzt wird oder die Anwendung austauschen. Ist dies dem Anbieter nicht zu angemessenen Bedingungen möglich, stehen dem Kunden die gesetzlichen Rücktritts- oder Minderungsrechte zu.
  2. Im Falle der rechtmäßigen Inanspruchnahme des Kunden durch einen Dritten stellt der Anbieter den Kunden von den Kosten, die durch die Geltendmachung dieser Ansprüche Dritter entstanden sind (darin eingeschlossen angemessene Rechtsanwaltskosten, beschränkt -sofern anwendbar- nach dem Rechtsanwaltsvergütungsgesetz), frei.
  3.  Die Pflicht des Anbieters zur Leistung von Schadenersatz richtet sich nach §12 dieses Servicevertrags.

Der Kunde verpflichtet sich, den Anbieter über die von Dritten geltend gemachten Ansprüche unverzüglich schriftlich oder per E-Mail zu verständigen; dem Anbieter sind alle Abwehrmaßnahmen und Vergleichsverhandlungen vorbehalten. Stellt der Kunde die Nutzung der Anwendung aus Schadensminderungs- oder sonstigen wichtigen Gründen ein, ist er verpflichtet, den Dritten darauf hinzuweisen, dass mit der Nutzungseinstellung kein Anerkenntnis einer Schutzrechtsverletzung verbunden ist.

(2) Ansprüche gegen den Anbieter nach § 13 (1) dieses Servicevertrags sind ausgeschlossen, wenn

  1. der Kunde die Schutzrechtsverletzung zu vertreten hat,
  2. die Behauptung einer Verletzung aus der unbefugten Modifikation der Anwendung entsteht oder mit einer solchen in Verbindung steht,
  3. die Anwendung nicht gemäß den Regelungen der Vereinbarung und dieser Bedingungen oder in Übereinstimmung mit der Dokumentation der Anwendung genutzt wird,
  4. die angebliche Verletzung durch die Nutzung eines von dem Anbieter herausgegebenen Updates, Upgrades oder Patch hätte verhindert werden können,
  5. die angebliche Verletzung aus der Nutzung der Anwendung mit einem nicht vom Anbieter zur Verfügung gestellten Produkt eines Drittanbieters resultiert.

(3) Weitergehende Ansprüche des Kunden gegen den Anbieter und dessen Erfüllungsgehilfen wegen Ansprüchen aus der Verletzung von Schutzrechten Dritter sind ausgeschlossen.

§ 14 Abschluss der Vereinbarung, Start der Vereinbarung, Zeitraum, Kündigung

(1) Der Kunde gibt durch Klicken des Buttons „Kostenpflichtig Bestellen“ im Meisterplan-Webshop oder über andere Kommunikationswege eine Bestellung auf.

Die Vereinbarung wird abgeschlossen und das Vertragsverhältnis beginnt mit der Annahme der Bestellung des Kunden durch Auftragsbestätigung des Anbieters.

(2) Die Vereinbarung hat eine Mindestlaufzeit wie in der Vereinbarung festgelegt und ist bis zu diesem Zeitpunkt nicht ordentlich kündbar.

Die Vereinbarung verlängert sich jeweils um weitere Zeiträume der ursprünglich festgelegten Laufzeit, wenn sie nicht zum Ende der Mindestlaufzeit oder des jeweiligen Verlängerungszeitraumes von einer der Parteien gekündigt wird. Eine davon abweichende Kündigungsfrist kann von den Parteien schriftlich vereinbart werden.

(3) Das Recht zur Kündigung aus wichtigem Grund bleibt für die Parteien unberührt.

§ 15 Pflichten bei und nach Beendigung der Vereinbarung

Mit Beendigung des Vertragsverhältnisses erlöschen alle Rechte des Kunden zur Nutzung der Anwendung. Der Anbieter wird die Anwendungsdaten des Kunden 30 Tage nach Beendigung des Vertragsverhältnisses löschen.

§ 16 Höhere Gewalt, Leistungsverzögerungen

Leistungsverzögerungen aufgrund höherer Gewalt, hierzu zählen auch Ereignisse, die dem Anbieter die Leistungen nach der Vereinbarung wesentlich erschweren oder unmöglich machen, wie insbesondere Streik, Aussperrung, behördliche Anordnungen, der Ausfall von oder Störungen im Bereich von Kommunikationsnetzen und Gateways anderer Betreiber, soweit der Anbieter diese Ereignisse nicht verschuldet hat, hat der Anbieter nicht zu vertreten.

Der Anbieter ist berechtigt, die Leistungen um die Dauer der Behinderung hinauszuschieben oder zu unterbrechen.

§ 17 Schlussbestimmungen, Gerichtsstand, anwendbares Recht

(1) Alle Vereinbarungen, Nebenabreden und Zusicherungen sowie nachträgliche Änderungen und Ergänzungen der Vereinbarung und/oder dieser Bedingungen bedürfen einer entsprechenden Einigung zwischen den Parteien.

(2) Sollte eine Bestimmung der Vereinbarung und/oder dieser Bedingungen unwirksam sein oder werden oder sollten diese unvollständig sein, wird die Vereinbarung im Übrigen nicht berührt; es bleiben die übrigen Bestimmungen in Kraft.

Die Parteien werden sich in einem solchen Falle und im Falle vom Lücken, die die Parteien nicht vorhergesehen haben, auf eine Regelung einigen, die dem Sinn und Zweck der Vereinbarung und dieser Bedingungen am besten entspricht und die der unwirksamen Bestimmung am nächsten kommt.

(3) Die Vereinbarung und diese Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

(4) Erfüllungsort und ausschließlicher Gerichtsstand für sämtliche aus oder im Zusammenhang mit der Vereinbarung und/oder dieser Bedingungen sich ergebenden Streitigkeiten ist Tübingen, Bundesrepublik Deutschland.

Teil II – Auftrags­verarbeitungs­vertrag

§ 1 Anwendungsbereich

(1) Die Parteien vereinbaren, dass der Anbieter bei Erbringung der Services als Auftragsverarbeiter für den Kunden tätig wird, soweit der Anbieter für den Kunden Anwendungsdaten verarbeitet (vgl. dazu die Definition der Anwendungsdaten in § 2(2) des Servicevertrages (Teil I dieser Bedingungen).

(2) Es wird darauf hingewiesen, dass der Anbieter personenbezogene Daten des Kunden verarbeiten kann, die nicht Gegenstand des Auftragsverhältnisses sind, da der Anbieter insoweit als Verantwortlicher agiert. Dies betrifft beispielsweise Daten zur Abrechnung und Lizenzverwaltung oder automatisch erhobene statistische Daten. Wegen der Einzelheiten wird auf die Regelungen des § 9 (3) des Servicevertrages (Teil I dieser Bedingungen) verwiesen. Es ist sichergestellt, dass diese Daten getrennt von den zur Verarbeitung überlassenen Anwendungsdaten gehalten werden. Ergänzend wird auf die Datenschutzhinweise des Anbieters verwiesen.

§ 2 Gegenstand des Auftrags

Der Anbieter verarbeitet auf Grundlage dieses Auftragsverarbeitungsvertrages personenbezogene Daten für den Kunden im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO.

§ 3 Dauer des Auftrags

(1) Die Laufzeit dieses Auftrags entspricht der Laufzeit der Vereinbarung.

(2) Der Kunde kann die Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Anbieters gegen diesen Auftragsverarbeitungsvertrag vorliegt, der Anbieter eine Weisung des Kunden nicht ausführen kann oder will oder der Anbieter Kontrollrechte des Kunden vertragswidrig verweigert.

§ 4 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

(1) Gegenstand des Auftragsverhältnisses sind personenbezogene Anwendungsdaten, die der Kunde in die Anwendung eingibt, um sie dort verwalten zu können.

(2) Die Art der verarbeiteten personenbezogenen Daten bestimmt grundsätzlich der Kunde. Meisterplan bietet im Standard die Erfassung von Vorname, Nachname, E-Mail-Adresse, Rolle, Beschäftigungsbeginn- und Ende, PLZ und Stadt (keine persönliche Anschrift), Fähigkeiten (Skills) sowie die Verplanung auf Projekte. Der Kunde verpflichtet sich, keine besonderen Kategorien personenbezogener Daten in die Anwendung einzugeben.

(3) Typischerweise sind Betroffene Personen interne Mitarbeiter, externe Mitarbeiter und Zulieferer des Kunden. Der Kunde bestimmt über die Dateneingabe die Kategorien betroffener Personen; es können grundsätzlich Daten aller Kategorien betroffener Personen verarbeitet werden.

§ 5 Rechte und Pflichten sowie Weisungsbefugnisse des Kunden

(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Kunde verantwortlich. Gleichwohl ist der Anbieter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Kunden gerichtet sind, unverzüglich an diesen weiterzuleiten. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen dem Kunden und dem Anbieter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

(2) Der Kunde erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

(3) Der Kunde ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der bei dem Anbieter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

(4) Der Kunde informiert den Anbieter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

§ 6 Pflichten des Anbieters

(1) Der Anbieter verarbeitet die zur Verarbeitung überlassenen personenbezogenen Anwendungsdaten des Kunden ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden, sofern der Anbieter nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Anbieter als Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Anbieter dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

(2) Der Anbieter verwendet die zur Verarbeitung überlassenen personenbezogenen Anwendungsdaten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate dieser Anwendungsdaten werden ohne Wissen des Kunden nicht erstellt.

(3) Der Anbieter sichert zu, dass die für den Kunden verarbeiteten Anwendungsdaten von sonstigen Datenbeständen strikt getrennt werden.

(4) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Kunden, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Kunden hat der Anbieter im notwendigen Umfang mitzuwirken und den Kunden soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DSGVO).

(5) Der Anbieter wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden erteilte Weisung nach Ansicht des Anbieters gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Anbieter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Kunden nach Überprüfung bestätigt oder geändert wird.

(6) Der Anbieter hat personenbezogene Anwendungsdaten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Kunde dies mittels einer Weisung verlangt und berechtigte Interessen des Anbieters dem nicht entgegenstehen.

(7) Auskünfte über personenbezogene Anwendungsdaten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Anbieter nur nach vorheriger Weisung oder Zustimmung durch den Kunden erteilen.

(8) Der Anbieter erklärt sich damit einverstanden, dass der Kunde – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Kunden beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Anwendungsdaten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).

(9) Der Anbieter sichert zu, dass der Anbieter, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

(10) Der Anbieter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Anwendungsdaten des Kunden die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung der Vereinbarung fort.

(11) Der Anbieter sichert zu, dass der Anbieter die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).

(12) Der Anbieter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

(13) Der jeweils aktuell bestellte Beauftragte für den Datenschutz ist einsehbar unter https://meisterplan.com/de/trust-center/datenschutz/

§ 7 Mitteilungspflichten des Anbieters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

(1) Der Anbieter teilt dem Kunden unverzüglich Störungen, Verstöße des Anbieters oder der bei ihr beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Anwendungsdaten mit.

(2) Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Kunden nach Art. 33 und Art. 34 DSGVO. Der Anbieter sichert zu, den Kunden erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO).

(3) Meldungen nach Art. 33 oder 34 DSGVO für den Kunden darf der Anbieter nur nach vorheriger Weisung durchführen.

§ 8 Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)

(1) Die Beauftragung von Subunternehmern zur Verarbeitung von Anwendungsdaten des Kunden ist dem Anbieter nur mit Genehmigung des Kunden gestattet (Art. 28 Abs. 2 DSGVO). Der Anbieter hat dafür Sorge zu tragen, dass sie den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt.

(2) Je nachdem, von welchem Standort aus der Kunde die Registrierung vornimmt, entscheidet der Anbieter über den Rechenzentrumsstandort. Anwendungsdaten der Kunden, deren IP-Adresse auf einen EU-Standort schließen lässt, werden an einem Standort innerhalb der EU bzw. des EWR gehostet. Für alle anderen Standorte behält sich der Anbieter vor, über den Rechenzentrumsstandort frei zu bestimmen, einschließlich des Rechts zu einer Verarbeitung in den USA oder sonstigen Drittstaaten.

Eine Beauftragung von Subunternehmern oder sonstige Verarbeitung personenbezogener Daten des Kunden in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(3) Der Anbieter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen dem Kunden und dem Anbieter insoweit auch gegenüber Subunternehmern gelten, dass ein der DSGVO entsprechendes Schutzniveau gewährleistet ist. Die Parteien stellen klar, dass daraus keine Verpflichtung des Anbieters folgt, die Regelungen dieses Auftragsverarbeitungsvertrags wortgleich auch dem Subunternehmer aufzuerlegen. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern.

(4) Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).

(5) Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.

(6) Der Anbieter haftet gegenüber dem Kunden dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Anbieter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

(7) Die jeweils aktuelle Liste der Subunternehmer des Anbieters ist unter https://meisterplan.com/de/trust-center/subunternehmer/ abrufbar. Mit deren Beauftragung erklärt sich der Kunde einverstanden.

(8) Der Anbieter kann gemäß Art. 28 Abs. 2 Satz 2 DSGVO weitere Subunternehmer hinzuziehen. In diesem Fall informiert der Anbieter den Kunden 30 Tage bevor Daten mit dem neuen Subunternehmer geteilt werden. Anschließend erweitert der Anbieter die unter https://meisterplan.com/de/trust-center/subunternehmer/ abrufbare Liste. Insoweit wird auch klargestellt, dass der Kunde nur dann informiert wird, wenn Subunternehmer hinzugezogen werden, die Zugriff auf die personenbezogenen Daten des Kunden erhalten.

(9) Sollte der Kunde innerhalb von 30 Tagen nach Erhalt der Information berechtigte Einwände gegen die Einsetzung eines neuen Unterauftragnehmers vorbringen, werden die Parteien nach Treu und Glauben zusammenkommen, um eine angemessene Lösung zu erörtern. Wenn eine solche Lösung nicht erreicht werden kann, kann der Kunde die Vereinbarung kündigen und erhält eine anteilige Rückerstattung der Nutzungsvergütung.

§ 9 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c DSGVO)

(1) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

(2) Im Anhang 1 („Technische und organisatorische Maßnahmen“) sind die diesbezüglichen technischen und organisatorischen Maßnahmen des Anbieters aufgeführt.

(3) Die Maßnahmen des Anbieters können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

(4) Wesentliche Änderungen muss der Anbieter mit dem Kunden in dokumentierter Form (schriftlich, elektronisch) abstimmen, soweit sie eine Auswirkung auf die Erbringung des Service haben. Solche Abstimmungen sind für die Dauer dieses Auftragsverarbeitungsvertrages aufzubewahren.

§ 10 Verpflichtungen des Anbieters nach Beendigung des Auftrags (Art. 28 Abs. 3 Satz 2 lit. g DSGVO)

(1) Nach Abschluss der vertraglichen Arbeiten hat der Anbieter sämtliche vom Kunden zur Verarbeitung überlassenen Anwendungsdaten zu löschen.

(2) Dies wird erreicht über die automatische Löschung der Anwendungsdaten nach Ablauf einer Frist von dreißig (30) Tagen nach Beendigung des Vertragsverhältnisses. Wegen der Einzelheiten wird auf die Regelungen des § 14 des Servicevertrages (Teil I dieser Bedingungen) verwiesen.

§ 11 Haftung

Auf Art. 82 DSGVO wird verwiesen.

Anlage 1: Technische und organisatorische Maßnahmen

Folgende technisch-organisatorische Maßnahmen werden von dem Anbieter im Bereich Meisterplan realisiert.

Zugangskontrolle

Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte.

  1. Jeder Anwender-Zugang zu Datenverarbeitungsanlagen und Systemen ist nur über eine Benutzerkennung mit Passwort oder über eine SSO-Lösung möglich.
  2. Kennwortrichtlinie laut Active-Directory Richtlinie.
  3. Zugang zum zentralen Kundenmanagement-System ist über Single-Sign-On (SSO) an das Benutzerkonto des Mitarbeiters gekoppelt.
  4. Art des Zugriffs wird über abgestufte Benutzerberechtigungen erstellt und verwaltet.
  5. Bildschirmsperrung nach 5 Minuten Inaktivität, per Benutzerrichtlinie.
  6. VPN-Zugang an ausgewählte Mitarbeiter von extern zum Firmennetzwerk.
  7. Chipkarten-Schließsystem und Sicherheitsschlösser.
  8. Kontrollierte Vergabe, Einzug und Sperrung der Chipkarten.
  9. Eingangskontrolle am Empfang.
  10. Jede Gebäudeebene ist getrennt durch Chipkartenzugang gesichert.
  11. Besucherausweise für personalisierten, temporären Zugang zum Gebäude.
  12. Kameraüberwachung Einfahrt und Eingang Tiefgarage.
  13. Alarmanlage Tiefgarageneingang des Anbieters.
  14. Serverräume sind nur für Mitarbeiter der Abteilung IT und für die Geschäftsführung zugänglich und gesondert gesichert.

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. 2-Faktor Authentifizierung bei Passwortmanagement-Software und bei Hosting-Provider Amazon Web Services (AWS).
  2. Es werden nur sichere Passwörter zu Applikationen erlaubt, welche in einer Passwortmanagement-Software verwaltet werden.
  3. Administrative Zugriffe auf die AWS-Konsole werden geloggt.
  4. Für Sicherheitsrichtlinien des Rechenzentrums bei AWS siehe https://aws.amazon.com/de/compliance/data-center/controls/

Datenträgerkontrolle

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.

  1. Sichtschutzfolien für Notebooks von Mitarbeitern, welche an öffentlichen Plätzen arbeiten.
  2. Clean-Desk Policy.
  3. Festplatten von Notebooks / Laptops sind verschlüsselt.

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Bei Meisterplan werden keine Datenträger an Dritte verschickt oder von Dritten empfangen. Der Austausch von Daten findet ausschließlich mittels Filesharing-Plattform mit Rechte- und Löschkonzept und gesicherter Verbindung statt.
  2. Der Einsatz von USB-Sticks, um Kundendaten zu verarbeiten, ist bei Meisterplan nicht erlaubt.

Speicherkontrolle

Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

  1. Jeder Anwender-Zugang zu Datenverarbeitungsanlagen und Systemen ist nur über eine Benutzerkennung mit Passwort oder über eine SSO-Lösung möglich.
  2. Zugang zum zentralen Kundenmanagement-System ist über SSO an das Benutzerkonto des Mitarbeiters gekoppelt.
  3. Im zentralen Kundenmanagement-System werden die Zugriffe auf das System und Datenänderungen protokolliert.
  4. Die Änderungen an Benutzerberechtigungen zentralen Kundenmanagement-System in der Administrationsoberfläche werden manuell protokolliert.
  5. Die Art des Zugriffs wird über abgestufte Benutzerberechtigungen erstellt und verwaltet.
  6. Bildschirmsperrung nach 5 Minuten Inaktivität am Arbeitsplatzrechner per Benutzerrichtlinie.

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Die Test-Daten sind getrennt von den Produktiv-Daten. Im Detail heißt das, dass das Meisterplan Continuous Integration Cluster getrennt ist vom Produktiv-Cluster.
  2. Die Backups von Meisterplan Anwendungsdaten werden ausschließlich verschlüsselt transportiert/gespeichert. Die Backups werden in der jeweiligen Region (USA / Deutschland) gespeichert.
  3. Anwendungsdaten dürfen nur nach Einwilligung des Kunden zur Fehler-Reproduktion oder Beratungszwecke verwendet werden. Nach Zweckerfüllung werden Datenkopien unwiderruflich gelöscht.
  4. Der Datentransfer wird ausschließlich verschlüsselt vorgenommen.

Benutzerkontrolle

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.

  1. Jeder Anwender-Zugang zu Datenverarbeitungsanlagen und Systemen ist nur über eine Benutzerkennung mit Passwort oder über eine SSO-Lösung möglich.
  2. Zugang zum zentralen Kundenmanagement-System ist über SSO an das Benutzerkonto des Mitarbeiters gekoppelt.
  3. Im zentralen Kundenmanagement-System werden die Zugriffe auf das System und Datenänderungen protokolliert.
  4. Die Änderungen an Benutzerberechtigungen im zentralen Kundenmanagement-System in der Administrationsoberfläche werden manuell protokolliert.
  5. Die Art des Zugriffs wird über abgestufte Benutzerberechtigungen erstellt und verwaltet.
  6. Bildschirmsperrung nach 5 Minuten Inaktivität am Arbeitsplatzrechner per Benutzerrichtlinie.

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Regelmäßige Revision der Zugriffsberechtigungen auf interne Meisterplan-Anwendungen (JIRA, Stash etc.).
  2. Auf die Meisterplan AWS Produktiv-Infrastruktur haben nur ausgewählte, langjährige, speziell ausgebildete und vertrauenswürdige Mitarbeiter des Anbieters Zugriff. Es existiert ein Prozess zum Auswahlverfahren.
  3. Administrationszugriffe auf die Meisterplan AWS-Dienste werden protokolliert.
  4. Änderungen am Deployment der Meisterplan-Anwendungen werden über Code-Versionierung protokolliert.

Zugriffskontrolle

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.

  1. Toolgestütztes Passwortmanagement in allen Bereichen.
  2. Alle firmeninternen Anwendungen, die durch einen Browser außerhalb des internen Netzwerkes aus dem Internet erreichbar sind, haben TLS geschützte Verbindungen.
  3. Schutz vor unberechtigtem Zugriff durch Einsatz von Virenschutz und Firewall.

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Die Benutzerrechte der Mitarbeiter richten sich nach dem jeweiligen Aufgabenbereich des Mitarbeiters (“need-to-know”-Prinizip).
  2. SSO für Meisterplan-Kunden wird angeboten.
  3. Der integrierte Authentifizierungsservice von Meisterplan stellt sicher, dass auf Kundendaten nur durch den Kunden und nicht durch andere Personen zugegriffen werden kann.

Übertragungskontrolle

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

  1. Datentransfer nur über verschlüsselte Verbindung
  2.  Einsatz von VPN

Eingabekontrolle

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.

  1. Im zentralen Kundenmanagement-System werden die Zugriffe auf das System und Datenänderungen auf Benutzerebene protokolliert.

Transportkontrolle

Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

  1. Es erfolgt kein Transport von physischen Datenträgern mit unverschlüsselten Daten Dritter innerhalb von itdesign oder zu Auftragnehmern von itdesign.
  2. Datenträger in Notebooks sind verschlüsselt und mit einem Passwort gesichert.

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Bei Meisterplan werden keine Datenträger an Dritte verschickt oder von Dritten empfangen. Der Austausch von Daten findet ausschließlich mittels Filesharing-Plattform mit Rechte- und Löschkonzept und gesicherter Verbindung statt.
  2. Der Einsatz von USB-Sticks um Kundendaten zu verarbeiten ist bei Meisterplan nicht erlaubt.
  3. Der Zugriff auf Anwendungsdaten über Web-Protokolle oder SSH erfolgt ausschließlich verschlüsselt.

Wiederherstellbarkeit

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

  1. Backup- und Recoverykonzept
  2. Kontrolle des Backupvorgangs
  3. Verwendung eines RAID-Systems/Festplattenspiegelung

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Automatisierte Wiederherstellung von Cloud Computing-Ressourcen bei Ausfall.

Zuverlässigkeit

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

  1. Akustische Warnmeldung bei Fehlfunktion USV / Server
  2. Automatische Benachrichtigung bei Systemausfall
  3. Redundante Stromversorgung aller produktiven Server
  4. Jährliche Unterweisung der Mitarbeiter zu Datenschutz-Richtlinien
  5. Alle Mitarbeiter unterzeichnen eine Erklärung auf das Datengeheimnis (§5 BDSG). Ab 25.05.2018 verpflichten sich die Mitarbeiter zur Vertraulichkeit auf Grundlage Art. 5 Abs. 1 f., Art. 32 Abs. 4 Datenschutz-Grundverordnung (DSGVO).

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Hohe Redundanz der Infrastruktur (Computing, Storage, Network) durch AWS. Dadurch wird eine sehr hohe Verfügbarkeit der Meisterplan-Systeme gewährleistet.
  2. Monitoring der Systeme und Infrastruktur erfolgt durch Erfassung diverser Metriken, Auswertung von Logs, Health Checks der Systeme, Alerting-System.
  3. Eingerichtete und dokumentierte, hoch verfügbare Rufbereitschaft von 4 Personen (rotierend).
  4. Hohe Qualität der Anwendung wird sichergestellt durch Tests auf allen Ebenen (Unit-Tests, Integrations-Tests, e2e-Tests, UI-Tests, manuelle Tests mit Testplänen). Geschultes Personal in der QS.
  5. Incident-Management-Process mit Verbesserungsprozess.
  6. Sicherheit ist im Meisterplan-Entwicklungsprozess verankert. Externe Überprüfung erfolgt durch spezialisierten Pen-Test-Dienstleister.

Datenintegrität

Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.

  1. Backupkonzept – und Recoverykonzept
  2. Kontrolle des Backupvorgangs
  3. Monitoring der produktiven Systeme

Auftragskontrolle

Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  1. Reinigungsdienstleister werden sorgfältig ausgewählt.
  2. Mitarbeiter, die im Auftrag eines Verantwortlichen Daten verarbeiten sind über die mit dem Auftraggeber geschlossenen AV-Verträge informiert.
  3. Die AV-Verträge sind einschließlich der vereinbarten technisch-organisatorischen Maßnahmen für die mit der Verarbeitung betroffenen Mitarbeiter verfügbar.
  4. Die vereinbarten technisch-organisatorischen Maßnahmen werden in wiederkehrenden internen Datenschutzaudits überwacht.
  5. Mit allen Subunternehmern, die im Rahmen der Auftragsverarbeitung eingesetzt werden, existieren AV-Verträge.

Verfügbarkeitskontrolle

Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.

  1. Feuerlöschgerät im Serverraum
  2. Geräte zur Überwachung von Temperatur und Feuchtigkeit in den Serverräumen
  3. Der Serverraum ist klimatisiert.
  4. USV-Anlage
  5. Das komplette Gebäude ist mit Feuer- und Rauchmeldeanlagen ausgestattet.
  6. Aufbewahrung der Datensicherungen an einem sicheren, ausgelagerten Ort.
  7. Verwendung eines RAID-Systems / Festplattenspiegelung.

Zusätzlich zu den oben beschriebenen Maßnahmen führt der Anbieter im Bereich Meisterplan für den Kunden noch folgende Maßnahmen durch:

  1. Monitoring der Systeme und Infrastruktur durch Erfassung diverser Metriken, Auswertung von Logs, Health Checks der Systeme, Alerting-System.
  2. Eingerichtete und dokumentierte, hoch verfügbare Rufbereitschaft von 4 Personen (rotierend).
  3. Reporting über Verfügbarkeitsstatistiken liegen vor.
  4. Für Sicherheitsrichtlinien des Rechenzentrums bei AWS siehe https://aws.amazon.com/de/compliance/data-center/controls/
  5. Trennbarkeit

Trennbarkeit

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.

  1. Test-, Entwicklungs- und Produktivsysteme sind technisch voneinander getrennt.
  2. Die Zugriffsberechtigungen auf Kunden- und Beschäftigungsdaten werden über Benutzerrechte sowie über logische Trennung (Kennzeichnungen in den Datensätzen) im zentralen Kundenmanagement-System gesteuert.

Weisungsgemäße Verarbeitung

Es ist nach und Art. 32 Abs. 4 DSGVO dafür Sorge zu tragen, dass Mitarbeiter und externe Dienstleister, die Zugang zu personenbezogenen Daten haben, diese nur entsprechend den Weisungen des Verantwortlichen verarbeiten. Hierzu werden nachfolgende Maßnahmen ergriffen:

  1. Verpflichtung der Mitarbeiter auf das Datengeheimnis
  2. Umsetzung von eigenen Sicherheitsrichtlinien
  3. Schulungen

Datenschutzmanagement

Folgende zusätzliche Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung werden nach Artikel 32 Absatz 1 Buchstabe d DSGVO; Artikel 25 Absatz 1 DSGVO eingesetzt

  1. Datenschutz-Management nach der PDCA-Methode
  2. Incident-Response-Management
  3. Datenschutzfreundliche Voreinstellungen nach Artikel 25 Absatz 2 DSGVO
close
Your battery is almost empty.