Emscher-Lippe-Cloud

Zertifizierte Sicherheit für Ihre Daten und Prozesse


+ - Key-Features der Emscher-Lippe-Cloud

Datenverarbeitung in einem zertifizierten Rechenzentrum hoher Sicherheitsstufe:

  • Dual-Site-Verbundrechenzentrum mit einem Siteabstand von 2 km Luftlinie
  • Redundante Verarbeitung von Prozessen und Daten
  • Redundante Breitbandanbindung ans Internet getrennt über jede Site
  • TÜViT Zertifikat über den Sicherheitslevel 3

Sichere Kommunikation zwischen Benutzer und Rechenzentrum:

  • Nutzung eines verschlüsselten Kanals (VPN) sowohl aus dem Büro als auch von unterwegs

Plattform für alle IT-Fragestellungen von Unternehmen:

  • Server und Speicherplatz (Standard oder nach individuellen Anforderungen)
  • Projektbezogene Zusammenarbeit mit anderen Firmen durch Benutzer-/Rechteverwaltung
  • Archivierung mit Nachweis der Unveränderlichkeit der Daten

Betreibergarantie für einen umfassenden Datenschutz:

  • Ausschließliche Verarbeitung der Daten im Verbundrechenzentrum von Infotech in Recklinghausen
  • Kunde als Eigentümer hat das alleinige Bestimmungsrecht über seine Daten
  • Vollständige Umsetzung der Datenschutzgrundverordnung (DSGVO)
  • Infotech garantiert, dass die Daten nicht eingesehen, nicht vorschriftswidrig verarbeitet und nicht weitergegeben werden
  • Möglichkeit der verschlüsselten Ablage der Daten

Sehr guter Benutzersupport und Unterstützung bei der Integration der ELC Services in Ihr Netz.


+ - Fragen und Antworten

Woher kommt der Name „Emscher-Lippe-Cloud“?

Wir wollen damit zum Ausdruck bringen, dass die Firmen der Emscher-Lippe-Region ( www.emscher-lippe.de ), also die Firmen in den Städten des Kreises Recklinghausen, sowie der Städte Gelsenkirchen und Bottrop, über Innovationskraft verfügen. Und natürlich wollen wir durch unser Angebot dazu beitragen, diese weiter zu stärken.


Welche Voraussetzungen braucht ein Unternehmen um teilnehmen zu können?

Im einfachsten Fall einen Computer und einen Internetanschluss. Besonders wichtig: ein schneller Internetanschluss.


Wie erfolgt der Kundenanschluss? Was wird benötigt?

Der Kunde erhält durch uns einen Router oder er nutzt einen eigenen Router. Soll nur ein (1) Client angebunden werden, kann das auch über das Betriebssystem des Clients realisiert werden.


Kann man auch vom Smartphone oder Tablet zugreifen?

Ja. Eine solche Anbindung ist im Betriebssystem der Mobilgeräte bereits vorgesehen.


Kann man in der Cloud nur Daten speichern oder können dort auch Verarbeitungen laufen?

In der Cloud können Verarbeitungen jeder Art laufen. Dazu mietet man virtuelle Server. Diese können dann z.B. als Datenbankserver oder Applikationsserver genutzt werden. Hier sind kaum Grenzen bestimmbar. Wir beraten Sie im Einzelfall gerne.


+ - Leistungsbeschreibung

Allgemeines

Die Angebote der Emscher-Lippe-Cloud richten sich ausschließlich an Unternehmen, Körperschaften und Anstalten des öffentlichen Rechts und öffentliche-rechtliche Sondervermögen mit Sitz innerhalb der EU.

Fileservice

Der Fileservice erlaubt im Normalmodus die Speicherung und Löschung von Dokumenten im bereitgestellten share des Rechenzentrums.

Zusätzlich zum Normalmodus kann ein Archivmodus vereinbart werden. Der Archivmodus garantiert, dass einmal eingestellte Dokumente nicht mehr geändert oder gelöscht werden können, solange sie auf der Cloud verbleiben und der Archivmodus aktiviert ist. Auf Anforderung des Kunden wird hierüber ein Zertifikat ausgestellt.

Für die Dokumente im Archivmodus kann optional eine Signaturoption aktiviert werden, die zusätzliche Sicherheit gegen unbemerkte Dokumentänderungen gibt. Die Signaturen werden als qualifizierte elektronische Signaturen zeitnah nach Speicherung erstellt.

Serverhosting

Mit dem Serverhosting werden dem Kunden virtuelle Server zur Verfügung gestellt. In der Standardvariante ist der Kunde für Einrichtung und Administration des Betriebssystems verantwortlich.

Zugang zum Rechenzentrum

Der Zugang zum Rechenzentrum erfolgt über das Internet über einen verschlüsselten Kanal (VPN). Für das Vorhalten des Internetzugangs selbst ist der Kunde verantwortlich. Der VPN-Router wird für die Vertragslaufzeit von Infotech gestellt und administriert. Die Kosten hierfür sind in den Produktpreisen enthalten.

Firmen mit entsprechenden Voraussetzungen können für den VPN Zugang eigene Ressourcen einsetzen.

+ - Preise

Single User Fileservice 50 Euro pro Monat

Der Rechenzentrumsverbund wird per Windows Netzlaufwerk in das Kundennetz eingebunden. Damit erhält der Kunde Zugriff auf 500 GB Speicherplatz.

Der Zugriff auf das Netzlaufwerk erfolgt in der Standardkonfiguration mit einem (1) Benutzer, dessen Passwort durch den Kunden administriert wird.

Multi User Fileservice 150 Euro pro Monat

Wie Single User Fileservice mit dem Unterschied, dass der Kunde sein Active Directory zur Benutzer- und Rechteverwaltung nutzen kann, indem das Netzlaufwerk darin eingebunden wird. Alternativ kann dazu auch eine separate Benutzer- und Rechteverwaltung in der Emscher-Lippe-Cloud genutzt werden.

Archivmodus 5,50 Euro pro Monat

Es wird ein gesonderter Speicherbereich auf dem vorhandenen share bereitgestellt, auf den der Kunde nur lesenden Zugriff hat. Hierzu wird der zur Verfügung stehende Speicherplatz zwischen Normal- und Archivbereich aufgeteilt.

Signaturservice auf Anfrage

Alle im Archivmodus eingestellten Dokumente werden mit einer qualifizierten elektronischen Signatur versehen. Die Signatur erfolgt zeitnah nach Speicherung.

Zusätzlicher VPN-Router 5,50 Euro pro Monat

Dem Kunden wird ein zusätzlicher VPN-Router zur Verfügung gestellt, um bspw. einen weiteren Standort an das Netzlaufwerk anzubinden.

Serverhosting auf Anfrage

Dem Kunden wird eine virtuelle Maschine zur Verfügung gestellt. Dieser Server hat 2 virtuelle Kerne, 8GB RAM und 500GB Speicherplatz. Abweichende Konfigurationen bieten wir auf Anfrage an.

Zusätzlicher Speicher (500 GB) auf Anfrage


Auftragsarbeiten, sowie Prüf- und Nachweiskosten bieten wir im Einzelfall an.

Alle Preise verstehen sich zzgl. der zum Leistungszeitpunkt geltenden Mehrwertsteuer.

Der Kunde erhält über die gebuchten Leistungen eine Dauerrechnung.

Alle Vergütungen sind zum 1. des laufenden Monats im voraus fällig.

Zahlung durch Überweisung oder Bankeinzug.


+ - Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen für Cloud-Services der
Emscher-Lippe-Cloud

Der Anbieter, die Infotech Gesellschaft für Informations- und Datentechnik mbH, Holthoffstraße 122a, 45669 Recklinghausen, Deutschland („ Infotech“), stellt mit dem Service Rechenzentrum Emscher-Lippe-Cloud cloudbasierte IT-Leistungen ( „Cloud-Services“) zur Verfügung.

  1. Allgemeines
    1. Diese Allgemeinen Geschäftsbedingungen ( „AGB“) gelten für alle von Infotech gegenüber Unternehmen (§ 14 BGB), Körperschaften oder Anstalten des öffentlichen Rechts oder öffentlich-rechtlichen Sondervermögen ( „Kunden“) mit Sitz innerhalb von EU/EWR erbrachten Cloud-Services.
    2. Der Kunde erkennt mit Übersendung seines Teilnahmeantrags für die Nutzung der Cloud-Services die zu diesem Zeitpunkt gültigen AGB an. Allgemeine Geschäftsbedingungen des Kunden gelten nicht. Der Vorrang individueller Vereinbarungen bleibt unberührt.
  2. Cloud-Services
    1. Infotech stellt dem Kunden Cloud-Services ausschließlich mit den bei Vertragsschluss vereinbarten Leistungen und ggf. geschuldeten Service Level („ Leistungen“) zur Verfügung. Bestandteil der Leistungen der Cloud-Services kann die Interaktion mit Leistungen oder Anwendungen Dritter sein („ Drittprodukte“). Es obliegt dem Kunden, die für die Nutzung der Drittprodukte zusammen mit den Cloud-Services erforderlichen Voraussetzungen zu schaffen. Dies gilt insbesondere für den Abschluss von Verträgen mit den Anbietern der Drittprodukte sowie die Nutzung oder Installation der Drittprodukte nach Maßgabe des mit den Anbietern der Drittprodukte durch den Kunden abgeschlossenen Vertrags. An diesen Verträgen ist Infotech nicht beteiligt und für die von den Anbietern der Drittprodukte geschuldeten Leistungen nicht verantwortlich.
    2. Über die vereinbarten Leistungen hinaus hat der Kunde keinen Anspruch auf eine bestimmte Ausgestaltung oder Funktionalität der Cloud-Services. Eine über die vereinbarten Leistungen hinausgehende Beschaffenheit der Cloud-Services oder Interoperabilitäten mit beim Kunden vorhandener Hardware und Software schuldet Infotech nur, wenn diese dem Kunden ausdrücklich in Textform zugesichert worden sind.
    3. Der Zugang zu den Cloud-Services erfolgt über das Internet über einen verschlüsselten Kanal (VPN). Für das Vorhalten des Internetzugangs und der für den Zugang zu den Cloud-Services ggf. beim Kunden erforderlichen Hardware (z.B. Router, Smart Device) oder Software (z.B. Browser, Plug-Ins, Apps) ist der Kunde verantwortlich. Dies gilt nicht für den zum Betrieb des verschlüsselten Kanals erforderlichen Router. Dieser Router wird dem Kunden auf Kosten von Infotech unverzüglich nach Zustandekommen des Vertrags unentgeltlich übersendet und zur Nutzung für die Vertragslaufzeit überlassen. Der Router wird während der Vertragslaufzeit durch Infotech über einen verschlüsselten Kanal Remote konfiguriert und betrieben. Mit Beendigung des Vertrags ist der Router, der im Eigentum von Infotech bleibt, sowie auch alle ggf. zusätzlich überlassenen Router an Infotech durch Rücksendung herauszugeben.
    4. Die dem Kunden nach der auf der Website von Infotech oder separat bereitgestellten Leistungsbeschreibung geschuldete Verfügbarkeit der Cloud-Services ist gegeben, wenn die Cloud-Services zur Nutzung vertragsgemäß bereitstehen, unabhängig davon, ob der Kunde hierauf tatsächlich von außen zugreifen kann.
    5. Infotech ist berechtigt, die Cloud-Services selbst oder durch Dritte zu betreiben. Das Verschulden dieser Dritten hat Infotech im gleichen Umfang zu vertreten wie eigenes Verschulden.
  3. Teilnahmeantrag
    1. Der Teilnahmeantrag dient der Identifizierung des Kunden und dem Vertragsschluss mit Infotech. Nach Absenden des Teilnahmeantrags und Freischaltung durch Infotech kann der Kunde alle administrativen Einstellungen zu seinen Cloud-Services in einem hierfür bereitgestellten Backend vornehmen und die Cloud-Services mit den vereinbarten Leistungen nutzen.
    2. Die Registrierung als Kunde erfolgt über den Teilnahmeantrag auf der Website unter Eingabe der für die Vertragsdurchführung erforderlichen sowie ggf. optionalen Angaben durch den Kunden. Bestandteil des Teilnahmeantrags sind neben diesen AGB die auf der Website von Infotech oder separat dem Kunden zur Verfügung gestellte Leistungsbeschreibung und Preisliste für die Cloud-Services. Ein Vertrag zwischen Infotech und dem Kunden kommt zustande, wenn Infotech den Teilnahmeantrag angenommen hat.
    3. Die vom Kunden im Teilnahmeantrag gemachten Angaben müssen vollständig und wahrheitsgemäß sein und bei späteren Änderungen vom Kunden unverzüglich aktualisiert werden.
    4. Die vom Kunden vergebenen Passwörter müssen nach dem jeweiligen Stand der Technik sicher sein. Passwörter sind vom Kunden geheim zu halten, vor Missbrauch zu schützen und regelmäßig zu ändern. Beim Missbrauch oder einem Verdacht auf Missbrauch hat der Kunde Infotech unverzüglich in Textform zu informieren. Bei einem Missbrauch haftet ausschließlich der Kunde; dies gilt nicht, wenn Infotech den Missbrauch allein oder überwiegend zu vertreten hat.
    5. Infotech behält sich vor, im Teilnahmeantrag Angaben abzufragen und ggf. Nachweise zu verlangen, aus denen sich ergibt, dass es sich beim Kunden nicht um einen Verbraucher handelt. Für die Übersendung von Nachweisen stellt Infotech eine Upload-Möglichkeit bereit.
  4. Nutzung der Cloud-Services
    1. Zur Nutzung der Cloud-Services erhält der Kunde von Infotech ein geteiltes Laufwerk („ share“) zur Verfügung gestellt, das der Kunde als eigenes Laufwerk in seine vorhandenen Systeme einbinden kann. Dieser share hat in der Standardkonfiguration einen Nutzer, für den das Passwort durch den Kunden administriert wird. Optional hat der Kunde die Möglichkeit, seinen Verzeichnisdienst für die Administration mehrerer Nutzer („Active Directory“) oder ein separates Benutzerverzeichnis im Rahmen der Cloud Services für diesen share einzubinden und damit seine eigene Nutzer- und Berechtigungsverwaltung auch für die Cloud-Services zu nutzen. Dabei richten sich die Rechte aller Nutzer des Kunden an den Cloud-Services nach den im Vertrag mit dem Kunden vereinbarten Leistungen.
    2. Für die Nutzung der Cloud-Services ist ausschließlich der Kunde verantwortlich. Für das Handeln etwaiger von ihm zugelassener Nutzer steht der Kunde wie für eigenes Handeln ein. Der Kunde sorgt dafür, dass die Nutzer von den Cloud-Services ausschließlich im mit dem Kunden vereinbarten Umfang Gebrauch machen. Ein Vertrag zwischen Infotech und etwaigen vom Kunden zugelassenen Nutzern besteht nicht.
  5. Preise, Zahlungsbedingungen, Verzug
    1. Die Vergütung für die Nutzung der Cloud-Services ergibt sich aus der dem Vertrag mit dem Kunden zugrundeliegenden Preisliste und versteht sich zzgl. gesetzlicher Umsatzsteuer. Aus der Preisliste ergeben sich auch die zulässigen Zahlarten.
    2. Ist der Kunde mit mehr als einer monatlichen Vergütung in Verzug, ist Infotech berechtigt, den Zugang des Kunden vollständig für alle Nutzer zu sperren. Bei einem Verzug mit einem Betrag in Höhe von mindestens zwei monatlichen Vergütungen ist Infotech zur außerordentlichen Kündigung des Vertrags aus wichtigem Grund berechtigt.
    3. Der Kunde ist zur Aufrechnung nur berechtigt, wenn Gegenansprüche rechtskräftig festgestellt, von Infotech anerkannt wurden oder unstrittig sind. Dies gilt nicht, wenn es sich um Mängelansprüche des Kunden gegen Infotech aus demselben Vertrag handelt. Zur Ausübung eines Zurückbehaltungsrechts ist der Kunde nur befugt, wenn sein Gegenanspruch auf demselben Vertrag beruht.
    4. Rechnungen sind immer in Euro zu bezahlen.
  6. Pflichten des Kunden und Haftung für Inhalte
    1. Der Kunde hat bei Nutzung der Cloud-Services das geltende Recht zu beachten und die Rechte Dritter zu wahren. Für die Einhaltung der gesetzlichen Vorschriften wegen der vom Kunden oder seinen Nutzern über die Cloud-Services eingestellten Inhalte oder bereitgestellten Services ist der Kunde selbst verantwortlich.
    2. Der Kunde hat angemessene Vorkehrungen gegen den Verlust seiner Inhalte in den Cloud-Services zu treffen. Ist die Erstellung von Backups durch Infotech nicht Bestandteil der von Infotech geschuldeten Leistungen, fällt hierunter auch die Anfertigung von der Bedeutung der Inhalte des Kunden entsprechenden regelmäßigen Sicherungen der in den Cloud-Services eingestellten Inhalte durch den Kunden.
    3. Infotech stellt mit den Cloud-Services lediglich die technische und organisatorische Plattform für die von Kunden, Nutzern oder Dritten hierüber eingestellten Inhalte bereit. Diese Inhalte sind für Infotech fremde Inhalte. Fremde Inhalte werden von Infotech lediglich gespeichert und ggf. automatisiert im Zusammenhang mit den für den Kunden mittels der Cloud-Services verfügbaren Leistungen verarbeitet. Infotech hat keine Kenntnis von den fremden Inhalten. Eine Auswahl der fremden Inhalte oder eine sonstige Kontrolle durch Infotech findet nicht statt. Ebenso wenig beaufsichtigt Infotech die Kunden und Nutzer der Cloud-Services oder erteilt diesen Weisungen. Infotech macht sich diese fremden Inhalte durch Bereitstellung der Cloud-Services nicht zu Eigen.
  7. Nutzungsrechte
    1. Der Kunde erhält ein einfaches, zeitlich auf die Laufzeit des Vertrags und sachlich auf die Inanspruchnahme der im Vertrag vereinbarten Leistungen beschränktes Nutzungsrecht an den Cloud-Services. Eine Nutzung zu anderen Zwecken als im Vertrag vereinbart ist dem Kunden untersagt. Dies gilt insbesondere für eine Bearbeitung oder wirtschaftliche Nutzung der Cloud-Services durch entgeltliche Weitergabe an Dritte durch den Kunden.
    2. Infotech erhält mit dem Einstellen von Inhalten in die Cloud-Services vom Kunden alle einfachen Nutzungsrechte an Inhalten, die erforderlich sind, damit Infotech die im Vertrag vereinbarten Leistungen erbringen kann. Eine Nutzung der Inhalte zu anderen Zwecken ist Infotech nur nach vorheriger Zustimmung des Kunden in Textform gestattet. Werden vom Kunden Text-, Bild-, Grafik-, Audio- oder Videodateien in Cloud-Services eingestellt, hat der Kunde sicherzustellen, dass ihm an solchen Inhalten die hierfür erforderlichen Nutzungsrechte zustehen und hierdurch keine Persönlichkeitsrechte, gewerblichen Schutzrechte oder Urheberrechte verletzt werden.
  8. Haftung der Parteien
    1. Die Parteien haften vorbehaltlich der nachfolgenden Bestimmungen nach den gesetzlichen Regeln. Dies gilt auch für deren gesetzliche Vertreter und Erfüllungsgehilfen.
    2. Bei einfacher Fahrlässigkeit haftet Infotech nur für Schäden aus der Verletzung einer „ wesentlichen Vertragspflicht“, also einer Pflicht, deren Erfüllung die Nutzung der Cloud-Services überhaupt erst ermöglicht und auf deren Einhaltung die jeweils andere Partei regelmäßig vertraut oder vertrauen darf. Bei der Verletzung einer wesentlichen Vertragspflicht ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt und die Haftung für mittelbare Schäden, insbesondere entgangenen Gewinn, ausgeschlossen. Die Parteien gehen übereinstimmend davon aus, dass die zweifache jährliche Vergütung des Kunden, mindestens 25.000,- EUR im Kalenderjahr, dem vorhersehbaren, typischerweise eintretenden Schaden entsprechen. Die vorstehenden Haftungsbeschränkungen greifen nicht bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, wenn Infotech einen Mangel arglistig verschwiegen oder eine Beschaffenheitsgarantie übernommen hat, sowie bei Ansprüchen nach dem Produkthaftungsgesetz.
    3. Ansprüche der Parteien aus dem Vertrag über die Nutzung von Cloud-Services verjähren in zwölf Monaten, beginnend ab dem Zeitpunkt der Leistungserbringung.
  9. Kündigung
    1. Der Vertrag läuft auf unbestimmte Zeit und kann von jeder Partei zum Ende des nachfolgenden Kalendermonats gekündigt werden.
    2. Mit Wirksamwerden der Kündigung wird der Zugang des Kunden sowie aller von ihm ggf. zugelassener Nutzer zu den Cloud-Services gesperrt. Eine Erstattung etwaig überzahlter Vergütungen erfolgt nicht. Der Kunde erhält Gelegenheit, bis spätestens einen Monat nach Wirksamwerden der Kündigung die in den Cloud-Services eingestellten Inhalte zu exportieren. Hiernach ist Infotech berechtigt, den Zugang des Kunden sowie alle eingestellten Inhalte vollständig zu löschen. Andere Unterstützungsleistungen im Zusammenhang mit der Beendigung des Vertrags werden von Infotech vorbehaltlich einer abweichenden Vereinbarung der Parteien nicht erbracht.
    3. Das Recht zur außerordentlichen Kündigung des Vertrags aus wichtigem Grund bleibt unberührt.
  10. Vertraulichkeit und Datenschutz
    1. Die Inhalte in den Cloud-Services sind ausschließlich dem Kunden selbst und den von ihm ggf. zugelassenen Nutzern zugänglich. Infotech erlangt von den Inhalten ausschließlich Kenntnis, soweit dies zur Erbringung der Leistungen erforderlich ist.
    2. Infotech beachtet die gesetzlichen Regeln zum Datenschutz. Liegt aus Sicht des Kunden eine Auftragsdatenverarbeitung gemäß § 11 BDSG vor, stellt Infotech für diesen Zweck eine den gesetzlichen Anforderungen entsprechende Vereinbarung zur Auftragsdatenverarbeitung zum Abruf bereit. Diese Vereinbarung ist durch den Kunden rechtsverbindlich zu unterzeichnen und zweifach im Original an Infotech zu senden. Infotech wird dem Kunden ein rechtsverbindlich gegengezeichnetes Exemplar zurückzusenden.
  11. Änderungen
    1. Infotech behält sich Änderungen dieser AGB ausdrücklich vor. Solche Änderungen werden zum Beginn des übernächsten Kalendermonats wirksam, wenn Infotech den Kunden mindestens zwei Wochen zuvor auf die Änderungen in Textform hingewiesen hat. Lehnt der Kunde die Änderungen ab, ist er berechtigt, den Vertrag zu kündigen. Änderungen, die sich auf wesentliche Vertragspflichten beziehen, sind nur zulässig wenn diese erforderlich sind, weil die Leistungen durch Infotech ohne die Änderung nicht mehr entsprechend den anerkannten Anforderungen der IT-Sicherheit erbracht werden können.
    2. Infotech behält sich vor, die Cloud-Services nach eigenem billigem Ermessen unter Berücksichtigung der Interessen des Kunden ganz oder teilweise zu ändern oder einzustellen, wenn hierdurch wesentliche Vertragspflichten nicht beeinträchtigt werden und dies dem Kunden zumutbar ist. Über solche Änderungen an der Leistungsbeschreibung wird Infotech den Kunden spätestens mit deren Inkrafttreten in Textform informieren. Für Änderungen an der Leistungsbeschreibung, die zum Nachteil des Kunden wesentliche Vertragspflichten beinträchtigen, ferner für Änderungen an der Preisliste, gelten die Bestimmungen für Änderungen dieser AGB entsprechend.
  12. Übertragung des Vertrags auf Dritte
    1. Infotech ist berechtigt, diesen Vertrag oder die sich daraus für Infotech ergebenden Rechte und Pflichten insgesamt oder in Teilen an ein mit Infotech im Sinne der §§ 15 ff. AktG verbundenes Unternehmen zu übertragen. Hierüber wird Infotech den Kunden spätestens bei Vertragsübertragung in Textform informieren.
  13. Schlussbestimmungen
    1. Es gilt deutsches Recht.
    2. Die Abtretung von Ansprüchen des Kunden im Zusammenhang mit der Nutzung der Cloud-Services bedarf der vorherigen Zustimmung von Infotech in Textform, die nur aus wichtigem Grund verweigert werden darf.
    3. Mündliche Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen dieser AGB sowie alle auf den Vertrag bezogene Erklärungen der Parteien bedürfen der Textform.
    4. Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. In diesem Fall gilt das Gesetz. Das gilt ebenso bei einer Lücke in diesen AGB.

Stand: 16.3.2018

+ - Vereinbarung zur Auftragsdatenverarbeitung

Vertrag über die Auftragsverar-
beitung bei Cloud Services


zwischen

______________________________________________

______________________________________________
(nachfolgend „Kunde“)

und

Infotech Gesellschaft für Informations-
und Datentechnik mbH

Holthoffstraße 122a
45669 Recklinghausen
Deutschland

(nachfolgend „Infotech“)

§ 1 Auftrag und Festlegungen zur Verarbeitung

1.1. Dieser Vertrag über die Auftragsverarbeitung (nachfolgend „AVV“) konkretisiert für alle Verarbeitungen die datenschutzrechtlichen Rechte und Pflichten der Parteien, welche sich aus dem Vertrag der Parteien über die Nutzung von Cloud Services im Service Rechenzentrum Emscher-Lippe-Cloud (nachfolgend „Hauptvertrag“) ergeben, unter denen es zu einer Verarbeitung personenbezogener Daten durch Infotech für den Kunden kommt.

1.2. Dieser AVV kommt mit all seinen Bestandteilen zur Anwendung, wenn der Kunde die Infotech zur Verarbeitung personenbezogener Daten (nachfolgend „Daten“) im Auftrag gemäß Art. 28 DSGVO verpflichtet hat. Dabei bildet dieser AVV den Rahmen für eine Vielzahl unterschiedlicher Vorgänge der Auftragsverarbeitung.

1.3. Bei etwaigen Widersprüchen gehen die Regelungen dieses AVV mit all seinen Bestandteilen den Regelungen des zugehörigen Hauptvertrages vor.

1.4. Die für die einzelnen Verarbeitungen geltenden spezifischen datenschutzrechtlichen Festlegungen (nachfolgend „Festlegungen“) werden vor Beginn der Verarbeitung in Anlagen zum AVV (nachfolgend „Anlagen“) geregelt. Dies sind insbesondere Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Kategorien von Daten und die Kategorien betroffener Personen sowie die technischen und organisatorischen Maßnahmen (nachfolgend „TOM“).

1.5. Die Anlagen sind Teil des AVV. Bei etwaigen Widersprüchen gehen die Anlagen der allgemeineren Regelung im AVV vor. Wird im Folgenden oder in den Anlagen auf den AVV Bezug genommen, so ist der AVV mit all seinen Bestandteilen gemeint.

§ 2 Verantwortlichkeit und Verarbeitung auf Weisung

2.1. Der Kunde ist im Rahmen dieses AVV für die Einhaltung der anwendbaren gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Offenlegung gegenüber Infotech sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich („Verantwortlicher“ gemäß Art. 4 Nr. 7 DSGVO).

2.2. Infotech handelt wegen der Verarbeitung der Daten ausschließlich weisungsgebunden, es sei denn es liegt ein Ausnahmefall gemäß Art. 28 Abs. 3 lit. a) DSGVO vor (anderweitige gesetzliche Verarbeitungspflicht). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Wird der Kunde als Auftragnehmerin einer Auftragsverarbeitung für einen Dritten tätig, gelten die Verpflichtungen des Kunden aus dieser Auftragsverarbeitung für den Dritten unmittelbar als Weisungen des Kunden im Verhältnis zur Infotech, sofern diese Verpflichtungen strenger sein sollten als diejenigen aus diesem AVV. Der Kunde wird Infotech über solche Anforderungen Dritter an die Auftragsverarbeitung schriftlich in Kenntnis setzen.

2.3. Infotech berichtigt oder löscht die vertragsgegenständlichen Daten oder schränkt deren Verarbeitung ein (nachfolgend „Sperrung“), wenn der Kunde dies anweist und dies sonst vom Weisungsrahmen umfasst ist.

2.4. Infotech informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Vorschriften über den Datenschutz oder diese AVV verstößt. Infotech darf die Umsetzung der Weisung solange aussetzen, bis diese vom Kunden in Textform bestätigt oder abgeändert wurde. Die Ausführung offensichtlich datenschutzrechtswidriger Weisungen darf Infotech ablehnen.

2.5. Die Parteien benennen gegenseitig in Textform einen oder mehrere Ansprechpartner in datenschutzrechtlichen Angelegenheiten, einschließlich der benannten Datenschutzbeauftragten. Ergeben sich bei den Ansprechpartnern Änderungen, haben sich die Parteien hierüber in Textform zu informieren.

2.6. Infotech gewährleistet, dass die zur Verarbeitung der Daten befugten Personen (a) die Weisungen des Kunden kennen und diese beachten, sowie (b) sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung der Verarbeitung fort.

2.7. Wird der Kunde als Auftragnehmer einer Auftragsverarbeitung für einen Dritten tätig, gelten die Verpflichtungen von Infotech aus diesem AVV auch unmittelbar im Verhältnis zwischen dem Dritten und Infotech. Dies gilt für alle Leistungen von Infotech, welche diese im Auftrag des Kunden gegenüber dem Dritten erbringt. Insbesondere stehen dem Dritten die Kontroll- und Informationsrechte aus § 8 unmittelbar gegenüber Infotech zu.

§ 3 Sicherheit der Verarbeitung

3.1. Die Parteien vereinbaren TOM gemäß Art. 32 DSGVO zum angemessenen Schutz der Daten (nachfolgend „Anlage-TOM“).

3.2. Änderung der Anlage-TOM bleiben Infotech vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Kunden auf dessen Verlangen in Textform mitzuteilen.

§ 4 Unterrichtung bei Datenschutzverletzun-gen und Fehlern der Verarbeitung

4.1. Infotech unterrichtet den Kunden unverzüglich, wenn ihr Verletzungen des Schutzes der ihr von dem Kunden anvertrauten Daten im Sinne des Art. 4 Nr. 12 DSGVO in ihrem Organisationsbereich bekannt werden oder ein konkreter Verdacht einer solchen Datenschutzverletzung bei Infotech besteht.

4.2. Stellt der Kunde Fehler bei der Verarbeitung fest, hat er Infotech unverzüglich hierüber zu unterrichten.

4.3. Infotech trifft unverzüglich die erforderlichen Maßnahmen zur Behebung der Datenschutzverletzung gemäß § 4.1 oder der Fehler gemäß § 4.2 sowie zur Minderung möglicher nachteiliger Folgen, insbesondere für die betroffenen Personen. Hierüber stimmt sie sich mit dem Kunden ab. Mündliche Unterrichtungen § 4.1 oder § 4.2 sind unverzüglich in Textform nachzureichen.

§ 5 Übermittlung von Daten an einen Empfänger in einem Drittland oder in einer internationalen Organisation

Die Übermittlung von Daten an einen Empfänger in einem Drittland außerhalb von EU und EWR ist unter Einhaltung der in Art. 44 ff. DSGVO festgelegten Bedingunben zulässig. Einzelheiten werden bei Bedarf in einer oder mehreren Anlagen geregelt.

§ 6 Unterbeauftragung weiterer Auftragsverarbeiter

6.1. Infotech darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“) erbringen lassen.

6.2. Infotech informiert den Kunden in Textform rechtzeitig vorab über die Beauftragung von Unterauftragnehmern oder Änderungen in der Unterbeauftragung. Der Kunde kann bei Vorliegen eines wichtigen Grundes der Unterbeauftragung innerhalb von vier Wochen nach Kenntnisnahme in Textform widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn ein begründeter Anlass zu Zweifeln besteht, dass der Unterauftragnehmer die vereinbarte Leistung entsprechend den anwendbaren gesetzlichen Bestimmungen zum Datenschutz oder gemäß dieser AVV erbringt. Im Fall eines begründeten Widerspruchs des Kunden räumt dieser Infotech eine angemessene Frist ein, um den vom Widerspruch betroffenen Unterauftragnehmer durch einen anderen Unterauftragnehmer zu ersetzen. Ist Infotech dies nicht möglich oder dem Kunden nicht zumutbar, ist die jeweilige Partei zur außerordentlichen Kündigung des Hauptvertrags aus wichtigem Grund berechtigt.

6.3. Infotech wird mit dem Unterauftragnehmer die in diesem AVV getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden TOM ein gleichwertiges Schutzniveau aufweisen.

6.4. Keine Unterbeauftragungen im Sinne dieser Regelung sind Leistungen, die Infotech als reine Nebenleistung zur Unterstützung ihrer geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt. Infotech ist jedoch verpflichtet, zur Gewährleistung des Schutzes der Daten auch für solche Nebenleistungen angemessene Vorkehrungen zu ergreifen.

§ 7 Rechte betroffener Personen und Unterstützung des Kunden

Macht eine betroffene Personen Ansprüche gemäß Kapitel III der DSGVO bei einer der Parteien geltend, so informiert sie die jeweils andere Partei darüber unverzüglich. Infotech unterstützt den Kunden im Rahmen ihrer Möglichkeiten bei der Bearbeitung solcher Anträge sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

§ 8 Kontroll- und Informationsrechte des Kunden

8.1. Infotech weist den Kunden die Einhaltung ihrer Pflichten mit geeigneten Mitteln nach. Der Kunde überprüft die Geeignetheit.

8.2. Für die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter Wirksamkeit kann Infotech auf angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise verweisen. Angemessen sind insbesondere Zertifizierungen nach Art. 42 DSGVO oder Nachweise nach Art. 40 DSGVO. Daneben kommen unter anderem in Betracht: eine Zertifizierung nach ISO 27001 oder ISO 27017, eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, eine Zertifizierung nach anerkannten und geeigneten Branchenstandards oder ein Prüfungsnachweis gemäß SOC / PS 951. Die Zertifizierungs- und Prüfungsverfahren sind von einem anerkannten unabhängigen Dritten durchzuführen. Infotech hat etwaige Zertifikate oder Prüfungsnachweise zur Verfügung zu stellen. Weitere geeignete Mittel (z.B. Tätigkeitsberichte des Datenschutzbeauftragten oder Auszüge aus Berichten der Wirtschaftsprüfer) können zum Nachweis der Einhaltung der vereinbarten Schutzmaßnahmen dem Kunden zur Verfügung gestellt werden. Das Inspektionsrecht des Kunden aus § 8.3 bleibt hiervon unberührt.

8.3. Der Kunde ist berechtigt, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, regelmäßig nach vorheriger Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit, Inspektionen bei Infotech zur Prüfung der Einhaltung der datenschutzrechtlichen Bestimmungen durchzuführen. Infotech darf die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der von ihr getroffenen TOM abhängig machen. Infotech ist verpflichtet, Überprüfungen und Inspektionen des Kunden zu ermöglichen und dazu beizutragen.

8.4. Zur Behebung der bei einer Inspektion getroffenen Feststellungen stimmen die Parteien die umzusetzenden Maßnahmen ab.

8.5. Macht eine Aufsichtsbehörde von Befugnissen nach Art. 58 DSGVO Gebrauch, so informieren sich die Parteien hierüber unverzüglich. Sie unterstützen sich in ihrem jeweiligen Verantwortungsbereich bei Erfüllung der gegenüber der jeweiligen Aufsichtsbehörde bestehenden Verpflichtungen.

§ 9 Haftung und Schadenersatz

9.1. Macht eine betroffene Person gegenüber einer Partei Schadenersatzansprüche wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so hat die beanspruchte Partei die andere Partei hierüber unverzüglich zu informieren.

9.2. Der Kunde und Infotech haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

9.3. Die Parteien unterstützen sich wechselseitig bei der Abwehr von Schadenersatzansprüchen betroffener Personen, es sei denn, dies würde die Rechtsposition der einen Partei im Verhältnis zur anderen Partei, zur Aufsichtsbehörde oder gegenüber Dritten gefährden.

§ 10 Kosten

Die durch Maßnahmen des Kunden bei Infotech anfallenden Kosten sind vom Kunden zu tragen, soweit diese nicht mit der Vergütung nach dem Hauptvertrag abgegolten sind. Dies gilt insbesondere für durch Kontrollen und Inspektionen des Kunden nach § 8 der Infotech anfallende Kosten.

§ 11 Laufzeit

11.1. Der AVV wird auf unbestimmte Zeit geschlossen. Die Laufzeit einer Anlage wird in der jeweiligen Anlage geregelt; ohne eine solche Regelung läuft die Anlage auf unbestimmte Zeit.

11.2. Der AVV kann mit einer Frist von drei Monaten zum Quartalsende gekündigt werden, wenn gleichzeitig oder zuvor alle Anlagen beendet wurden.

11.3. Eine Anlage endet mit Beendigung des zugehörigen Hauptvertrags, ohne dass es einer gesonderten Kündigung dieser Anlage bedarf. Infotech hat in diesem Fall nach Wahl des Kunden unverzüglich die nach der Anlage verarbeiteten Daten herauszugeben oder datenschutzkonform zu löschen und dies dem Kunden in Textform zu bestätigen. Sofern Infotech eine eigene gesetzliche Pflicht zur Speicherung dieser Daten hat, hat sie dies dem Kunden in Textform anzuzeigen.

§ 12 Fortgeltung und Überleitung von Altverträgen

Der AVV ersetzt mit Wirkung ab seiner Unterzeichnung die bestehenden Verträge nach § 11 BDSG. Haben die Parteien vor Abschluss dieses AVV Festlegungen nach § 1 vereinbart, so gelten diese sinngemäß unter dem AVV fort, es sei denn sie werden durch Anlagen ersetzt, denen derselbe Verarbeitungsgegenstand zu Grunde liegt.

§ 13 Schlussbestimmungen

13.1. Sollten die Daten des Kunden bei Infotech durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat Infotech den Kunden unverzüglich darüber in Textform zu informieren. Infotech wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Verantwortung für die Daten ausschließlich beim Kunden liegt.

13.2. Mündliche Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen des AVV bedürfen zu ihrer Wirksamkeit der Textform und der ausdrücklichen Bezugnahme auf die AVV. Abweichende mündliche Abreden der Parteien sind unwirksam. Dies gilt auch für Änderungen dieser Klausel.

13.3. Sollte nur eine Bestimmung dieses AVV ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, bleibt dieser AVV im Übrigen unberührt. An Stelle der rechtsunwirksamen oder nichtigen Bestimmung gilt das Gesetz, sofern die hierdurch entstandene Lücke nicht durch ergänzende Vertragsauslegung gemäß §§ 133, 157 BGB geschlossen werden kann. Beide Parteien sind jedoch verpflichtet, unverzüglich Verhandlungen aufzunehmen mit dem Ziel einer Vereinbarung an Stelle der rechtsunwirksamen oder nichtigen Bestimmung, die deren Sinn und Zweck in rechtlicher und wirtschaftlicher Hinsicht am Nächsten kommt, insbesondere dem Charakter der Vereinbarung als Dauerschuldverhältnis zur Regelung datenschutzrechtlicher Belange gerecht wird.

13.4. Es gilt deutsches Recht unter Ausschluss des Kollisionsrechts; Art. 3 Abs. 3, Abs. 4 ROM-I-VO bleiben unberührt.



Recklinghausen, _________     ________________________
Ort, Datum

    Ort, Datum

________________________     ________________________
Unterschrift Infotech

    Unterschrift Kunde

________________________     ________________________
Name, Funktion
Unterzeichner
(in Druckbuchstaben)
    Name, Funktion
Unterzeichner
(in Druckbuchstaben)

Anlage 1:
Festlegungen zur Auftragsverarbeitung

Die Parteien treffen zum Vertrag über die Auftragsverarbeitung ergänzend folgende Festlegungen:

§ 1 Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung der im Vertrag der Parteien über die Nutzung von Cloud Services im Service Rechenzentrum Emscher-Lippe-Cloud (nachfolgend „Hauptvertrag“) bezeichneten Cloud Services einschließlich der zugehörigen Wartungs-, Pflege- und Supportleistungen durch Infotech für den Kunden. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

§ 2 Zweck der Verarbeitung

Die Verarbeitung erfolgt fortlaufend über die Laufzeit des Hauptvertrags.

Ausschließlich zur Erfüllung der Pflichten von Infotech aus dem Hauptvertrag im Zusammenhang mit der Bereitstellung der Cloud Services werden personenbezogene Daten aus dem Herrschaftsbereich des Kunden durch Infotech vollumfänglich i.S.d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht.

§ 3 Kategorien personenbezogener Daten

Die von der Verarbeitung betroffenen Kategorien von Daten hängen von der Nutzung der Cloud Services durch den Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind: Bestandsdaten (z.B. Anschriften, Benutzerkennungen), Inhaltsdaten (z.B. aus Dokumenten) und Nutzungsdaten (bei der Auswertung von Zugriffen und der Erstellung von Reports), einschließlich ggf. besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO und anderer Daten mit einem hohen oder sehr hohen Schutzbedarf.

§ 4 Kategorien betroffener Personen

Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung der Cloud Services durch den Kunden ab. In Betracht kommen Beschäftigte, Kunden, Interessenten, Lieferanten und andere Vertragspartner, unbeteiligte Dritte und Gesellschafter sowie Organe des Kunden.

§ 5 Offenlegung von Daten an Empfänger in Drittländern oder internationalen Organisationen

Eine Offenlegung von Daten an Empfänger in Drittländern oder an internationale Organisationen erfolgt nicht.


Anlage 2:
Technische und organisatorische
Maßnahmen zur Sicherheit der
Verarbeitung

1) Zutrittskontrolle

Die Verarbeitung findet an folgenden Standorten statt:

a) Rechenzentren in Recklinghausen
b) Backup Rechenzentrum in Recklinghausen
c) Verwaltungsgebäude in Recklinghausen.

Die Zutrittskontrolle ist wie folgt geregelt:

Zu a): Zwei-Faktor-Authentisierung (Smart-Key, PIN), Vereinzelung, Videoüberwachung, Einbruchmeldeanlage.

Zu b): Zwei-Faktor-Authentisierung (Smart-Key, PIN), Videoüberwachung, Einbruchmeldeanlage.

Zu c): Empfang am Gebäudeeingang. Bewegung im Hause nur in Begleitung eines Mitarbeiters. Videoüberwachung, Einbruchmeldeanlage.

2) Zugangskontrolle

• Passwortschutz der Rechner (Client-Betriebssystem, Server-Betriebssystem, Datenbank, Anwendung): Mindestlänge 8 Zeichen, Zeichenmix, Wechselforcierung)

• Bildschirmsperre bei Pausen mit Passwortaktivierung

• Zugriffssperren durch zentrale Firewalls

• Einsatz von VPNs bei Remote-Zugriffen

• Einsatz von Anti-Viren-Software.

3) Zugriffskontrolle

Für die Aufgabenwahrnehmung bestehen folgende Zugriffsberechtigungen:

a) Kundenbetreuung
Die Mitarbeiter haben schreibenden und lesenden Zugriff auf die Verwaltungsdaten und somit ggf. Zugriff auf personalisierte Mailaccounts, wenn der Kunde solche benutzt. Der Zugriff erfolgt ausschließlich über eine Anwendung (Lavreso) mit einem persönlichen Account. Datenänderungen werden feldbezogen mit altem Wert/neuem Wert und Account protokolliert.

b) Entwicklung
Die Mitarbeiter erhalten im Einzelfall zum Zwecke des Supports (i.d.R. Fehleranalyse) Zugriff auf alle Daten. Der Zugriff erfolgt auf Datenbankebene. Die Zugriffe werden nicht protokolliert. Die Zugriffe werden im Einzelfall durch den Leiter des Supports überwacht.

c) Business Service
Die Mitarbeiter fahren die produktiven Maschinen. Sie haben normalerweise keinen Zugriff auf personenbezogene Daten. Sie können im Einzelfall Zugriff auf die IT-Verwaltungsdaten erhalten, wenn Wartungsarbeiten dies erfordern. Der Zugriff wird in diesen Fällen vom Abteilungsleiter überwacht. Einzelne Zugriffe werden nicht protokolliert.

4) Weitergabekontrolle

Zur Datenübermittlung zwischen Kunde und Cloud werden VPNs eingesetzt.

Eine sonstige Übermittlung personenbezogener Daten ist nicht vorgesehen.

5) Eingabekontrolle

Hinsichtlich der Verwaltungsdaten werden Eingaben und Änderungen benutzerbezogen protokolliert.

6) Auftragskontrolle

Infotech stellt sicher, dass Weisungen des Kunden unverzüglich umgesetzt und etwaige Unterauftragnehmer ausschließlich unter Beachtung der Vorgaben aus der Vereinbarung zur Auftragsdatenverarbeitung tätig werden.

7) Trennungsgebot

Infotech stellt technisch sicher, dass die Daten des Kunden von den Daten anderer Kunden mindestens logisch getrennt sind.

Textende
Stand: 22. Mai 2018


+ - Teilnahmeantrag
SelfService-Portal
Drop@Emscher-Lippe-Cloud