Allgemeine Geschäftsbedingungen der FWportal GmbH

Gültig ab 01.07.2018

1. Geltungsbereich und Vertragsgegenstand
1.1 Allgemeines
Die FWportal GmbH („FWPORTAL“) bietet unter der Website https://live.fwportal.de eine web-basierte Feuerwehrverwaltungssoftware an, die den Kunden zur Nutzung über das Internet zur Verfügung gestellt wird („Software“).
1.2 Geltungsbereich
Die nachstehenden Bestimmungen sind Bestandteil aller Angebote, sowie Grundlage aller Lieferungen und Leistungen der FWportal GmbH. Diese Allgemeinen Geschäfts- und Lieferbedingungen gelten auch für alle künftigen Geschäftsbeziehungen, auch wenn sie nicht nochmals vereinbart werden. Spätestens mit der Entgegennahme der Ware oder Leistung gelten diese Bedingungen als angenommen.
1.3 Keine Geltung fremder AGB
Etwaige abweichende Geschäftsbedingungen des Kunden finden keine Anwendung, es sei denn, FWPORTAL hat diesen vorher ausdrücklich schriftlich zugestimmt. Gegenbestätigungen des Kunden unter Hinweis auf seine Geschäfts- bzw. Einkaufsbedingungen wird hiermit widersprochen.
1.4 Vertrag
Das unterschriebene Angebot und die Allgemeinen Geschäftsbedingungen der FWportal GmbH bilden den Vertragsinhalt.

2. Leistungsumfang, Leistungsänderungen, Kompatibilität
2.1 Leistung
FWPORTAL stellt dem Kunden für die Dauer des Vertrages den Zugang zu der Software über das Internet zur Verfügung („SaaS-Anwendung“). Der Leistungsumfang ergibt sich aus der Beschreibung der Produkte auf www.fwportal.de und anderen Mitteilungen von FWPORTAL.
2.2 Leistungsbeginn
FWPORTAL beginnt mit den Leistungen zum vereinbarten Termin, durch die Anlage der entsprechenden Dienststellenstrukturen und übersendet dem Kunden schriftlich oder elektronisch die Zugangskennung.
2.3 Nutzungsrechte
FWPORTAL räumt dem Kunden ein einfaches, nicht unterlizenzierbares und nicht übertragbares Nutzungsrecht ein, das auf die Laufzeit des Vertrages beschränkt ist und nach Maßgabe der nachstehenden Regelungen erfolgt. Eine Nutzungsüberlassung oder Bereitstellung der Services an Dritte oder eine Nutzung durch Dritte ist untersagt.
2.4 Kostenlose Basic-Version
2.4.1 Basic-Version
Die Nutzung der kostenlosen Basic-Version bietet einen in den Funktionen eingeschränkten Zugang zur Software von FWPORTAL. Der Leistungsumfang ergibt sich aus der Beschreibung auf www.fwportal.de und anderen Mitteilungen von FWPORTAL.
2.4.2 Registrierung
Bei der Anmeldung zur kostenlosen Nutzung der Basic-Version über die Website www.fwportal.de müssen die Daten des zuständigen Trägers der einzurichtenden Dienststellen angegeben werden. FWPORTAL sendet daraufhin eine Bestätigung über den Eingang der Anmeldung, sowie ein Formular zur Vorlage und Unterschrift bei dem zuständigen Träger oder einem befugten Vertreter an die angegebene E-Mail-Adresse. Nach Rücksendung dieses Formulars (per Post, E-Mail oder Fax) nimmt FWPORTAL Kontakt mit dem Kunden zur Einrichtung der entsprechenden Dienststellen auf.
2.4.3 Beschränkung
FWPORTAL wird die Berechtigung für die Nutzung der Basic-Version nach eigenem Ermessen bewerten und zur Unterbindung von Missbrauch gegebenenfalls einschränken. Sollte FWPORTAL feststellen, dass keine Berechtigung für den Zugang zur Basic-Version vorliegt, behalten wir uns das Recht vor, diesen zu widerrufen und den Zugang stillzulegen.
2.5 Quellcode
Der Quellcode ist nicht Bestandteil der Software und wird von FWPORTAL nicht zur Verfügung gestellt.
2.6 Verfügbarkeit
In der Regel steht die Anwendung der Software 24 Stunden täglich an 7 Tagen in der Woche zur Verfügung. FWPORTAL gewährleistet eine Verfügbarkeit der Leistungen in Höhe von mind. 98% im Jahresmittel.
2.6.1 Übergabepunkt
FWPORTAL erbringt ihre Leistungen am Anschlusspunkt des von FWPORTAL genutzten Rechenzentrums an das Internet. Für die Internetverbindung zwischen dem Kunden und dem Rechenzentrum ist der Kunde verantwortlich.
2.6.2 Erreichte Verfügbarkeit
Bei der Berechnung der tatsächlich erreichten Verfügbarkeit bleiben Ausfälle aufgrund höherer Gewalt (z. B. Streik, Unruhen, Naturkatastrophen, Epidemien) unberücksichtigt. Ebenso unberücksichtigt bleiben Sperrungen durch FWPORTAL, die FWPORTAL aus Sicherheitsgründen für erforderlich halten darf, sofern FWPORTAL angemessene Vorkehrung zur Sicherheit getroffen hatte (z. B. Denial of Service Attacke, schwere Sicherheitslücke in einer genutzten Fremd-Software ohne verfügbaren Patch) oder die FWPORTAL vornimmt, weil der Kunde mit seinen vertraglichen Verpflichtungen im Verzug ist (z. B. Zahlungsverzug).
2.7 Support
FWPORTAL stellt einen kostenlosen Support zur Unterstützung bei technischen Problemen bei der Nutzung der Leistungen zur Verfügung. Die Zeit bis zur erstmaligen Reaktion auf Anfragen kann je nach Auslastung variieren. FWPORTAL bemüht sich stets um eine Reaktion innerhalb angemessener Zeit. Der Support beinhaltet nicht: Allgemeine Beratung oder Schulungen, Einrichtungsarbeiten, andere Dienstleistungen.
2.8 Leistungserbringung durch Dritte
FWPORTAL kann sich zur Leistungserbringung nach eigenem Ermessen jederzeit Dritter bedienen.
2.9 Leistungsänderungen
2.9.1 Wichtige Gründe
FWportal kann die Leistungen jederzeit aus wichtigem Grund ändern. Ein solcher Grund liegt insbesondere vor, wenn die Änderung erforderlich ist, aufgrund einer notwendigen Anpassung an eine neue Rechtslage oder Rechtsprechung, des Schutzes der Systemsicherheit oder Vermeidung von Missbrauch.
2.9.2 Weiterentwicklung
Daneben kann FWPORTAL ihre Leistungen im Rahmen einer kontinuierlichen Weiterentwicklung angemessen ändern (z. B. Abschaltung alter Funktionen, die durch neue weitgehend ersetzt werden), um insbesondere den technischen Fortschritt zu berücksichtigen.
2.9.3 Individuelle Anpassungen
Die individuelle Anpassung der Funktionalität der Software an Wünsche einzelner Kunden ist nicht Bestandteil des Vertrages. Soweit FWPORTAL sich bereit erklärt, eine Änderung der Software zur Anpassung der Funktionalität an einzelne Kundenwünsche vorzunehmen, wird darüber eine gesonderte Vereinbarung getroffen.
2.10 Kompatibilität der Software
Soweit nicht anders von FWportal gestattet, hat der Kunde eine aktuelle Desktop-Browserversion Microsoft Edge, Apple Safari, Google Chrome oder Mozilla Firefox zu nutzen. Weitere Systemanforderungen können sich aus der Benutzerdokumentation ergeben. FWPORTAL garantiert für die Kompatibilität der Software mit anderen vom Kunden verwendeten Programmen und der vom Kunden verwendeten Hardware nur, soweit FWPORTAL den Kunden hierüber ausdrücklich informiert. Auf Nachfrage gibt FWPORTAL Auskunft zur Kompatibilität der Software mit bestimmter vom Kunden verwendeter Software und Hardware, soweit FWPORTAL darüber sichere Informationen vorliegen.

3. Vergütung und Zahlungsmodalitäten
3.1 Entgelt
Das vereinbarte Entgelt ergibt sich aus dem jeweiligen Angebot. Alle vereinbarten Preise und Vergütungen verstehen sich netto in EURO zzgl. der gültigen gesetzlichen Mehrwertsteuer. Der Abzug von Skonto ist unzulässig.
3.2 Preisänderungen
FWPORTAL behält es sich vor, das Entgelt den Bedingungen den wettbewerbs- und betriebswirtschaftlichen Erfordernissen anzupassen. Eine Änderung der Entgelte ist dem Kunden mindestens einen Monat vor ihrer Wirksamkeit mitzuteilen. Dem Kunden steht bei Entgeltänderungen ein außerordentliches Kündigungsrecht bis zum Zeitpunkt der Wirksamkeit zu.
3.3 Fälligkeit
Die monatliche Vergütung für die Nutzung von FWPORTAL wird, sofern nicht anders vereinbart, jeweils zum Beginn eines Kalendervierteljahres oder bei Vertragsbeginn im Voraus fällig. Der Abrechnungszeitraum beginnt mit Leistungsbeginn durch die Anlage der entsprechenden Dienststellenstrukturen und Übersendung der Zugangskennung. Begonnene Monate sind voll zu vergüten.
3.4 Rechnungen
FWPORTAL stellt die Gebühren bei Fälligkeit in Rechnung. Die Rechnungsstellung erfolgt durch Zusendung einer Rechnung per Post oder als PDF per E-Mail. Rechnungen sind 14 Tage nach Rechnungsstellung fällig.
3.5 Zahlungsverzug
Kommt der Kunde in Zahlungsverzug, ist FWPORTAL berechtigt, Verzugszinsen in Höhe des jeweils gültigen gesetzlichen Verzugszinssatzes zu verlangen. Der Nachweis eines höheren Verzugsschadens von FWPORTAL bleibt hiervon unberührt. Sollte der Kunde mit der Zahlung des monatlichen Betrages mehr als vier Wochen in Verzug sein, behält sich FWPORTAL das Recht vor, das Vertragsverhältnis zum Ende des laufenden Abrechnungsmonats zu kündigen. Ansprüche von FWPORTAL, die durch die bisherige Nutzung von FWPORTAL entstanden sind, bleiben hiervon unberührt.

4. Laufzeit und Kündigung
4.1 Mindestvertragslaufzeit
Der Vertrag wird, sofern nicht anders vereinbart, auf unbestimmte Zeit geschlossen. Bei entgeltlichen Verträgen gilt eine Mindestvertragslaufzeit von drei Monaten.
4.2 Kündigung
Der Kunde kann das Vertragsverhältnis ohne Angabe von Gründen mit einer Frist von drei Monaten zum Monatsende kündigen. FWPORTAL ist verpflichtet, eine Kündigungsfrist von sechs Monaten zum Monatsende einzuhalten. Nach Beendigung des Vertragsverhältnisses wird FWPORTAL dem Kunden die von Ihm gespeicherten Daten innerhalb von vier Wochen zukommen lassen und die Daten im System löschen. Das Format der Daten richtet sich nach der aktuellen Technologie, welche FWPORTAL zu diesem Zeitpunkt zur Speicherung der Daten einsetzt.
4.3 Fristlose Kündigung
Unbenommen bleibt das Recht zur fristlosen Kündigung aus wichtigem Grund. Ein wichtiger Grund liegt insbesondere bei schweren oder fortgesetzten Verstößen gegen die vertraglichen Regelungen sowie bei Undurchführbarkeit des Vertrages vor. Im Falle einer Kündigung aus wichtigem Grund ist FWPORTAL berechtigt, den Zugang des Kunden sofort zu sperren.

5. Verpflichtung und Obliegenheiten des Kunden
5.1 Missbräuchliche Nutzung
Dem Kunden ist es untersagt, die Software missbräuchlich in Anspruch zu nehmen, insbesondere zur Veröffentlichung oder Verbreitung rechtswidriger, diffamierender, eindeutig pornografischer oder sonstiger anstößiger Inhalte, sowie die Nutzung von technischen Hilfsmitteln oder Methoden, die die Funktionsfähigkeit der Software beeinträchtigen oder beeinträchtigen könnten. Im Falle einer missbräuchlichen Nutzung der Software, die zu erheblichen Beeinträchtigungen der Leistungen von FWPORTAL für Dritte führt, behält sich FWPORTAL die außerordentliche Kündigung des Vertragsverhältnisses vor. FWPORTAL ist berechtigt, vom Kunden erstellte Inhalte, die rechtswidrig und/oder missbräuchlich sind, unverzüglich zu löschen. Der Kunde ist zudem verpflichtet, die Zugangsdaten für seinen FWPORTAL-Account vor der unberechtigten Kenntnisnahme Dritter zu schützen.
5.2 Unberechtigte Nutzung
Dem Kunden ist es nicht gestattet, über eine im System vorhandene Dienststelle Daten zu verwalten, die Dienststellen betreffen, welche im System nicht vorhanden sind. FWPORTAL behält sich vor, in diesen Fällen die entgangenen Umsätze nachzuberechnen.
5.3 Mitwirkung des Kunden.
Der Kunde unterstützt FWPORTAL bei der Erfüllung der von FWPORTAL vertraglich geschuldeten Leistungen. Der Kunde stellt Informationen, Daten und sonstiges Material, soweit dies zur Erbringung der vereinbarten Leistungen durch FWPORTAL erforderlich ist, rechtzeitig und wahrheitsgemäß zur Verfügung. Solange und soweit der Kunde diesen Mitwirkungspflichten nicht nachkommt, verschieben sich eventuelle Fristen und Termine zu Gunsten von FWPORTAL entsprechend nach hinten. FWPORTAL kann hierdurch verursachten Mehraufwand insbesondere für die verlängerte Bereitstellung des eigenen Personals oder der eigenen Sachmittel in Rechnung stellen, soweit sich der Kunde nicht zuvor exkulpieren kann. Ansprüche von FWPORTAL aus § 643 BGB bleiben hierdurch unberührt.
5.4 Befugnisse
Der Kunde trägt dafür Sorge, dass die von ihm eingesetzten Mitarbeiter, die zur Durchführung des Projekts erforderlichen Entscheidungs- und Vertretungsbefugnisse haben, einschließlich des Rechts zur Vereinbarung eventueller Auftragsänderungen oder Auftragsergänzungen.
5.5 SMS-Zusatzalarmierung
Dem Kunden ist bekannt, dass die Nutzung von Einsatz-Zusatzmitteilungen kein Ersatz für die ordnungsgemäße Alarmierung von Einsatzkräften nach BOS-Richtlinie darstellt. Ausschließlich der Kunde ist dafür verantwortlich, welche Empfänger Mitteilungen erhalten, welche Inhalte versendet werden und dass die Datenschutzbestimmungen durch die Empfänger eingehalten werden. Der Kunde wird angehalten entsprechende Abkommen mit seinen Einsatzkräften zu schließen. Der Kunde hat sicherzustellen, dass die jeweiligen Empfänger mit dem Empfang der Nachrichten einverstanden sind. Der Kunde stellt FWPORTAL ausdrücklich von allen Ansprüchen dritter frei, die aus dem Empfang der versendeten Mitteilung resultieren.
5.6 Sperrung bei Pflichtverletzung
FWPORTAL behält sich vor, bei bestimmungswidriger Nutzung und Pflichtverletzung den Zugang zur Software zu sperren.

6. Datensicherheit, Datenschutz und Vertraulichkeit
6.1 Verschlüsselung
FWPORTAL setzt SSL Zertifikate zur Verschlüsselung der Datenübertragung ein, um die Daten während der Übertragung vor dem Zugriff Dritter zu schützen. Soweit sich zukünftig neue Sicherheitsstandards etablieren, die den Schutz der Daten vor dem Zugriff Dritter optimieren, wird FWPORTAL diese Sicherheitsstandards einsetzen. Die Daten werden von FWPORTAL in der Datenbank verschlüsselt gespeichert.
6.2 Verantwortungsbereich
FWPORTAL haftet außerhalb des Verantwortungsbereichs von FWPORTAL und der Erfüllungsgehilfen von FWPORTAL nicht für fehlerhafte oder unvollständige Übertragung der Daten im Internet aufgrund fehlerhafter Funktion von Internet-Software, Browsern oder der Internet-Infrastruktur.
6.3 Datensicherung
Die Daten werden regelmäßig gesichert. Im unwahrscheinlichen Fall eines Totalausfalls können unter ungünstigen Umständen die Daten eines oder mehrere Tage verloren gehen. FWPORTAL spielt in diesem Fall die letzte verfügbare Sicherung ein.
6.4 Kundendaten
Die für die Durchführung und Abwicklung von FWPORTAL erforderlichen personenbezogenen Daten des Nutzers werden nach Maßgabe der gesetzlichen Bestimmungen erhoben, verarbeitet und genutzt.
6.5 Datennutzung durch Kunde
Erhebt, verarbeitet oder nutzt der Kunde personenbezogene Daten mit der Software, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes FWPORTAL von Ansprüchen Dritter frei. Der Kunde ist über das Zugriffs- und Berechtigungssystem ermächtigt, seine Daten auch anderen Organisationen bzw. Dienststellen zur Verfügung zu stellen (z.B. Feuerwehrtechnischen Zentralen, Landkreis, Land) Für die Zulässigkeit dieser Handlung ist allein der Kunde verantwortlich.
6.6 Löschung der Daten
Nach Beendigung des Vertragsverhältnisses erfolgt eine Löschung der personenbezogenen Daten, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. In diesen Fällen erfolgt eine Sperrung der Daten.
6.7 Vertraulichkeit
Die Vertragsparteien verpflichten sich gegenseitig, sämtliche jeweils von der anderen Partei erhaltenen Informationen vertraulich zu behandeln und geheim zu halten und keinem Dritten zugänglich zu machen. Der Vertraulichkeit unterliegen insbesondere die der anderen Partei mitgeteilten und zur Kenntnis gebrachten Geschäfts- und Betriebsgeheimnisse und als vertraulich bezeichnete Informationen. Diese Geheimhaltungsverpflichtung bleibt auch nach Beendigung des Vertrages bestehen.
6.8 Auftragsverarbeitung
Mit Abschluss eines Nutzungsvertrages wird ein Auftragsverarbeitungsvertrag gemäß Artikel 28 DS-GVO abgeschlossen. Dieser Vertrag ist Bestandteil dieser AGB (siehe Anlage 1).
6.9 Technisch Organisatorische Maßnahmen
Eine Prüfliste der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO ist Bestandteil dieser AGB und des Vertrages zur Auftragsverarbeitung (siehe Anlage 2)

7. Gewährleistung
Grundsätzlich gibt FWPORTAL auf sämtliche Dienstleistungen eine Gewährleistung von 12 Monaten ab Abnahme.
7.1 Mitteilung
Auftretende Mängel sind vom Kunden unverzüglich nach Entdeckung zu melden und in für FWPORTAL nachvollziehbarer Weise zu dokumentieren. Der Kunde wird gebeten, für Fehlermeldungen das Support-Forum unter https://live.fwportal.de zu nutzen.
7.2 Mitwirkung des Kunden
Der Kunde stellt FWPORTAL auf Anforderung in zumutbaren Umfang Unterlagen und Informationen zur Verfügung, die FWPORTAL zu einer Beurteilung und Beseitigung benötigt. Er verpflichtet seine Mitarbeiter insbesondere zum Zwecke der Mängelerkennung und Mängelbeseitigung FWPORTAL umfassend – auch mündlich – Auskunft zu erteilen.
7.3 Nachbesserung
FWPORTAL ist berechtigt, die Mängel nach seiner Wahl durch Nachbesserung oder durch Neulieferung zu beseitigen. Die Mängelbeseitigung durch FWPORTAL kann auch durch telefonische oder schriftliche oder elektronische Handlungsanweisung, z. B. über das Support-Forum an den Kunden erfolgen. Der Kunde wird FWPORTAL bei der Mängelbeseitigung unterstützen und insbesondere Rechner, Räume und Telekommunikationsmöglichkeiten zur Verfügung stellen. FWPORTAL kann verlangen, dass das Personal des Kunden übersandte Programmteile mit Korrekturen einspielt.
7.4 Berechnung
Stellt sich heraus, dass ein vom Kunden gemeldeter Mangel tatsächlich nicht besteht, ist FWPORTAL berechtigt, den mit der Analyse und sonstiger Bearbeitung einhergehenden Aufwand gegenüber dem Kunden zu berechnen, sofern dies im Vorfeld mit dem Kunden vereinbart wurde. Eine Berechnung erfolgt nicht, soweit der Kunde zur Fehlermeldung das Support-Forum nutzt.
7.5 Ausschluss von Herabsetzung und Rücktritt
Solange die Nachbesserung nicht innerhalb vertretbarer Zeit endgültig fehlgeschlagen ist, kann der Kunde weder Herabsetzung des Werklohns (Minderung) noch Rückgängigmachung des Vertrages (Rücktritt) verlangen.
7.6 Ausschluss der Beseitigung durch Dritte
Der Kunde ist nicht berechtigt, Mängel von Dritten beseitigen zu lassen, wenn nicht die Mängelbeseitigung durch FWPORTAL ausdrücklich abgelehnt wurde und hierfür Ersatz der erforderlichen Aufwendungen zu verlangen.

8. Haftungsbeschränkung
8.1 Haftung
Gegenüber den Kunden haftet FWPORTAL uneingeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung beruhen, sowie für sonstige Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung sowie Arglist beruhen. Darüber hinaus haftet FWPORTAL uneingeschränkt für Schäden, die von der Haftung nach zwingenden gesetzlichen Vorschriften umfasst werden, wie dem Produkthaftungsgesetz, sowie im Fall der Übernahme von Garantien.
8.2 Sonstige Haftung
Für solche Schäden, die nicht von Ziffer 8.1. erfasst werden und die schuldhaft durch das Verhalten der gesetzlichen Vertreter, leitenden Angestellten oder sonstigen Erfüllungsgehilfen von FWPORTAL verursacht wurden, haftet FWPORTAL der Höhe nach beschränkt auf die vertragstypisch vorhersehbaren Schäden.
8.3 Haftungsausschluss
FWPORTAL haftet außerhalb des Verantwortungsbereichs von FWPORTAL und der Erfüllungsgehilfen von FWPORTAL nicht für fehlerhafte oder unvollständige Übertragung der Daten im Internet aufgrund fehlerhafter Funktion von Internetsoftware, Browsern oder der Internet-Infrastruktur.
Greift der Kunde ohne ausdrückliche Zustimmung von FWPORTAL in die gelieferte Software ein, so entfällt insoweit die Haftung von FWPORTAL für den daraus entstehenden Schaden. Schadensersatzansprüche seitens FWPORTAL bleiben vorbehalten. Als „Eingriff“ im Sinne von Satz 2 gelten auch Modifikationen von Software oder deren Dekompilierung.

9. Rechtsverbindlichen Mitteilungen
9.1 Zustellung
Rechtsverbindliche Mitteilungen von FWPORTAL an den Kunden, die in diesen Geschäftsbedingungen vorgesehen sind, stellt FWPORTAL schriftlich oder elektronisch zu. Die elektronische Zustellung erfolgt per Email. Der Kunde gibt FWPORTAL eine E-Mail-Adresse an, über die ihn rechtsverbindliche Mitteilungen erreichen sollen.
9.2 Systemmitteilungen
FWPORTAL ist berechtigt, rechtsverbindliche Erklärungen an die Kunden in Form von Systemmitteilungen unter https://live.fwportal.de zuzustellen. Diese Mitteilungen gelten vier Wochen nach Beginn Ihrer Veröffentlichung als zugegangen. Dieser Absatz gilt nicht für Erklärungen von besonderer Bedeutung.
9.3 Mitteilungen an FWPORTAL
Rechtsverbindliche Mitteilungen des Kunden an FWPORTAL, die in diesen Geschäftsbedingungen vorgesehen sind, haben schriftlich oder elektronisch zu erfolgen. Die Adresse für schriftliche Mitteilungen lautet: FWportal GmbH, Stockenkamp 15, 27793 Wildeshausen. Elektronische Mitteilungen haben per E-Mail an folgende Adresse zu erfolgen: info@fwportal.de.

10. Allgemeine Bestimmungen
10.1 Schriftformerfordernis
Ergänzungen, Änderungen oder Nebenabreden zu diesen Bedingungen bedürfen zu Ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses.
10.2 Änderungsrecht
FWPORTAL behält sich die Änderung dieser Allgemeinen Geschäftsbedingungen vor. Bei Änderung wird der Kunde hierüber elektronisch oder schriftlich informiert. Die geänderte Version der Allgemeinen Geschäftsbedingungen wird Vertragsbestandteil, wenn der Kunde nicht innerhalb von vier Wochen elektronisch oder schriftlich widerspricht. Auf die Rechtsfolge seines Schweigens wird der Kunde mit der Mitteilung nach Satz 2 informiert. FWPORTAL behält sich für den Fall eines Widerspruches vor, das Vertragsverhältnis zum nächstmöglichen Zeitpunkt zu kündigen.
10.3 Namensnennung zu Marketingzwecken
FWPORTAL darf den Kunden und dessen Dienststellen als Referenz für Marketingzwecke angeben, soweit dieses vom Kunden nicht schriftlich untersagt wird.
10.4 Abtretung von Rechten
Die Abtretung von Rechten des Kunden aus dem Vertrag ohne vorherige Zustimmung von FWPORTAL ist ausgeschlossen.
10.5 Anwendbares Recht
Das Rechtverhältnis zwischen den Parteien unterliegt ausschließlich deutschem Recht. Die Anwendung des UN-Kaufrechts ist ausgeschlossen.
10.6 Gerichtsstand
Ist der Kunde Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, so ist ausschließlicher Gerichtsstand derjenige am Sitz von FWPORTAL.
10.7 Teilunwirksamkeit
Sollte eine der Bestimmungen unwirksam oder nichtig sein oder werden, so soll dadurch nicht die Wirksamkeit der Allgemeinen Geschäftsbedingungen beeinträchtigt werden. FWPORTAL und der Kunde verpflichten sich, an die Stelle der unwirksamen oder nichtigen Bestimmungen eine neue Bestimmung zu stellen, die dem wirtschaftlichen Sinn und Zweck der unwirksamen oder nichtigen Regelung am nächsten kommt. Das Gleiche gilt im Falle einer Vertragslücke.

Anlage 1 – Vertrag zur Auftragsverarbeitung

gemäß Artikel 28 DS-GVO (2016/679)

1. Einleitung, Geltungsbereich, Definition
1.1 Dieser Vertrag legt die Einzelheiten der Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Nutzung der Online Feuerwehrverwaltungslösung „FWportal“ fest.
1.2 Er findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
1.3 Die Vertragsparteien sind mit dem Hauptvertrag eine Vereinbarung eingegangen, die ein Auftragsdatenverarbeitungsverhältnis beinhaltet. Es sind die Regelungen der EU-Richtlinie 2016/679 (DS-GVO) und des deutschen Bundes-Datenschutzgesetzes (BDSG) zu beachten. Sofern für eine der Vertragsparteien zutreffend, sind auch die Regelungen des Datenschutzgesetzes eines Bundeslandes für beide Vertragsparteien zu beachten. (nachfolgend für das jeweils Zutreffende auch „DSG“). Um die Rechte und Pflichten aus dem Auftragsdatenverarbeitungsverhältnis gemäß der Regelungen des DSG zu konkretisieren, schließen die Parteien folgende vertragliche Vereinbarung. Sie löst einen ggf. vorher zwischen den Vertragsparteien geschlossenen ADV-Vertrag ab.
1.4 In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung
2.1 Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Vertrag über die Nutzung der Online Feuerwehrverwaltungslösung „FWportal“.
2.2 Die Dauer der Verarbeitung beginnt mit dem Vertragsabschluss des Hauptvertrages und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder des Hauptvertrages durch eine Partei.
2.3 Unabhängig von den vorstehenden Regelungen zu den Laufzeiten gelten die Verpflichtungen zum Datengeheimnis, die Geheimhaltungspflicht und vereinbarte Aufbewahrungsfristen über das Vertragsende hinaus.

3. Konkretisierung des Auftragsinhalts
3.1 Konkretisierung des Zwecks:
Die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber dient dem Zweck einer standortunabhängigen Verwaltung von materiellen, personellen Ressourcen und der Planung, Alarmierung, Durchführung und Abrechnung von Einsätzen und Lehrgängen.
3.2 Konkretisierung der Art:
Zur Zweckerfüllung stellt der Auftragnehmer für den Auftraggeber das internetbasierte Datenbanksystem „FWportal“ mit der erforderlichen Hardware zum Betrieb der zentralen Datenbank und Webapplikation, sowie deren Internetanbindung zur Verfügung.
3.3 Konkretisierung des Umfangs:
Die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber umfasst die Speicherung und Verarbeitung im Datenbanksystem, die Verfügbarkeit über eine Internetanbindung sowie der Sicherung der Datenbestände.
3.4 Konkretisierung der Art der Daten:
Gegenstand der Erhebung, Verarbeitung und oder Nutzung personenbezogenen Daten sind folgende Datenarten / -kategorien:
• Name, Vorname, Geburtsdatum, Geburtsname, Geburtsort, Geschlecht, Nationalität
• Anschrift, E-Mailadresse, Telefonnummern, weitere Kommunikationsdaten
• Mitgliedschaftsdaten, Qualifikation, Dienststellung, Dienstgrade, Funktionen
• Fotos und weitere Dokumente (als Dateianhänge)
• Bankverbindung, Beruf, Arbeitgeber
• Familienstand, Hochzeitdaten, Angehörige
• Fahrerlaubnis, Ausweise, Ehrungen
• Teilnahmedaten an Diensten, Einsätzen und Veranstaltungen
• Zuweisungen von Bekleidung und anderen Inventargegenständen
• Atemschutzdaten (Tauglichkeiten, Untersuchungsergebnisse, Tätigkeiten)
• Aus- und Fortbildungsdaten einschließlich Beurteilungsergebnissen
• Zeitstempel und IP-Adresse beim Login oder Datenbankänderungen
• Zeitpunkt und Aussagen bei Meldungen, Nachrichten oder Lesebestätigungen
• Ggf. weitere vom Auftragnehmer zusätzlich erfassten personenbezogene Daten
3.5 Konkretisierung zum Kreis der Betroffenen:
Der Kreis der durch den Umgang ihrer personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst: Personal, Mitarbeiter, Feuerwehrmitglieder (aktive/ehemalige), Ansprechpartner, Lieferanten, Kunden, Geschäftspartner, Verursacher, Geschädigte und Beteiligte von Einsätzen.

4. Pflichten des Auftragnehmers
4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
4.2 Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
4.3 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
4.4 Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
4.5 Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
4.6 Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
4.7 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
4.8 Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
4.9 Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.
4.10 Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

5. Technisch-organisatorische Maßnahmen
5.1 Der Auftragnehmer hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben (siehe Anlage technische und organisatorische Maßnahmen). Soweit die Prüfung des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
5.2 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrages bestehen.
5.3 Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Es handelt sich insgesamt um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme.
5.4 Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Auf Grund des technischen Fortschritts, sowie der zu erwartenden Entwicklungen in der Gesetzgebung kann sich eine Notwendigkeit der Anpassung der getroffenen technischen und organisatorischen Maßnahmen ergeben. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

6. Berichtigung, Löschung und Sperrung von Daten
6.1 Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
6.2 Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

7. Unterauftragsverhältnisse
7.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
7.2 Der Auftragnehmer ist zur Durchführung dieses Auftrags berechtigt, Unterauftragsverhältnisse mit Rechenzentren zu begründen, über den Betrieb der physikalischen Hardware (Server) und zugehöriger Netzwerkinfrastruktur.
7.3 Weitere Unterauftragnehmer dürfen nur nach vorheriger ausdrücklicher dokumentierter Zustimmung des Auftraggebers beauftragt werden.
7.4 Der Auftragnehmer informiert den Auftraggeber auf Anfrage schriftlich, welche Unterauftragsverhältnisse er begründet hat, die den Kernbereich (Zweckbestimmung) dieses Auftrags berühren.
7.5 Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem/den Unterauftragnehmer/n so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen.
7.6 Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
7.7 Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftragnehmers (mind. Textform).
7.8 Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen

8. Kontrollrechte des Auftraggebers
8.1 Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
8.2 Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
8.3 Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
8.4 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen dieser Vereinbarung durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln, durch Vorlage der Anlage technische und organisatorische Maßnahmen zum Vertrag zur Auftragsverarbeitung, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz). Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

9. Mitteilung bei Verstößen des Auftragnehmers
9.1 Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
9.2 Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
9.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
9.4 Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.
9.5 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder auf ein Fehlverhalten des Auftraggebers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

10. Weisungsbefugnis des Auftraggebers
10.1 Der Auftraggeber ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen.
10.2 Die Weisungen bedürfen der Schrift- oder Textform. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
10.3 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

11. Löschung und Rückgabe von personenbezogenen Daten
11.1 Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungsfristen erforderlich sind.
11.2 Nach Abschluss des Auftragsverhältnisses oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.
11.3 Erfolgt im Rahmen der Kündigung keine besondere Absprache, so wird der Auftragnehmer einen Monat nach Beendigung des Auftragsverhältnisses alle diesem Auftragsverhältnis zugeordneten Datenbestände löschen. Ausgenommen sind Datenbestände, für die nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht.
11.4 Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

12. Sonstiges
12.1 Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
12.2 Für Nebenabreden ist die Schriftform erforderlich.
12.3 Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
12.4 Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht.

Anlage 2 – Technisch und Organisatorische Maßnahmen

gemäß Artikel 32 Abs. 1 DS-GVO
Stand 01.07.2018

I. Organisation
Die innerbetriebliche Organisation ist durch folgende Maßnahmen so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird:

• schriftliche Arbeitsanweisungen, Richtlinien, Merkblätter
• Programme/Verfahren sind ordnungsgemäß dokumentiert
• Aufbewahrung maschinell erzeugter Protokolle/Logs ist geregelt
• Ein Programmfreigabeverfahren ist eingerichtet
• Anwendung des Vier-Augen-Prinzips bei weitreichenden Änderungen an Infrastruktur oder Software
• Benachrichtigungen, Auskunftsersuchen, Anliegen bzgl. Berichtigung, Löschung oder Sperrung werden dokumentiert
• Standort sämtlicher von der FWportal GmbH genutzter Server: Europa (Microsoft Rechenzentrum in Amsterdam (NL) und Dublin (IRL))

II. Technische Umgebung
Die technische Umgebung des Verfahrens stellt sich wie folgt dar:

1. Rechenzentrum
Unsere Test- und Produktivumgebung wird in der Microsoft Azure Cloud an den Standorten Amsterdam (NL) und Dublin (IRL) betrieben und gewartet.
Die Web-Anwendung wird im Internet-Information-Server (IIS) des jeweiligen Windows Server Betriebssystems (ab Version 2012 R2) ausgeführt (Azure App-Service).
Als Datenbank kommt eine Microsoft Azure SQL Datenbank (ab Version 12) zum Einsatz.

2. Kommunikation
Die Kommunikation zum Rechenzentrum erfolgt ausschließlich über das Internet.

3. Arbeitsplatzausstattung Mitarbeiter
Die Arbeitsplätze unserer Mitarbeiter sind nach dem aktuellen Stand der Technik ausgestattet. Die Hardware ist dabei nicht älter als drei Jahre. Die Windows 10 Arbeitsplätze sind passwortgeschützt und mit BitLocker verschlüsselt.

Sofern mobile Anwendungen zum Einsatz kommen, werden dafür ausschließlich Geräte mit den Betriebssystemen iOS (ab Version 10.3) und Android (ab Version 7) eingesetzt.

III. Sicherungsmaßnahmen
Unsere Produktiv-Server für das Web-System, Datenbank sowie die Georedundanz werden in professionellen Rechenzentren von Microsoft in Amsterdam (NL) und Dublin (IRL) betrieben und gewartet.

1. Zutrittskontrolle
Das genutzte externe Rechenzentrum ist nach ISO 27001, sowie auch ISO/IEC 27018 zertifiziert.
Für diese und weitere Zertifizierungen steht das Microsoft Trust Center für detaillierte und aktuelle Informationen zur Verfügung.
http://azure.microsoft.com/de-de/support/trust-center/

2. Zugangskontrolle
Das genutzte externe Rechenzentrum ist nach ISO 27001, sowie auch ISO/IEC 27018 zertifiziert.
Für diese und weitere Zertifizierungen steht das Microsoft Trust Center für detaillierte und aktuelle Informationen zur Verfügung.
http://azure.microsoft.com/de-de/support/trust-center/

3. Zugriffskontrolle
Das genutzte externe Rechenzentrum ist nach ISO 27001, sowie auch ISO/IEC 27018 zertifiziert.
Für diese und weitere Zertifizierungen steht das Microsoft Trust Center für detaillierte und aktuelle Informationen zur Verfügung.
http://azure.microsoft.com/de-de/support/trust-center/

a) Weiter findet eine Zugriffskontrolle ausschließlich über die Authentifizierung des Benutzers statt.
b) Es existiert ein Berechtigungskonzeptwelches gewährleistet, dass Benutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind.
c) Zugriffe auf die Anwendung werden protokolliert.

4. Weitergabekontrolle
a) Ein Versand von Datenträgern ist generell nicht vorgesehen.
b) Das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Daten bei der Übertragung wird verhindert durch:
– SSL-Verschlüsselung der Datenübertragung
– Vollständigkeits- und Richtigkeitsüberprüfung
c) Alle zum Transport vorgesehenen sensitiven Daten werden verschlüsselt.

5. Eingabekontrolle
Ob und von wem Daten eingegeben, verändert oder entfernt worden sind, kann nachträglich überprüft und festgestellt werden durch:

a) Protokollierung eingegebener Daten
b) Verarbeitungsprotokolle

6. Auftragskontrolle
a) Die Verarbeitung personenbezogener Daten im Auftrag erfolgt nur entsprechend den Weisungen des Auftraggebers und wird gewährleistet durch eine schriftliche Vereinbarung zum Datenschutz zwischen Auftraggeber und Auftragnehmer bzw. Rechenzentrum.
b) Der Auftragnehmer informiert den Auftraggeber rechtzeitig vor geplanten Wartungsfenstern oder gravierenden Änderungen; sämtliche Programmänderungen werden in sog. Systemmitteilungen veröffentlicht.
c) Der Auftraggeber wird über Programmabbrüche und Programmfehler informiert.
d) Der Auftragnehmer verpflichtet seine Mitarbeiter/innen zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO).

7. Verfügbarkeitskontrolle
Die Daten werden durch folgende Maßnahmen gegen zufällige Zerstörung oder Verlust geschützt:
Standarddatensicherungsverfahren des externen Rechenzentrums: http://azure.microsoft.com/de-de/support/trust-center/

zusätzlich:
a) mehrmals tägliche Datensicherung der Software und Datenbank nach Datensicherungsplan
b) Ablage der Datensicherung geographisch getrennt
c) zusätzliche manuelle Datensicherungsmöglichkeit des Auftraggebers
d) regelmäßige Tests der Datenwiederherstellung

Das System kann wahlweise in geographisch getrennten Rechenzentren betrieben werden

8. Trennungsgebot
Dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können, wird gewährleistet durch:

a) softwareseitigen Ausschluss (Mandantentrennung)
b) Trennung über Berechtigungskonzept
c) Trennung von Test- und Produktivanwendung
d) Trennung von Test- und Produktivdatenbank