Allgemeine Geschäftsbedingungen

 

Präambel

Die FUNDINGPORT GmbH (nachfolgend „FUNDINGPORT“) vermittelt über eine unter https://app.fundingport.com/re betriebene Plattform (nachfolgend die „Plattform“) Finanzierungen in Form von nicht partiarischen und nichtqualifiziert nachrangigen Darlehen, Vermögensanlagen i.S.v. § 1Absatz 2 VermAnlG und sonstige Finanzierungsverträge für gewerbliche Zwecke (nachfolgend jeweils das „Vertragsprodukt“) im Bereich Erneuerbare Energien und Gewerbeimmobilien.

Die Plattform richtet sich an jeweils auf der Plattform registrierte, von Unternehmen, Projektgesellschaften(i.e.S. Special Purpose Vehicles) und Investoren (nachfolgend „Kunden“) Bevollmächtigte und auf der Plattform registrierte Berater (nachfolgend „Untervermittler") sowie an jeweils auf der Plattform registrierte Banken, Debt Fonds, Versicherungsgesellschaften, Factoring- oder Leasinganbieter und andere Kapitalgeber (nachfolgend „Anbieter“) und gegebenenfalls von diesen beauftragte, auf der Plattform registrierte weitere Vermittler von Vertragsprodukten (nachfolgend „Vertriebskoordinatoren“); FUNDINGPORT, Anbieter, und Untervermittler sowie Vertriebskoordinatoren nachfolgend gemeinsam auch die „Parteien“; Anbieter, und Untervermittler und Vertriebskoordinatoren nachfolgend auch „Plattformnutzer“).

Auf der Plattform können Untervermittler Finanzierungsanfragen für Kunden einstellen. Die Anfragen leitet FUNDINGPORT an ausgewählte, auf der Plattform registrierte Anbieter oder gegebenenfalls deren Vertriebskoordinatoren weiter. Die Anbieter haben dann die Möglichkeit, unverbindliche Angebote (nachfolgend „Term Sheets“) abzugeben. Der Untervermittler kann die Term Sheets auf der Plattform einsehen, miteinander vergleichen und einen Vertragsabschluss des Kunden mit ausgewählten Anbietern über die Plattform initiieren. FUNDINGPORT agiert insoweit als Bote der jeweils beteiligten Untervermittler und Anbieter.

§ 1    Allgemeines

(1)    Diese Allgemeinen Geschäftsbedingungen (einschließlich dem Auftragsverarbeitungsvertrag in Anhang A nachfolgend „Bedingungen“) regeln Rechte und Pflichten der Parteien in Bezug auf die Nutzung der Plattform.

(2)    Andere allgemeine Geschäftsbedingungen gelten nur dann, wenn die jeweiligen Parteien dies ausdrücklich schriftlich oder in Textform vereinbart haben.

(3)    Nur Unternehmen (Unternehmer nach § 14 BGB) dürfen sich als Plattformnutzer auf der Plattform registrieren. Anderen Personen, insbesondere Verbrauchern (nach § 13BGB), ist die Nutzung nicht gestattet.

§ 2    Leistungsumfang und Vergütung

1)   FUNDINGPORT stellt unter der URL https://app.fundingport.com/re (nachfolgend „Plattform-Website") die Plattform zur Verfügung, auf der Kunden über bevollmächtigte Untervermittler Finanzierungen für ihre jeweiligen gewerblichen Zwecke in Form von Vertragsprodukten anfragen können.

(2)   Mit der Anfrage fordert der Untervermittler die Anbieter dazu auf, unverbindliche Term Sheets abzugeben. Nur vollständige Anfragen (alle Pflichtfelder sind ausgefüllt) können bearbeitet werden. FUNDINGPORT präsentiert den Untervermittlern eine Auswahl von für ihre Anfrage passende Anbieter. Die Präsentation der Auswahl nimmt FUNDINGPORT nach den Ausschreibungskriterien vor, die FUNDINGPORT zuvor von dem oder den Anbietern und Vertriebskoordinatoren ermittelt hat. Hierbei legen die Anbieter und Vertriebskoordinatoren z.B. fest, zu welchen Arten von Vertragsprodukten, von welchen Kundengruppen oder in Höhe welches Investitionsvolumens sie ausschließlich Anfragen erhalten möchten. Die Untervermittler wählen die Anbieter und Vertriebskoordinatoren aus der von FUNDINGPORT präsentierten Auswahl selbst aus, an die ihre Anfrage weitergeleitet werden soll.

(3)   Die vom Untervermittler ausgewählten Anbieter erhalten dann die Möglichkeit, innerhalb eines vom Untervermittler festgelegten Zeitraums für die Anfrage passende Term Sheets abzugeben. Gegebenenfalls beauftragte Vertriebskoordinatoren leiten die Aufforderung zur Abgabe eines passenden Term Sheets an ihre Auftraggeber (Anbieter) weiter.

(4)   FUNDINGPORT wählt in freiem Ermessen abgegebene Term Sheets zur Weiterleitung an den Untervermittler aus. Dem Untervermittler werden die ausgewählten Term Sheets in einem persönlichen Login-Bereich auf der Plattform unmittelbar und fortlaufend angezeigt. In Einzelfällen erhält der Untervermittler die Term Sheets über FUNDINGPORT auf separatem Weg, etwa per E-Mail. Möchte der Untervermittler mit einem Anbieter oder Vertriebskoordinator in Kontakt treten, hat der Untervermittler hierzu die entsprechende Funktion der Plattform zu nutzen. Darüber hinaus übermittelt FUNDINGPORT dem Anbieter oder Vertriebskoordinator bei Bedarf die vom Untervermittler mitgeteilten Kontaktdaten.

(5)   Die Term Sheets der Anbieter sind unverbindlich. Die Angebotsbedingungen und -konditionen können sich daher noch verändern. Das Ergebnis einer Due Diligence des Anbieters kann zu geänderten Bedingungen oder ggf. auch zur Ablehnung eines Angebots führen.

(6)   Der Anbieter oder gegebenenfalls der von diesem beauftragte Vertriebskoordinator stellt dem Untervermittler nach erfolgreicher Due Diligence Vertragsdokumente zur Verfügung. Der Vertragsabschluss zwischen Anbieter und Kunden findet im Datenraum der Plattform statt. Die bloße Auswahl eines Anbieters durch einen Untervermittler führt noch nicht zu einem Vertragsabschluss.

(7)   FUNDINGPORT prüft Finanzierungsanfragen auf Vollständigkeit. Im Übrigen ist FUNDINGPORT nicht verpflichtet, die vom Untervermittler auf der Plattform angegebenen Daten, insbesondere zum Unternehmen und/oder zum Projekt bzw. Finanzierungsvorhaben, zu prüfen. FUNDINGPORT ist nicht verpflichtet, die von den Anbietern abgegebenen Term Sheets zu prüfen, nimmt jedoch eine fallbezogene Überprüfung der Konditionen auf Marktüblichkeit vor. FUNDINGPORT übernimmt keine Haftung für den Inhalt der Term Sheets, Vertragsdokumente und sämtlicher weiterer Informationen des Untervermittlers, Kunden, Anbieters oder Vertriebskoordinators.

(8)    FUNDINGPORT stellt einen Datenraum auf der Plattform bereit, über den die Parteien für den Abschluss der Finanzierung erforderliche oder nützliche Dokumente bereitstellen sowie auf solche Dokumente der jeweils betreffenden Partei zugreifen können und eine Fragen- und Antwortfunktion (Q&A) nutzen können. Welche Daten die Plattformnutzer hochladen oder löschen und welche dieser Daten lediglich zur Einsichtnahme oder aber auch zum Download zur Verfügung gestellt werden, entscheiden diese eigenverantwortlich. Soweit in diesem Datenraum personenbezogene Daten verarbeitet bzw. hochgeladen werden, wird FUNDINGPORT mit der Bereitstellung der technischen Infrastruktur des Datenraumes als Auftragsverarbeiter des die Daten hochladenden Plattformnutzers tätig. Die personenbezogenen Daten werden durch FUNDINGPORT nur nach Weisung des jeweiligen Verantwortlichen verarbeitet. Der Auftragsverarbeitungsvertrag in Anhang A zu diesen Bedingungen wird mit Zustimmung des jeweiligen Plattformnutzers zu diesen Bedingungen Teil dieses Vertrages. Sofern ein auf der Plattform registrierter Vertriebskoordinator den Datenraum auf der Plattform für einen Anbieter nutzt, wird FUNDINGPORT als Auftragsverarbeiter für den Vertriebskoordinator tätig.

(9)   FUNDINGPORT übernimmt keine Gewähr für die jederzeitige Verfügbarkeit der Plattform-Website. Wartungsarbeiten, Software- Updates sowie Ereignisse außerhalb des Herrschaftsbereichs von FUNDINGPORT (z.B. bei höherer Gewalt, Verschulden Dritter) können zu einer vorübergehenden Nichterreichbarkeit der Plattform- Website führen. Wenn FUNDINGPORT absehen kann, dass Ausfallzeiten für Wartung und Software- Updates länger als 12 Stunden dauern werden, wird FUNDINGPORT, unter angemessener Abwägung aller wechselseitigen, auch wirtschaftlichen Belange, per E-Mail hierüber informieren.

(10)  Vergütung

Die Nutzung der Plattform ist für die Plattformnutzer kostenfrei.

Die Vergütung von FUNDINGPORT erfolgt im Falle eines Vertragsschlusses zwischen Anbieter und Kunden durch den Anbieter und gegebenenfalls durch dessen Vertriebskoordinator mittels Zahlung einer Provision. Die vom Anbieter an FUNDINGPORT gezahlte Provision kann teilweise oder vollständig in den Angebotskonditionen der Anbieter enthalten sein. Näheres ist im Anbietervertrag zwischen FUNDINGPORT, Anbieter  dessen Vertriebskoordinator vereinbart.

§ 3    Registrierung

(1)    Die Nutzung der Plattform und der hiermit verbundenen Leistungen von FUNDINGPORT setzt eine Registrierung durch den jeweiligen Plattformnutzer voraus. Dabei sind sowohl die relevanten gewerblichen Daten der Kunden und Plattformnutzer als auch die Kontaktdaten der natürlichen Personen zu erfassen, welche die Registrierung für den Plattformnutzer durchführen (nachfolgend „User"). Alle relevanten Daten sind vollständig und wahrheitsgemäß anzugeben. Die Pflichtangaben sind für die Registrierung zwingend auszufüllen. Der User teilt zur Registrierung seine geschäftliche EMail-Adresse mit und wählt ein Passwort aus. Nach Bestätigung des ausgewählten Passwortes und Anklicken des Kontrollkästchens zur Zustimmung zu diesen Bedingungen schließt der Plattformnutzer die Registrierung durch Betätigung der Schaltfläche „Register" ab. Während und nach der Registrierung können aus Sicherheitsgründen weitere Authentifizierungsmaßnahmen durchzuführen sein.

(2)   Die Registrierung als Plattformnutzer ist juristischen Personen oder Personengesellschaften im Rahmen ihrer gewerblichen Tätigkeit erlaubt. Als User ist jeder unbeschränkt geschäftsfähigen natürlichen Person die Durchführung einer Registrierung erlaubt, die vom jeweiligen Plattformnutzer hierzu berechtigt ist. FUNDINGPORT darf jederzeit Nachweise über die Berechtigung des Users verlangen. Eine diesbezügliche Prüfungspflicht von FUNDINGPORT besteht jedoch, unbeschadet etwaiger gesetzlicher Pflichten, nicht. Weiter darf FUNDINGPORT im Zusammenhang mit dem Betrieb der Plattform jederzeit Kontakt mit einem User aufnehmen. Eine Kontaktaufnahme erfolgt per E-Mail, telefonisch oder postalisch. Es ist unzulässig, mehrere Registrierungen für denselben Plattformnutzer anzulegen.

(3)    Ein Anspruch auf Registrierung besteht nicht. FUNDINGPORT ist berechtigt, eine Registrierung ohne Angabe von Gründen abzulehnen. FUNDINGPORT ist auch berechtigt, das Konto eines Plattformnutzers oder die Anmeldung eines Users nicht freizuschalten oder nachträglich zu sperren, wenn erforderliche Nachweise fehlen. Darüber hinaus darf FUNDINGPORT bei Anhaltspunkten für eine Nutzung der Plattform, die den berechtigten Interessen der übrigen Plattformnutzer zuwiderläuft, die Bearbeitung einer Finanzierungsanfrage ohne Nennung von Gründen jederzeit ablehnen oder abbrechen und die Anfrage löschen. Bei falschenAngaben oder sonstigen Unstimmigkeiten hat FUNDINGPORT das Recht, den betreffenden Plattformnutzer von der Nutzung der Plattform dauerhaft auszuschließen und Anfragen (auch nachträglich) abzubrechen und zu löschen.

§ 4    Nutzung der Plattform durch Untervermittler

1)    Ein Untervermittler darf Finanzierungsanfragen für Kunden auf der Plattform einstellen, wenn und soweit er hierzu gegenüber dem betreffenden Kunden berechtigt ist. Eine Verknüpfung zwischen dem Kunden und dem Untervermittler erfolgt spätestens dann, wenn der Untervermittler eine Finanzierungsanfrage für den Kunden auf der Plattform erstellt.

(2)    Der Untervermittler sichert FUNDINGPORT mit Einstellung der Finanzierungsanfrage für einen Kunden zu, dass er von diesem hierzu bevollmächtigt worden ist. Der Untervermittler hat FUNDINGPORT auf Verlangen das Bestehen einer hinreichenden Bevollmächtigung durch den Kunden nachzuweisen. Eine diesbezügliche Prüfungspflicht von FUNDINGPORT besteht jedoch, unbeschadet etwaiger gesetzlicher Pflichten, nicht. Der Untervermittler stellt FUNDINGPORT von sämtlichen Ansprüchen, insbesondere des Kunden frei, die aufgrund des Nichtbestehens oder der Überschreitung einer Bevollmächtigung gegenüber FUNDINGPORT geltend gemacht werden.

(3)    Es ist Untervermittlern untersagt Finanzierungsanfragen für Personen und Vereinigungen von Personen, soweit sie sanktionierte Parteien sind, auf der Plattform zu veröffentlichen.  Als sanktionierte Parteien im Sinne dieser Regelung gelten insbesondere:  

a. Natürliche Personen, juristische Personen und sonstige Vereinigungen von Personen, die in einem Staat oder in einer Region ihren Wohnsitz haben bzw. die dort ansässig sind, gegen die die USA, die Europäische Union oder die Bundesrepublik Deutschland Maßnahmen erlassen haben, die als umfassende Sanktionen („comprehensive sanctions“) gelten;  

b. Natürliche Personen, juristische Personen und sonstige Vereinigungen von Personen, gegen die die USA, die Europäische Union oder die Bundesrepublik Deutschland wirtschaftliche Sanktionsmaßnahmen verhängt haben.

c. Personen oder Vereinigungen von Personen, an denen eine in a.) oder b.) genannte sanktionierte Partei wenigstens 50% der Anteile oder der Stimmrechte hält; bei denen eine in a.) oder b.) genannte sanktionierte Partei berechtigt ist, die Mehrheit der Mitglieder der Geschäftsführung, des Vorstands oder eines vergleichbaren Leitungsgremiums zu bestimmen; oder die sonst unter der Kontrolle einer in a.) oder b.) genannten Partei steht.  

(4)   Aus geschäftspolitischen Gründen und zum Schutz der allgemeinen Reputation der Plattform sind darüber hinaus Personen und Vereinigungen von Personen, die ihren Sitz in einem Hochrisikoland haben, von der Nutzung der Plattform ausgeschlossen. Aus denselben Gründen dürfen Kredite nicht an Personen und Vereinigungen von Personen vermittelt werden, soweit diese ihren Sitz in einem Hochrisikoland haben. Als Hochrisikoland in diesem Sinne gelten alle Drittländer mit hohem Risiko, die die Kommission indem jeweils gültigen delegierten Rechtsakt gemäß Art. 9 der Richtlinie (EU) 2015/849 (oder einer entsprechenden Nachfolgeregelung) ermittelt hat, sowie die folgenden Länder: Demokratische Republik Korea (Nordkorea), Iran, Krim, Kuba, Sudan/Südsudan, Syrien, Libanon, Syrien, Weißrussland

§ 5    Pflichtendes Untervermittlers und des Anbieters / Befreiung vom Bankgeheimnis / Freistellungsanspruch

(1)    Der Untervermittler und Anbieter trägt die alleinige Verantwortung für die Richtigkeit und Vollständigkeit sämtlicher Informationen, Inhalte (z. B. Unterlagen, Dateien), Verlinkungen und sonstiger Daten, die er der Plattform übermittelt, hochlädt bzw. durch einen Vertriebskoordinator übermitteln lässt (nachfolgend jeweils die „Daten").

(2)    Plattformnutzer gewährleisten insbesondere, dass sie berechtigt sind, die Daten an FUNDINGPORT weiterzugeben und, dass FUNDINGPORT berechtigt ist, die Daten an die jeweiligen übrigen Plattformnutzer weiterzugeben.

(3)    Plattformnutzer sind zudem verpflichtet, ihre Daten so zu gestalten, dass sie nicht gegengesetzliche oder behördliche Bestimmungen oder gegen die guten Sitten verstoßen.

(4)    Plattformnutzer tragen dafür Sorge, dass sie alle gespeicherten Daten vor jeder neuen Finanzierungsanfrage auf die Einhaltung der Vorgaben der Absätze 1 bis 3 prüfen und, soweit erforderlich, berichtigen bzw. erneut gemäß diesen Bedingungen bereitstellen oder über einen Vertriebskoordinator bereitstellen lassen.

(5)    FUNDINGPORT ist berechtigt, Nachweise über die angegebenen Daten anzufordern.

(6)    Plattformnutzer sind verpflichtet, die Zugangsdaten zur Plattform (insbesondere das Passwort) geheim zu halten und vor dem Zugriff Dritter zu schützen. Sie tragen dafür Sorge, dass die Zugangsdaten bei Eingabe nicht von Dritten ausgespäht werden können. Ist ihnen bekannt oder besteht der Verdacht, dass ein Dritter von den Zugangsdaten Kenntnis erlangt hat, so ist der jeweilige Plattformnutzer verpflichtet, seine Zugangsdaten unverzüglich zu ändern. Ist dies nicht möglich, ist FUNDINGPORT unverzüglich zu unterrichten und das weitere Vorgehen mit FUNDINGPORT abzustimmen.

(7)   Mitteilungspflichten des Anbieters gegenüber FUNDINGPORT sind im Dienstleistungsvertrag zwischen FUNDINGPORT und Anbieter geregelt.

(8)   FUNDINGPORT wird die nach Absätzen (6) und (7) mitgeteilten Vertragsdaten ausschließlich für die Rechnungsstellung gegenüber dem Anbieter verwenden.

(9)   Der Kunde ermächtigt den Anbieter, FUNDINGPORT bzw. dem Vertriebskoordinator zur Weiterleitung an FUNDINGPORT im Falle eines Vertragsabschlusses über ein Vertragsprodukt bzw. der Prolongation oder Refinanzierung eines bestehenden Vertragsprodukts den Abschluss, das Volumen und den Zeitpunkt der Bereitstellung und/oder ersten Teilauszahlung mitzuteilen sowie im Falle des Unterbleibens eines Vertragsabschlusses auch dies mitzuteilen. Er befreit den Anbieter insoweit vom Bankgeheimnis. Als Erklärungsbote des Kunden teilt der Untervermittler dies durch Einstellung der jeweiligen Finanzierungsanfrage auf der Plattform mit und sichert zu, vom Kunden zur Überbringung einer entsprechenden Erklärung ermächtigt worden zu sein.

(10)  FUNDINGPORT ist jederzeit berechtigt, für Rückfragen zum Vertragsstatus Kontakt zum Plattformnutzer aufzunehmen.

(11)  Plattformnutzer stellen FUNDINGPORT von sämtlichen Ansprüchen Dritter und/ oder anderer Parteien frei, die wegen unrichtiger, unvollständiger und/ oder unrechtmäßiger Daten und/ oder unbefugter Datenweitergabe des jeweiligen Plattformnutzers gegenüber FUNDINGPORT geltend gemacht werden.

§ 6    Sicherheit/ Kommunikation / Plattform-Website

(1)    Vorbehaltlich der Regelungen zur Haftung in § 7stellt FUNDINGPORT mit eigenüblicher Sorgfalt sicher, dass sämtliche Daten auf der Plattform und die Kommunikation über die Plattform vor unberechtigten Zugriffen Dritter geschützt werden.

(2)    FUNDINGPORT verpflichtet sich, alle FUNDIGPORT betreffenden datenschutzrechtlichen Bestimmungen in ihrer jeweils geltenden Fassung zu beachten. FUNDINGPORT wird bei der Verarbeitung personenbezogener Daten ausschließlich Personal bzw. Dritte einsetzen, die auf Vertraulichkeit im Umgang mit personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. FUNDINGPORT verpflichtet sich, bei Einschaltung Dritter auch diese zur Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen zu verpflichten.

(3)    FUNDINGPORT verarbeitet vom Plattformnutzer zur Verfügung gestellte Daten nach den gesetzlichen Vorgaben sowie dem Auftragsverarbeitungsvertrag in Anhang A. Unabhängig davon sind Plattformnutzer dazu verpflichtet, die von ihnen jeweils zur Verfügung gestellten Daten außerhalb der Plattform in geeigneter Form zu sichern.

(4)    FUNDINGPORT behält sich vor, die Plattform-Website zu ändern. Hierbei wird FUNDINGPORT die berechtigten Belange der Plattformnutzer berücksichtigen und diese frühzeitig von einer bevorstehenden Änderung informieren, wenn und soweit die Änderung erkennbar deren berechtigte Belange beeinträchtigen kann.

§ 7   Haftung / Verjährung

(1)    FUNDINGPORT haftet bei einfacher Fahrlässigkeit nur bei Verletzung wesentlicher Vertragspflichten. Wesentliche Vertragspflichten sind alle Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung ein Plattformnutzer regelmäßig vertrauen darf. Im Übrigen ist die vorvertragliche, vertragliche und außervertragliche Haftung von FUNDINGPORT auf Vorsatz und grobe Fahrlässigkeit beschränkt. Diese Haftungsbegrenzung gilt auch bei Verschulden eines Erfüllungsgehilfen von FUNDINGPORT.

(2)    Erfolgt die Verletzung einer vertragswesentlichen Pflicht nicht grob fahrlässig oder vorsätzlich, so ist die Haftung von FUNDINGPORT auf solche typischen Schäden oder einen solchen typischen Schadensumfang begrenzt, die bzw. der zum Zeitpunkt des Vertragsabschlusses vernünftigerweise voraussehbar war.

(3)    Die Haftungsausschlüsse/-beschränkungen nach den Absätzen 1 und 2 gelten nicht für die Haftung wegen einer Verletzung des Lebens, Körpers oder der Gesundheit, für die Haftung aus der Übernahme von Garantien oder für die Haftung nach dem Produkthaftungsgesetz.

§ 8    Aufrechnung

Plattformnutzer können gegen Ansprüche von FUNDINGPORT nur mit Gegenansprüchen aufrechnen, die rechtskräftig festgestellt, unbestritten oder von FUNDINGPORT anerkannt sind. Zurückbehaltungsrechte können durch Plattformnutzer nur geltend gemacht werden, soweit sie rechtskräftig festgestellt, unbestritten oder von FUNDINGPORT anerkannt sind.

§ 9    Vertraulichkeitsvereinbarung

(1)    Untervermittler haben bereitgestellte vertrauliche Informationen der Anbieter bzw. der von diesen beauftragten Vertriebskoordinatoren, Anbieter bzw. von diesen beauftragte Vertriebskoordinatoren die durch den Untervermittler bereitgestellten vertraulichen Informationen vertraulich zu behandeln. FUNDINGPORT wird die bereitgestellten vertraulichen Informationen der Plattformnutzer vertraulich behandeln.

Als „vertrauliche Informationen“ gelten unabhängig von dem Medium, in dem sie enthalten sind, insbesondere alle finanziellen, technischen, technologischen, wirtschaftlichen, strategischen, rechtlichen, steuerlichen, die Geschäftstätigkeit und die Geschäftsabläufe betreffenden oder sonstigen Informationen (einschließlich Produkte, Herstellungsprozesse, Know-how, Geschäftsgeheimnisse, geschäftliche Beziehungen, Geschäftsstrategien, Businesspläne, Finanzplanung, Personalangelegenheiten), welche sich auf Kunden, Untervermittler oder Anbieter oder mit ihnen verbundene Unternehmen i.S.v. §§ 15 ff. AktG beziehen. Hierzu gehören auch sonstige Informationen im Sinne des § 2 GeschGehG, die weder allgemein bekannt noch ohne Weiteres zugänglich sind, von wirtschaftlichem Wert und Gegenstand von Geheimhaltungsmaßnahmen sind.

(2)    Die Parteien bleiben jeweils Inhaber (im Sinne des § 2 Nr. 2 GeschGehG) der vertraulichen Informationen, die im Rahmen der Nutzung der Plattform zwischen ihnen ausgetauscht werden und behalten (vorbehaltlich anderer Abreden) jeweils alle Rechte zur Nutzung und Verwertung dieser vertraulichen Informationen.

(3)    Die Parteien werden die über die Plattform erhaltenen vertraulichen Informationen des jeweils anderen nicht an unberechtigte Dritte weiterleiten oder diesen zugänglich machen und treffen jeweils angemessene Geheimhaltungsmaßnahmen zum Schutz der vertraulichen Informationen vor dem Zugriff Dritter.

§ 10 Anwendbares Recht

Diese Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland.

§ 11 Salvatorische Klausel / Änderungen / Ergänzungen

(1)    Sollte eine der Bestimmungen dieser Bedingungen ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, soll die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt werden. Die Parteien verpflichten sich vielmehr, an einer Vereinbarung mitzuwirken, die in wirtschaftlicher Hinsicht dem ursprünglichen Parteiwillen so weit wie möglich entspricht. Entsprechendes gilt für Regelungslücken.

(2)    Änderungen dieser Bedingungen können durch ein Angebot von FUNDINGPORT über die Plattform-Website und die Annahme eines Plattformnutzers durch Aktivierung einer entsprechenden Schaltfläche oder Ankreuzoption auf der Plattform- Website beim Login erfolgen. Darüber hinaus können Änderungen dieser Bedingungen auch dadurch vereinbart werden, dass FUNDINGPORT den Plattformnutzern die geänderten Bedingungen spätestens sechs Wochen vor dem vorgeschlagenen Zeitpunkt ihres Wirksamwerdens in Textform anbietet; die Zustimmung eines Plattformnutzers gilt dann als erteilt, wenn er seine Ablehnung nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens der Änderungen angezeigt hat. Auf diese Genehmigungswirkung wird FUNDINGPORT im Angebot besonders hinweisen.

 

 

Anhang A: Auftragsverarbeitungsvertrag

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen

dem Plattformnutzer im Sinne der Bedingungen

nachstehend jeweils „Verantwortlicher

und

der FUNDINGPORT GmbH

Millerntorplatz 1

20359 Hamburg, Deutschland

nachstehend „Auftragsverarbeiter

Präambel

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Auftragsverhältnis im Sinne des Art. 28 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, „DSGVO“).

Dieser Auftragsverarbeitungsvertrag einschließlich aller Anlagen (nachfolgend gemeinsam als „Vereinbarung“ bezeichnet) konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus den Bedingungen, insbesondere nach § 2 Abs. (8) der Bedingungen (nachfolgend als „Hauptvertrag“ bezeichnet). Sofern Bezug auf die Regelungen des Bundesdatenschutzgesetzes (nachfolgend „BDSG“) genommen wird, so ist damit das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 in der zum Zeitpunkt ab dem 25. Mai 2018 geltenden Fassung gemeint.  

Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen zur Erfüllung des Hauptvertrages und dieser Vereinbarung nach Maßgabe der folgenden Bestimmungen:

§ 1   Anwendungsbereich und Begriffsbestimmungen

(1) Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung im Sinne des Art. 28 DSGVO, die der Auftragsverarbeiter auf Grundlage des Hauptvertrages gegenüber dem Verantwortlichen erbringt.

(2) Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(3) Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.

§ 2 Gegenstand und Dauer der Datenverarbeitung

(1)  Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.

(2) Gegenstand des Auftrags ist die Bereitstellung der technischen Infrastruktur eines Datenraumes auf der Plattform durch den Auftragsverarbeiter zur Nutzung durch den Verantwortlichen, insbesondere durch die Bereitstellung oder Löschung von Dokumenten, den Zugriff auf Dokumente der jeweils betreffenden übrigen Verantwortlichen und die Nutzung der Fragen- und Antwortfunktion (Q&A) im Rahmen des Hauptvertrags.

(3) Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.

§ 3 Art und Zweck der Datenverarbeitung

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dieser umfasst folgende Tätigkeit(en) und Zweck(e):

· Der Auftragsverarbeiter betreibt eine Plattform, über welche Verantwortliche den Abschluss von Finanzierungen anbahnen können und fungiert hierbei als technischer Dienstleister, um die Kommunikation zwischen den betreffenden Verantwortlichen zu vereinfachen.

· Der Auftragsverarbeiter ermöglicht es dem Verantwortlichen durch Bereitstellung der technischen Infrastruktur eines Datenraumes auf der Plattform, eigenverantwortlich für den Abschluss der Finanzierung erforderliche oder nützliche Dokumente zur Einsichtnahme oder zum Download für die betreffenden übrigen Verantwortlichen zu erfassen, zu speichern und bereitzustellen, zu löschen und solche Dokumente der jeweils betreffenden übrigen Verantwortlichen abzufragen, zu verwenden und ggf. zu speichern und stellt eine Fragen- und Antwortfunktion (Q&A) für Verantwortliche zur Verfügung.  

§ 4 Kategorien betroffener Personen

Im Rahmen dieser Vereinbarung werden personenbezogene Daten von folgenden Kategorien betroffener Personen verarbeitet:

· Mitarbeiter eines Verantwortlichen

· User odersonstige Ansprechpartner eines Verantwortlichen

· Sonstige natürliche Personen, die einen Bezug zum Finanzierungsvorhaben aufweisen und/oder deren Daten für den Abschluss der Finanzierung erforderlich oder nützlich sind und/oder deren Daten von einem Verantwortlichen bereitgestellt werden

§ 5 Art der personenbezogenen Daten

Von der Auftragsverarbeitung sind folgende Datenarten betroffen:

· Personenstammdaten (Name, Anrede, Titel/akademischer Grad, Geburtsdatum)

· Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift)

· Vertragsdaten (Vertragsdetails, Leistungen, Kundennummer)

· Vertragsabrechnungsdaten und Zahlungsinformationen (Rechnungsdetails, Bankverbindung, Kreditkarteninformationen)

· Angaben zur Bonität, Scoring-Werte, Einträge in Schuldnerverzeichnisse

· Elektronische Kommunikationsdaten (IP-Adresse, aufgerufene Internetseiten, Angaben zum verwendeten Endgerät, Betriebssystem und Browser)

· Sonstige von einem Verantwortlichen bereitgestellte Daten

§ 6 Rechte und Pflichten desVerantwortlichen

(1) Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Verantwortliche zuständig und somit für die Verarbeitung Verantwortlicher im Sinne des Art. 4 Nr.7 DSGVO.

(2) Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind auf Verlangen des Auftragsverarbeiters unverzüglich vom Verantwortlichen schriftlich oder in Textform (z.B. per E- Mail) zu bestätigen.

(3) Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Diese wird der Verantwortliche dem Auftragsverarbeiter schriftlich oder in Textform mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Verantwortlichen ändern, wird dies dem Auftragsverarbeiter unter Benennung der jeweils neuen Person schriftlich oder in Textform mitgeteilt.

(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter festgestellt werden.

§ 7 Pflichten des Auftragsverarbeiters

(1)  Datenverarbeitung

Der Auftragsverarbeiter wird personenbezogene Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen verarbeiten.

(2) Betroffenenrechte

a. Der Auftragsverarbeiter wird den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Sollte der Auftragsverarbeiter die in § 5dieser Vereinbarung genannten personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten und sind diese Daten Gegenstand eines Verlangens auf Datenportabilität gem. Art. 20 DSGVO, wird der Auftragsverarbeiter dem Verantwortlichen den betreffenden Datensatz innerhalb einer angemessen gesetzten Frist, im Übrigen innerhalb von sieben Arbeitstagen, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.

b. Der Auftragsverarbeiter hat auf Weisung des Verantwortlichen die in § 5 dieser Vereinbarung genannten personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten vorsieht.

c. Soweit sich eine betroffene Person unmittelbar an den Auftragsverarbeiter zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung der in § 5 dieser Vereinbarung genannten personenbezogenen Daten wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich nach Erhalt an den Verantwortlichen weiterleiten.

(3) Kontrollpflichten

a. Der Auftragsverarbeiter stellt durch geeignete Kontrollen sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des Hauptvertrages und/oder den entsprechenden Weisungen verarbeitet werden.

b. Der Auftragsverarbeiter wird sein Unternehmen und seine Betriebsabläufe so gestalten, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.

c. Der Auftragsverarbeiter bestätigt, dass er gem. Art. 37 DSGVO und, sofern anwendbar, gemäß § 38 BDSG einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter des Auftragsverarbeiters ist derzeit:

ISiCO Datenschutz GmbH

Am Hamburger Bahnhof 4

10557Berlin

berlin@isico-datenschutz.de

(4)  Informationspflichten

a. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine von dem Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

b. Der Auftragsverarbeiter wird den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen.

(5) Ort der Datenverarbeitung

Die Verarbeitung der Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(6) Löschung der personenbezogenen Daten nach Auftragsbeendigung

Nach Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern der Löschung dieser Daten keine gesetzlichen Aufbewahrungspflichten des Auftragsverarbeiters entgegenstehen. Die datenschutzgerechte Löschung ist zu dokumentieren und gegenüber dem Verantwortlichen auf Anforderung zu bestätigen.

§ 8 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche ist berechtigt, nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Geschäftsbetriebes des Auftragsverarbeiters oder Gefährdung der Sicherheitsmaßnahmen für andere Verantwortliche und auf eigene Kosten, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Die Kontrollen können auch durch Zugriff auf vorhandene branchenübliche Zertifizierungen des Auftragsverarbeiters aktuelle Testate oder Berichte einer unabhängigen Instanz (wie z.B. Wirtschaftsprüfer, externer Datenschutzbeauftragter, Revisor oder externer Datenschutzauditor) oder Selbstauskünfte durchgeführt werden. Der Auftragsverarbeiter wird die notwendige Unterstützung zur Durchführung der Kontrollen anbieten.  

(2) Der Auftragsverarbeiter wird den Verantwortlichen über die Durchführung von Kontrollmaßnahmen der Aufsichtsbehörde informieren, soweit die Maßnahmen oder Datenverarbeitungen betreffen können, die der Auftragsverarbeiter für den Verantwortlichen erbringt.

§ 9 Unterauftragsverhältnisse

(1) Der Verantwortliche ermächtigt den Auftragsverarbeiter weitere Auftragsverarbeiter gemäß den nachfolgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zu nehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung i.S. d. Art. 28 Abs. 2 DSGVO dar.

(2) Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den in der Anlage 2 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.

(3) Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen. Der Auftragsverarbeiter wird den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte Änderung Einspruch erheben.

(4) Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 2 Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder einen alternativen weiteren Auftragsverarbeiter vorschlagen und mit dem Verantwortlichen abstimmen. Sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragsverarbeiter nicht zumutbar ist – etwa aufgrund von damit verbundenen unverhältnismäßigen Aufwendungen für den Auftragsverarbeiter – oder die Abstimmung eines weiteren Auftragsverarbeiters fehlschlägt, können der Verantwortliche und der Auftragsverarbeiter diese Vereinbarung sowie den Hauptvertrag mit einer Frist von einem Monat zum Monatsende kündigen.

(5)  Bei Einschaltung eines weiteren Auftragsverarbeiters muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten weiteren Auftragsverarbeiter verantwortlich.

§ 10 Vertraulichkeit

(1)  Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet.

(2) Der Auftragsverarbeiter verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vornahme der Verpflichtungen wird der Auftragsverarbeiter dem Verantwortlichen auf Nachfrage nachweisen.

(3) Sofern der Verantwortliche anderweitigen Geheimnisschutzregeln unterliegt, wird er dies dem Auftragsverarbeiter mitteilen. Der Auftragsverarbeiter wird seine Mitarbeiter entsprechend den Anforderungen des Verantwortlichen auf diese Geheimnisschutzregeln verpflichten.

§ 11 Technische und organisatorische Maßnahmen

(1) Die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden als angemessen vereinbart. Der Auftragsverarbeiter kann diese Maßnahmen aktualisieren und ändern, vorausgesetzt dass das Schutzniveau durch solche Aktualisierungen und/ oder Änderungen nicht wesentlich herabgesetzt wird.

(2) Der Auftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art. 32 i.V.m Art. 5 Abs. 1 DSGVO. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Er wird alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Die zu treffenden Maßnahmen umfassen insbesondere Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Maßnahmen, die die Kontinuität der Verarbeitung nach Zwischenfällen gewährleisten. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, wird der Auftragsverarbeiter die implementierten Maßnahmenregelmäßig evaluieren und ggf. Anpassungen vornehmen.

§ 12 Haftung/Freistellung

(1) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Eine Ersatzpflicht des Auftragsverarbeiters besteht nicht, sofern der Auftragsverarbeiter nachweist, dass er die ihm überlassenen Daten des Verantwortlichen ausschließlich nach den Weisungen des Verantwortlichen verarbeitet und seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nachgekommen ist.

(2)  Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die aufgrund einer schuldhaften Verletzung der Verpflichtungen aus dieser Vereinbarung oder geltenden datenschutzrechtlichen Vorschriften durch den Verantwortlichen gegen den Auftragsverarbeiter geltend gemacht werden.

§ 13 Sonstiges

(1) Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.

(2) Änderungen und Ergänzungen dieser Vereinbarung setzen die beidseitige Zustimmung der Vertragsparteien voraus unter konkreter Bezugnahme auf die zu ändernde Regelung dieser Vereinbarung. Mündliche Nebenabreden bestehen nicht und sich auch für künftige Änderungen dieser Vereinbarung ausgeschlossen.

(3) Diese Vereinbarung unterliegt deutschem Recht.

(4) Sofern der Zugriff auf die Daten, die der Verantwortliche dem Auftragsverarbeiter zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z.B. Maßnahmeneines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich hierüber zu benachrichtigen.

Anlagenverzeichnis

Anlage 1 zu Anhang A Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung

Anlage 2 zu Anhang A Unterauftragsverhältnisse gemäß § 9 der Vereinbarung zur Auftragsverarbeitung


Anlage 1 zu Anhang A:

Technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:

A. Maßnahmen zur Pseudonymisierung

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

B. Maßnahmen zur Verschlüsselung

Maßnahmen oder Vorgänge, bei denen ein klar lesbarer Text / Information mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird:

• 256-bit Advanced Encryption Standard (AES-256)

C. Maßnahmen zurSicherung der Vertraulichkeit

1. Zutrittskontrolle

Eine physische Aufbewahrung oder Verarbeitung von Daten durch den Auftragsverarbeiter findet nicht statt. Maßnahmen die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, sowie zu vertraulichen Akten und Datenträgern physisch verwehren:

Beschreibung des Zutrittskontrollsystems:

• Der physische Zutritt zu Rechenzentren wird protokolliert, überwacht und gespeichert. Die über die logischen und physischen Überwachungssysteme erfassten Informationen werden zusammengefasst, um die Sicherheit bei Bedarf noch zu erhöhen.

• Überwachung der Rechenzentren überglobales Security Operations Center, das für die Überwachung, Analyse und Durchführung von Sicherheitsprogrammen zuständig ist. Dieses leistet rund um die Uhr weltweit Unterstützung bei der Verwaltung und Überwachung der Zugangsaktivitäten zu Rechenzentren und unterstützt lokale und andere Supportteams durch Analyse, Beratung und Beauftragung bei der Reaktion auf Sicherheitsverstöße.

• Physische Zugangspunkte zu Serverräumen werden von CCTV-Kameras mit Aufzeichnungsfunktion überwacht. Die Aufnahmen werden gemäß behördlichen und Compliance-Anforderungen aufbewahrt.

• Der physische Zugang wird durch professionelles Sicherheitspersonal an den Gebäudeeingängen kontrolliert. Dabei werden Überwachung, Meldeanlagen und andere elektronische Vorrichtungen eingesetzt. Autorisiertes Personal erlangt über Multi-Faktor-Authentifizierungsmechanismen Zugang zu den Rechenzentren. Die Eingänge zu den Serverräumen sind mit Geräten abgesichert, die Alarm auslösen, wenn die Tür aufgebrochen oder offengehalten wird. 

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

Beschreibung des Zugangskontrollsystems:

• Nur autorisiertes Personal erhält Zugang zu den physischen Rechenzentren. Alle Mitarbeiter, die Zugang zu einem Rechenzentrum benötigen, müssen zunächst einen Antrag auf Zugang stellen und eine gültige geschäftliche Begründung vorlegen. Dieser Antrag wird basierend auf dem Prinzip geringstmöglicher Berechtigungen gewährt, d. h. Mitarbeiter müssen in der Anfrage angeben, auf welche Ebene des Rechenzentrums und für welchen Zeitraum sie Zugang benötigen. Die Anfrage wird geprüft und von autorisiertem Personal genehmigt. Der Zugang wird nach Ablauf des beantragten Zeitraums wieder entzogen. Mitarbeiter mit Zugang zu einem Rechenzentrum sind durch ihre Berechtigungen auf bestimmte Bereiche beschränkt.

• Der Zugang von Dritten muss von autorisierten Mitarbeitern beantragt werden, die auch eine gültige geschäftliche Begründung für diesen Zugang vorlegen müssen. Dieser Antrag wird basierend auf dem Prinzip geringstmöglicher Berechtigungen gewährt, d. h. Mitarbeiter müssen in der Anfrage angeben, auf welche Ebene des Rechenzentrums und für welchen Zeitraum sie Zugang benötigen. Diese Anfragen werden von autorisiertem Personalgenehmigt. Der Zugang wird nach Ablauf des beantragten Zeitraums wieder entzogen. Mitarbeiter mit Zugang zu einem Rechenzentrum sind durch ihre Berechtigungen auf bestimmte Bereiche beschränkt. Personen mit einem Besucherausweis müssen diesen bei Ankunft am Standort vorlegen und werden von autorisiertem Personal angemeldet und begleitet.

• Der Zugang zu den Rechenzentren wird regelmäßig geprüft. Der Zugriff wird automatisch aufgehoben, sobald die Akte eines Mitarbeiters aus dem Personalsystem gelöscht wird. Darüber hinaus wird der Zugang von Mitarbeitern oder Zeitarbeitskräften nach Ablauf des genehmigten Zeitraums auch dann widerrufen, wenn sie weiterhin als Mitarbeiter tätig sind.

• In der Datenebene sind elektronische Einbruchmeldesysteme installiert, die sicherheitsrelevante Ereignisse erkennen und automatisch die zuständigen Mitarbeiter alarmieren. Die Ein- und Ausgänge der Serverräume sind durch Geräte gesichert, an denen Personal Multi-Faktor-Authentifizierungsverfahren durchlaufen müssen, bevor sie den Raumbetreten oder verlassen können. Diese Geräte lösen einen Alarm aus, wenn die Tür ohne Autorisierung aufgebrochen oder offengehalten wird. Die Türalarmsysteme sind so konfiguriert, dass sie erkennen, wenn jemand eine Datenebene ohne Multi-Faktor-Autorisierung betritt oder verlässt. In diesem Fall wird umgehend ein Alarm ausgelöst und an die Security Operations Center zur Protokollierung, Analyse und Reaktion gesendet.

• Kennwortverfahren, d.h. persönlicher und individueller User Log-In bei Anmeldung am System (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennwortes)

• automatische Sperrung (z.B. Kennwort oder Pausenschaltung)

• Einrichtung eines Benutzerstammsatzes pro User

• Begrenzung der Zahl der berechtigten Mitarbeiter

• Abkapselung von sensiblen Systemen durch getrennte Netzbereiche

• Authentifizierungsverfahren

• Einrichten von regelmäßigen aktualisierten Antiviren- und Spywarefiltern

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, sodass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung des Zugriffskontrollsystems:

• Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation

• Auswertung/Protokollierungen

• Archivierungskonzept

• Protokollierung von Zugriffen und Missbrauchsversuchen

4. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

Beschreibung des Trennungskontrollvorgangs:

• Nutzer können bestimmen, welche anderen Nutzer auf die eigenen Daten zugreifen können.

• Personenbezogene Daten werden verschlüsselt gespeichert (256-bit Advanced Encryption Standard (AES-256)

• Test- und Produktivsysteme teilen keinerlei Daten.

D. Maßnahmen zur Sicherung der Integrität

1. Datenintegrität

Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden:

Beschreibung der Datenintegrität:

• Einspielen neuer Releases und Patches mit Release-/ Patchmanagement

• Funktionstest bei Installation und Releases/ Patches durch IT-Abteilung

• Logging

• Transportprozesse mit individueller Verantwortlichkeit  

2. Übertragungskontrolle

Maßnahmen, die gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können:

Beschreibung der Übertragungskontrolle:

• Logging

• Transportprozesse mit individueller Verantwortlichkeit

• Prüfsummen

3. Transportkontrolle

Maßnahmen, die gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden:

Beschreibung der Transportkontrolle:

• Übermittlung von Daten überverschlüsselte Datennetze oder Tunnelverbindungen (VPN)

• Transportprozesse mit individueller Verantwortlichkeit

• Verschlüsselungsverfahren die Datenveränderungen während des Transports aufdecken

• umfassende Protokollierungsverfahren

4. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Beschreibung des Eingabekontrollvorgangs:

• Protokollierung sämtlicher Systemaktivitäten und Aufbewahrung dieser Protokolle von mindestens drei Jahren

• Protokollauswertungssysteme

E. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit

1. Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Daten werden auf der Amazon Cloud (AWS) gelagert. Für Details siehe: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf

Beschreibung des Verfügbarkeitskontrollsystems:

• Datensicherungsverfahren

• Redundante Serversysteme

• Unterbrechungsfreie Stromversorgung

• Brandmeldeanlage

• Klimaanlage

• Alarmanlage

• Notfallpläne

• Keine wasserführenden Leitungen über oder neben Serverräumen

2.  Rasche Widerherstellbarkeit

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Beschreibung der Maßnahmen zur raschen Wiederherstellbarkeit:

• Datensicherungsverfahren

• regelmäßige Tests der Datenwiederherstellung

• Notfallpläne

3. Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:

Beschreibung der Maßnahmen zur Zuverlässigkeit:

• Automatisches Monitoring

• Notfallpläne mit Verantwortlichkeiten

• IT-Notdienst 24/7

• regelmäßige Tests der Datenwiederherstellung

F.   Maßnahmen zur regelmäßigenEvaluation der Sicherheit der Datenverarbeitung

1. Überprüfungsverfahren

Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.

Beschreibung der Überprüfungsverfahren:

• Datenschutzmanagement

• Regelmäßige Re-Zertifizierung

• Formalisierte Prozesse für Datenschutzvorfälle

• Weisungen des Auftraggebers werden dokumentiert

 2. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

Beschreibung der Maßnahmen zur Auftragskontrolle:

• Weisungen des Auftraggebers werden dokumentiert

• formalisiertes Auftragsmanagement

Anlage 2 zu Anhang A

Unterauftragsverhältnisse gemäß § 9 der Vereinbarung zur Auftragsverarbeitung

Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt:  

Name/Firma: Amazon Web Services Inc.

Funktion/Tätigkeit: Datenlagerung des Auftragsverarbeiters auf Servern der Amazon Web Services Inc.

Sitz : 410 Terry Avenue North, Seattle, Washington 98109, USA

Name/Firma: A Hotjar GmbH  

Funktion/Tätigkeit: Web-Analyse, um die Bedürfnisse unserer Nutzer besser zu verstehen und unsere Dienstleistungen zu verbessern  

Eingetragener Firmensitz: Level 2, St Julians Business Centre, 3, Elia Zammit Street, St Julians STJ 3155, Malta

Name/Firma: Fundingport Sofia EOOD

Funktion/Tätigkeit: Softwareentwicklung und Hosting der Plattform

Eingetragener Firmensitz: ul. "Lyuba Velichkova" 7, 1407 Promishlena zona Hladilnika, Sofia, Bulgarien

Wenn Sie auf "Alle Cookies akzeptieren" klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.