top of page

Nutzungsbedingungen

Allgemeine Lynxes-Nutzungsbedingungen

Stand: November 2022

1. Vertragspartner und Geltung dieser Bedingungen

(1) Lynxes GmbH (nachfolgend Lynxes genannt) ist Entwickler & Anbieter einer digitalen Software-Compliance-Lösung. Lynxes hat eine digitale Hinweisgebersystem-Software (nachfolgend Lynxes-Software genannt) entwickelt und stellt diese cloudbasiert als individualisierbare Software-as-a-Service-Lösung seinen Kunden zur Verfügung.

(2) Lynxes und der Kunde schließen einen Software-as-a-Service-Vertrag für den diese Nutzungsbedingungen gelten. Der Vertrag kommt dadurch zustande, dass der Kunde über die Website von Lynxes einen Bestellvorgang startet, dadurch Lynxes ein Angebot unterbreitet und Lynxes dieses annimmt oder Lynxes dem Kunden auf dessen Anfrage ein Angebot unterbreitet und der Kunde dieses Angebot annimmt.

(3) Für die Geschäftsbeziehung zwischen Lynxes und dem Kunden gelten ausschließlich diese Nutzungsbedingungen. Der Kunde akzeptiert diese mit der Bestellung der Lynxes-Software. Abweichende oder entgegenstehende Bedingungen des Kunden werden von Lynxes nicht anerkannt, soweit Lynxes diesen nicht ausdrücklich in Textform zugestimmt hat.

2. Vertragsgegenstand

(1) Gegenstand des Vertrages ist die zeitweise Nutzung der nachfolgend näher definierten Software und damit verbundenen, ebenfalls nachfolgend näher definierten weiteren Leistungen von Lynxes an den Kunden, welche der Kunde über das Internet gegen Vergütung nutzt.

(2) Lynxes erbringt folgende Leistungen für den Kunden:

a) Bereitstellung der Lynxes-Software

(1) Lynxes stellt dem Kunden die Lynxes-Software in der Weise und mit den Funktionen des jeweils bestellten Leistungspaketes nach der jeweils aktuellen Beschreibung Anlage 1 (Leistungsbeschreibung) zum Zweck der Nutzung als digitales Hinweisgebersystem für die Dauer dieses Vertrages zum Abruf über das Internet zur Nutzung zur Verfügung. Die Überlassung oder Nutzung des Quellcodes der Lynxes-Software und die Bereitstellung der Internetverbindung sind nicht Leistungsgegenstand.

(2) Lynxes betreibt die Lynxes-Software auf einem Server, der über das Internet für den Kunden erreichbar ist. Eine auf die konkreten Bedürfnisse des Kunden zugeschnittene Anpassung oder Erweiterung der Lynxes-Software ist nicht geschuldet.

(3) Lynxes kann dem Kunden eine neuere Version der Lynxes-Software, als die bei Vertragsbeginn zur Nutzung bereitgestellte, zur Verfügung stellen, soweit die Änderung für den Kunden zumutbar ist. Lynxes zeigt dem Kunden derartige Änderungen spätestens zwei Wochen vor ihrer Umsetzung an. Der Kunde hat gegen Lynxes keinen Anspruch darauf, eine neuere Version der Lynxes-Software, als die bei Vertragsbeginn zur Nutzung bereitgestellte, zu erhalten oder nutzen zu dürfen.

(4) Lynxes wird die Lynxes-Software an einem von Lynxes ausgewählten Routerausgang bereitstellen (nachfolgend Übergabepunkt genannt). Lynxes ist berechtigt, den Übergabepunkt neu zu bestimmen, sofern dies für einen reibungslosen Zugang zu den von ihm geschuldeten Leistungen oder aus anderen technischen Gründen erforderlich ist. Die Mitwirkungspflichten des Kunden nach Nr. 3 dieser Lynxes-Nutzungsbedingungen gelten auch für den neu definierten Übergabepunkt. Die Lynxes-Software weist am Übergabepunkt die in Nr. 2 a) Absatz (1) dieser Lynxes-Nutzungsbedingungen vereinbarten Eigenschaften auf.

(5) Lynxes übermittelt dem Kunden die zur Nutzung der Lynxes-Software erforderlichen Zugangsdaten (z.B. Benutzernamen und Passwörter). Die Zugangsdaten dürfen vom Kunden nur an die festgelegten Nutzer weitergegeben werden. Im Übrigen sind sie sicher zu verwahren und geheim zu halten. Es gilt zudem Nr. 7 dieser Lynxes-Nutzungsbedingungen.

(6) Der Kunde kann ein bestelltes Leistungspaket jederzeit auf ein solches mit höherem Lizenzentgelt aktualisieren, nicht jedoch ohne Zustimmung von Lynxes zu einem niedrigeren Lizenzentgelt wechseln. Die Vorteile einer Paket-Änderung werden sofort wirksam. Lynxes stellt dem Kunden dann lediglich den Differenzbetrag zwischen dem neuen und dem bisherigen Lizenzentgelt in Rechnung.

(7) Der Kunde verpflichtet sich, keine Inhalte zu speichern, deren Bereitstellung, Veröffentlichung oder Nutzung gegen geltendes Recht, behördliche Auflagen oder Rechte Dritter verstößt. Der Kunde verpflichtet sich des Weiteren, seine Daten und Informationen auf Viren oder sonstige schädliche Komponenten zu überprüfen und hierfür dem Stand der Technik entsprechende Maßnahmen (z.B. Virenschutzprogramme) einzusetzen.

b) Rechtseinräumung

(1) Lynxes ist alleinige und ausschließliche Inhaberin sämtlicher Rechte an der Lynxes-Software und seines Quellcodes.

(2) Lynxes räumt dem Kunden ein einfaches, nicht ausschließliches und nicht übertragbares, zeitlich auf die Vertragslaufzeit und örtlich auf das Gebiet der Europäischen Union beschränktes Recht ein, die Lynxes-Software bestimmungsgemäß im folgenden Umfang mit Zugang und Meldemöglichkeit für Mitarbeiter, Geschäftspartner und Berater des Kunden zu nutzen:

(a) Der Kunde darf die Lynxes-Software nur bearbeiten und öffentlich wiedergeben, soweit dies durch die bestimmungsgemäße Benutzung der Lynxes-Software abgedeckt ist.

(b) Der Kunde darf die Lynxes-Software nur vervielfältigen, soweit dies durch die bestimmungsgemäße Benutzung der Lynxes-Software abgedeckt ist. Zur notwendigen Vervielfältigung zählt das Laden der Lynxes-Software in den Arbeitsspeicher auf dem Server der Lynxes, nicht jedoch die auch nur vorübergehende Installation oder das Speichern der Lynxes-Software auf Datenträgern (wie etwa Festplatten oder Ähnlichen) der vom Kunden eingesetzten Hardware.

(3) Der Kunde verpflichtet sich, Disassemblierung, Dekompilierung, Übersetzung oder unzulässige Offenlegungen weder selbst vorzunehmen, noch zu veranlassen, noch zu ermöglichen, soweit dies nicht nach anwendbarem zwingenden Recht zulässig ist.

(4) Soweit dies für die vertragsgemäße Nutzung erforderlich ist, wird der Kunde Lynxes das Recht einräumen, die von Lynxes für den Kunden gespeicherten Daten zu vervielfältigen und diese Daten in einem Ausfallrechenzentrum zu speichern. Sollte es zur Beseitigung von Störungen notwendig sein, so ist es der Lynxes gestattet, Änderungen an der Struktur der Daten und dem Datenformat vorzunehmen.

c) Verfügbarkeit

(1) Lynxes stellt eine Betriebs- und Funktionsfähigkeit der Lynxes-Software nach der Anlage 1 (Leistungsbeschreibung) mit einer Verfügbarkeit von 98 % je Kalendermonat sicher.

(2) Nicht als Ausfallzeit gilt die Zeit, in der die Lynxes-Software nicht betriebsbereit ist, weil

(a) ein Fall der höheren Gewalt vorliegt; höhere Gewalt liegt z.B. bei Naturkatastrophen, Krieg, Terroranschlag, Aufstand oder staatlichen Maßnahmen vor,

(b) der Ausfall durch Services, Hardware oder Software vom Kunden oder von Dritten verursacht wurden,

(c) der Ausfall durch die Verwendung eines Diensts durch den Kunden verursacht wurden, nachdem Lynxes den Kunden aufgefordert hat, die Verwendung des Diensts zu ändern, und der Kunde den Dienst nicht wie angewiesen geändert hat,

(d) angekündigte System- oder Softwarepflegen durchgeführt werden.

d) System- und Softwarepflege

(1) Lynxes führt technische Änderungen und Ergänzungen an der Lynxes-Software sowie Maßnahmen durch, die der Feststellung und Behebung von Funktionsstörungen dienen. Soweit eine Pflegemaßnahme zu Ausfallzeiten von mehr als 180 Minuten führt, kündigt Lynxes dies dem Kunden drei Werktage zuvor in Textform an.

(2) In Ausnahme- und dringenden Fällen kann eine System- oder Softwarepflege unter Berücksichtigung der geringstmöglichen Beeinträchtigung des laufenden Betriebs auch jederzeit ohne Ankündigung durchgeführt werden.

3. Mitwirkungspflichten des Kunden

(1) Der Kunde verpflichtet sich, zur Nutzung der Lynxes-Software die notwendige Datenfernverbindung zwischen dem von der Lynxes definierten Übergabepunkt und dem IT-System des Kunden herzustellen und aufrechtzuerhalten.

(2) Die vertragsgemäße Inanspruchnahme der Lynxes-Software setzt voraus, dass die vom Kunden eingesetzte Hard- und Software, einschließlich Arbeitsplatzrechnern, Routern, Datenkommunikationsmitteln etc. den technischen Anforderungen an die Nutzung der Lynxes-Software entsprechen.

(3) Der Kunde darf die Lynxes-Software ausschließlich vertrags- und bestimmungsgemäß als digitales Hinweisgebersystem mit den Funktionen gemäß der Anlage 1 (Leistungsbeschreibung) verwenden.

(4) Der Kunde ist selbst für die Eingabe und Pflege seiner Daten und Informationen verantwortlich. Der Kunde prüft seine Daten vor einer Speicherung unter Einsatz entsprechender Schutzprogramme nach dem Stand der Technik auf Viren oder sonstige schädliche Komponenten.

(5) Das für den Kunden registrierte Zugangskonto ist nicht auf Dritte übertragbar und darf ausschließlich vom Kunden genutzt werden.

(6) Der Kunde sorgt für eine Aktualisierung der Zugangsdaten, wenn berechtigte Mitarbeiter ausscheiden oder wechseln. Der Kunde kontrolliert regelmäßige alle Aktivitäten in Lynxes, um unbefugte Nutzungen festzustellen. Der Kunde informiert Lynxes unverzüglich in Textform darüber, wenn Zugangsdaten verloren gehen oder der Verdacht unberechtigter Nutzung oder Kenntnis Dritter besteht.

4. Vergütung

(1) Der Kunde zahlt Lynxes für die Bereitstellung von Lynxes ein Entgelt, welches sich nach dem ausgewählten Leistungspaket richtet.

(2) Lynxes kann die vereinbarten Entgelte ändern, jedoch erstmals mit Wirkung nach Ablauf der vereinbarten Mindestvertragslaufzeit und frühestens 12 Monate nach Vertragsschluss. Änderungen orientieren sich an den veränderten Kosten für das Hosting, die Sicherheit der Software oder des Systems sowie der Daten.

(3) Lynxes teilt Änderungen der Entgelte dem Kunden spätestens 10 Werktage vor deren Wirksamwerden in Textform mit. Die Zustimmung des Kunden gilt als erteilt, wenn der Kunde nicht bis dahin seine Ablehnung mitteilt. Auf diese Genehmigungswirkung weist Lynxes den Kunden jeweils besonders hin. Lehnt der Kunde ab, wirkt dies als Kündigung zum Ende der laufenden Vertragslaufzeit.

(4) Werden im Vergleich zur Leistungsbeschreibung zu Beginn der Vertragslaufzeit neue Funktionen in Lynxes geschaffen, kann Lynxes diese auch optional gegen zusätzliches Entgelt bereitstellen.

(5) Alle Entgelte sind in Euro, netto und zuzüglich der jeweils geltenden gesetzlichen Umsatzsteuer vereinbart.

(6) Soweit nicht anders vereinbart, sind alle Entgelte im Voraus zur Bereitstellung von Lynxes für die jeweilige Lizenzperiode fällig. Lynxes stellt dem Kunden die Rechnungen in Textform zur Verfügung.

(7) Der Kunde kann Lynxes ein Lastschriftmandat zur Abbuchung fälliger Entgelte erteilen.

5. Laufzeit, Kündigung und Daten- und Softwareherausgabe

(1) Der Vertrag wird für eine Lizenzperiode von 12 Monaten geschlossen. Der Vertrag verlängert sich automatisch jeweils um weitere 12 Monate, wenn nicht der Kunde oder Lynxes bis 3 Monate vor Ablauf der laufenden Lizenzperiode kündigt. Jede Kündigung wird am Ende des letzten Tages der laufenden Lizenzperiode wirksam.

(2) Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Lynxes kann insbesondere fristlos kündigen, wenn der Kunde gegen diese Nutzungsbedingungen verstößt, Lynxes den Kunden zuvor in Textform mit einer angemessenen Frist abgemahnt und der Kunde den Verstoß bis zum Ablauf der Frist nicht beseitigt hat.

(3) Jede Kündigung bedarf der Textform.

(4) Der Kunde ist für die Beachtung der handels- und steuerrechtlichen Aufbewahrungsfristen allein verantwortlich. Lynxes darf eine Kopie der Daten ganz oder teilweise aufbewahren, wenn Lynxes hierzu gesetzlich oder aufgrund einer öffentlich-rechtlichen Verfügung verpflichtet ist.

6. Sachmängelansprüche und Haftung

a) Sachmängelansprüche

(1) Lynxes gewährleistet die Funktions- und Betriebsbereitschaft der Lynxes-Software und der damit zusammenhängenden Leistungsangebote nach den Maßgaben dieses Vertrages. Soweit nachfolgend nichts Anderes bestimmt ist, gelten die gesetzlichen Regelungen zur Gewährleistung.

(2) Für Mängel der gegen Entgelt zur Verfügung gestellten Lynxes-Software haftet Lynxes nach den Sachmängelregeln des Mietrechts (§§ 536 ff. BGB), jedoch mit der Maßgabe, dass eine Schadensersatzpflicht entgegen § 536a Absatz 1 BGB nur im Falle eines Verschuldens nach den Maßgaben in Nr. 6 b) dieser Lynxes-Nutzungsbedingungen besteht.

(3) Ein Mangel liegt vor, wenn die Lynxes-Software bei vertragsgemäßer Nutzung die in der Anlage 1 (Leistungsbeschreibung) enthaltenen Leistungen nicht erbringt und sich dies auf die Eignung zur vertraglich vereinbarten Verwendung wesentlich auswirkt.

(4) Sachmängelansprüche des Kunden bestehen nicht

(a) bei nur unerheblicher Abweichung von der vereinbarten Beschaffenheit oder bei nur unerheblicher Beeinträchtigung der Brauchbarkeit der Lynxes-Software,

(b) bei einer Fehlbedienung durch den Kunden,

(c) im Falle des Einsatzes von Hardware, Software oder sonstigen Geräteausstattungen, die für die Nutzung der Lynxes-Software nicht geeignet sind,

(d) wenn der Kunde einen Mangel nicht unverzüglich anzeigt und Lynxes infolge der Unterlassung der unverzüglichen Mangelanzeige keine Abhilfe schaffen konnte oder

(e) wenn der Kunde den Mangel bei Vertragsschluss kennt und sich seine Rechte nicht vorbehalten hat.

(5) Soweit ein Mangel vom Kunden angezeigt wurde und die Sachmängelansprüche des Kunden nicht ausgeschlossen sind, ist Lynxes verpflichtet, den Mangel innerhalb einer angemessen Frist – durch Maßnahmen nach eigener Wahl – zu beseitigen. Der Kunde gibt Lynxes in angemessenem Umfang Zeit und Gelegenheit zur Durchführung der Mangelbeseitigung. Der Kunde wird den Mitarbeitern und Beauftragten von Lynxes zu diesem Zwecke freien Zugang zu seinen Systemen gewähren soweit dies erforderlich ist.

(6) Der Kunde ist bei Unmöglichkeit oder Fehlschlagen der Mangelbeseitigung, schuldhafter oder unzumutbarer Verzögerung oder ernsthafter und endgültiger Verweigerung der Mangelbeseitigung durch Lynxes oder sonstiger Unzumutbarkeit der Mangelbeseitigung insbesondere berechtigt, das geschuldete Entgelt entsprechend des Ausmaßes der Beeinträchtigung herabzusetzen (Minderung). Der Kunde ist nicht dazu berechtigt, einen Minderungsanspruch dadurch geltend zu machen, dass er den Minderungsbetrag von dem laufend zu zahlenden Entgelt eigenständig abzieht; der bereicherungsrechtliche Anspruch des Kunden, den zu viel gezahlten Teil des Entgelts zurückzufordern, bleibt hiervon unberührt.

(7) Soweit es sich bei den mit der Nutzung des Softwareprodukts zusammenhängenden Leistungsangeboten um reine Dienstleistungen handelt (z.B. Supportdienstleistungen), haftet Lynxes für Mängel dieser Dienstleistungen nach den Regeln des Dienstvertragsrechts (§§ 611 ff. BGB).

(8) Die Sachmängelansprüche verjähren in einem Jahr ab dem gesetzlichen Beginn, es sei denn es liegt ein Fall im Sinne von Nr. 6. b) Absatz (1) dieser Lynxes-Nutzungsbedingungen vor.

b) Haftungsbegrenzung und Freistellung

(1) Die Vertragsparteien haften einander unbeschränkt:

(a) bei Arglist, Vorsatz oder grober Fahrlässigkeit;

(b) im Rahmen einer von ihnen ausdrücklich übernommenen Garantie;

(c) für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit;

(d) nach den Vorschriften des Produkthaftungsgesetzes.

(2) Bei der leicht fahrlässigen Verletzung einer Pflicht, deren Einhaltung für die Erreichung des Vertragszwecks von besonderer Bedeutung ist (Kardinalpflicht), haftet Lynxes beschränkt auf 50.000,00 € je Schadensfall, höchstens jedoch auf das Jahresvolumen des Vertrages, sowie beschränkt auf solche Schäden, mit deren Entstehung im Rahmen der Vertragserfüllung typischerweise gerechnet werden muss.

(3) Im Übrigen ist eine Haftung der Vertragsparteien, soweit gesetzlich zugelassen, ausgeschlossen.

(4) Die vorstehenden Haftungsregeln gelten entsprechend für das Verhalten von und Ansprüchen gegen Mitarbeiter, gesetzliche Vertreter und Erfüllungsgehilfen der Vertragsparteien.

(5) Lynxes gewährleistet dem Kunden, dass die Lynxes-Software keine Rechte Dritter verletzt (nachfolgend Schutzrechtsverletzung genannt). Lynxes wird den Kunden von allen Ansprüchen Dritter wegen von Lynxes zu vertretender Schutzrechtsverletzungen im Zusammenhang mit der vertragsgemäßen Nutzung der Software auf erstes Anfordern hin freistellen und auch die angemessenen Kosten einer Rechtsverteidigung für den Kunden übernehmen. Der Kunde wird Lynxes unverzüglich über die geltend gemachten Ansprüche Dritter informieren; er ist nicht berechtigt, solche Ansprüche tatsächlich oder rechtlich entgegenzunehmen, es sei denn Lynxes hat dem zuvor schriftlich zugestimmt. Der Freistellungsanspruch nach diesem Nr. 6 b) Absatz (5) dieser Lynxes-Nutzungsbedingungen erlischt, wenn der Kunde Lynxes nicht unverzüglich über die Geltendmachung von Ansprüchen durch Dritte informiert, sofern kein Fall einer unbeschränkten Haftung nach Nr. 6 b) Absatz (1) dieser Lynxes-Nutzungsbedingungen vorliegt.

(5) Wird der Kunde wegen eines Mangels der Software nach Nr. 6 a) Absatz (3) dieser Lynxes-Nutzungsbedingungen von einem Dritten in Anspruch genommen, gilt Absatz (5) entsprechend; sollte eine Freistellung im Außenverhältnis nicht möglich sein, gilt die Verpflichtung im Innenverhältnis.

(6) Die Haftung für Datenverluste wird auf den typischen Wiederherstellungsaufwand beschränkt, der bei regelmäßiger und gefahrentsprechender Anfertigung von Sicherungskopien (mindestens täglich) eingetreten wäre, es sei denn, es liegt eine der Voraussetzungen der Ziffer 6. b) (1) und (4) vor oder die Datensicherung gehört zum Leistungsumfang von Lynxes.

7. Vertraulichkeit und Datenschutz

(1) Die Vertragsparteien vereinbaren, über vertrauliche Informationen Stillschweigen zu wahren und diese gegenüber Dritten nicht offenzulegen; diese Pflicht geht über das Ende der Vertragslaufzeit hinaus (Vertraulichkeitsverpflichtung).

(2) Vertrauliche Informationen sind alle Informationen, die

(a) ein Geschäftsgeheimnis nach § 2 Nr. 1 GeschGehG darstellen oder

(b) durch eine Vertragspartei ausdrücklich als vertraulich bezeichnet wurden und insbesondere Know-how, welches durch gewerbliche und andere Schutzrechte geschützt sein kann, z.B. Entwurfsmaterial für Software, oder

(c) unter den Datenschutz oder eine ähnliche Geheimhaltungspflicht fallen.

(3) Von dieser Vertraulichkeitsverpflichtung ausgenommen sind vertrauliche Informationen, die

(a) dem Empfänger bei Abschluss des Vertrags bereits bekannt waren oder danach von dritter Seite bekannt werden, ohne dass dadurch eine Vertraulichkeitsvereinbarung, gesetzliche Vorschriften oder behördliche Anordnungen verletzt wurden,

(b) bei Abschluss des Vertrags öffentlich bekannt sind oder danach öffentlich bekannt werden, soweit dies nicht auf einer Verletzung einer Vertraulichkeitsvereinbarung, gesetzlicher Vorschriften oder behördlicher Anordnungen beruht;

(c) aufgrund gesetzlicher Verpflichtungen oder auf Anordnung eines Gerichts oder einer Behörde offengelegt werden müssen. Soweit zulässig und möglich, wird die zur Offenlegung verpflichtete Partei die andere Partei vorab unterrichten.

(4) Die Vertragsparteien werden

(a) nur denjenigen Mitarbeitern die vertraulichen Informationen offenlegen, die diese für die Durchführung des Vertrages oder der jeweiligen Aufgaben des Mitarbeiters kennen müssen, und

(b) diese Mitarbeiter auch für die Zeit nach ihrem Ausscheiden in arbeitsrechtlich zulässigem Umfang zur Geheimhaltung verpflichten.

(5) Die Vertragsparteien halten bei der vertragsbezogenen Datenverarbeitung von personenbezogenen Daten datenschutzrechtliche Regelungen ein, insbesondere der DS-GVO und des BDSG.

(6) Für die datenschutzrechtlichen Verpflichtungen der Vertragsparteien regeln die Inhalte der Anlage 2 diese Vereinbarung über die Auftragsverarbeitung nach Art. 28 DS-GVO.

8. Kommunikation und Referenzen

(1) Lynxes sendet dem Kunden Benachrichtigungen etwa zur System- oder Softwarepflege und neuen Funktionen, Mitteilungen, Rechnungen etc. in der Lynxes-Software und/oder in Textform an die bei Bestellung angegebene und in der Lynxes-Software von dem Kunden änderbare E-Mail-Adresse.

(2) Lynxes darf die Zusammenarbeit mit dem Kunden unter Verwendung des Kundenlogos und Verweis auf die Website des Kunden als Referenz veröffentlichen, soweit der Kunde nicht ausdrücklich ablehnt.

9. Schlussbestimmungen

(1) Sind einzelne Klauseln ganz oder teilweise nicht Vertragsbestandteil geworden oder unwirksam, bleibt die Vertrag im Übrigen wirksam. Soweit Bestimmungen nicht Vertragsbestandteil geworden oder unwirksam sind, richtet sich der Inhalt des Vertrags nach den gesetzlichen Vorschriften.

(2) Sehen Bestimmungen dieses Vertrags die Schriftform vor, so ist es zur Wahrung dieser Form ausreichend, wenn die Erklärung per Telefax auf dem Briefpapier des Versenders oder per E-Mail mit einer vollständigen E-Mail-Signatur des Versenders abgegeben wird.

(3) Änderungen oder Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für eine Änderung dieser Klausel.

(4) Die Vertragsparteien dürfen diesen Vertrag sowie Rechte und Pflichten aus diesem Vertrag nur mit vorheriger schriftlicher Zustimmung der jeweils anderen Partei an einen Dritten abtreten oder übertragen. Die Zustimmung darf nicht unbilligerweise verweigert werden.

(5) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Köln, es sei denn es besteht bereits ein ausschließlicher Gerichtsstand.

(6) Dieser Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).

Anlage 1

Leistungsbeschreibung

1 Die Lynxes Hinweisgeberplattform ist eine digitale Plattform. Diese Plattform wird dem Kunden als Software as a Service zur Verfügung gestellt.

2. Der Kunde muss seine Mitarbeiter, welche mit der Plattform arbeiten sollen, selber anlegen, kategorisieren und administrieren.

3. Lynxes hat keinen Zugriff auf die abgegebenen Hinweise und Nachrichten, weil diese Daten bei der Anmeldung verschlüsselt werden.

4. Der bearbeitende Mitarbeiter des Kunden gelangt über eine Login-Oberfläche zur Plattform. Über die „Passwort vergessen“-Funktion kann ein neues Passwort vergeben werden.

5. Jeder Kunde erhält einen individuellen, einmalig vergebenen und zugewiesenen Web-Zugang bzw. Web-Link zur Nutzung der Plattform. Über diesen Zugang kann ein Hinweisgeber einen Hinweis anonym abgeben. Die bearbeitenden Mitarbeiter des Kunden können auf der Plattform die Hinweise bearbeiten. Der bearbeitende Mitarbeiter wird von der Lynxes Hinweisgeberplattform automatisch per E-Mail über den Eingang eines neuen Hinweises bzw. einer neuen Nachricht zu einem Hinweis informiert. Der bearbeitende Mitarbeiter kann über die Nachrichtenfunktion mit dem Hinweisgeber jederzeit kommunizieren.

6. Jeder von einem Hinweisgeber abgegebene Hinweis erhält einen individuellen Keycode, über den sich der Hinweisgeber jederzeit Zugang zum Hinweis verschaffen kann. Der Keycode ist einmalig und kann bei Verlust von Lynxes nicht wiederhergestellt werden. Dieser Keycode kann zusätzlich mit einem Passwort geschützt werden.

7. Ein Zeitzähler im Nachrichtenmanager gibt jederzeit Auskunft über die Einhaltung der gesetzlich vorgegebenen Fristen zur Bearbeitung bzw. zum Abschluss eines Vorfalls.

8. Die Plattform ist in verschiedenen Sprachen verfügbar. Die Anzahl der bearbeitenden Mitarbeiter ist nicht limitiert, ebenso ist die Anzahl der möglichen Hinweisgeber im Unternehmen nicht limitiert.

9. Wir weisen darauf hin, dass neben der Nutzung der Lynxes Hinweisgeberplattform dem Hinweisgeber auch mögliche andere Kommunikationskanäle zur Abgabe eines Hinweises zur Verfügung stehen können, z.B. Telefon, E-Mail oder persönlich.

Anlage 2

Regelungen zur Auftragsverarbeitung

(AV-Vertrag)

1. Präambel

1.1 Lynxes GmbH ist Entwickler & Anbieter einer digitalen Software-Compliance-Lösung. Lynxes GmbH hat eine digitale Hinweisgebersystem-Software (nachfolgend Lynxes-Software genannt) entwickelt und stellt diese cloudbasiert als individualisierbare Software-as-a-Service-Lösung seinen Kunden zur Verfügung.

1.2 Lynxes GmbH und die Verantwortliche schlossen einen Software-as-a-Service-Vertrag (nachfolgend Hauptvertrag genannt) für die Nutzung der Lynxes-Software ab. Gegenstand des Hauptvertrags sind die zeitweise Überlassung der Lynxes-Software und die im Hauptvertrag näher definierten weiteren Leistungen von Lynxes GmbH an die Verantwortliche, welche die Verantwortliche über das Internet gegen Vergütung nutzt.

1.3 Dieser AV-Vertrag gilt ausschließlich soweit die Lynxes GmbH personenbezogene Daten für die Verantwortliche verarbeitet und gehen insoweit den Regelungen des Hauptvertrages und etwaiger anderer Vereinbarungen vor. Soweit nachfolgend der Begriff „Daten“ verwendet wird, sind damit ausschließlich personenbezogene Daten nach dem Datenschutzrecht gemeint.

2. Auftragsverarbeitung

2.1 Verantwortung der Vertragsparteien

2.1.1 Für die Beurteilung der Zulässigkeit der Datenverarbeitung durch die Lynxes GmbH sowie für die Wahrung der Rechte der Betroffenen bleibt die Verantwortliche verantwortlich.

2.1.2 Die Verantwortliche muss insbesondere sicherstellen, dass die Betroffenen über die Weitergabe der Daten an die Lynxes GmbH informiert werden, falls dies erforderlich ist, z.B. nach Art. 13 DS-GVO.

2.1.3 Die Pflichten der Lynxes GmbH als Auftragsverarbeiterin gegenüber der Verantwortlichen ergeben sich unter anderem aus diesem AV-Vertrag, aus datenschutzrechtlichen Bestimmungen, vor allem aus der DS-GVO und aus dem BDSG.

2.2 Gegenstand und Dauer des Auftrags, Zweck der Datenverarbeitung und Weisungen

2.2.1 Gegenstand und Zweck der Datenverarbeitung ist die im Zusammenhang mit den im Hauptvertrag genannten Aufgaben stehende Datenverarbeitung durch die Lynxes GmbH im Interesse und im Auftrag der Verantwortlichen. Dies sind insbesondere Folgende: Verarbeitung der Daten, welche die Beschäftigten der Verantwortlichen in die Lynxes-Software eingeben.

2.2.2 Der AV-Vertrag ist unbefristet erteilt; seine Dauer entspricht der Dauer des Hauptvertrages, sodass er gleichzeitig mit der Beendigung des Hauptvertrages endet, ohne dass es einer gesonderten Erklärung bedarf. Darüber hinaus können beide Vertragsparteien diesen AV-Vertrag ohne Einhaltung einer Kündigungsfrist kündigen, wenn ein wichtiger Grund vorliegt.

2.2.3 Die Regelungen des Hauptvertrages sind zugleich allgemeine datenschutzrechtliche Weisungen der Verantwortlichen an die Lynxes GmbH. Die Verantwortliche kann jederzeit besondere bzw. konkrete datenschutzrechtliche Weisungen erteilen (Art. 29 DS-GVO). Die Weisung kann mündlich oder schriftlich erfolgen. Mündliche Weisungen werden unverzüglich schriftlich von der Verantwortlichen dokumentiert und der Lynxes GmbH zur Verfügung gestellt, wenn die Lynxes GmbH die Weisung nicht bereits selbst dokumentiert und der Verantwortlichen zur Verfügung gestellt hat.

2.3 Umfang der Datenverarbeitung, Art der Daten und der Kreis der Betroffenen

2.3.1 Im Einzelnen erfolgen folgende Datenverarbeitungen durch Lynxes GmbH:

a) Datenverarbeitung bei der Nutzung der Lynxes-Plattform durch bearbeitende Beschäftigten der Verantwortlichen, wenn sie die eingehenden Whistleblower-Meldung über die Lynxes-Software bearbeiten

b) Datenverarbeitung bei der Nutzung der Lynxes-Software durch meldende Beschäftigten, wenn sie eine oder mehrere Whistleblower-Meldung(en) abgeben möchten.

2.3.2 Die Lynxes GmbH verarbeitet dabei folgende Datenarten:

  • Name, Vorname und die berufliche E-Mail-Adresse der bearbeitenden Beschäftigten

  • Name und Anschrift des Arbeitgebers.

2.3.3 Zum Kreis der Betroffenen gehören:

  • Beschäftigte der Verantwortlichen, die die Meldungen bearbeiten und

  • Beschäftigte der Verantwortlichen, die die Meldungen abgeben.

3. Pflichten der Lynxes GmbH

Die Lynxes GmbH wird

3.1 einschlägige Datenschutzvorschriften, insbesondere die Vorschriften der DS-GVO und des BDSG und des Strafrechts in der jeweils gültigen Fassung beachten und die Einhaltung dieser Vorschriften eigenverantwortlich überwachen; die Lynxes GmbH bestätigt, dass ihr die einschlägigen datenschutzrechtlichen und die strafrechtlichen Vorschriften bekannt sind,

3.2 ein Verzeichnis der bei ihr bzw. durch ihr als Auftragsverarbeiter stattfindenden Datenverarbeitung nach diesem AV-Vertrag (kurz AV-Verzeichnis genannt) erstellen und pflegen sowie auf Anforderung der Verantwortlichen ihr dieses in der aktuellen Fassung zur Verfügung stellen,

3.3 jegliche Daten ausschließlich nach dokumentierter Weisung der Verantwortlichen und insbesondere auch ausschließlich zu den in diesem AV-Vertrag oder in der dokumentierten Weisung enthaltenen Zwecken verarbeiten,

3.4 die Verantwortliche unverzüglich informieren, wenn sie der Meinung ist, eine Weisung verstoße gegen anwendbare Gesetze, insbesondere Datenschutzvorschriften. Die Lynxes GmbH darf die Umsetzung der Weisung solange aussetzen, bis sie von der Verantwortlichen bestätigt oder abgeändert wurde,

3.5 die Verantwortliche bei der Wahrung der Rechte der Betroffenen und bei der Einhaltung der übrigen datenschutzrechtlichen Verpflichtungen unterstützen, insbesondere

a) die Verantwortliche im Rahmen der Informationspflicht nach Art. 13 DS-GVO und bei der Erfüllung von Betroffenenrechten nach Art. 15 bis 22 DS-GVO unterstützen, vor allem durch Zurverfügungstellung von sämtlichen relevanten Informationen, Unterlagen, Daten, hierzu zählt auch das unverzügliche Weiterleiten von Anfragen betroffener Personen an die Verantwortliche. Die Verantwortliche wird die Anfragen weiterbearbeiten.

b) bei Erstellung und Aktualisierung der Datenschutz-Folgenabschätzung und

c) im Rahmen der Konsultationen mit der datenschutzrechtlichen Aufsichtsbehörde,

3.6 das fremde Eigentum an Daten (z.B. Datenträger, Arbeitskopien, Behältnisse) unverzüglich kennzeichnen und die im Auftrag der Verantwortlichen verarbeiteten und zu verarbeitenden Daten von sonstigen Datenbeständen getrennt verarbeiten,

3.7 die Kontaktdaten des Datenschutzbeauftragten – soweit die Lynxes GmbH einen solchen hat – mitteilen oder jedenfalls auf ihrer Website im Bereich „Datenschutz“ veröffentlichen und aktuell halten,

3.8 die Angelegenheiten der Verantwortlichen, wie Informationen über wirtschaftliche und über rechtliche Belange oder Vorgänge sowie über etwaige interne Zahlen, streng vertraulich behandeln; dies gilt nur dann nicht, wenn die Vertragsparteien eine Ausnahme vereinbaren oder bei gesetzlichen, gerichtlichen oder behördlichen Offenbarungspflichten,

3.9 zur Datenverarbeitung ausschließlich Beschäftigte (Mitarbeiter oder Dritte) heranziehen, welche die Lynxes GmbH auf das Datengeheimnis bzw. auf die Vertraulichkeit verpflichtete und zuvor mit den relevanten Bestimmungen zum Datenschutz schriftlich oder in Textform vertraut gemacht hat; die Beschäftigten dürfen jegliche Datenverarbeitung ausschließlich nach Weisung der Verantwortliche vornehmen und

3.10 sicherstellen, dass mit der Datenverarbeitung beauftragte Beschäftigte über die erforderlichen Qualifikationen und Erfahrungen für die Erbringung der von der Lynxes GmbH erbrachten Leistungen und über die entsprechende Zuverlässigkeit verfügen.

4. Technische und organisatorische Maßnahmen (TOMs)

4.1 Die Lynxes GmbH gewährleistet ein angemessenes Schutzniveau der personenbezogenen Daten. Hierzu setzt sie insbesondere die sich aus der AV-Anlage 1 ergebenden TOMs um, die die Eintrittswahrscheinlichkeit und der Schwere der etwaigen Risiken angemessen berücksichtigen. Die Regelungen der AV-Anlage sind Vertragsbestandteil.

4.2 Die Lynxes GmbH ist verpflichtet, die TOMs zu aktualisieren, wenn das Datenschutzniveau (z.B. aufgrund technischer, organisatorischer oder sonstiger Entwicklungen) ohne eine Aktualisierung im Vergleich zum jeweils aktuellen Stand absinkt. Die Umsetzung einer wesentlichen Aktualisierung erfolgt nur, nachdem die Lynxes GmbH die Verantwortliche hierüber informiert hat. Die Aktualisierung kann dazu führen, dass einzelne Maßnahmen modifiziert, ergänzt, ersetzt oder gestrichen werden.

5. Berichtigung, Löschung und Sperrung oder Einschränkung von Daten (Sperrung)

5.1 Die Lynxes GmbH nimmt die von der Verantwortlichen geforderte Berichtigung, Löschung oder Sperrung von personenbezogenen Daten im geforderten Umfang – soweit rechtlich zulässig – unverzüglich vor.

5.2 Die Lynxes GmbH ist darüber hinaus verpflichtet, spätestens nach Beendigung dieses AV-Vertrages sämtliche erhaltenen Daten auf allen Datenträgern (einschließlich der Datenbestand zur Datensicherung) nach Aufforderung der Verantwortlichen zurückzugeben; diese Verpflichtung wird erst fällig, wenn die Verantwortliche ihre Aufforderung maximal sechs Monate nach Beendigung des Hauptvertrags gegenüber der Lynxes GmbH mitgeteilt hat. Lynxes GmbH löscht die gespeicherten Daten 30 Tage nach der Herausgabe der Daten an die Verantwortliche, sofern die Verantwortliche nicht innerhalb dieser Frist mitteilt, dass die ihm übergebenen Daten nicht lesbar oder nicht vollständig sind. Dies gilt nicht, soweit und solange die Lynxes GmbH einer gesetzlichen Speicherpflicht unterliegt oder eine sonstige Verarbeitungsgrundlage vorliegt, über welche die Lynxes GmbH die Verantwortliche in Textform unterrichtet. Die Lynxes GmbH dokumentiert gegenüber der Verantwortlichen die Art und Weise der Löschung.

6. Unterauftragsverhältnisse und Verarbeitung in Deutschland sowie im EU-In- und -Ausland

6.1 Die Lynxes GmbH wird nur nach vorheriger schriftlicher Einwilligung der Verantwortlichen einen weiteren Auftragsverarbeiter, also einen Unterauftragnehmer, einsetzen oder durch einen anderen Unterauftragnehmer ersetzen. Die Verantwortliche darf die Einwilligung nicht versagen, wenn die Lynxes GmbH belegt, dass sie ihrem Auftragsverarbeiter dieselben Datenschutzpflichten auferlegt, denen die Lynxes GmbH nach diesem AV-Vertrag gegenüber der Verantwortlichen unterliegt.

6.2 Die Lynxes GmbH wird die Daten ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) verarbeiten (lassen). Jede Verlagerung in ein Drittland bedarf der Einwilligung der Verantwortliche und darf nur erfolgen, wenn die Regelungen der Art. 44 ff. DS-GVO eingehalten werden.

7. Besondere Mitteilungspflichten der Lynxes GmbH

7.1 Die Lynxes GmbH teilt der Verantwortlichen unverzüglich mit, wenn sie feststellt, dass bei ihr verarbeitete personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind oder eine sonstige Verletzung des Schutzes personenbezogener Daten vorliegt. Die Lynxes GmbH stellt der Verantwortlichen alle Informationen zur Verfügung, die es der Verantwortlichen ermöglichen, zu beurteilen, ob die Rechte oder schutzwürdigen Interessen der Betroffenen beeinträchtigt sind oder beeinträchtigt werden könnten.

7.2 Die Lynxes GmbH gibt der Verantwortlichen unverzüglich Auskunft über die Art und den Umfang der unrechtmäßigen Kenntniserlangung, oder über die jeweilige Verletzung des Schutzes personenbezogener Daten, und teilt der Verantwortlichen mit, welche Maßnahmen sie zur Sicherung der Daten der Verantwortlichen bzw. der personenbezogenen Daten der Betroffenen bereits ergriffen hat. Sie teilt zudem mit, welche Maßnahmen die Verantwortliche oder der Betroffene selbst ergreifen können, um mögliche Nachteile zu mindern oder zu verhindern.

7.3 Die Lynxes GmbH teilt der Verantwortlichen unverzüglich mit, soweit der Schutz personenbezogener Daten durch Maßnahmen Dritter, etwa infolge eines Insolvenzverfahrens oder durch sonstige Ereignisse, gefährdet wird.

7.4 Alle Mittelungen in Ziffer 7 können mündlich, in Textform oder schriftlich erfolgen. Die Lynxes GmbH hat mündliche Mitteilungen unverzüglich in Textform der Verantwortlichen zuzuleiten.

8. Kontrollrechte der Verantwortlichen

8.1 Die Verantwortliche darf regelmäßige Kontrollen der TOMs zur Wahrung des Datenschutzes bei der Lynxes GmbH durchführen oder einen geeigneten Prüfer hiermit beauftragen. Die Kontrollen können in einem festen Zyklus erfolgen (z.B. jährlich) oder bei Bedarf – anlassbezogen – stattfinden. Das Kontrollergebnis ist zu dokumentieren.

8.2 Die Vertragsparteien tragen die eigenen Kosten dieser Prüfungen (also insbesondere Personalkosten, Reisekosten, Sachverständigen- und sonstige Drittkosten) jeweils selbst.

8.3 Die Lynxes GmbH kann das Kontrollbegehren der Verantwortlichen dadurch erfüllen, dass sie der Verantwortlichen die Einhaltung der TOMs durch Vorlage von Zertifikaten Auditberichten (z.B. ISO 27001 und ISO 9001), Testaten oder Auditberichten belegt, die den datenschutzrechtlichen Anforderungen entsprechen, insbesondere solchen in Art. 40 ff. DS-GVO.

8.4 Die Lynxes GmbH lässt in regelmäßigen Abständen interne oder externe Datenschutzaudits bezüglich ihrer eigenen Datenverarbeitungsanlagen und des Umgangs mit personenbezogenen Daten durchführen. Festgestellte Mängel werden analysiert, aus den Analysen werden Maßnahmen abgeleitet, wie z.B. Beseitigung des mangelhaften Zustandes oder Prozesse zur Verhinderung von gleichen oder ähnlichen Zuständen.

9. Keine Vergütung

Sämtliche Leistungen der Vertragsparteien im Rahmen diese AV-Vertrages erfolgen mangels einer anderslautenden Vereinbarung jeweils auf eigene Kosten.

10. Innenausgleich und Haftung

10.1 Die Lynxes GmbH kann von Betroffenen, insbesondere auf Schadensersatz, in Anspruch genommen werden. Im Innenverhältnis zur Verantwortlichen haftet jedoch die Lynxes GmbH nur bei und im Umfang der Verletzung ihrer Pflichten als Auftragsverarbeiter. Es gelten die Regelungen des Art. 82 DS-GVO.

10.2 Die Lynxes GmbH haftet gegenüber der Verantwortlichen

a) unbeschränkt nur für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer fahrlässigen Pflichtverletzung der Lynxes GmbH oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung gesetzlicher Vertreter oder Erfüllungsgehilfen beruhen, und

b) im Übrigen unbeschränkt nur bei Arglist, bei Nichtvorhandensein einer garantierten oder zugesicherten Beschaffenheit sowie für Vorsatz und grobe Fahrlässigkeit gesetzlicher Vertreter und Erfüllungsgehilfen sowie

c) für leichte Fahrlässigkeit nur, sofern eine Pflicht verletzt wird, deren Einhaltung für die Erreichung des Vertragszwecks von besonderer Bedeutung ist (Kardinalpflicht). In diesen Fällen der leichten Fahrlässigkeit ist die Haftung auf 50.000,-- €, sowie auf solche Schäden beschränkt, mit deren Entstehung im Rahmen dieses AV-Vertrages und seiner Durchführung typischerweise gerechnet werden muss.

10.3 Im Übrigen haftet die Lynxes GmbH gegenüber der Verantwortlichen nicht.

11. Schlussbestimmungen

11.1 Die Vertragsparteien verpflichten sich, alle Rechte und Pflichten den jeweiligen Rechtsnachfolgern und verbundenen Unternehmen aufzuerlegen.

11.2 Soweit dieser AV-Vertrag die Schriftform voraussetzt, so ist der Austausch von Telefaxen oder von E-Mails bzw. PDF-Dateien ausreichend, sofern letztere zumindest mit einer einfachen Signatur des Versenders versehen sind.

11.3 Vorbehaltlich eines abweichenden ausschließlichen Gerichtsstandes vereinbaren die Vertragsparteien für alle Rechtsstreitigkeiten aus oder in Zusammenhang mit diesem AV-Vertrag als ausschließlichen Gerichtsstand Köln.

11.4 Sollte eine Bestimmung oder sollten mehrere Bestimmungen des AV-Vertrags unwirksam sein oder werden, bleiben die übrigen Bestimmungen des AV-Vertrags hiervon unberührt. Die Vertragsparteien verpflichten sich für diesen Fall, die unwirksame Bestimmung durch eine solche wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

AV-Anlage 1

A.1 Folgende Maßnahmen ergreift die Lynxes GmbH, um den Datenschutz für die personenbezogenen Daten zu gewährleisten:

AnforderungMaßnahmen

A.0
GrundstrukturSämtliche personenbezogenen Daten werden ausschließlich auf den Servern einen von der Lynxes GmbH sorgfältig ausgewählten Rechenzentrumsbetreibers verarbeitet. Dieser ist: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

 

Die technischen und organisatorischen Maßnahmen (TOMs) der Lynxes GmbH (als Auftragsverarbeiterin) selbst beziehen sich also ausschließlich auf die Haltung der Zugangsdaten und die technische Ausstattung für den Fernzugriff auf diese Daten im Rechenzentrum.

Auf die TOMs im Rechenzentrum selbst wird gesammelt in der Ziffer A.7 Verfügbarkeitskontrolle eingegangen.

A.1
ZutrittskontrolleEingangstür zum Büro ist durch ein Sicherheitsschloss gegen unbefugten Zutritt abgesichert. Ein etwaiges Homeoffice ist ebenfalls angemessen abgesichert.

A.2
Zugangskontrolle

  • Fernwartung erfolgt aus eigenen Geschäftsräumen per Software TeamViewer.

  • Zugang erfolgt nach Autorisierung durch den zu unterstützenden Mitarbeiter der Verantwortlichen.

  • Login mit Benutzername und Passwort

  • Anti-Viren-Software Server und Clients

A.3
Zugriffskontrolle

  • Für die Zugriffkontrolle wurde ein Berechtigungskonzept erarbeitet. Je nach Anforderung und Aufgabe werden differenzierte Berechtigungen für Auswertungen, Kenntnisnahme, Veränderung oder Löschung von Daten vergeben.

  • Minimale Anzahl von Administratoren

  • Verwaltung der Benutzerrechte nur durch die Administratoren

A.4
TrennungskontrolleTrennung (Systeme, Datenbanken, Datenträger) durch einen gesonderten Kunden-Server, auf welchem die Kundendaten getrennt aufbewahrt werden.

A.5
Integrität

  • AES 256 Bit-Verschlüsslung bei TeamViewer

  • Zwei-Faktor-Authentifizierung

A.6
EingabekontrolleTechnische Protokollierung der Eingabe, Änderung und Löschung von Daten (Sitzungsprotokoll beim TeamViewer)

A.7
Verfügbarkeitskontrolle

  • Für die Datenverfügbarkeit und -Sicherheit hat der Rechenzentrumsbetreiber als Unterauftragnehmerin der Lynxes GmbH umfangreiche technische und organisatorische Sicherheitsmaßnahmen getroffen. Diese werden regelmäßig überprüft und dem technologischen Fortschritt angepasst.

  • Die Rechenzentren des Rechenzentrumsbetreibers sind nach ISO 27001 zertifiziert oder haben ein vergleichbares Regelwerk bzw. Fehler- und Sicherheits-Management. Dies umfasst ein systematisches Sicherheitskonzept und Sicherheitsmaßnahmen in der IT-Infrastruktur selbst, in der Sekundärtechnik und in der Prozesskette. Das Sicherheitskonzept orientiert sich an festgelegten Standards und wird regelmäßig intern und/oder extern überprüft (auditiert).
    Das jeweils aktuelle Zertifikat, falls ein System nicht nur betrieben, sondern auch extern auditiert wird, steht hier zum Download bereit: https://www.hetzner.com/de/assets/downloads/FOX-Zertifikat.pdf

  • Zu Sicherheitsmaßnahmen gehören die Spiegelung der Daten zwischen beiden Rechenzentren, batteriegestützte unterbrechungsfreie Stromversorgung, Notstromdiesel für bis zu vier Wochen durchgängig autonomen Betrieb, Laser-Feuermelder und Löschgas, Zutritts- und Zugangsregeln, Verpflichtungen und Schulungen der Mitarbeiter sowie regelmäßige Analysen neuer Sicherheitsanforderungen.

  • Weitere Informationen stehen hier zur Verfügung:
    https://www.hetzner.com/de/

A.8
Incident-Response-Management

  • Einsatz von Firewall mit regelmäßiger Aktualisierung

  • Einsatz von Spamfilter mit regelmäßiger Aktualisierung

  • Einsatz von Virenscanner mit regelmäßiger Aktualisierung

A.9
Datenschutzfreundliche VoreinstellungenEs werden nicht mehr personenbezogene Daten verarbeitet, als für den jeweiligen Zweck erforderlich sind.

 

Muster der Datenschutzhinweise
bei der Nutzung der Lynxes-Plattform

1. Allgemeines

In dieser Datenschutzerklärung informieren wir ([Name des verantwortlichen Unternehmens ergänzen]) im Rahmen unserer Informationspflichten nach Art. 13 f. DS-GVO über die Verarbeitung von personenbezogenen Daten bei der Nutzung der Whistleblower Lynxes-Plattform.

2. Informationen zum Verantwortlichen

Verantwortlicher im datenschutzrechtlichen Sinne ist die im Auftrag hinterlegte Person mit allen unternehmerischen und personenbezogenen Daten.

3. Verarbeitung Deiner personenbezogenen Daten

Wir verarbeiten personenbezogene Daten nur, soweit dies gesetzlich zulässig ist. Dies erläutern wir Ihnen im Folgenden.

a) Datenverarbeitung bei der Nutzung der Lynxes-Plattform durch bearbeitende Mitarbeiter

Wir verwenden Ihre persönlichen Informationen, damit Sie die eingehenden Whistleblower-Meldung über die Lynxes-Plattform bearbeiten können. Dabei verarbeiten wir:

  • den Firmennamen Ihres Arbeitgebers und dessen Adresse,

  • Ihr Name,

  • Ihre berufliche E-Mail-Adresse,

  • Datum und Uhrzeit des Abrufs,

  • Browsertyp,

  • Das Betriebssystem des Nutzers und

  • IP-Adresse.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DS-GVO, weil Sie sich vertraglich zur Bearbeitung der Whistleblower-Meldung über die Lynxes-Plattform verpflichtet haben. Diese Daten speichern wir grundsätzlich für die Dauer von höchstens sechs Monaten, wenn keine darüberhinausgehende Aufbewahrungspflicht existiert.

b) Datenverarbeitung bei der Nutzung der Lynxes-Plattform durch meldende Mitarbeiter (nachfolgend „Whistleblower“ genannt)

Wenn Sie auf über den für Ihr Unternehmen kreierten Weblink auf die Lynxes-Plattform zugreifen und eine oder mehrere Whistleblower-Meldung(en) abgeben möchten, werden keine personenbezogenen Daten verarbeitet.

Wir speichern Ihre sämtlichen Eingaben in der Meldungsmaske:

  • das von Ihnen angegebene Betreff,

  • Ihr Unternehmens-Standort,

  • Ihre Abteilung,

  • die von Ihnen gewählte Kategorie der Meldung und

  • die von Ihnen im Freitextfeld angegebenen Informationen.

Die Verarbeitung erfolgt nach Art. 6 Abs. 1 lit. c) DS-GVO i.V.m. §§ 12 ff., § 10 Hinweisgeberschutzgesetz (HinSchG).

Die Informationen werden für zwei Jahre nach Abschluss des Verfahrens nach § 11 Abs. 5 HinSchG gespeichert und danach gelöscht, wenn keine darüberhinausgehende gesetzliche Aufbewahrungspflicht existiert.

c) Cookies

Wir verwenden folgende Cookies:

aa) Session Cookie

Ein Session Cookie ist eine Textinformation, die vom Browser auf Ihrem Endgerät gespeichert wird. Das Session Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt und dient auf der Lynxes-Plattform der Sitzungsstabilität. Sobald Sie den Browser schließen, wird auch das Session Cookie gelöscht.

bb) Cookie für Infoboxen

Wir setzten ein Cookie für die Infoboxen der Lynxes-Plattform ein. Dieses Cookie speichert einen nummerischen Wert (0 oder 1) für technische Zwecke und wird ein Jahr gespeichert. Danach wird er automatisch gelöscht. Wir haben ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DS-GVO dieses Cookie einzusetzen, damit wir die technische Funktionalität der Infobox verbessern können.

4. Empfänger der Daten

Eine Weitergabe Ihrer Daten an Dritte zu anderen als den im Folgenden aufgeführten Zweck findet nicht statt. Soweit nach Art. 6 Abs. 1 S. 1 lit. c) DS-GVO zur Erfüllung der Pflichten nach §§ 12 ff. HinSchG erforderlich ist, werden die Daten zum Zweck der Pflichterfüllung an Dritte weitergegeben. Hierzu gehört insbesondere die Weitergabe an Hosting-Unternehmen, auf dessen Server die Lynxes-Plattform gehostet wird und die Daten gespeichert werden.

Hinsichtlich der Datenverarbeitung durch das Hosting-Unternehmen gelten die dortigen Datenschutzhinweisen, weil das Hosting-Unternehmen für die Datenverarbeitung selbst und allein verantwortlich ist.

5. Keine automatisierte Entscheidungsfindung

Wir nutzen keine automatisierte Entscheidungsfindung nach Art. 22 DS-GVO.

Stand: November 2022

bottom of page