Zur Startseite gehen
Kategorien

1 Einführung und Aufbau dieser Bedingungen

  1. 1.1 Diese Vertragsbedingungen betreffen das Cloud-Service*-Portal der Deutschen Verwaltungscloud (das Cloud-Service-Portal* nachfolgend CSP* genannt, diese Vertragsbedingungen nachfolgend CSP-AGB genannt) in seiner aktuellen Version und in künftigen Versionen. Diese CSP-AGB lehnen sich eng an die EVB-IT Cloud AGB*, insbesondere an die dort vorgesehene Verantwortungsverteilung, an, tragen jedoch anders als die EVB-IT Cloud AGB* den Besonderheiten der Deutschen Verwaltungscloud als Cloud der öffentlichen Verwaltung in besonderem Maße Rechnung.
  2. 1.2 Anbieter* von Cloud-Services* im CSP* und deren Kunden* können ausschließlich sein: Öffentliche Stellen i.S.v. § 1 Abs. 1 OZG, Rechtsträger von Behörden i.S.v. § 2 Abs. 9 OZG, öffentliche Auftraggeber im Sinne des § 99 Nr. 1 bis 3 GWB und juristische Personen des öffentlichen oder privaten Rechts, hinsichtlich derer die Voraussetzungen des § 108 Abs. 1 oder Abs. 4 GWB vorliegen. Anbieter* kann nicht sein, wer 20 % oder mehr seiner Tätigkeiten am offenen Markt erbringt (vgl. § 108 Abs. 1 Nr. 2, Abs. 4 Nr. 2 bzw. Abs. 6 Nr. 3 GWB).
  3. 1.3 In der ersten Version und ggf. auch in Folgeversionen des CSP* werden noch nicht alle Aspekte, die in diesen CSP-AGB Berücksichtigung finden, unmittelbar über das CSP* abgebildet werden können. Dies gilt insbesondere für automatisierte Prozesse zur Registrierung von Anbietern* und zur Bestellung und Abwicklung von Cloud-Services*, die in diesen CSP-AGB vorgesehen sind.
  4. 1.4 Ebenso wie sich das CSP* weiterentwickeln wird, werden von Zeit zu Zeit diese Bedingungen aktualisiert, um den Entwicklungen im CSP* Rechnung zu tragen, Fehler zu korrigieren und allgemeine Verbesserungen umzusetzen.
  5. 1.5 Diese CSP-AGB finden in allen Vertragsbeziehungen Verwendung, die im CSP* relevant sind. Grundsätzlich bestehen zwei Vertragsmodelle*, um über das CSP* Cloud-Services* zu bestellen, einerseits das Direktvertragsmodell* und andererseits das Umklappvertragsmodell* (siehe jeweils Begriffsdefinitionen am Ende dieser CSP-AGB). Welche der beiden Modelle für einen Cloud-Service* angeboten werden, ergibt sich aus dem Service-Offering* für den jeweiligen Cloud-Service* im CSP* und wird durch den Anbieter* des Cloud-Services* bestimmt. Soweit für einen Kunden* beide Modelle zur Verfügung stehen, entscheidet der Kunde* mit der Bestellung, welches Modell Anwendung finden soll.
  6. 1.6 Die mit * gekennzeichneten Begriffe sind am Ende dieser CSP-AGB definiert.
  7. 1.7 Regelungen, die in diesen CSP-AGB nur für das Umklappvertragsmodell* gelten, sind wie folgt gekennzeichnet: „X.X Besonderheit(en) im Umklappvertragsmodell*“

2 Gegenstand dieser Vertragsbedingungen

  1. 2.1 Gegenstand dieser CSP-AGB ist:
  • die Registrierung im CSP* durch Kunden* und Anbieter*,
  • die Bereitstellung von Cloud-Services* (z.B. die Bereitstellung einer virtuellen Maschine als IaaS) durch Anbieter*,
  • die Einstellung von Informationen über diese Cloud-Services* im CSP* durch Anbieter*, damit Kunden* die Möglichkeit haben, Cloud-Service-Abonnements* über das CSP* zu bestellen,
  • die Bestellung von Cloud-Services* durch Kunden* auf dem CSP* und
  • die Erbringung der erforderlichen Leistungen durch den Anbieter* im Rahmen der von den Kunden* bestellten Cloud-Service-Abonnements*.
  2. 2.2 Grundsätzlich sollen Cloud-Services* als Abonnements* angeboten werden, in deren Rahmen zusätzliche Leistungseinheiten* bestellt oder Leistungseinheiten* reduziert werden können. Art und Umfang des Cloud-Services*, die Ausgestaltung und die Preisgestaltung für Abonnements* und Erweiterungen/Reduzierungen von Leistungseinheiten* bestimmt der Anbieter* und macht diese in den jeweiligen Service-Offerings* im CSP* transparent verfügbar.

3 Geltung dieser Vertragsbedingungen und weiterer Bedingungen

  1. 3.1 Diese CSP-AGB gelten für die jeweiligen Akteure auf dem CSP*, namentlich für Anbieter*, Kunden*, den Intermediär* und den CSP-Betreiber*.
  2. 3.2 Je nach durch den Anbieter* gewähltem Vertragsmodell* und Bestellung durch den Kunden* gelten diese CSP-AGB jeweils bilateral zwischen
  • Anbieter* und Kunde* (Direktvertragsmodell*)
  • Anbieter* und Intermediär* (Umklappvertragsmodell*)
  • Kunde* und Intermediär* (Umklappvertragsmodell*)

  • Die beiden Verträge zwischen (i.) Anbieter* und Intermediär* und (ii.) dem Kunden* und dem Intermediär* im Umklappvertragsmodell* werden nachfolgend zusammen auch die Umklappverträge genannt.
  2. 3.3 Anbieter* und Kunden* müssen diese CSP-AGB akzeptieren, um sich im CSP* zu registrieren und dieses nutzen zu können, siehe insoweit Ziffer 5 dieser CSP-AGB.
  3. 3.4 Diese CSP-AGB gelten in Verbindung mit den jeweiligen Angaben im Service-Offering* im Verhältnis zwischen den jeweiligen Parteien im Hinblick auf die jeweiligen Cloud-Service-Abonnements* ausschließlich. Das Service-Offering* kann dabei sowohl servicespezifische Bedingungen* als auch eine technische und fachliche Leistungsbeschreibung enthalten. Soweit diese CSP-AGB keine entsprechende vorrangige Regelung im Service-Offering* zulassen, gelten die Angaben im Service-Offering* allerdings stets nachrangig und nur, soweit sie diesen CSP-AGB nicht widersprechen und diese nicht einschränken. Vorrangige Regelungen im Service-Offering* sind nur in den folgenden Fällen möglich:
    1. Servicezeiten*, Reaktions- und Wiederherstellungszeiten*,
    2. Prozentsatz der Verfügbarkeit*,
    3. Bereitstellungsfristen,
    4. Details zum Preismodell,
    5. Zahlungsfristen (nur im Direktvertragsmodell),
    6. Einschränkungen der örtlichen Nutzbarkeit des Cloud-Services* außerhalb der Bundesrepublik Deutschland.
    7. (Mindest-)Laufzeiten und Kündigungszeitpunkte und -fristen in den Grenzen von Ziffer 20 dieser CSP-AGB,
    8. ggf. weitere, über die Mitwirkungen gemäß Ziffer 16 dieser CSP-AGB hinausgehende, servicespezifische Mitwirkungsleistungen und
    9. Regelungen, die aufgrund zwingender gesetzlicher Regelungen im Hinblick auf den Cloud-Service* erforderlich sind.
    10. besondere Regelungen für Cloud-Service-Abonnements des Anbieters* für seine Träger bzw. Gesellschafter im Direktvertragsmodell hinsichtlich der Ziffern 14 (Entgelte), 15 (Rechnungen und Zahlungsfristen) und 18 (Haftung) dieser CSP-AGB.
    11. Ausschluss der Nutzung des Cloud-Services durch Endnutzer*
    12. besondere Regelungen für entgeltfreie Cloud-Service-Demos (nur im Direktvertragsmodell) hinsichtlich Ziffer 18 (Haftung) und Ziffer 20 (Laufzeit und Kündigung) dieser CSP-AGB.

  5. Darüber hinaus sind durch den Anbieter* insbesondere folgende Pflichtangaben im Service-Offering* zu treffen:
    1. angebotenes Vertragsmodell* (Direkt- oder/und Umklappvertragsmodell*),
    2. Kundenkreis, d.h. mögliche Kunden* (Positivliste) in dem bzw. den jeweils angebotenen Vertragsmodell(en) und ggf. besondere Ausschlüsse (Negativliste) gemäß Ziffer 6.2,
    3. ggf. Limitierungen für die Bestellbarkeit (Volumengrenzen etc.),
    4. Angaben zu Kategorien, Betroffenen sowie Art und Umfang der Verarbeitung personenbezogener Daten im Rahmen der Auftragsverarbeitung gemäß Ziffer 10.1 dieser CSP-AGB und
    5. technische und organisatorische Maßnahmen (TOM) des Anbieters für die Auftragsverarbeitung im Hinblick auf den Cloud-Service, die die Mindestanforderungen gemäß Anlage 1 dieser CSP-AGB und darüber ggf. hinausgehende gesetzliche Anforderungen aufgrund der Spezifika des Cloud-Services erfüllen.

    Die vorgenannten Angaben werden im Zuge der Erstellung des Service-Offerings für einen Cloud-Service über entsprechende vom CSP-Betreiber bereitgestellte Vorlagen abgefragt (aktuell: „Service-Template“, „Leistungsbeschreibung“ und „servicespezifische Bedingungen“). Soweit Angaben im Service-Offering* den Mindestanforderungen des DVC-Reifegradmodells* oder der im CSP* veröffentlichten Bewertung des Cloud-Service* aufgrund des DVC-Reifegradmodells* widersprechen, gelten diese nicht. Maßgeblich sind insoweit dann die für den Cloud-Service* geltenden Mindestanforderungen und die jeweils angegebene Stufe gemäß DVC-Reifegradmodell*. Dies gilt auch dann, soweit das Service-Offering* keine entsprechenden Angaben zu den Kriterien gemäß DVC-Reifegradmodell* enthält. Nachrangig zu allen anderen hier genannten Bedingungen gelten die Allgemeinen Vertragsbedingungen für die Ausführung von Leistungen (VOL/B) in der bei Abschluss des jeweiligen Cloud-Service-Abonnements aktuellen Fassung.
    1. 3.5 Der Intermediär* hat die Angaben, die der Anbieter* zum Bestandteil des Service-Offerings* gemacht hat, im Zweifel nicht geprüft und hat keinen Einfluss auf die Gestaltung des Service-Offerings*. Der Anbieter* trägt daher die damit verbundenen Risiken im Verhältnis zum Intermediär*, zum CSP-Betreiber* und zum Kunden* allein, insbesondere das Risiko von Mängeln der Einbeziehung, der Wirksamkeit und/oder der Durchführbarkeit der Angaben im Service-Offering*.
    2. 3.6 Besonderheit im Umklappvertragsmodell:* Soweit Kunden* die mangelnde Einbeziehung, die Unwirksamkeit oder die mangelnde Durchführbarkeit von Angaben im Service-Offering* geltend machen und/oder dementsprechende Forderungen gegenüber dem Intermediär* erheben, wird der Anbieter* den Intermediär* von solchen Forderungen und den Kosten der Rechtsverteidigung gegen diese Kunden* unverzüglich freistellen. Eine Freistellung von Forderungen kann z.B. auch dadurch erfolgen, dass der Anbieter* schuldbefreiend für den Intermediär* (i) in Abstimmung mit dem Intermediär* direkt eine Einigung mit dem Kunden* herbeiführt oder (ii) die durch den Kunden* geltend gemachte Forderung erfüllt.

    4 Änderungen von Cloud-Services* und von Bedingungen

    1. 4.1 Der Anbieter* hat das Recht, das Service-Offering* für den Cloud-Service* von Zeit zu Zeit zu ändern. Eine solche Änderung ist jedoch nicht öfter als alle 90 Tage möglich, es sei denn es liegt ein wichtiger Grund dafür vor. Ein solches Recht besteht nicht für Änderungen, die dazu führen, dass die DVC-Mindestanforderungen nicht mehr eingehalten werden. Für Änderungen, die dazu führen, dass sich die Bewertung nach dem DVC-Reifegrademodell verschlechtern kann, besteht dieses Recht erst, nachdem der Prozess gemäß Ziffer 7 erneut erfolgreich durchlaufen wurde.
    2. 4.2 Änderungen gemäß Ziffern 4.1 die erforderlich sind, um gesetzlichen Anforderungen zu genügen und Änderungen, durch die der Kunde* nicht schlechter gestellt wird, werden 60 Tage nach Zugang der Änderungsmitteilung in Textform beim Kunden* wirksam und gelten auch für laufende Cloud-Service-Abonnements*, soweit der Anbieter* nichts Anderes mitteilt. Satz 1 gilt entsprechend für andere Änderungen; jedoch hat der Kunde* in diesem Fall ein Sonderkündigungsrecht gemäß Ziffer 20.3 dieser CSP-AGB. Der Anbieter* wird den Kunden* mit der Änderungsmitteilung auf das Sonderkündigungsrecht hinweisen.
    3. 4.3 Der CSP-Betreiber* hat das Recht, diese CSP-AGB im Einvernehmen mit dem Intermediär* von Zeit zu Zeit zu ändern. Solche Änderungen werden 60 Tage nach Zugang der Änderungsmitteilung in Textform beim Kunden* bzw. beim Anbieter* wirksam. Sie gelten jedoch nicht für laufende Cloud-Service-Abonnements*.
    4. 4.4 Besonderheit im Umklappvertragsmodell*: Der Kunde* ist im Hinblick auf ein von ihm bestelltes Cloud-Service-Abonnement* ermächtigt und, sofern er sein Sonderkündigungsrecht aus Ziffer 4.2 dieser CSP-AGB ausüben möchte, auch verpflichtet, die Kündigung gemäß Ziffer 20.3 direkt gegenüber dem Anbieter* zu erklären, vgl. dazu auch Ziffer 21 dieser Bedingungen.

    5 Registrierung

    1. 5.1 Für die Nutzung der wesentlichen Funktionen des CSPs ist eine Registrierung und Anlage eines Administratorkontos erforderlich. Der CSP-Betreiber* behält sich vor, die Registrierung ohne Angabe von Gründen abzulehnen. Die Registrierung und die Nutzung des CSP* ist kostenfrei.
    2. 5.2 Kunden* und Anbieter* sind verpflichtet, die bei der Registrierung und der Einrichtung von Administrations- und Benutzerkonten erhobenen Daten wahrheitsgemäß und – soweit es sich um Pflichtangaben handelt, die entsprechend gekennzeichnet sind – vollständig zu tätigen. Solche Konten dürfen nur für Beschäftigte des jeweiligen Kunden* bzw. Anbieters* eingerichtet werden – nachfolgend auch „Benutzende“ genannt. Kunde* und Anbieter* sorgen dafür, dass die von ihnen jeweils bestimmten Benutzenden die CSP-AGB im Hinblick auf den Cloud-Service stellvertretend für ihre jeweilige Organisation akzeptieren, bevor diese den Bereich des CSPs nutzen, der eine Registrierung erfordert. Kunde* und Anbieter* sorgen zudem dafür, dass die jeweiligen Benutzenden über die erforderliche Vertretungsbefugnis verfügen und dafür, verbindliche Angebote bzw. Annahmen über das CSP* zu erklären, soweit ihnen die entsprechenden Rechte eingeräumt werden.
    3. 5.3 Bei einer Änderung der erhobenen Daten nach erfolgter Registrierung sind die Angaben unverzüglich im CSP* zu aktualisieren oder – soweit dies nicht möglich ist – dem CSP-Betreiber* unverzüglich die Änderungen mitzuteilen.
    4. 5.4 Bei der Anlage des Administrationskontos und von Benutzerkonten sind Benutzendennamen und Passwörter festzulegen (im Folgenden „Zugangsdaten“ genannt). Kunde*, Anbieter* und die jeweiligen Benutzenden haben die Zugangsdaten geheim zu halten und vor dem Zugriff durch unbefugte Dritte geschützt aufzubewahren. Sind einem Benutzenden die Zugangsdaten abhandengekommen oder stellt er fest oder hegt er den Verdacht, dass seine Zugangsdaten von einem Dritten genutzt werden, hat er dies dem CSP-Betreiber* umgehend mitzuteilen.
    5. 5.5 Der initiale Administratoraccount einer Einrichtung hat die Berechtigung, weitere Mitarbeitende der Organisation als Benutzende oder als weitere Administratoren zu registrieren. Administratoren- und Benutzerkonten sind nicht übertragbar.
    6. 5.6 Kunden*, Anbietern* und den jeweiligen Benutzenden ist bekannt, dass ihnen Erklärungen im Rahmen des Vertragsverhältnisses (z.B. Bestätigungs-E-Mails, Änderungen der AGB oder andere Mitteilungen) per E-Mail zugehen können.
    7. 5.7 Der CSP-Betreiber* ist zur sofortigen Sperrung der Registrierung und/oder eines oder aller Benutzerkonten der jeweiligen Organisation berechtigt, 
  • wenn im Zusammenhang mit der Registrierung oder von Benutzerkonten falsche Angaben gemacht wurden;
  • bei Verlust oder bei Verdacht einer missbräuchlichen Nutzung der Zugangsdaten durch einen Dritten;
  • bei erheblichen Verstößen der Organisation oder eines ihrer Benutzenden gegen die CSP-AGB;
  • wenn ein sonstiger wichtiger Grund vorliegt.

    6 Allgemeine Pflichten der Beteiligten, insbes. Beachtung des Vergaberechts und von Nutzungsrechten

    1. 6.1 Den Beteiligten ist bewusst, dass die Bestellung von Cloud-Services* in der Regel dem Vergaberecht unterliegt; entsprechend sind die Beteiligten in ihrem Verantwortungsbereich jeweils dafür verantwortlich, dass die vergaberechtlichen Vorschriften eingehalten werden.
    2. 6.2 Der Anbieter* hat insbesondere sicherzustellen, dass die Beschaffung etwaiger Vorleistungen, Zulieferungen und die Beauftragung etwaiger Unterauftragnehmer in Übereinstimmung mit dem Vergaberecht erfolgt ist und der Anbieter* berechtigt ist, den jeweiligen Cloud-Service* in dem von ihm im Service-Offering* angegebenen Umfang dem von ihm dort definierten Kundenkreis auch tatsächlich anzubieten. Dementsprechend ist er insbesondere verpflichtet, den Kundenkreis sorgfältig zu definieren.
    3. 6.3 Unbeschadet der Pflicht des Anbieters,* den jeweiligen Kundenkreis im Service-Offering* sorgfältig zu definieren, ist der Kunde* selbst ebenfalls verpflichtet, zu prüfen, ob und in welchem Umfang er den jeweiligen Cloud-Service* vergaberechtskonform abonnieren und nutzen darf. Diese Prüfpflicht gilt auch dann, wenn er durch den Anbieter* im Service-Offering* als möglicher Kunde* benannt ist.
    4. 6.4 Besonderheit im Umklappvertragsmodell*: Der Anbieter* hat insbesondere sicherzustellen, dass der von ihm angebotene Cloud-Service* so ausgestaltet ist, dass er durch den Intermediär* grundsätzlich vergaberechtskonform bestellt und durch die Kunden* des Intermediärs* grundsätzlich vergaberechtskonform bestellt und genutzt werden kann, sofern sich Anbieter* und Intermediär* einerseits und Intermediär* und Kunde* andererseits in einem Inhouse-Verhältnis gemäß § 108 Abs. 1 bis 4 GWB befinden.

    7 DVC-Reifegradmodell*

    1. 7.1 Ziel des DVC-Reifegradmodells* ist es, Kunden* und Anbietern* eine Orientierung zum Stand der Umsetzung der DVC-Kriterien in Bezug auf den jeweiligen Cloud-Service* zu geben.
    2. 7.1.1 Das DVC-Reifegradmodell* weist Minimalanforderungen auf, die ein Cloud-Service* erfüllen muss, um im CSP* angeboten werden zu können.
    3. 7.1.2 Für Kunden* bietet die Einstufung die Möglichkeit, die angebotenen Cloud-Services* zu vergleichen und zu bewerten, ob der jeweilige Cloud-Service* für den geplanten Einsatzzweck genutzt werden kann. Die Entscheidung, ob für bestimmte Einsatzzwecke (z.B. im Sicherheitsbereich) höhere Stufen als kundenspezifische Mindestanforderung angesetzt werden sollen oder müssen, obliegt dabei ausschließlich dem jeweiligen Kunden*.
    4. 7.2 Die Aspekte des DVC-Reifegradmodells* werden durch den Anbieter* in einem Self-Assessment, d.h. im Wege von Eigenerklärungen bewertet.
    5. 7.2.1 Der CSP-Betreiber* hat das Recht, die Eigenerklärungen zu plausibilisieren und im Detail zu prüfen und zu verifizieren; er ist dazu jedoch nicht verpflichtet. Er kann dazu insbesondere Nachweise, z.B. Zertifikate und Testate anfordern, Gespräche mit Vertretern des Anbieters* führen, Vor-Ort-Besichtigungen durchführen und Teststellungen verlangen. Vor-Ort-Besichtigungen können nur während der üblichen Geschäftszeiten und nur nach Vorankündigung mit angemessener Frist erfolgen. Eine Störung des Betriebsablaufs bei dem Anbieter* ist dabei nach Möglichkeit zu vermeiden. Der CSP-Betreiber* wird es nach Möglichkeit vermeiden, direkte Wettbewerber des Anbieters* (insbesondere andere öffentliche IT-Dienstleister) für die Vor-Ort-Besichtigungen einzusetzen. Wenn und soweit den vorgenannten Maßnahmen Sicherheitsanforderungen des Anbieters* entgegenstehen, die sich aus gesetzlichen Anforderungen, aus Verträgen des Anbieters* mit Dritten oder im Zusammenhang mit Zertifizierungen oder Testierungen ergeben, werden sich der CSP-Betreiber* und der Anbieter* darüber verständigen, wie der Zweck der jeweiligen Maßnahme gleichwohl erreicht werden kann, z.B. durch Einsatz entsprechend sicherheitsüberprüften Personals.
    6. 7.2.2 Gelingt dem Anbieter* der Nachweis der von ihm in seinen Eigenerklärungen gemachten Angaben nicht, kann der CSP-Betreiber* die Aufnahme des Cloud-Services* in das CSP* ablehnen; gelingt dem Anbieter* zumindest der Nachweis der Erfüllung der Mindestanforderungen, kann der CSP-Betreiber* anstelle der Ablehnung auch entscheiden, seine eigene abweichende Bewertung im CSP* darzustellen. Ist der Anbieter* damit nicht einverstanden, erfolgt keine Aufnahme des jeweiligen Cloud-Services* in das CSP*.
    7. 7.3 Das Einverständnis des Anbieters* mit der transparenten Darstellung des Ergebnisses der Bewertung nach dem DVC-Reifegradmodell* ist Voraussetzung für das Einstellen und Anbieten von Cloud-Services* im CSP*.
    8. 7.4 Das DVC-Reifegradmodell* wird laufend weiterentwickelt. Soweit eine neue Version des DVC-Reifegradmodells* für die Bewertung der Cloud-Services* herangezogen werden soll, wird der CSP-Betreiber* dies den Anbietern* mitteilen. Je nach Änderung und Mitteilung des CSP-Betreibers* muss der Anbieter* das Self-Assessment gemäß Ziffer 7.2 ganz oder teilweise erneut durchführen. Soweit durch den CSP-Betreiber* nur eine teilweise Durchführung des Self-Assessments verlangt wird, z.B. weil nur einzelne Aspekte des DVC-Reifegradmodells* geändert oder diesem neue Aspekte hinzugefügt wurden, ist der Anbieter* gleichwohl verpflichtet, zu bestätigen, dass im Übrigen keine für die Bewertung nach dem DVC-Reifegradmodell* relevanten Veränderungen vorliegen. Für das erneute Self-Assessment gelten Ziffern 7.2 und 7.3 mit der Maßgabe, dass der CSP-Betreiber* den Cloud-Service* als nicht bestellbar kennzeichnen bzw. deaktivieren kann, wenn binnen 120 Tagen nach Mitteilung des CSP-Betreiber* gemäß Ziffer 7.4 Satz 1 keine Einigung über das Ergebnis des Self-Assessments erzielt werden kann. Alternativ hat der CSP-Betreiber* das Recht, statt einer Deaktivierung des Cloud-Services* die Bewertung nach dem DVC-Reifegradmodell* als nicht mehr aktuell zu kennzeichnen.
    9. 7.5 Unabhängig von Ziffer 7.4 hat der CSP-Betreiber* das Recht, den Anbieter* von Zeit zu Zeit aufzufordern, die Weitergeltung des Ergebnisses des Self-Assessments zu prüfen und zu bestätigen, bzw. soweit dies nicht der Fall ist, eine angepasste Bewertung vorzulegen. Ziffern 7.2, 7.3 und 7.4 Sätze 3 ff. gelten entsprechend. Soweit kein konkreter Anlass besteht, z.B. aufgrund von Meldungen durch Kunden* oder wegen potentiell relevanter gesetzlicher Änderungen, wird der CSP-Betreiber* den Anbieter* nicht öfter als einmal jährlich gemäß Satz 1 auffordern.
    10. 7.6 Der Kunde* hat ein Sonderkündigungsrecht gemäß Ziffer 20.3 dieser CSP-AGB, wenn in Folge einer Änderung des Cloud-Service* die bei Abschluss des Cloud-Service-Abonnements* im Service-Offering* veröffentlichte Bewertung des jeweiligen Cloud-Services* gemäß DVC-Reifegradmodell* hinsichtlich eines oder mehrerer Kriterien unterschritten wird.

    8 Bestellungen von Cloud-Services*

    1. 8.1 Kunden* haben die Möglichkeit, im CSP* Cloud-Services* zu bestellen. Solche Bestellungen sind für den Kunden* verbindlich, d.h. der Kunde* gibt ein verbindliches Angebot auf Abschluss eines Cloud-Service-Abonnements* ab. Naturgemäß begegnet die Bereitstellung von Cloud-Services* verschiedenen techni-schen, rechtlichen und organisatorischen Grenzen, z.B. können die technischen Möglichkeiten oder das Volumen von Rahmenvereinbarungen ausgeschöpft sein, aus denen durch den Anbieter* Zulieferungen beschafft werden (nachfolgend Bestellgrenzen genannt). Soweit im Service-Offering* nicht ausdrücklich anders dargestellt, sind Bestellungen für den Anbieter* daher stets erst verbindlich, wenn diese durch ihn akzeptiert und bestätigt werden. Dies kann sowohl durch einen automatischen Prozess als auch durch eine manuell erzeugte Bestätigung, z.B. per E-Mail erfolgen. Erfolgt binnen 30 Tagen keine Bestätigung der Bestellung, ist der Kunde* nicht mehr länger an die Bestellung gebunden.
    2. 8.2 Soweit feststeht, dass die Bestellgrenzen für einzelne Cloud-Services* ausgeschöpft sind, werden diese im CSP* in geeigneter Weise als aktuell nicht bestellbar gekennzeichnet. Ist für einen Cloud-Service* eine künftige Bestellmöglichkeit absehbar oder ist eine Bestellung in eingeschränktem Umfang nach individueller Absprache möglich, kann der Anbieter* im CSP* eine Art Interessenbekundung durch den Kunden* vorsehen.
    3. 8.3 Besonderheit im Umklappvertragsmodell*: Hier erfolgt die Bestellung eines Cloud-Services* durch den Kunden beim Intermediär*. Diese Bestellung erfolgt elektronisch über das CSP*. Ist die Bestellung erfolgt, erfolgt eine korrespondierende Bestellung des Cloud-Services* durch den Intermediär* beim Anbieter*, es sei denn, der Intermediär* lehnt die Bestellung des Kunden* bereits zu diesem Zeitpunkt ab. Auch Bestellungen des Intermediärs* beim Anbieter* werden erst verbindlich, wenn diese durch den Anbieter* rechtzeitig, d.h. innerhalb der 30 Tagesfrist gegenüber dem Kunden* bestätigt werden; vgl. Ziffer 8.1. Diese Bestätigung gilt gegenüber dem Kunden* gleichzeitig als Bestätigung durch den Intermediär*.

      4. 9 Art und Umfang der Leistungen

      1. 9.1 Leistungen des Anbieters* unabhängig von Cloud-Service-Abonnements*
      2. 9.1.1 Um einen Cloud-Service* im CSP* anbieten zu können, muss der Anbieter* ein Service-Offering* für den Cloud-Service* erstellen. Soweit im CSP* für die Einstellung des Service-Offerings* ein Self-Service ermöglicht wird, erfolgt das Einstellen des Service-Offerings* durch den Anbieter* direkt im CSP*, anderenfalls wird der Anbieter* zur Einstellung in das CSP* entsprechend aufbereitete Informationen nach Maßgabe der Anforderungen des Intermediärs* zur Verfügung stellen.
      3. 9.1.2 Der Anbieter* ist verpflichtet, das initial von ihm im CSP* bereitgestellte Service-Offering* des durch ihn angebotenen Cloud-Services* laufend auf dem aktuellen Stand zu halten. Ziffer 4 dieser CSP-AGB bleibt unberührt und ist zu beachten.
      4. 9.1.3 Der CSP-Betreiber* wird das Service-Offering* ggf. sichten und ggf. Ergänzungen und Korrekturen anfordern. Der Anbieter* wird entsprechenden Anforderungen unverzüglich nachkommen. Für den Fall, dass das Service-Offering* nicht den Anforderungen aus diesen CSP-AGB entspricht, behält sich der CSP-Betreiber* vor, das Angebot über den Cloud-Service* im CSP* für potentielle Kunden* nicht freizuschalten bzw. zu sperren.
      5. 9.1.4 Weder durch die Sichtung noch durch die Freischaltung oder Sperrung des Cloud-Service-Angebots des Anbieters* noch sonst übernimmt der Intermediär* Verantwortung für die Richtigkeit des Service-Offerings* (z.B. der Leistungsbeschreibung) oder für die durch den Anbieter* zu erbringenden Leistungen. Hierfür bleibt allein der Anbieter* verantwortlich.
    4. 9.2 Leistungen des Anbieters* im Hinblick auf konkrete Cloud-Service-Abonnements*
    5. 9.2.1 Initiale Leistungen Nach Abschluss des jeweiligen Cloud-Service-Abonnements* durch den Kunden* erbringt der Anbieter* zunächst die vereinbarten sowie die weiteren erforderlichen Leistungen zur Herstellung der Betriebsbereitschaft* des Cloud-Services* im Hinblick auf den jeweiligen Kunden*, insbesondere unter Berücksichtigung der Anzahl an vereinbarten Leistungseinheiten*.
    6. 9.2.2 Laufende Leistungserbringung
    7. 9.2.2.1 Der Anbieter* stellt dem jeweiligen Kunden* innerhalb der für den Cloud-Service* geltenden Bereitstellungsfrist den Cloud-Service* einschließlich der notwendigen Zugänge zur Verfügung und benachrichtigt den Kunden* darüber.
    8. 9.2.2.2 Soweit für den Cloud-Service* keine weitergehende Beschränkung des Ortes der Verarbeitung der Daten des Kunden* einschließlich Metadaten vorgesehen ist, darf eine solche Verarbeitung ausschließlich im Hoheitsgebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat im Sinne des Abkommens über den Europäischen Wirtschaftsraum sowie der Schweiz (solange ein wirksamer Angemessenheitsbeschluss im Sinne von Art. 45 DSGVO besteht) stattfinden (Mindestkriterium gemäß DVC-Reifegradmodell*). Dies gilt auch für etwaige Unterauftragnehmer und weitere Auftragsverarbeiter.
    9. 9.2.2.3 Der Anbieter* gewährleistet, dass der Cloud-Service* die jeweils aktuellen gesetzlichen Anforderungen, insbesondere auch die Anforderungen an die Barrierefreiheit, erfüllt, und durch die Kunden* gesetzeskonform genutzt werden kann.
    10. 9.2.2.4 Der Anbieter* sorgt für die vereinbarte Verfügbarkeit*, die vereinbarte Qualität des Cloud-Services* (funktional und nichtfunktional) sowie für dessen Sicherheit. Insbesondere hat der Anbieter* seine Infrastruktur und den Cloud-Service* so zu dimensionieren, dass dieser mit einer im Hinblick auf die zu erwartenden bzw. vereinbarten Zugriffe angemessenen Reaktions- und Ausführungsgeschwindigkeit, mit einem für die bestimmungsgemäße Nutzung ausreichenden, entsprechend dimensionierten Speicherplatz, verfügbaren aktuellen Sicherheitspatches und auch im Übrigen den vereinbarten Anforderungen entsprechend zur Verfügung steht. Für Service-, Reaktions-, Wiederherstellungszeiten* gelten die in den jeweiligen Begriffsbestimmungen am Ende dieser CSP-AGB genannten Regelzeiten, soweit nicht für den Cloud-Service* abweichend geregelt.
    11. 9.2.2.5 Der Anbieter* wird den Kunden* zur Vermeidung von Inkompatibilitäten, Unterbrechungen und sonstigen Störungen* rechtzeitig (beispielsweise per E-Mail oder über die Administrationskonsole) über die Absicht von Systemanpassungen und über geplante Wartungsausfälle unterrichten.
    12. 9.2.2.6 Liegt eine Störung* vor, ist der Anbieter* verpflichtet, alle für die Störungsbeseitigung zur Wiederherstellung der Betriebsbereitschaft* notwendigen Maßnahmen zu ergreifen. Diese können z.B. Instandsetzungsleistungen oder Pflegeleistungen für die eingesetzte Software zur Beseitigung von Störungen* umfassen. Liegt die Störung* in einer eingesetzten Drittsoftware, ist der Anbieter* verpflichtet, einen die Störung* beseitigenden Programmstand* einzusetzen, sofern ein solcher verfügbar ist. Ist kein Patch* o.ä. verfügbar, hat der Anbieter* eine Umgehungslösung* zur Verfügung zu stellen. Ist ihm dies unzumutbar, hat er sich beim Hersteller der Drittsoftware für die baldmögliche Überlassung eines die Störung* beseitigenden Programmstandes einzusetzen.
    13. 9.2.3 Leistungsänderungen Kunden* haben die Möglichkeit, die nachträgliche Änderung des beauftragten Cloud-Services* anzufragen bzw. bestimmte Parameter ggf. selbst zu ändern, insbesondere weitere Leistungseinheiten* anzufragen bzw. zu bestellen oder Leistungseinheiten* zu reduzieren, jeweils, soweit das Cloud-Service-Angebot des Anbieters* im CSP* dies vorsieht. Der Anbieter* wird Anfragen des Kunden* unverzüglich prüfen und dem Kunden* mitteilen, ob und ab wann der Cloud-Service* in der geänderten Form bereitsteht.

      14. 10 Datenschutz, IT-Sicherheit und Vertraulichkeit

      1. Die nachfolgenden Regelungen lassen weitergehende gesetzliche und regulatorische Anforderungen unberührt.

        2. 10.1 Datenschutz

        1. 10.1.1 Mit Abschluss des jeweiligen Cloud-Service-Abonnements über den Cloud-Service gehen Anbieter und Kunde ein Auftragsverarbeitungsverhältnis ein. Die nachfolgenden Regelungen stellen die dazugehörige Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO dar. Pro Cloud-Service-Abonnement* kommt somit eine Vereinbarung zur Auftragsverarbeitung nach den vorliegenden Bedingungen zustande. Die Laufzeit der Vereinbarung zur Auftragsverarbeitung entspricht der Laufzeit des jeweiligen Cloud-Service-Abonnements*, wobei die jeweilige Vereinbarung zur Auftragsverarbeitung auch über die Beendigung des Cloud-Service-Abonnements* hinaus so lange in Kraft bleibt, wie der Anbieter über personenbezogene Daten des Kunden aus dem jeweiligen Auftragsverhältnis bzw. Cloud-Service* verfügt.
        2. 10.1.2 Die erforderlichen Konkretisierungen zur Auftragsverarbeitung ergeben sich aus dem Service-Offering*. Dies betrifft insbesondere Art, Umfang und Dauer der Leistungen, Art und Umfang der mit dem Cloud-Service* zu verarbeitenden Daten, von der Auftragsverarbeitung betroffene Personen, Unterauftragsverarbeiter und die TOM. Soweit durch den Anbieter* im Service-Offering* gefordert, muss der Kunde* diese Angaben im Zuge der Bestellung des Cloud-Services* weiter konkretisieren.
        3. 10.1.3 Unabhängig davon wird der Anbieter* bei der Erbringung der Leistung die jeweils anwendbaren Bestimmungen über den Datenschutz in der jeweils geltenden Fassung einhalten. Für die Einhaltung landesgesetzlicher Regelungen, die für den Kunden* gelten, und die Einhaltung regulatorischer Anforderungen der für den Kunden* zuständigen Behörden ist der Anbieter* jedoch nur verantwortlich, wenn und soweit diese vom Kunden* beim Anbieter* angefragt und vom Anbieter* ausdrücklich bestätigt wurden.
        4. 10.1.4 Der Anbieter* darf personenbezogene Daten des Kunden, die er im Auftragsverhältnis verarbeitet, ausschließlich zu den vertraglich vereinbarten Zwecken, d.h. zur Erbringung des jeweiligen Cloud-Service* im Auftrag des Kunden* oder aufgrund von Einzelweisungen des Kunden* verarbeiten, es sei denn, er verarbeitet die Daten aufgrund einer rechtlichen Verpflichtung im Sinne des Art. 28 Abs. 3 lit. a DSGVO. Ist dies der Fall, teilt er dies dem Kunden* vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.
        5. 10.1.5 Der Anbieter* unterliegt bei der Datenverarbeitung den Weisungen des Kunden*. Mündliche Weisungen bestätigt der Anbieter* unverzüglich in Textform. Hält der Anbieter* eine Weisung für datenschutzrechtswidrig, informiert er den Kunden* hierüber unverzüglich. Bis zur Bestätigung oder Änderung der Weisung durch den Kunden* darf der Anbieter* in diesem Fall die Umsetzung der Weisung verweigern. Weisungen werden von beiden Parteien dokumentiert.
        6. 10.1.6 Der Anbieter* sorgt dafür, dass alle Personen, die von ihm mit der Verarbeitung personenbezogener Daten des Kunden* betraut sind, die jeweils anwendbaren Bestimmungen über den Datenschutz beachten und die Daten auf seine Weisung im Sinne von Art. 29 DSGVO verarbeiten. Der Anbieter* gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung des Arbeitsverhältnisses der jeweiligen Person bestehen bleiben.
        7. 10.1.7 Die Betroffenenrechte sind sicherzustellen, insbesondere das Recht auf Berichtigung, Widerspruch, Einschränkung der Verarbeitung und Löschung von Daten und das Recht auf Auskunft und Information. Der Anbieter* informiert den Kunden* unverzüglich, wenn ein Betroffener seine in Kapitel III der DSGVO genannten Rechte bei ihm geltend macht und wird die entsprechende Anfrage an ihn weiterleiten. Bei der Erfüllung der Betroffenenrechte unterstützt und informiert der Anbieter* den Kunden* in angemessenem Umfang.
        8. 10.1.8 Der Anbieter* stellt sicher, dass er nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Kunden* entweder löscht oder zurückgibt und die vorhandenen Kopien löscht. Dies ist auf Verlangen des Kunden* zu bestätigen und nachzuweisen.
        9. 10.1.9 Der Anbieter* unterrichtet den Kunden* unverzüglich über Kontrollen, Maßnahmen und Ermittlungshandlungen der bzw. des Landesdatenschutzbeauftragten, der bzw. des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder anderer Aufsichtsbehörden, welche die Auftragsverarbeitung im Rahmen des Cloud-Service-Abonnements* betreffen.
        10. 10.1.10 Der Anbieter* ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (in diesen CSP-AGB auch TOM genannt) zur Gewährleistung eines risikoadäquaten Schutzniveaus. Die Mindestanforderungen an die TOM ergeben sich aus Anlage 1 zu diesen CSP-AGB. Die konkret im Hinblick auf den Cloud-Service getroffenen TOM hinterlegt der Anbieter* im Service-Offering*. Die TOM unterliegen dem technischen Fortschritt. Der Anbieter* prüft regelmäßig, ob die technischen und organisatorischen Maßnahmen sich noch im Einklang mit den gesetzlichen Datenschutzanforderungen befinden, dem Stand der Technik entsprechen und ein risikoadäquates Schutzniveau bieten. Erkennt der Anbieter* Anpassungsbedarf, wird er diesen umsetzen und setzt den Kunden* hiervon in Kenntnis. In keinem Fall darf das in den Mindestanforderungen an die TOM gemäß Anlage 1 und den jeweils konkreten aktuellen TOM festgelegte Niveau unterschritten werden. Jede Veränderung von technischen und organisatorischen Maßnahmen ist zu dokumentieren und dem Kunden* auf Verlangen vorzulegen. Darüber hinaus kann der Anbieter* weitergehende, von ihm getroffene technische und organisatorische Maßnahmen durch das Service-Offering* für den Cloud-Service* zum Vertragsbestandteil machen. Solche Maßnahmen gelten jedoch nur, soweit sie weder die Anforderungen aus den TOM gemäß Anlage 1 zu diesen CSP-AGB unterschreiten noch diese einschränken.
        11. 10.1.11 Der Anbieter* stellt dem Kunden* alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten und der in dieser Ziff. 10.1 vereinbarten Pflichten des Anbieters* zur Verfügung.
        12. 10.1.12 Der Kunde* und die für ihn zuständigen Aufsichtsbehörden sind berechtigt, die Einhaltung der datenschutzrechtlichen Vorschriften und der in dieser Ziff. 10.1 vereinbarten Pflichten durch den Anbieter* zu überprüfen. Zu diesem Zweck räumt der Anbieter* dem Kunden*, dem von diesen beauftragten, nachweislich zur Verschwiegenheit verpflichteten Dritten und den vorgenannten Aufsichtsbehörden unwiderruflich das Recht ein, Auskünfte einzuholen, während der Betriebs- und Geschäftszeiten die Grundstücke und Geschäftsräume des Anbieters* betreten zu dürfen und dort Besichtigungen und Prüfungen vorzunehmen sowie die gespeicherten Daten und Datenverarbeitungsanlagen und -programme einzusehen, soweit dies für die Überprüfung notwendig oder nützlich ist und ohne unzumutbare Störung des Betriebsablaufs erfolgt. Besichtigungen und Prüfungen gemäß Satz 1 erfolgen in der Regel nur nach Vorankündigung mit angemessener Frist, es sei denn der Prüfzweck wird hierdurch gefährdet. Der Kunde* wird es nach Möglichkeit vermeiden, direkte Wettbewerber des Anbieters* (insbesondere andere öffentliche IT-Dienstleister) für die Besichtigungen und Prüfungen gemäß Satz 1 einzusetzen. Der Anbieter* wird Prüfungen – einschließlich Inspektionen - auch darüber hinaus aktiv unterstützen. Weitergehende Rechte der Aufsichtsbehörden bleiben unberührt.
        13. 10.1.13 Stellt der Anbieter* eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, fest oder besteht der Verdacht von Datenschutzverletzungen, sicherheitsrelevanten Vorfällen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten hat er dies unverzüglich nach Bekanntwerden dem Kunden* und ggf. dem Intermediär* mitzuteilen. Der Anbieter* wird im Benehmen mit dem Kunden* und ggf. dem Intermediär* angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Der Anbieter unterstützt den Kunden und ggf. den Intermediär* bei der Erfüllung der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.
        14. 10.1.14 Der Kunde* hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig und anlassbezogen von der Einhaltung der bei dem Anbieter* getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Bestehende datenschutzrelevante Mängel wird der Anbieter* beseitigen.
        15. 10.1.15 Der Anbieter* führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Absatz 2 DSGVO. Die Parteien unterstützen sich wechselseitig bei der Erfüllung ihrer Pflichten aus Art. 30 und 31 DSGVO, insbesondere durch wechselseitige Information. Der Anbieter* wird im Benehmen mit dem Kunden* angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Der Anbieter* unterstützt den Kunden* bei der Erfüllung der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.
        16. 10.1.16 Anbieter* und Intermediär* verfügen jeweils über einen bestellten Datenschutzbeauftragten mit der erforderlichen Fachkunde und teilen dem Kunden* dessen jeweiligen Kontaktdaten vor Abschluss des Cloud-Service-Abonnements* mit.
        17. 10.1.17 Die Einschaltung weiterer Auftragsverarbeiter ist in Ziffer 13 dieser CSP-AGB geregelt.
        18. 10.1.18 Besonderheit im Umklappvertragsmodell*: Das Auftragsverarbeitungsverhältnis gemäß Ziffer 10.1 kommt auch im Umklappvertragsmodell* unmittelbar zwischen Anbieter* und Kunde* zustande. Der Intermediär* ist datenschutzrechtlich im Zusammenhang mit dem Betrieb und der Nutzung der Cloud-Services* in keinem Fall verantwortlich.

      10.2 IT-Sicherheit

      1. 10.2.1 Für die Bereitstellung der Leistung (inklusive der dazu notwendigen infrastrukturellen, organisatorischen, personellen und technischen Komponenten) besteht ein implementiertes Sicherheitskonzept und ein Informationssicherheits-Managementsystem (ISMS) einschließlich eines Notfall-Managements. Auf Anforderung des CSP-Betreibers* bzw. des Kunden* weist der Anbieter* dies durch gültige Zertifikate oder sonst in geeigneter Form nach. Sicherheitskonzept, ISMS und Zertifikate sind entsprechend des festgelegten Prüfungsturnus im relevanten Standard zu erneuern.
      2. 10.2.2 Der Anbieter* bzw. derjenige, der den Cloud-Service technisch im Auftrag des Anbieters* bereitstellt, verfügt über einen IT-Sicherheitsbeauftragten mit der erforderlichen Fachkunde und teilt dem CSP-Betreiber* und dem Kunden* dessen jeweiligen Kontaktdaten unverzüglich mit. Der Anbieter* informiert den CSP-Betreiber* und den Kunden* unverzüglich und in angemessener Form von Sicherheitsvorfällen, soweit diese den CSP-Betreiber* bzw. den Kunden* betreffen. Sofern durch den CSP-Betreiber* bzw. den Kunden* ein IT-Sicherheitsbeauftragter oder eine andere Person für den Empfang solcher Informationen benannt wurde, erfolgt die Information unmittelbar an diese(n). Unberührt bleiben weitergehende Pflichten aus der DSGVO bzw. den Regelungen zum Datenschutz gemäß dieser CSP-AGB.
      3. 10.2.3 Besonderheit im Umklappvertragsmodell*: Sämtliche Pflichten des Anbieters* gemäß Ziffern 10.2.1 und 10.2.2 bestehen im Umklappvertragsmodell* zusätzlich auch gegenüber dem Intermediär*.

      10.3 Vertraulichkeit

      1. 10.3.1 Die Parteien sind verpflichtet, alle im Rahmen des jeweiligen Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln, insbesondere nicht an unberechtigte Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu verwerten. Die vorgenannte Pflicht zur Vertraulichkeit schränkt jedoch keine Partei darin ein, für sie tätige Personen, die Zugang zu vertraulichen Informationen hatten, in anderen Projekten einzusetzen. Die Erfüllung gesetzlicher Pflichten bleibt unbenommen.
      2. 10.3.2 Vertrauliche Informationen sind Informationen, die ein verständiger Dritter als schützenswert ansehen würde oder die als vertraulich gekennzeichnet sind; dies können auch solche Informationen sein, die während einer mündlichen Präsentation oder Diskussion bekannt werden. Vertrauliche Informationen dürfen ausschließlich zum Zweck der Erfüllung der Verpflichtungen aus dem Vertrag eingesetzt bzw. verwertet werden. Die Verpflichtung zur Vertraulichkeit gilt nicht für Informationen, die den Parteien bereits rechtmäßig bekannt sind oder außerhalb des Vertrages ohne Verstoß gegen eine Vertraulichkeitsverpflichtung bekannt werden.

      11 Löschungsanspruch

      Der Anbieter* ist verpflichtet, in angemessener Frist auf Anforderung des Kunden* Daten sicher und entsprechend der zum Zeitpunkt der Löschung geltenden Standards zu löschen oder dem Kunden* eine entsprechende Löschmöglichkeit einzuräumen. Die Löschung ist auf Verlangen durch entsprechende Erklärung oder anderweitig nachzuweisen; das Löschverfahren ist auf Anforderung mitzuteilen. Die Verpflichtung gemäß Satz 1 gilt nicht, soweit und solange der Anbieter* zur Aufbewahrung von bestimmten Daten nach dem Recht der EU oder eines Mitgliedstaats verpflichtet ist. Für den Fall einer solchen Aufbewahrungspflicht ist der Anbieter* verpflichtet, die jeweiligen Kunden* unverzüglich darüber zu informieren, die Daten sicher vor dem Zugriff Dritter zu schützen und, soweit im Rahmen der gesetzlichen Aufbewahrungspflicht zulässig, nach dem jeweils aktuellen Stand der Technik verschlüsselt aufzubewahren.

      12 Nutzungsrechte

      1. 12.1 Abhängig vom gewählten Vertragsmodell* räumt der Anbieter* mit Bereitstellung des Cloud-Services* entweder dem Kunden* unmittelbar (im Direktvertragsmodell*) oder dem Intermediär* (zur Einräumung entsprechender Rechte gegenüber dem Kunden*, im Umklappvertragsmodell*) das nicht ausschließliche, auf die Laufzeit des jeweiligen Cloud-Service-Abonnements* befristete Recht ein, den Cloud-Service* unter Berücksichtigung etwaiger vereinbarter quantitativer Metriken wie Useranzahl, Volumen etc. zu nutzen, und soweit nicht im Service-Offering anders vorgesehen, durch dessen Endnutzer* nutzen zu lassen. Das Recht umfasst auch, zur Verfügung gestellte Software temporär zu speichern und zu laden, sie anzuzeigen und ablaufen zu lassen, soweit dies zur bestimmungsgemäßen Nutzung der Leistung erforderlich ist. Dies gilt auch, soweit hierfür Vervielfältigungen notwendig werden.
      2. 12.2 Das Nutzungsrecht besteht weltweit bis auf diejenigen Länder, in denen der Anbieter* die jeweilige Leistung nicht allgemein anbietet bzw. der Zugang zu den Leistungen bestimmungsgemäß nicht möglich ist, z.B. weil der Anbieter* den Zugang zu einem Cloud-Service* via Geoblocking sperrt. Der Anbieter* wird den Kunden* auf Anforderung unverzüglich die Länder nennen, in denen der Anbieter* die Leistungen aufgrund vorgenannter Regelung nicht verfügbar macht. Einschränkungen einer Nutzung innerhalb des EWR und der Schweiz gelten nur, wenn und soweit sie im Service-Offering* des Cloud-Services* dargestellt sind.

      13 Unterauftragnehmer

      1. 13.1 Der jeweilige Anbieter* darf zur Leistungserbringung Unterauftragnehmer einsetzen.
      2. 13.2 Voraussetzung für den Einsatz eines Unterauftragnehmers ist, dass dieser sich, soweit dies seine Leistungen betrifft, zuvor dem Anbieter* gegenüber mindestens in einem seinem jeweiligen Anteil an der Leistungserbringung entsprechenden Umfang zur Einhaltung der vertraglichen Regelungen verpflichtet hat, wie der Anbieter* gegenüber dem Kunden* verpflichtet ist. Dies gilt insbesondere auch für die Mindestanforderungen des DVC-Reifegradmodells* und die im Service-Offering* ausgewiesene Bewertung aufgrund des DVC-Reifegradmodells* insgesamt. Der Vertrag mit dem Unterauftragnehmer muss im Wesentlichen dieselben Datenschutzpflichten wie Ziffer 10.1 dieser CSP-AGB vorsehen. Unbeschadet der sonstigen Kontrollrechte des Kunden* stellt der Anbieter* dem Kunden* auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Pflichten beim Unterauftragnehmer zur Verfügung. In einer Unterauftragnehmerkette (vgl. Ziffer 13.3) muss der Nachweis nur hinsichtlich der direkten Unterauftragnehmer erfolgen.
      3. 13.3 Unterauftragnehmer in diesem Sinne sind auch solche, die wiederum von Unterauftragnehmern eingesetzt werden (Unterauftragnehmerkette).
      4. 13.4 Die Unterauftragnehmer, die zugleich personenbezogene Daten im Auftrag verarbeiten (Unterauftragsverarbeiter), sind im Service-Offering* benannt; Unterauftragsverarbeiter des jeweiligen Unterauftragsverarbeiters müssen nur auf Anforderung des Kunden* bzw. des Intermediärs* benannt werden. Der Anbieter* darf andere als die im Service-Offering* bei Bestellung des Cloud-Service-Abonnements* genannten Unterauftragsverarbeiter nur einsetzen, wenn er den bzw. die Unterauftragsverarbeiter und deren jeweiligen Leistungsbereich mit einem Vorlauf von mindestens 90 Tagen benennt. Soweit der Wechsel des Unterauftragsverarbeiters aus wichtigem Grund erforderlich ist (z.B. wegen schwerwiegender IT-Sicherheitsmängel) kann dieser auch mit kürzerem bzw. ohne den genannten Vorlauf erfolgen; die Benennung bleibt jedoch auch in diesem Fall erforderlich. Die Benennung kann auch durch eine für den Kunden* zugängliche Web-Site in Verbindung mit einer individuellen Benachrichtigung des Kunden* erfolgen. Der Kunde* hat ein Sonderkündigungsrecht gemäß Ziffer 20.3 dieser CSP-AGB für den Fall, dass er mit dem benannten Unterauftragsverarbeiter nicht einverstanden ist.

      14 Entgelte und Abrechnung

      1. 14.1 Die (laufenden und ggf. einmaligen) Entgelte für den jeweiligen Cloud-Service* ergeben sich aus dem Service-Offering*.
      2. 14.2 Der Anbieter* hat das Recht, die Entgelte einmal jährlich mit Wirkung zum Beginn eines neuen Kalenderjahres unter Einhaltung einer Ankündigungsfrist von drei Monaten anzupassen. Erhöhungen werden nur wirksam, wenn sie spätestens ab Beginn der Ankündigungsfrist im Service-Offering* ausgewiesen und spätestens zum Beginn der Ankündigungsfrist den dann bestehenden Kunden* für den Cloud-Service* mitgeteilt werden (siehe insoweit Ziffer 21 dieser CSP-AGB) und in Bezug auf das jeweilige Entgelt 3 % des vorher geltenden Entgelts nicht überschreiten. Erhöhungen, die 3 % des vorher geltenden Entgelts überschreiten, sind nur möglich, wenn und soweit sich seit Wirksamwerden der letzten Preisanpassung für den Cloud-Service* die Gesamtkosten des Anbieters* für die Erbringung des Cloud-Service* aufgrund einer Erhöhung von:
  • Vergütungen, die durch den Anbieter* an Lieferanten und Unterauftragnehmern für Leistungen im Zusammenhang mit dem Cloud-Service* zu zahlen sind oder/und
  • Personalkosten im Zusammenhang mit dem Cloud-Service* aufgrund einer Erhöhung der Tarifgehälter um mehr als 3 % erhöht haben. Auf Anforderung des Kunden* bzw. des Intermediärs* ist die Erhöhung der Kosten nachzuweisen.

      1. 14.3 Entgeltanpassungen gelten vom jeweiligen Wirksamkeitsdatum an für sämtliche hinsichtlich des Cloud-Services* laufenden Cloud-Service-Abonnements*, d.h. auch für Cloud-Service-Abonnements*, die erst nach Beginn der Ankündigungsfrist für eine Entgeltanpassung bestellt wurden; für Erhöhungen gilt dies jedoch nur unter den Voraussetzungen von Ziffer 14.2 Sätzen 2 bis 4.
      2. 14.4 Der Anbieter* stellt für seine vertraglichen Leistungen Rechnungen mit Aufschlüsselung der Entgelte je Cloud-Service-Abonnement*, einschließlich aller vergütungsbestimmenden Daten, so dass die Rechnungen vollumfänglich prüfbar sind.
      3. 14.5 Soweit nicht anders im Service-Offering* angegeben, erfolgt die Abrechnung jeweils quartalsweise nachträglich.
      4. 14.6 Sämtliche Entgelte verstehen sich, soweit Umsatzsteuerpflicht besteht, zuzüglich der geltenden gesetzlichen Umsatzsteuer.
      5. 14.7 Besonderheiten im Umklappvertragsmodell*:
      6. 14.7.1 Die Rechnungsstellung erfolgt im Umklappvertragsmodell* durch den Anbieter* gegenüber dem Intermediär* und durch den Intermediär* gegenüber dem Kunden*.
      7. 14.7.2 Auf Wunsch des Intermediärs* wird der Anbieter* sämtliche Abrechnungsdaten so liefern, dass der Intermediär* daraus für einzelne Kunden* automatisiert konsolidierte Rechnungen über mehrere Cloud-Services* auch unterschiedlicher Anbieter* erstellen kann; d.h. insbesondere nach Services und Kunden aufgeschlüsselt in einem maschinenlesbaren Format (XRechnung).
      8. 14.7.3 Unabhängig davon, ob der Anbieter* zum Vorsteuerabzug berechtigt ist oder nicht, verstehen sich alle Entgelte für Cloud-Services*, die durch den Intermediär* in Rechnung gestellt werden zuzüglich gesetzlicher Umsatzsteuer. Es wird darauf hingewiesen, dass dies im Umklappvertragsmodell* zu einer Erhöhung des Entgeltes für den Cloud-Service* um die jeweilige Umsatzsteuer führen kann.

      15 Rechnungen

      1. 15.1 Die Rechnungsstellung erfolgt als E-Rechnung. Die Leitweg ID und die weiteren erforderlichen Parameter für die Rechnungsstellung muss der Kunde* bei seiner Registrierung im CSP* gemäß Ziffer 5 dieser CSP-AGB angeben.
      2. 15.2 Rechnungen sind durch den Kunden* zahlbar binnen 30 Tagen nach Rechnungseingang bei ihm.
      3. 15.3 Besonderheiten im Umklappvertragsmodell*:
      4. 15.3.1 Zutreffende, prüfbare Rechnungen von Anbietern* an den Intermediär* sind zahlbar innerhalb von 60 Tagen nach Rechnungseingang beim Intermediär* und vorbehaltlich einer Zahlung der korrespondierenden Rechnung, die der Intermediär* dem Kunden* gestellt hat. Der Vorbehalt gilt nicht, soweit der Intermediär* dem Kunden* keine oder eine unzutreffende Rechnung gestellt hat oder der Intermediär* aus anderen Gründen die Nichtzahlung durch den Kunden* zu vertreten hat. Für den Fall, dass der Kunde* in Verzug mit der Zahlung gerät und deshalb die Zahlung durch den Intermediär an den Anbieter* verzögert erfolgen würde, bietet der Intermediär schon jetzt die Abtretung der Forderung an den Anbieter* an.
      5. 15.3.2 Die Rechnungsstellung erfolgt als E-Rechnung nach der jeweiligen Maßgabe des Intermediärs*.

      16 Mitwirkung des Kunden*

      1. 16.1 Der Kunde* wird dem Anbieter* die im Service-Offering* genannten Informationen und Unterlagen aus seiner Sphäre zur Verfügung stellen und Änderungen, die Einfluss auf die Leistungserbringung haben können, unverzüglich mitteilen.
      2. 16.2 Der Kunde* ist dafür verantwortlich, dass die Systeme und Daten, die er dem Anbieter* im Zuge der Leistungserbringung zugänglich macht, auch durch den Anbieter* bestimmungsgemäß genutzt bzw. verarbeitet werden dürfen.
      3. 16.3 Soweit der Anbieter* personenbezogene Daten im Auftrag des Kunden* verarbeitet, prüft der Kunde* eigenverantwortlich, ob die von ihm im Zusammenhang mit der Nutzung der Leistung übermittelten Daten personenbezogene Daten darstellen und die Verarbeitung dieser personenbezogenen Daten im Wege der Auftragsverarbeitung zulässig ist. Ist dies nicht der Fall, wird er keine Verarbeitung solcher Daten durch den Anbieter* zulassen.
      4. 16.4 Der Kunde* ist für Art und Inhalt der dem Anbieter* zur Verfügung gestellten Daten verantwortlich.
      5. 16.5 Der Kunde* hat Störungen* bzw. Mängel unter Verwendung der im Service-Offering* spezifizierten Kommunikationswege und unter Angabe der ihm bekannten und für deren Erkennung zweckdienlichen Informationen an den Anbieter* zu melden. Eine Meldung in der Administrationskonsole des Cloud-Services* oder der Eintrag in ein Ticketsystem ist ausreichend. Eine Haftung wegen Verzugs gegenüber dem Kunden* kommt frühestens mit Meldungseingang beim Anbieter* in Betracht.
      6. 16.6 Der Kunde* ergreift wirtschaftlich angemessene Maßnahmen, um einen nicht autorisierten Zugriff bzw. eine nicht autorisierte Nutzung über die ihm zur Verfügung gestellten Zugänge zu verhindern oder zu beenden. Unbenommen ist die Pflicht des Anbieters*, angemessene Maßnahmen zu treffen, den Cloud-Service* und dessen Zugänge vor nicht autorisiertem Zugriff zu schützen.
      7. 16.7 Weitere, insbesondere servicespezifische Mitwirkungsleistungen ergeben sich aus dem Service-Offering* im CSP*.
      8. 16.8 Besonderheit im Umklappvertragsmodell*: Der Kunde* wird sämtliche Mitwirkungsleistungen unmittelbar gegenüber dem Anbieter* erbringen, soweit der Intermediär* nicht ausdrücklich etwas anderes verlangt. Der Anbieter* ist ermächtigt und verpflichtet, die Mitwirkungsleistungen bei Bedarf selbst und unmittelbar beim Kunden* einzufordern.

      17 Mängelhaftungs- und andere Sekundäransprüche

      1. 17.1 Der Anbieter* hat dem Kunden* die vereinbarte Leistung während der Laufzeit des Cloud-Service-Abonnements* vertragsgemäß zur Verfügung zu stellen. Maßgeblich ist dafür neben diesen CSP-AGB die Beschreibung des Cloud-Services* im jeweiligen Service-Offering* des CSP* (zur Geltungsreihenfolge siehe oben Ziffer 3.4). Die gesetzlichen Ansprüche des Kunden* wegen Mängeln oder Schlechtleistung bleiben unberührt.
      2. 17.2 Besonderheiten im Umklappvertragsmodell*:
      3. 17.2.1 Der Anbieter* erfüllt im Innenverhältnis zum Intermediär* sämtliche Mängelhaftungsansprüche, Schadensersatz-, Aufwendungsersatz- und Freistellungsansprüche, die dem Kunden* gegenüber dem Intermediär* zustehen; dies gilt nicht, wenn und soweit solche Ansprüche auf ein schuldhaftes Verhalten des Intermediärs* oder auf eine zusätzliche durch den Intermediär* mit dem Kunden* getroffene, nicht mit dem Anbieter* abgestimmte Regelung zurückzuführen sind.
      4. 17.2.2 Dem Intermediär* stehen nach Maßgabe der gesetzlichen Regelungen und diesen Bedingungen gegen den Anbieter* wegen des Cloud-Services* ggf. Mängelansprüche zu. Der Intermediär* tritt sämtliche solche Ansprüche, die ihm aus der kundenbezogenen Bestellung des Cloud-Services* beim Anbieter* wegen Mängeln des Cloud-Services* zustehen, an den Kunden* ab; dieser nimmt die Abtretung an. Der Kunde* ist zur Geltendmachung derartiger Ansprüche gegenüber dem Anbieter* ermächtigt. Der Kunde* ist ferner berechtigt, die Ansprüche und Rechte im eigenen Namen mit der Maßgabe geltend zu machen, dass im Falle einer Vergütungsminderung etwaige Zahlungen des Anbieters* direkt an den Intermediär* erfolgen. Der Intermediär* wird Vergütungsminderungen bei Erhalt einer entsprechenden Zahlung an den Kunden* weiterreichen. Ein Verzicht auf Ansprüche gegen den Anbieter* bedarf in diesem Fall der vorherigen Zustimmung des Intermediärs*. Gegen den Intermediär* stehen dem Kunden* Ansprüche wegen Mängeln nicht zu. Die §§ 536 bis 536 d BGB finden insoweit keine Anwendung.

      18 Begrenzung der Haftung des Anbieters*

      1. 18.1 Für einfache Fahrlässigkeit haftet der Anbieter* nur bei Verletzung einer wesentlichen Vertragspflicht durch ihn selbst, seine gesetzlichen Vertreter oder Erfüllungsgehilfen. Wesentliche Vertragspflichten sind solche Pflichten, die die Grundlage des Vertrages bilden, die entscheidend für den Abschluss des Vertrages sind und auf deren Erfüllung der Intermediär* oder der Kunde* vertrauen durfte. Dabei haftet der Anbieter* nur für vorhersehbare Schäden, mit deren Eintreten typischerweise gerechnet werden muss.
      2. 18.2 Die Haftung des Anbieters* gemäß Ziffer 18.1 dieser CSP-AGB ist im Direktvertragsmodell für die in Ziffer 19 EVB-IT Cloud-AGB* vorgesehenen Fälle zudem begrenzt wie dort geregelt.
      3. 18.3 Unbeschränkt haftet der Anbieter* für Schäden des Kunden* oder des Intermediärs* aus der Verletzung des Lebens, des Körpers oder der Gesundheit, vorsätzlich oder fahrlässig verursacht durch den Anbieter*, seine gesetzlichen Vertreter oder Erfüllungsgehilfen. Zudem haftet der Anbieter* auch unbeschränkt, soweit das Produkthaftungsgesetz zur Anwendung kommt.
      4. 18.4 Vorstehende Haftungsbegrenzungen gelten nicht für die Verpflichtung des Anbieters*, den Intermediär* von Ansprüchen des Kunden* gemäß Ziffer 17.2.2 dieser Bedingungen freizustellen.

      19 Begrenzung der Haftung des Intermediärs*

      1. 19.1 Für einfache Fahrlässigkeit haftet der Intermediär* nur bei Verletzung einer wesentlichen Vertragspflicht durch ihn selbst, seine gesetzlichen Vertreter oder Erfüllungsgehilfen. Wesentliche Vertragspflichten sind solche Pflichten, die die Grundlage des Vertrages bilden, die entscheidend für den Abschluss des Vertrages sind und auf deren Erfüllung der Kunde* oder der Anbieter* vertrauen durfte. Dabei haftet der Intermediär* nur für vorhersehbare Schäden, mit deren Eintreten typischerweise gerechnet werden muss.
      2. 19.2 Die Haftung des Intermediärs gemäß Ziffer 19.1 dieser CSP-AGB ist für die in Ziffer 19 EVB-IT Cloud-AGB* vorgesehenen Fälle zudem begrenzt wie dort geregelt.
      3. 19.3 Unbeschränkt haftet der Intermediär* für Schäden des Kunden* bzw. des Anbieters* aus der Verletzung des Lebens, des Körpers oder der Gesundheit, vorsätzlich oder fahrlässig verursacht durch den Intermediär*, seine gesetzlichen Vertreter oder Erfüllungsgehilfen. Zudem haftet der Intermediär* auch unbeschränkt, soweit das Produkthaftungsgesetz zur Anwendung kommt.

      20 Laufzeit und Kündigung

      1. 20.1 Soweit im Service-Offering* nichts anderes vorgesehen ist, können unbefristete Cloud-Service-Abonnements* jederzeit durch den Kunden* mit einer Frist von 60 Tagen zum Ende eines Kalendermonats und durch den Anbieter* mit einer Frist von 120 Tagen zum Ende eines Kalendermonats gekündigt werden.
      2. 20.2 Mindestlaufzeiten, eine etwaige Befristung des Cloud-Service-Abonnements* und ggf. abweichende Kündigungsfristen ergeben sich jeweils aus dem Service-Offering*. Es gelten jedoch stets folgende Mindest- und Höchstfristen:
  • Anbieterseitig vorgesehene Mindestlaufzeiten für ein Cloud-Service-Abonnement dürfen zwölf Monate nicht überschreiten.
  • Die ordentliche Kündigung eines Cloud-Service-Abonnements* durch den Kunden* muss stets mit einer Frist von höchstens 60 Tagen zum Ende eines Kalendermonats möglich sein (Höchstfrist); soweit anbieterseitig eine Mindestlaufzeit von bis zu zwölf Monaten vorgesehen ist, ist die Kündigung durch den Kunden frühestens mit Wirkung zum Ende dieser Mindestlaufzeit möglich.
  • Die Mindestfrist für eine ordentliche Kündigung eines Cloud-Service-Abonnements* durch den Anbieter* beträgt 120 Tage zum Ende eines Kalendermonats.
      1. 20.3 Sofern für den Kunden in diesen CSP-AGB ein Sonderkündigungsrecht vorgesehen ist, bedeutet dies, dass die Kündigung gemäß Ziffer 20.1 auch innerhalb etwaiger Mindestlaufzeiten und vor Ablauf einer etwaigen Befristung erfolgen kann und wie in Ziffer 20.1 vorgesehen wirksam wird.
      2. 20.4 Unberührt bleibt das Recht der jeweiligen Vertragsparteien, das Cloud-Service-Abonnement* aus wichtigem Grund außerordentlich fristlos oder mit einer Auslauffrist zu kündigen.
      3. 20.5 Besonderheiten im Umklappvertragsmodell*:
      4. 20.5.1 Der Kunde* ist ermächtigt und verpflichtet, eine von ihm gewünschte Kündigung des Cloud-Service-Abonnements* auch unmittelbar gegenüber dem Anbieter* zu erklären.
      5. 20.5.2 Eine wirksame Kündigung eines Cloud-Service-Abonnements* durch den Kunden* gegenüber dem Anbieter* oder dem Intermediär*, - gleichgültig, aus welchem Rechtsgrund diese erfolgt – gilt analog auch im Verhältnis zwischen Anbieter* und Intermediär* als Kündigung des Cloud-Service-Abonnements*.
      6. 20.5.3 Soweit eine Kündigung des Kunden* nur beim Intermediär* eingeht, wird der Intermediär* den Anbieter* unverzüglich über die erfolgte Kündigung informieren. Soweit eine Kündigung des Kunden* nur beim Anbieter* eingeht, wird der Anbieter* den Intermediär* unverzüglich über die erfolgte Kündigung informieren.
      7. 20.5.4 Der Anbieter* ist ermächtigt und verpflichtet, eine von ihm gewünschte Kündigung des Cloud-Service-Abonnements* sowohl gegenüber dem Intermediär* als auch unmittelbar gegenüber dem Kunden* zu erklären.
      8. 20.5.5 Der Intermediär* hat im Umklappvertragsmodell* das Recht, Cloud-Service-Abonnements* gegenüber dem Anbieter* und dem Kunden* jeweils mit einer Frist von 90 Tagen zum Ende eines Kalendermonats zu kündigen.

      21 Textform, Sonstiges

      1. 21.1 Soweit nichts anderes geregelt ist, bedürfen vertragliche Mitteilungen und Erklärungen mindestens der Textform. Soweit im CSP* entsprechende Funktionen für vertraglich relevante Mitteilungen und Erklärungen vorgesehen sind, haben Anbieter* und Kunden* diese zu nutzen.
      2. 21.2 Dem Anbieter* oder dem Intermediär* auf anderem Wege zugegangene Erklärungen muss der jeweilige Empfänger nur dann gegen sich gelten lassen, wenn er diesen zustimmt. Für Störungsmeldungen und Mängelrügen ist der Eintrag in ein für den Cloud-Service* bereitgestelltes Ticketsystem oder in eine Administrationskonsole ausreichend.
      3. 21.3 Begriffe wie „sicherstellen“, „zusichern“, „garantieren“ oder ähnlich begründen kein selbständiges Garantieversprechen mit der Folge einer verschuldensunabhängigen oder unbeschränkten Haftung.

      22 Anwendbares Recht, Gerichtsstand

      1. 22.1 Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss der Normen, die in eine andere Rechtsordnung verweisen, und unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG).
      2. 22.2 Ausschließlicher Gerichtsstand für alle Streitigkeiten über die Gültigkeit des Vertrages und aus dem Vertragsverhältnis ist Berlin.

      23 Anlagen

      • Anlage 1 Mindestanforderungen an die technischen und organisatorischen Maßnahmen (TOM) des Anbieters* im Sinne von Art. 32 DSGVO

      Begriffsbestimmungen

      • Abonnement: Siehe Cloud-Service-Abonnement*
      • Anbieter: Bieten Services auf dem CSP* an (im Direktvertragsmodell* oder/und im Umklappvertragsmodell*). Anbieter können dabei auch (ggf. erweiterte/angepasste) Services Dritter als Cloud-Integrator anbieten. Anbieter können sein: öffentliche Stellen i.S.v. § 1 Abs. 1 OZG, Rechtsträger von Behörden i.S.v. § 2 Abs. 9 OZG, öffentliche Auftraggeber im Sinne des § 99 Nr. 1 bis 3 GWB und juristische Personen des öffentlichen oder privaten Rechts, hinsichtlich derer die Voraussetzungen des § 108 Abs. 1, Abs. 4 GWB oder vorliegen. Anbieter kann nicht sein, wer 20 % oder mehr seiner Tätigkeiten am offenen Markt erbringt.
      • Ausfallzeit: Zeiten der ungeplanten Nichtverfügbarkeit* der Leistung innerhalb der Betriebszeit*.
      • Betriebsbereitschaft: Der Cloud-Service* funktioniert störungsfrei.
      • Betriebszeit: Zeiten, in denen der Kunde* Anspruch auf Bereitstellung der Leistung hat. Die Betriebszeit* ist die Zeit von Montag bis Sonntag von 0:00 bis 24:00 Uhr.
      • Cloud-Service-Abonnement: Vertrag, der einen Cloud-Service* betrifft. Das Cloud-Service-Abonnement* erlaubt auch während seiner Laufzeit eine Skalierung des Leistungsumfangs anhand der definierten Leistungseinheiten*, soweit dies im jeweiligen Service-Offering* des CSP* für den Cloud-Service* vorgesehen ist.
      • Servicespezifische Bedingungen: Bedingungen, die spezifisch für einzelne Cloud-Services* gelten und vom Anbieter* im Rahmen des jeweiligen Service-Offering* gestellt wurden. Die Angaben müssen durch den Anbieter* in einem vom Intermediär* zu diesem Zweck bereitgestellten Template erfolgen. Zu den zulässigen Inhalten und dem Verhältnis zu den CSP* AGB siehe Ziffer 3.3.
      • Cloud-Service-Portal/CSP: Cloud-Service-Portal der Deutschen Verwaltungscloud.
      • CSP-Betreiber: Technischer Betreiber des CSP*, derzeit govdigital eG.
      • Direktvertragsmodell: Im Direktvertragsmodell besteht pro Cloud-Service-Abonnement* ein Vertrag zwischen dem Anbieter* eines Cloud-Services* und dem Kunden* eines Cloud-Services*. Siehe in diesen Begriffsbestimmungen auch unter Umklappvertragsmodell* und Vertragsmodelle*.
      • DVC-Reifegradmodell: Das DVC-Reifegradmodell enthält Mindestanforderungen an die Cloud-Services* auf dem CSP* sowie weitere Anforderungen, bei denen eine Selbstbewertung des Anbieters* anhand definierter Stufen und deren Plausibilisierung bzw. Verifikation durch den CSP-Betreiber* erfolgt. Das DVC-Reifegradmodell ist verfügbar unter [Dauerhafte, öffentlich zugängliche Link zu der aktuellen Version sowie einem Archiv der vorhergehenden Versionen wird an dieser Stelle ergänzt].
      • Endnutzer: Sind von einem Kunden* für die Nutzung von Cloud-Services autorisiert worden, die der Kunde* abonniert hat. Endkunde kann nur sein, wer auch Kunde* im Sinne von Satz 3 der Begriffsbestimmung „Kunden“ sein kann.
      • EVB-IT Cloud AGB: Ergänzende Vertragsbedingungen (der öffentlichen Hand) für Cloudleistungen, Version 1.0 vom 1.3.2022, veröffentlicht unter cio.bund.de.
      • Intermediär: Vertragspartner des Anbieters* und (weitgehend spiegelbildlich) des Kunden* im Umklappvertragsmodell*; derzeit govdigital eG.
      • Kunden: Haben ein Cloud-Service-Abonnement* mit einem Anbieter* (im Direktvertragsmodell*) oder dem Intermediär* (im Umklappvertragsmodell*) über die Nutzung eines Cloud-Services* geschlossen. Kunden nutzen die Cloud-Services* selbst und/oder lassen diese ihrerseits durch ihre Endkunden* nutzen (z.B. Bezug von Cloud-Services* durch einen öffentlichen IT-Dienstleister als Kunden auf dem CSP, um diese Cloud-Services den Behörden der Träger des Dienstleisters zur Verfügung stellen zu können). Kunden* können sein: Öffentliche Stellen i.S.v. § 1 Abs. 1 OZG, Rechtsträger von Behörden i.S.v. § 2 Abs. 9 OZG, öffentliche Auftraggeber im Sinne des § 99 Nr. 1 bis 3 GWB und juristische Personen des öffentlichen oder privaten Rechts, hinsichtlich derer die Voraussetzungen der § 108 Abs. 1 oder Abs. 4 GWB vorliegen.
      • Leistungseinheiten: Parameter, die im Hinblick auf die Dimensionierung des Cloud-Service-Abonnements* vereinbart werden. Beispiele für solche Leistungseinheiten* sind virtuelle Maschinen, Prozessoren bzw. Kerne (vCPU), virtueller Hauptspeicher oder SAN-Speicher in GB und virtuelle Arbeitsplätze.
      • Patch: Temporäre Behebung eines Mangels und/oder einer Störung* in der Software ohne Eingriff in den Quellcode.
      • Programmstand: Oberbegriff für Patch*, Update*, Upgrade* und neue(s) Release(s)*/Version.
      • Reaktionszeit: Zeitraum, innerhalb dessen der Anbieter* den Kunden* benachrichtigt, dass mit den Störungs- bzw. Mängelbehebungsarbeiten begonnen wurde. Der Zeitraum beginnt mit der Meldung der Störung* durch den Kunden* direkt beim Anbieter* (unabhängig vom Vertragsmodell* nicht beim Intermediär*) und läuft nur in den vereinbarten Servicezeiten*. Tritt die Störung* außerhalb dieser Zeiten ein, beginnt die Reaktionszeit* mit der nächsten Servicezeit.
        Soweit das Service-Offering* keine anderweitige Festlegung enthält, erfolgt die Reaktion in der Regel in folgenden Fristen:
  • betriebsverhindernde Störungen*: 4 Stunden
  • betriebsverhindernde Störungen*: 8 Stunden
  • leichte Störungen*: 16 Stunden

  • Release / Version: Neue Entwicklungsstufe einer Software, die sich gegenüber dem vorherigen Release* bzw. der Version im Funktions- und/oder Datenspektrum erheblich unterscheidet (z.B. Änderung der Versionsnummer von 4.5.7 zu 5.0.0).
  • Service-Offering: Beschreibung des Cloud-Services* im CSP* nebst einer Leistungsbeschreibung und servicespezifischen Bedingungen.
  • Servicezeiten: Zeiten, innerhalb derer der Kunde* Anspruch auf Störungs- bzw. Mangelbehebungsarbeiten hat. Soweit das Service-Offering* keine anderweitige Festlegung enthält, gelten als Standardservicezeiten die Zeiten an Arbeitstagen (d.h. ausgenommen sind Feiertage beim Anbieter*) von Montag bis Donnerstag von 9:00 bis 16:00 Uhr und am Freitag von 9:00 bis 14:00 Uhr.
  • Sicherheitsvorfall: Störung* des Cloud-Services* oder anderer Leistungen des Anbieters*, der die Vertraulichkeit, Verfügbarkeit* oder Integrität derselben gefährdet oder tatsächlich beeinträchtigt.
    • derart gefährdet, dass ein erheblicher Schaden eintreten kann odertatsächlich beeinträchtigt.
    • tatsächlich beeinträchtigt.

        • Störung und Störungsklassen: Beeinträchtigung der Eignung der Leistung zur vertraglich vereinbarten, bzw. soweit eine solche Vereinbarung fehlt, zur vorausgesetzten oder sonst zur gewöhnlichen Verwendung. Dies gilt unabhängig von einem Vertretenmüssen und unabhängig davon, ob diese Abweichung bereits bei Leistungsbeginn vorlag.
          Es wird zwischen folgenden drei Störungsklassen unterschieden:
    • betriebsverhindernde Störung: Die Nutzung der Leistung ist insgesamt oder in wesentlichen Funktionen unmöglich oder schwerwiegend eingeschränkt.
    • betriebsbehindernde Störung: Die Nutzung der betroffenen Leistung ist erheblich eingeschränkt.
    • leichte Störung: Die Nutzung der Leistung ist ohne oder mit unwesentlichen Einschränkungen möglich.

        • Umgehungslösung: Temporäre Überbrückung eines Mangels und/oder einer Störung*.
        • Umklappvertragsmodell: Im Umklappvertragsmodell besteht pro Cloud-Service-Abonnement* ein Vertragspaar: einerseits ein Vertrag zwischen dem Anbieter* eines Cloud-Services* und dem Intermediär* und andererseits ein Vertrag zwischen dem Intermediär* und dem Kunden* für das Cloud-Service-Abonnement*. Siehe in diesen Begriffsbestimmungen auch unter Direktvertragsmodell* und Vertragsmodelle*.
        • Update: Bündelung mehrerer Mängelbehebungen und/oder Störungsbeseitigungen sowie geringfügige funktionale Verbesserungen und/oder Anpassungen der Software in einer einzigen Lieferung (z.B. Änderung der Versionsnummer von 4.1.3 zu 4.1.4).
        • Upgrade: Bündelung mehrerer Mängelbehebungen und/oder Störungsbeseitigungen und mehr als geringfügige funktionale Verbesserungen und/oder Anpassungen der Software in einer einzigen Lieferung (z.B. Änderung der Versionsnummer von 4.1.3. zu 4.2.0).
        • Verfügbarkeit: Es ist die vereinbarte Verfügbarkeit des Cloud-Services* an den geschuldeten Übergabepunkten während der Betriebszeit* geschuldet. Die Anbindung des Rechenzentrums des Anbieters* an die Übergabepunkte ist so ausreichend zu dimensionieren, dass die Nutzung der Leistung auch unter vertraglich vereinbarter Maximallast (z.B. einem vereinbarten Mengengerüst oder einer anderen vereinbarten Dimensionierung) nicht eingeschränkt ist.

        • Der Prozentsatz der Verfügbarkeit wird nach folgender Formel berechnet:
        • Verfügbarkeit= (Gesamtzeit Minuten - Ausfallzeit Minuten) / Gesamtzeit Minuten * 100


        • Die Gesamtzeit Minuten ergibt sich aus der vereinbarten Betriebszeit* je Kalenderjahr. Ausfallzeit* sind diejenigen Minuten, an denen der Cloud-Service* für mehr als einen unwesentlichen Teil der Nutzer nicht oder nicht ohne betriebsver- bzw. betriebsbehindernde Störungen* zur Verfügung steht.
          Soweit keine anderweitige Festlegung im Service-Offering* erfolgt, ist während der Betriebszeit* eine Verfügbarkeit von mindestens 95,0 % (Mindestverfügbarkeit) im Bezugszeitraum geschuldet. Eine Unterschreitung der Mindestverfügbarkeit in den Angaben zur Verfügbarkeit im Service Offering ist unwirksam, in diesem Fall gilt an Stelle der angegebenen Verfügbarkeit die Mindestverfügbarkeit. Die Betriebszeit* ist die Zeit von Montag bis Sonntag von 0:00 bis 24:00 Uhr.
          Alle Zeitangaben verstehen sich als Angaben nach mitteleuropäischer Zeit (MEZ) bzw. Sommerzeit (MESZ).
          Wartungsarbeiten sollen nicht länger als sechs Stunden andauern und in der Regel alle zwei Wochen außerhalb der Servicezeiten durchgeführt werden; in diesem Fall werden sie bei der Berechnung der Verfügbarkeit nicht berücksichtigt. Sofern keine regelmäßigen Wartungszeiten vereinbart wurden, sind Wartungszeiten mindestens 10 Kalendertage vorher anzukündigen.
          Ausfallzeiten, die auf einem der folgenden Ereignisse beruhen, mindern die Verfügbarkeit* nicht:

    • Probleme innerhalb des Netzwerks oder der Infrastruktur des Kunden* oder von diesem beauftragten Dritten,
    • Ausfall/Beeinträchtigung der Netzanbindung des Kunden*.
    • Ausfälle/Beeinträchtigungen, die auf dem Handeln oder Unterlassen des Kunden* oder eines nicht vom Anbieter* beauftragten Dritten beruhen,
    • nicht vertragsgemäße Nutzung der Leistung des Anbieters* durch den Kunden*,
    • Versäumnisse des Kunden*, vereinbarte Vorgaben zu erforderlichen Konfigurationen und Architekturen einzuhalten sowie fehlerhafte Eingaben beziehungsweise Anweisungen durch Nutzer des Cloud-Services*,
    • Handlungen nicht autorisierter Nutzer, soweit die Handlungsmöglichkeit des nicht autorisierten Nutzers dem Kunden* zuzurechnen ist (bspw. durch die Nichtbeachtung angemessener Sicherheitsverfahren),
    • Ereignisse, die auf höherer Gewalt beruhen und nicht durch angemessene Maßnahmen des Anbieters* kompensiert werden können.
        • Vertragsmodell: In diesen Bedingungen wird zwischen Direktvertragsmodell* und dem Umklappvertragsmodell* unterschieden.
        • Wiederherstellungszeit: Zeitraum, innerhalb dessen der Anbieter* die Störungs- bzw. Mängelbehebungsarbeiten erfolgreich abzuschließen hat. Der Zeitraum beginnt mit der Meldung der Störung* durch den Kunden* direkt beim Anbieter* (unabhängig vom Vertragsmodell* nicht beim Intermediär*) und läuft nur in den vereinbarten Servicezeiten*. Tritt die Störung* außerhalb dieser Zeiten ein, beginnt die Wiederherstellungszeit* mit der nächsten Servicezeit.
          Soweit keine anderweitige Festlegung im Service-Offering* erfolgt, muss die Wiederherstellung in der Regel in folgenden Zeiten erfolgen:
    • betriebsverhindernde Störungen*: 12 Stunden
    • betriebsbehindernde Störungen*: 16 Stunden
    • leichte Störungen*: 32 Stunden
    Diese Website verwendet Cookies, um eine bestmögliche Erfahrung bieten zu können. Mehr Informationen ...